SCA (Strong Customer Authentication) einfach erklärt: In diesem Video erfahren Sie, wie die gesetzliche Neuregelung Online-Zahlungen sicherer machen soll. Und wieso AirPlus-Produkte davon befreit sind.
Die sogenannte „Starke Kundenauthentifizierung“ (englisch: Strong Customer Authentication/SCA) stellt die Corporate-Payment-Branche vor ungeahnte Herausforderungen. AirPlus geht eigene Wege, um seinen Kunden höchste Sicherheitsstandards und maximalen Komfort zu bieten.
Die Flug- und Bahntickets mit wenigen Klicks buchen, den Mietwagen oder das Hotelzimmer auf Knopfdruck bestellen: Digitale Lösungen erleichtern inzwischen zahllose Prozesse im Business Travel Management.
Allerdings wird es besonders im Fall von Online-Zahlungen immer schwieriger, die Balance zwischen Nutzerfreundlichkeit und Sicherheit zu halten. In einem im September 2018 veröffentlichten Report bezifferte die Europäische Zentralbank den Schaden durch Missbrauch von Bezahlkarten, die im SEPA-Raum ausgegeben wurden, auf 1,8 Milliarden Euro. 73 Prozent des Werts entfielen auf sogenannte „Card-not-present-Transaktionen“; dabei handelt es sich überwiegend um Kartenmissbrauchsfälle bei Online-Käufen.
Gerade vor diesem Hintergrund erließ der EU-Gesetzgeber die neue Zahlungsdiensterichtlinie PSD2, die zum 13. Januar 2018 in deutsches Recht umgesetzt wurde. Mit der zweiten Umsetzungsstufe der PSD2 gelten seit dem 14. September 2019 unter anderem strengere Regeln für die Identifizierung des Zahlenden. Man spricht in diesem Zusammenhang von der sogenannten „Starken Kundenauthentifizierung“ (englisch: Strong Customer Authentication/SCA). Sie hat zum Ziel, einen wichtigen Beitrag für die Sicherheit des elektronischen Zahlungsverkehrs zu leisten, indem sie sicherstellt, dass derjenige, der eine elektronische Zahlung auslöst, auch tatsächlich dazu berechtigt ist.
„SCA verlangt für die Authentifizierung mindestens zwei der drei Faktoren Wissen, Besitz und Inhärenz“, erläutert Birgit Janik, Leiterin Steuern, Finanzen & Controlling beim Bundesverband E-Commerce und Versandhandel Deutschland (bevh), die Details. Der Faktor Wissen werde zum Beispiel mit einem Passwort oder einer PIN abgedeckt, die jeweils nur dem Konto- oder Karteninhaber bekannt sind. Für den Faktor Besitz kann ein Token oder ein Smartphone eingesetzt werden. Der Nachweis erfolgt dann über einen Code oder eine Verifizierungsnachricht. Der letzte mögliche Faktor Inhärenz erfordert hingegen eine Identifikation mittels biometrischer Daten. „Dabei authentifiziert sich der Nutzer beispielsweise auf seinem Smartphone über einen Fingerabdruck-, Gesichts- oder Iris-Scan“, führt Janik weiter aus.
Im geschäftlichen Zahlungsverkehr ist das Erfordernis einer Zwei-Faktor-Authentifizierung, so wie sie in verbrauchernahen Bereichen teilweise schon länger zum Einsatz kommt, allerdings eine besondere Herausforderung. „Eine solche Authentifizierung für jeden einzelnen Bezahlvorgang ist sehr schwierig, vor allem, wenn mehrere Nutzer auf eine zentrale Bezahl- und Abrechnungslösung zugreifen“, legt Birgit Hölzel, Director Country Management Germany von AirPlus, dar. „Doch der Kunde steht bei uns immer im Fokus. Und für ihn sind unkomplizierte, schnelle Transaktionsprozesse unerlässlich.“
Daher die gute Nachricht: Von offizieller Seite wurde bestätigt, dass aktuell für keines der rein digitalen AirPlus-Produkte Änderungen erfolgen müssen. „Wir haben alles darangesetzt, es unseren Kunden auch weiterhin so leicht wie nur möglich zu machen. Doch solche Ausnahmeregelungen sind eher die Seltenheit. Denn sie erfordern eine ausführliche Dokumentation über alle dezidierten Prozesse und Protokolle sowie den Nachweis der Einhaltung sehr hoher Sicherheitsstandards. Daher freuen wir uns, dass die besondere Qualität unserer Produkte überzeugen konnte“, erklärt Hölzel weiter. So seien sowohl hinsichtlich des AirPlus Company Accounts, der im Dezember sein 30-jähriges Jubiläum feiert, als auch bezüglich des AirPlus Merchant Agreements wegen des hohen Sicherheitsniveaus keinerlei Anpassungen erforderlich. Das bedeutet für Kunden: „Alle Bezahlprozesse laufen wie gewohnt ab.“ Und das gilt vorerst auch für die Nutzer der AirPlus Virtual Cards. „Dadurch ersparen wir unseren Kunden jede Menge Zusatzaufwand, ohne bei der Sicherheit Abstriche zu machen“, fügt Hölzel hinzu.
Bei Online-Zahlungen mit AirPlus Corporate Cards gilt: Wer noch nicht am 3D-Secure-Verfahren teilnimmt, sollte baldmöglichst seine Mobilnummer im AirPlus-Geschäftsreise-Portal hinterlegen. Denn das 3D-Secure-Verfahren erfordert ab 14. September 2019 die Eingabe einer SMS-TAN. Wichtig: Die Mobilnummer und die Sicherheitsfrage sollten stets auf dem aktuellen Stand sein, um Komplikationen bei Kreditkartenzahlungen zu vermeiden.
Doch AirPlus denkt weiter und entwickelt parallel bereits eine nutzerfreundliche biometrische Lösung. Diese soll in Kürze als Alternative zu einer Kombination aus 3D-Secure-Verfahren und Sicherheitsfrage angeboten werden.
„Um unseren Kunden auch zukünftig die bestmöglichen Produkte mit dem bestmöglichen Service anbieten zu können, investieren wir zudem in eine innovative IT-Plattform“, gibt Hölzel einen Ausblick. AirPlus Virtual Cards sollen zu den ersten Produkten gehören, die auf das neue System umgestellt werden. „Dabei setzen wir auf Qualität. Das bedeutet, dass Sicherheit für uns auch weiterhin oberste Priorität hat. Daneben legen wir aber auch höchsten Wert auf die Nutzerfreundlichkeit – so wie es unsere Kunden von AirPlus gewohnt sind.“
Mehr über SCA und AirPlus gibt es auf der Website unter: www.airplus.de
Die gesammelten Informationen zur Starken Kundenauthentifizierung finden Sie auch in unserem kostenlosen E-Book.