Onlineshopping Sicherheitsregeln für Kreditkarten
Neue Sicherheitsregeln bei Onlineeinkäufen
Nutzen Sie beim Einkaufen im Netz eine Kreditkarte oder PayPal, sollten Sie ab Januar 2021 häufiger auf die „Starke Kundenauthentifizierung“ (SCA) stoßen. Diese besondere Form der Zwei-Faktor-Authentifizierung schreibt die Zweite Europäische Zahlungsdiensterichtline (PSD2) in der EU nunmehr für die genannten Bezahlarten verbindlich vor. Damit ist die Phase beendet, in der die europäischen Finanzaufsichtsbehörden die SCA auf Bitte der Handelsverbände noch nicht durchgesetzt haben.
Wann, wie, wo?
Für Sie als Verbraucher bedeutet das, dass nach dem Klick auf „Bezahlen“ wesentlich häufiger eine Sicherheitsabfrage Ihres Kreditinstituts („kartenausgebende Bank“) erscheinen kann. Die Bezeichnungen der Verfahren bleiben gleich: Übergeordnet spricht man von „3D-Secure“; die Eigenbezeichnungen von Mastercard sind „Identity Check“ und „Secure Code“, Visa nennt sie „Visa Secure“ und „Verified by Visa“, American Express „SafeKey“.
Bei der Abfrage müssen Sie die Buchung mit einem zweiten Faktor bestätigen, ähnlich wie beim Onlinebanking. Das kann eine TAN sein, die Sie per SMS (plus Sicherheitsfrage) oder nach dem Scan eines Codes mit einem Lesegerät erhalten. Viele Banken nutzen aber auch das Smartphone als Plattform, auf dem Sie etwa eine im Push-Verfahren geschickte Abfrage bestätigen müssen. Achten Sie darauf, dass Ihnen Ihr Lesegerät, Handy oder Smartphone auch den Händler sowie die Währung und den Betrag des Einkaufs korrekt anzeigt. Da jede Bank und Sparkasse frei darin ist, welche Verfahren sie Ihnen anbietet, sollten Sie sich zeitnah dort informieren. In c’t 19/2020 finden Sie eine Übersicht für viele Kreditinstitute [1].
PayPal muss die bisher freiwillige Zwei-Faktor-Authentifizierung in Zukunft ebenfalls zur obligatorischen SCA ausbauen. Der Dienst fordert seine Kunden daher seit einiger Zeit dazu auf, eine Mobilfunk- oder Festnetznummer im Konto zu hinterlegen. PayPal setzt zunächst auf das SMS-TAN-Verfahren – beim Festnetz kann das auch in Form einer automatischen Ansage erfolgen. Alternativ können Sie eine Authenticator-App nutzen.
Die PSD2 lässt Kreditinstituten die Möglichkeit, bestimmte Ausnahmen von der SCA zuzulassen. Auch das regelt jede Bank oder Sparkasse anders. Ähnlich wie beim Onlinebanking kann sie beispielsweise Zahlungen bis 30 Euro ausnehmen. Auch für regelmäßig wiederkehrende Zahlungen, etwa Abos, erlaubt die PSD2 nach einer einmaligen SCA Ausnahmen; möglich sind überdies Positivlisten mit vertrauenswürdigen Händlern. Die wichtigste, weil komplett im Hintergrund ablaufende Ausnahme ist die sogenannte Transaktionsrisikoanalyse: Unterschreitet Ihre Bank bestimmte Betrugsraten, darf sie sogar Zahlungen bis maximal 500 Euro von der SCA befreien.
Kriminelle werden versuchen, die anfängliche Unsicherheit durch die neuen Regeln auszunutzen. Technisch wird Kreditkartenbetrug im Internet für sie aufgrund der Zwei-Faktor-Authentifizierung zwar schwieriger. Allerdings könnten sie etwa versuchen, Kunden durch Phishing-Mails zur Preisgabe von Kreditkartendaten zu bewegen. Bleiben Sie daher misstrauisch und fragen im Zweifel lieber bei Ihrer Bank nach.
Wenn Sie unsicher sind, können Sie außerdem zu anderen Zahlungsmethoden greifen. Nicht unter die SCA fallen beispielsweise der Kauf auf Rechnung oder die Onlinelastschrift. Bei anderen Verfahren, etwa Sofortüberweisung, Giropay, Paydirekt sowie Apple Pay und Google Pay, hat sich nichts geändert.
Und die Händler?
Händler, die Kreditkartenzahlungen anbieten, mussten sich ebenfalls auf „3D-Secure“ vorbereiten. Cloudbasierte Shop-Plattformen und Marktplätze, die auch die Zahlungen abwickeln, haben ihre Payment-Schnittstellen meist schon angepasst. Auch die Payment Service Provider, also die Zahlungsabwickler, bieten ihren Händlerkunden entsprechende Werkzeuge an.
Fehlt die Anbindung an 3D-Secure (ab Version 2.x), kann es passieren, dass die kartenausgebende Bank des Kunden die Zahlung verweigert oder auf ein älteres, umständlicheres Verfahren umleitet. Das kann Kunden dazu bringen, den Kauf komplett abzubrechen. Für Händler hat es daher Vorteile, weitere Bezahlverfahren anzubieten – und ihre Kunden zu informieren, was sie beim Checkout erwartet.