Starke Kundenauthentifizierung

Starke Kundenauthentifizierung

In Zeiten immer wieder vorkommender Cyber-Angriffe ist ein starkes Passwort für jeden schon heute unabdingbar, der im Internet unterwegs ist. Eine Zwei-Faktor-Authentifizierung ist so bereits bei einigen Anbietern etabliert. Höchstes Sicherheitsniveau muss umso mehr im Rahmen von Internetzahlungen gelten, damit sichergestellt ist, dass der, der die Zahlung ausführt, auch der ist, dem das Konto gehört. Im elektronischen Zahlungsverkehr laufen derzeit die Umstellungsarbeiten für eine Starke Authentifizierung bei Internetzahlungen, die spätestens zum 14.09.2019 abgeschlossen sein müssen. In der zweiten Zahlungsdiensterichtlinie (auch als PSD2 bekannt) werden hierzu verschiedene Rahmenbedingungen festgelegt.

Die Pflicht zur Starken Kundenauthentifizierung verlangt dabei mindestens zwei Elemente, ein einfaches Passwort reicht also nicht aus. Diese zwei Elemente müssen aus den drei Bereichen Wissen, Besitz oder Inhärenz kommen. Ein Element aus dem Bereich Wissen ist zum Beispiel das Passwort, die PIN, eine Geheimfrage. Als Beispiel für ein Element aus dem Bereich Besitz kann das Smartphone oder auch Wearables genannt werden. Ein Beispiel für ein Element aus dem Bereich der Inhärenz ist der Fingerabdruck, die Stimm- oder auch die Iriserkennung.

In der o.g. PSD2 ist nun genau geregelt, wann eine Starke Kundenauthentifizierung notwendig ist, beispielsweise beim Abruf von Kontoinformationen oder bei der Auslösung einer elektronischen Zahlung. Wenn eine Überweisung über das Onlinebanking ausgelöst wird oder mit der Kreditkarte im Internet bezahlt wird, wird eine dynamische TAN (die um Betrags- und Empfängerangaben erweitert wird) an den Kunden geschickt. Damit ist sichergestellt, dass diese TAN nur für den jeweiligen Überweisungsvorgang gilt. Wird an diesem irgendetwas verändert, dann ist auch die TAN ungültig. Aus diesem Grund gelten die iTAN-Listen, die zum Teil immer noch im Einsatz sind, ab 14.09.2019 nicht mehr für Internetzahlungen.

Es gibt aber auch einige Ausnahmen von der Starken Kundenauthentifizierung, zum Beispiel:

  • Kontaktlose Zahlungen bis zu einem Betrag von 50€ (hier wird als nächste Sicherheitsvorkehrung eine maximal mögliche Nutzung von 5 Zahlungen, alternativ eine betragliche Höchstgrenze von 150€ eingezogen. Wenn diese Grenzen erreicht sind, muss eine Starke Authentifizierung erfolgen);
  • Zugriff aus das Onlinekonto und Umsatzabfrage bis maximal 90 Tage (als Sicherheitsvorkehrung muss der Nutzer spätestens nach 90 Tagen eine Starke Authentifizierung durchführen);
  • Umbuchungen auf eigene Konten beim selben Institut.