PaymentWissen zahlt sich aus

Starke Kundenauthentifizierung: Wissen, wer zahlt

Absicherung von ecom-Zahlungen durch 2-Faktor-Authentifizierung

Bei vielen Online- und Kartenzahlungen ist die starke Kundenauthentifizierung Pflicht – aber nicht bei allen. Wir verschaffen Ihnen den Überblick.

Starke Kundenauthentifizierung: Muss das sein?

Nützlich oder nervig – beim Thema starke Kundenauthentifizierung gehen die Meinungen auseinander. Bei Online-Banking und Online-Shopping ist die doppelte Absicherung von Transaktionen durch mindestens zwei unabhängige Faktoren heute meist vorgeschrieben.

Und auch in anderen Bereichen setzt sich die sogenannte 2-Faktor-Authentifizierung zunehmend durch. So ist laut einer Umfrage von Web.de bereits jeder zweite Deutsche mit entsprechenden Anmeldeverfahren auch außerhalb von digitalen Zahlvorgängen vertraut – beispielsweise beim Zugriff auf Email-Postfächer, Social Media-Accounts oder Kundenkonten.

Fakt ist: Die doppelte Zugriffskontrolle erhöht für alle Beteiligten die Sicherheit. Doch aus Kundensicht ist die starke Authentifizierung auch mit Abstrichen am Komfort verbunden. Zudem ist angesichts des komplexen Regelwerks oft nicht nachvollziehbar, wann, wo und warum zusätzliche Sicherheitskontrollen erfolgen. Im Interesse der Kundenzufriedenheit sollten Shop-Betreiber den Durchblick behalten. Dieser Blog-Beitrag beantwortet grundlegende Fragen und hilft dabei, den Zahlungsmix im Hinblick auf Sicherheit und Kundenkomfort zu optimieren.

SCA, 2FA, PSD2 3D Secure: Was ist was?

Ist 2FA dasselbe wie 3D-Secure? Und was hat PSD2 mit SCA zu tun? Wer die folgenden Kürzel kennt, kann mitreden.

  • 2015 hat die EU-Kommission ihre zweite Zahlungsdienste-Richtlinie erlassen. Die zweite Payment Services Directive, kurz PSD2 wurde bis 2021 in deutsches Recht umgesetzt.
  • Die PSD2 zielt darauf ab, den digitalen Zahlungsverkehr in Europa noch sicherer zu machen. Für viele Bezahlvorgänge ist deshalb EU-weit eine starke Kundenauthentifizierung, kurz SCA (Strong Customer Authentification) Pflicht, seit 2021 auch in Deutschland.
  • Die sogenannte 2-Faktor-Authentifizierung 2FA ist eine gesetzlich vorgesehene Methode zur starken Kundenauthentifizierung. Kunden müssen sich dabei in zwei Schritten anhand von mindestens zwei voneinander unabhängigen Faktoren identifizieren.
  • Mit 3D Secure haben führende Kreditkartenorganisationen bereits 2016 ein zweistufiges Anmeldeverfahren eingeführt, das weltweit unter verschiedenen Markennamen im Einsatz ist, z.B. als „Verified by Visa“ oder „Mastercard Identity Check“. 3D Secure wurde seitdem technisch weiterentwickelt und erfüllt die PSD2-Vorgaben.

Wie funktioniert die 2-Faktor-Authentifizierung?

Die starke Kundenauthentifizierung soll sicherstellen, dass hinter einer digitalen Zahlung tatsächlich der echte Karten- oder Konteninhaber steht. Im 2FA-Verfahren werden dazu dynamisch, also in zwei aufeinanderfolgenden Schritten, mindestens zwei der folgenden Faktoren überprüft:

  • Wissen: Der Kunde kennt die richtige Antwort. Zum Faktor Wissen zählen beispielsweise PIN, Passwörter oder persönliche Sicherheitsfragen.
  • Besitz: Der Kunde besitzt das richtige Objekt. Unter den Faktor Besitz fallen beispielsweise Smartphone, Smartwatch, Bank- oder Kreditkarte, Token (virtuelle Karte), TAN-Generator.
  • Inhärenz: Der Kunde hat die richtigen Merkmale. In diese Kategorie fallen unverwechselbare biometrische Kennzeichen wie z.B. Fingerabdruck, Iris- oder Gesichtsscan, Stimmerkennung oder biometrische Unterschrift.


Viele Kombinationen möglich: Anhand der Liste wird bereits deutlich, dass in der Praxis eine Vielzahl von 2FA-Varianten existiert. Wer beispielsweise per Wallet in der Smartwatch bezahlt, kann dabei biometrische Sicherheitsfunktionen wie Fingerprint oder Face ID nutzen. Wer eine physische Kreditkarte im Online-Shop einsetzt, muss die Transaktion in der Regel zusätzlich in der Banking-App freigeben. Andere Bezahldienste schicken einen Einmalcode per SMS an die hinterlegte Mobilfunknummer. Und um die Verwirrung komplett zu machen, wird längst nicht bei jeder Transaktion eine zusätzliche Authentifizierung verlangt.

Müssen alle Onlinezahlungen per 2-Faktor-Verfahren freigegeben werden?

Nein, eine gesetzliche Pflicht zur starken Kundenauthentifizierung besteht grundsätzlich nur für „vom Kunden initiierte“ elektronische Zahlungen innerhalb Europas. Für Online-Shops bedeutet das: Kartenzahlungen und Banküberweisungen von europäischen Kunden müssen in der Regel ein 2-Faktor-Prüfverfahren durchlaufen.

Keine Pflicht zur starken Authentifizierung besteht dagegen bei

  • Lastschriften: Lastschriftbasierte Bezahlverfahren gelten als „vom Händler initiiert“ und fallen damit nicht in den Anwendungsbereich.
  • MOTO-Transaktionen: Katalog- und Telefonbestellungen (Mail Order/Telephon Order) gelten nicht als elektronische Zahlungen und fallen ebenfalls nicht unter die SCA-Pflicht.
  • Abonnements oder wiederkehrende Transaktionen: In der Regel handelt es sich dabei um „vom Händler initiierte“, also von der SCA-Pflicht befreite Zahlungen.
  • B2B-Transaktionen: Geschäftliche Transaktionen sind von der SCA-Pflicht befreit, wenn Firmenkonten bzw. Firmenkreditkarten verwendet werden.
  • Interregionalen Transaktionen: Für Karten und Konten außerhalb der EU besteht keine SCA-Pflicht.


Weitere Ausnahmen: Um den digitalen Zahlungsverkehr nicht unnötig zu erschweren, hat der Gesetzgeber zudem Ausnahmen für geringe Zahlbeträge, sowie für Transaktionen mit geringem Betrugs- und Ausfallrisiko vorgesehen. Ob eine Ausnahmeregel zur Anwendung kommt, entscheidet allerdings nicht der Zahlungsempfänger, sondern die Bank des Karteninhabers. Kunden können zudem bei Ihrer Bank oder bei Bezahldiensten wie Paypal eine Liste vertrauenswürdiger Empfänger hinterlegen. Zahlungen an Online-Shops auf dieser „Whitelist“ werden dann ebenfalls ohne 2-Faktor-Authentifizierung freigegen.

Wie sorge ich für die PSD2-konforme Zahlungsabwicklung am Checkout?

Um die PSD2-konforme Abwicklung Ihres Zahlungsverkehrs inklusive aller Ausnahmen und Sonderregeln kümmern sich staatlich kontrollierte und zertifizierte Zahlungsdienstleister wie secupay. Wir führen beispielsweise Risikoanalyse in Echtzeit durch, um risikoarme Transaktionen zu ermitteln und unterstützen automatisch alle möglichen Befreiungen von der starken Kundenauthentifizierung. Als professioneller Partner bieten wir alle gängigen Bezahlverfahren aus einer Hand und ermöglichen Ihnen so einen individuell auf Risiko- und Serviceaspekte abgestimmten Zahlungsmix am Checkout.

Sie haben Fragen zur Umsetzung der starken Kundenauthentifizierung bei secupay?
Wissenswertes im Überblick
Kontaktformular
Persönliche Angaben
Kontaktwunsch
*Pflichtfeld
Bitte beachten Sie unsere Datenschutzhinweise
Einstellungen Cookies
suche-navigation
Wie können wir Ihnen helfen?
Die Darstellung der Website kann nicht in vollem Umfang abgebildet werden.

Um diese Seite vollumfänglich nutzen zu können, wechseln Sie Ihren Browser bitte zu Firefox, Edge oder Chrome.

Herzlichen Dank für Ihre Nachricht

Bei Fragen stehen wir Ihnen gerne telefonisch oder per E-Mail zur Verfügung.

Viele Grüße
Ihr secupay Team

E-Mail: [email protected] | Telefon: +49 (0) 35955 75 50 0
Montag - Freitag 9:00 bis 17:00 Uhr