Händler fordern Aufschub bei neuen Regeln für Kreditkartenzahlungen

Ab Januar müssen Verbraucher Onlinezahlungen per Kreditkarte eigentlich mit einem zusätzlichen Sicherheitsfaktor bestätigen. Nun könnte es eine Übergangsphase geben.

Wer online mit Kreditkarte zahlt, muss bald einen zweiten Sicherheitsfaktor vorweisen. Foto: dpa

Eigentlich sollen zum Jahreswechsel strengere Sicherheitsregeln für Kartenzahlungen im Onlinehandel gelten. Für die Kunden werden die Zahlungen dadurch etwas komplizierter, und die Händler und Banken müssen ihre IT entsprechend anpassen. Doch nun kommt erneut Gegenwehr aus dem Handel. Der Handelsverband HDE spricht sich für eine „Verlängerung der Umsetzungsfrist“ aus, und der Verband der Onlinehändler BEVH fordert eine Übergangsphase – sowie eine Klarstellung der Finanzaufsicht Bafin.

Die Aufseher hatten bereits Ende Juni gegenüber der Zahlungsbranche erklärt, dass sie ein langsames Hochfahren der neuen Regeln erwägen, um einen „Big Bang“ zu vermeiden. Konkret nannte die Bafin nach Beträgen „gestaffelte Termine“. Das geht aus einer Bafin-Präsentation hervor, die dem Handelsblatt vorliegt. Demnach solle die erweiterte Sicherheitsprüfung für Kreditkartenzahlungen – die sogenannte starke Kundenauthentifizierung – ab 15. Januar für Beträge oberhalb von 250 Euro gelten, ab 15. März dann für alle Zahlungen. Die Bafin wollte sich nicht dazu äußern, ob es definitiv dazu kommt.

Sebastian Maus, Partner der Beratungsfirma Roland Berger, erwartet zwar keine generelle Verschiebung des Starttermins, „aber ich rechne mit einer Übergangsphase“, sagt er. „Sollte es keine Übergangsphase geben, müssen viele, vor allem kleinere Händler mit Umsatzrückgängen rechnen.“ Zwar boomt im Zuge der Corona-Pandemie der Onlinehandel, doch viele Händler befürchten, dass Kunden wegen der neuen Regeln ihre Einkäufe abbrechen. Zudem dürfte es kleinen Händlern schwerer fallen, die komplexen neuen Vorgaben rechtzeitig umzusetzen.

Die starke Kundenauthentifizierung (Strong Customer Authentication, SCA) schreibt vor, dass Verbraucher bestimmte Onlinezahlungen mit einem zusätzlichen Sicherheitsfaktor bestätigen müssen – zum Beispiel mit einer TAN oder mit einem Fingerabdruck am Smartphone. Betroffen davon sind in erster Linie Zahlungen per Kreditkarte.

Neue Formen der Identitätsprüfung

Allein die Kreditkartennummer, das Ablaufdatum und die Prüfziffern der Kreditkarte reichen künftig nicht mehr, um eine Zahlung anzustoßen. Die großen Kreditkartenfirmen Mastercard und Visa bieten seit Längerem neue Anwendungen für die Identitätsprüfung, doch Banken und Händler müssen diese auch in ihre Prozesse einbauen. Letztlich durchgewinkt wird die Zahlung durch die jeweilige Bank, die die Kreditkarte herausgibt.

Hintergrund ist die EU-Zahlungsrichtlinie PSD2. Sie soll den Zahlungsverkehr sicherer machen und Betrug erschweren. Andere Teile der PSD2, etwa für den Online-Kontozugriff, greifen bereits seit September 2019. Auch die SCA für Kreditkartenzahlungen sollte ursprünglich vor gut einem Jahr in Kraft treten, der Start wurde aber EU-weit verschoben.

Schon damals hatte die Handelslobby auf eine spätere Einführung der neuen Regel gedrängt. Auch jetzt haben einige nationale Aufsichtsbehörden bereits eine Übergangsphase angekündigt, andere halten am Starttermin 1. Januar 2021 fest.

In Deutschland bezahlen Verbraucher ihre Onlineeinkäufe am liebsten per Rechnung. Gemessen am Umsatz kommt der Rechnungskauf auf einen Anteil von einem Drittel, wie das Handelsforschungsinstitut EHI ermittelt hat. Dahinter folgen der US-Bezahldienst Paypal und die Lastschrift mit je etwa 20 Prozent. Kreditkartenzahlungen kommen nur auf einen Umsatzanteil von knapp elf Prozent, gemessen an der Zahl der Transaktionen liegt er laut BEVH allerdings etwas höher. Zudem gibt es Branchen, die besonders viel Kreditkartenzahlungen annehmen. Dazu zählt zum Beispiel der Reise- und Touristiksektor, der durch die Coronakrise ohnehin stark getroffen ist.

Roland-Berger-Partner Maus geht für Deutschland davon aus, „dass selbst bei einer Übergangsfrist die Kreditkartenzahlungen zurückgehen werden. Gewinner sind Anbieter wie Klarna und in Deutschland auch Paypal.“ Bei Paypal greift die SCA, wenn Kunden eine Kreditkarte hinterlegt haben, die für die Zahlung genutzt wird. Haben Kunden ein Bankkonto hinterlegt, müssen sie unter Umständen eine Transaktion auch per SMS bestätigen, falls die Zahlung ungewöhnlich ist, zum Beispiel besonders hoch. Für Lastschrift-Zahlungen ergibt sich keine Änderung aus den neuen Regeln.

Wichtig für den Handel ist zudem, dass die Banken als Kreditkartenherausgeber bestimmte Ausnahmeregelungen akzeptieren. So können Verbraucher ihre Lieblingshändler auf eine Positivliste für vertrauenswürdige Zahlungsempfänger setzen. Außerdem können Banken und Zahlungsfirmen, die Kreditkartenzahlungen abwickeln, über eine Risikoanalyse bestimmte Händler als wenig anfällig für betrügerische Zahlungen einstufen und auf den zweiten Faktor verzichten.

Neue Betrugsmaschen absehbar

Doch auch die neuen Regeln werden keine hundertprozentige Sicherheit bringen. So rechnet Max Laemmle, Gründer des Berliner Risikomanagement-Start-ups Fraugster, damit, dass Betrüger schnell alternative Angriffspunkte ausnutzen. „Für Kriminelle wird Kartenbetrug im Onlinehandel durch die regulatorischen Vorgaben schwieriger, aber nicht unmöglich“, sagt Laemmle. „Eine naheliegende Variante ist, dass sie künftig gestohlene Karten aus Nicht-EU-Ländern verwenden, zum Beispiel aus den USA, denn Banken außerhalb der EU sind nicht von der neuen EU-Regulatorik betroffen und müssen deshalb keine starke Kundenauthentifizierung bei Onlinekäufen anwenden.“

Nach Ansicht von Jörg Reuter, Betrugsexperte beim Softwareunternehmen Fico, wird es für den Erfolg der neuen Regeln auch darauf ankommen, wie genau Karten herausgebende Banken die SCA gestalten. „Zu Beginn werden wohl viele Banken den zweiten Faktor in Form eines Codes per SMS an ihre Kunden schicken; das setzt jedoch voraus, dass sie die aktuelle Mobilfunknummer ihrer Kunden haben.“ Dass dies nicht selbstverständlich ist, hatte gerade eine Umfrage von Fico gezeigt. Darin gaben 37 Prozent der befragten Deutschen an, dass ihre Banken nicht ihre korrekte Mobilfunknummer kennen.

Zudem gilt die SMS bei IT-Experten als unsicher. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt schon seit Jahren vor Risiken. Ein möglicher Angriffspunkt: Betrüger könnten beim Mobilfunkanbieter des Bankkunden eine neue SIM-Karte anfordern und so an die SMS-TAN gelangen. „SMS waren nie als sicherer Kommunikationskanal gedacht und sollten bestenfalls in einer Übergangsphase für die Übermittlung eines zweiten Faktors verwendet werden“, sagt Reuter. „Sicherer sind TAN-Generatoren oder -Apps.“

Die deutschen Geldhäuser bieten für die SCA bei Online-Kreditkartenzahlungen unterschiedliche Verfahren an. Verwirrend dürfte für manche Kunden sein, dass dies zum Teil nicht dieselben Verfahren sind, die sie bereits zur Freigabe von Onlineüberweisungen nutzen. So setzen beispielsweise die Sparkassen teils auf eine spezielle App namens „S-ID-Check“ – hinter der das neue 3D-Secure-Verfahren von Mastercard und Visa steckt – und teils auf SMS-TAN mit zusätzlicher Sicherheitsfrage. Ähnlich die DKB, hier wurde das 3D-Secure-Verfahren jedoch in die Banking-App integriert.

Bei den Volks- und Raiffeisenbanken soll die VR-SecureGo-App ab kommendem Jahr sowohl für Online-Kreditkartenzahlungen als auch fürs Onlinebanking nutzbar sein. Auch bei der Comdirect soll die TAN-App für beide Einsatzbereiche funktionieren. Wichtig auch: Lassen sich die Kunden eine TAN per SMS schicken, entstehen bei manchen Instituten Gebühren. Bei der DKB werden beispielsweise sieben Cent fällig pro genutzte TAN, bei Comdirect sind es neun Cent.