Du betreibst Onlineshops mit WordPress? Oder richtest diese für deine Kunden ein? Dann solltest du die „Zweite Europäische Zahlungsdienstrichtlinie“ kennen, besser bekannt als PSD2. Sie schreibt neue Verfahren zur Kundenauthentifizierung im Bezahlvorgang vor. Wir nennen die wichtigsten Handlungsempfehlungen und Plugins für WooCommerce. tl;dr – keine Panik.

In der Regel kommt die PSD2 für dich als ShopbesitzerIn vor allem dann zum Tragen, wenn deine Kunden per Kreditkarte bezahlen. Und selbst dann ist dein Dienstleister in der Pflicht. Du musst lediglich schauen, dass dieser bereits PSD2-konform arbeitet. Überprüfe sicherheitshalber auch alle anderen Bezahlvarianten, die du anbietest. Mehr dazu gleich.

Ähnliches gilt für Agenturen und Freelancer. Hier solltest du die Bezahl-Plugins bzw. die zugehörigen Anbieter überprüfen, die bei deinen Kunden zum Einsatz kommen: Haben sie ihre Prozesse auf PSD2 umgestellt? Sonst halte Ausschau nach alternativen Erweiterungen. Umfassende Informationen zu WooCommerce findest du in unserem 70+ Seiten starken E-Book WooCommerce für Profis.

Was ist die PSD2 aka SCA?

Ab dem 14. September 2019 sollten neue EU-Regeln für den Zahlungsverkehr gelten: die Zweite Europäische Zahlungsdienstrichtlinie, kurz PSD2. Diese schließt die Pflicht zur sicheren Kundenauthentifizierung bei Online-Banking-Angeboten mit ein. Auf Englisch: Strong Customer Authentication (SCA).

Die Einführung der neuen Bezahlregeln im Internet wurden mittlerweile zwar verschoben. „Vorübergehend“, wie es heißt. Denn die Behörden haben die Sorge, dass Unternehmen noch nicht ausreichend auf die Richtlinie vorbereitet sind. Und dennoch solltest du die Richtlinie schon jetzt umsetzen bzw. umsetzen lassen. Dazu später mehr.

Im Kern geht es darum, das Einkaufen im Internet sicherer zu machen. Eine Starke Kundenauthentifizierung – oder auch 2-Faktor-Authentifizierung (2FA) – ist dann gesetzlich vorgeschrieben. Viele Banken haben ihre Prozesse bereits umgestellt, auch deine Hausbank hat sich sicherlich bereits bei dir gemeldet.

Bei Onlineshops sind hiervon hauptsächlich Bezahlungen per Kreditkarte betroffen. Sofern diese nicht bereits über ein sicheres Verfahren wie 3-D Secure bzw. 3D-S laufen. Doch Vorsicht: Auch hier wird aufgrund der PSD2 ein erweitertes Verfahren benötigt, genannt 3D Secure 2.0, kurz 3DS2.

Bislang brauchten Shopping-Kunden oftmals lediglich ihre Kreditkartennummer und die zugehörige Prüfziffer, um einen Kauf abzuschließen. In Zukunft sind zusätzlich eine Transaktionsnummer (TAN), die auf das Handy bzw. Smartphone geschickt wird, und ein Passwort erforderlich. Du kennst dieses Verfahren sicherlich von deinem Online-Banking. Papierlisten mit Transaktionsnummern, kurz iTAN, sollen zukünftig nicht mehr erlaubt sein.

Was musst du wissen?

Du musst in Zukunft dafür Sorge tragen, dass bei Bezahlung via Kreditkarte oder über andere Dienste (PayPal, Stripe, Amazon Pay, Apple Pay etc.) ein sicheres Verfahren zum Einsatz kommt. Das musst du in der Regel jedoch nicht selbst implementieren, hier sind die jeweiligen Dienstleister gefragt. Es sei denn, du nutzt eine sehr exotische oder eigengestrickte Lösung. Diese solltest du von einer geeigneten Fachkanzlei für Onlinerecht auf die PSD2 hin überprüfen lassen.

Alle großen Anbieter arbeiten fieberhaft an der Umsetzung der neuen Richtlinie. Frage bei den Diensten nach, die du verwendest: Wie ist hier der Stand? Ist die Authentifizierung bereits PSD2-konform? Die neuen EU-Regeln gehen final an den Start, und dein Dienstleister ist noch nicht so weit? Dann solltest du prüfen, die Bezahlvariante so lange nicht anzubieten, bis nachgebessert wurde.

Auch bei der „Sofortüberweisung“ gibt es Änderungen. Das Verfahren erhält laut Anbieter Klarna einen zusätzlichen Authentifizierungsschritt, der von der jeweiligen Bank übernommen werden soll. Du solltest beobachten, welcher Bezahldienst sich in Zukunft wie gut bedienen lässt, und ob dies Auswirkungen auf deine Konversion im Shop hat.

Was sagt WooCommerce dazu?

Die Macher von WooCommerce widmen dem Thema einen eigenen Blogbeitrag. Laut ihrer Aussage setzen die meisten Bezahldienstleister auf 3D Secure 2, um den Anforderungen gerecht zu werden.

Generell müssten geeignete Dienste in Zukunft mindestens zwei der drei folgenden Schritte berücksichtigen, um eine „Strong Customer Authentication“ zu gewährleisten:

• Eine Informationen abfragen, die nur der Kunde kennt. Zum Beispiel sein Passwort oder die Antwort auf eine Sicherheitsfrage.
• Das Senden einer Authentifizierung an einen „vom Kunden gesteuerten Vorgang“. Dies kann laut WooCommerce ein Hardware-Token oder eine Push-Benachrichtigung auf dein Smartphone sein.
• Verwendung einer für den Kunden eindeutigen physischen Kennung. Beispielsweise ein Fingerabdruck oder eine Face-ID.

Du interessierst dich für die genauen Details? Wie konkret die Anforderungen aussehen, ob also etwa die Antwort auf eine Sicherheitsfrage ausreichend ist, ergeben die Verträge der EU. Siehe die aktuelle Fassung zu den „Regulierungsstandards für eine starke Kundenauthentifizierung“.

Je nach Stand der Technik – und welche Verfahren von Hackern am ehesten ausgenutzt werden – dürfte es hierbei mittel- und langfristig noch einige Anpassungen geben. Der Kampf für mehr Sicherheit gleicht immer auch einem Katz-und-Maus-Spiel.

Möglichkeiten der Integration

WooCommerce nennt einige Anbieter bzw. deren WordPress-Plugins, die jetzt schon „PSD2 ready“ sein sollen. Wir haben die Erweiterungen hier für dich verlinkt:

• Stripe WooCommerce Plugin.
• Amazon Pay für WooCommerce.
• Global Payments Gateway (für Kreditkartenzahlungen und hauptsächlich in UK aktiv).
• PayPal über das Braintree Payment Gateway für WooCommerce. Bei anderen PayPal-Plugins solltest du den Anbieter kontaktieren, ob PSD2 als Prozess bereits unterstützt wird.
• Sage Pay

Du nutzt andere Bezahlmethoden und -Netzwerke, als die hier genannten? Frage bei den jeweiligen EntwicklerInnen nach, ob und wann PSD2 implementiert wird. Ist dies nicht der Fall, dann solltest du dich nach einem alternativen Plugin bzw. Dienst umschauen.

Die Regeln der PSD2 gelten im Übrigen auch für Zahlungen im Abo-Modell. Beispielsweise wenn du mit dem Plugin WooCommerce Subscriptions arbeitest, um wiederkehrende Zahlungen zu ermöglichen.

Gilt die PSD2 bzw. SCA auch für Händler außerhalb der EU?

Es kommt nicht zwingend auf den Firmensitz der Händler an. Hier äußert sich WooCommerce ganz klar:

Die SCA gilt auch dann, wenn sich die erwerbende Bank oder der erwerbende Verarbeiter im Europäischen Wirtschaftsraum (EWR) befindet und das Zahlungsinstrument des Kunden im EWR ausgestellt wurde.

Der Europäische Wirtschaftsraum umfasst alle Mitgliedstaaten der Europäischen Union sowie Island, Liechtenstein und Norwegen. Ein Händler im Ausland muss also komplett mit heimischen Dienstleistern, Banken und Kunden arbeiten, damit er nicht von der PSD2 bzw. der Strong Customer Authentication betroffen ist. Unter anderem deswegen haben es die internationalen Bezahldienstleister so eilig, den Vorgaben zu entsprechen. Der europäische Ruf nach mehr Sicherheit im Netz hat globale Auswirkungen.

Bleibt die TAN per SMS erlaubt?

Zeitgleich zur PSD2 hat sich in Fachkreisen eine Seitendiskussion entwickelt, wie sicher die TAN per SMS (auch mTAN genannt) noch ist. Siehe den Beitrag Online-Banking und PSD2 auf heise.de. Denn in letzter Zeit häufen sich die Meldungen von Angriffsversuchen, bei denen das Handy bzw. Smartphone der Opfer übernommen wird. Beispielsweise über Phishing-Mails oder manipulierte Apps.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schreibt hierzu:

Das mTan-Verfahren ist zwar praktisch und benutzerfreundlich, birgt aber leider auch einige Risiken. Unter Umständen können Kriminelle die zur Authentifizierung verschickten SMS-Nachrichten abfangen oder umleiten … Das BSI empfiehlt daher, auf den Einsatz von mTAN-Verfahren zu verzichten.

Im Rahmen von PSD2 soll die mTAN bislang erlaubt bleiben. Die Banken suchen aber bereits nach Alternativen. Heise nennt hier etwa pushTAN, chipTAN, photoTAN, appTAN und signaturTAN.

Was soll die PSD2 bewirken?

Mit der Richtlinie soll nicht nur der (Online-) Zahlungsverkehr sicherer werden. Die Initiatoren hoffen auch darauf, dass der Wettbewerb im Markt stärker wird. Die Deutsche Bundesbank formuliert es in ihren Informationen zur PSD2 wie folgt:

Verbraucher müssen sich z.B. bei einem Einkauf im Internet nicht extra in das Online-Banking Ihres Kreditinstituts einloggen, sondern können die Überweisung über einen auf der Händlerseite angebotenen Zahlungsauslösedienst beauftragen.

Und weiter:

Die PSD2 regelt den Zugang dieser „dritten Zahlungsdienstleister“ auf die Zahlungskonten bei den kontoführenden Zahlungsdienstleistern. Zugang wird diesen Anbietern aber  nur gewährt, wenn Sie als Kontoinhaber dem explizit zustimmen.

Zukünftig wird es also sehr viel mehr Player auf dem Markt des Bezahlens im Netz geben. Die Banken und Kreditinstitute verlieren an Macht. Die Einbindung von „dritten Zahlungsdienstleistern“ – die jedoch unter der Aufsicht und Kontrolle der nationalen Aufsichtsbehörden stehen – ermöglicht die Entwicklung gänzlich neuer Services und Geschäftsideen. In Deutschland ist diese Aufsichtsbehörde die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin).

Ausnahmen zur PSD2

Verschiedene Medien und Banken berichten über Ausnahmefälle, bei denen Zahlungsdienstleister auf eine Starke Kundenauthentifizierung verzichten können. So wird eine Grenze von 30 Euro für „elektronische Fernzahlungsvorgänge“ genannt. Unterhalb dieser Schwelle sei nicht zwingend eine Zwei-Wege-Authentifizierung erforderlich. Weitere Informationen gibt es im Blogbeitrag PSD2 und SCA der Kanzlei Wilde Beuger Solmecke.

Die BaFin selbst nennt eine Schwelle von 50 Euro, allerdings für kontaktlose Kartenzahlungen. Bei Kartenzahlungen im Internet drückt sie sich schwammiger aus. Die Zahlungsdienstleister könnten hier eine sogenannte Transaktionsrisikoanalyse durchführen. Dazu sagt die Bundesanstalt:

Dabei wird jede eingehende Zahlung automatisch daraufhin untersucht, ob das Betrugsrisiko gering ist … Erwecken die dem Zahlungsdienstleister vorliegenden Zahlungsinformationen den Eindruck eines erhöhten Betrugsrisikos, muss er eine Starke Kundenauthentifizierung durchführen.

Indizien für ein erhöhtes Betrugsrisiko sollen zum Beispiel eine Abweichung von den üblichen Verhaltensmustern des Kunden sein. Oder eine Ähnlichkeit zu bekannten Betrugsmustern. Auch im B2B sind entsprechende Lockerungen vorgesehen. Und es soll eine Whitelist geben, bei der eine Bank ihre Unternehmenskunden als vertrauenswürdigen Zahlungsempfänger einstufen können.

Du als Shopbetreiber musst dich in der Regel jedoch nicht selbst um solche Grenzen kümmern, sofern ein Dienstleister zwischengeschaltet ist.

Weiterführende Quellen

Du willst noch mehr zur PSD2 aka SCA wissen? Hier passende Fachbeiträge für Anwender und EntwicklerInnen:

• Die Verordnung der EU-Kommission
• Der Blogpost von WooCommerce
• Technische Möglichkeiten der Zwei-Faktor-Authentisierung
• Zahlungsdienstrichtlinie PSD2: Übergangsfrist im E-Commerce gewährt
• Bundesbank: PSD2 für Verbraucher und Händler
• WebPunks: Neue EU-Richtlinie für Online-Shops
• PSD2 erklärt in 3 Minuten

Weitere Tipps zu WooCommerce findest du in unserem 70+ Seiten starken E-Book WooCommerce für Profis: Online-Shops mit WordPress. Es richtet sich an Freelancer, Agenturen, WP-Profis aber auch an Einsteiger.

Beitragsbild: William Iven