Online-Kreditkartenbetrug ist bei Konferenzen und Kongressen seit Jahren immer wieder ein leidiges Thema. Damit soll laut Europäischer Bankenaufsicht dank eines neuen Sicherheitsverfahrens nun langsam Schluss sein. Ab 14. September 2019 gelten die neuen Standards der PSD2-Richtline, wozu auch das 3D Secure 2.0-Verfahren mit Zwei-Faktor-Authentifizierung gehört. Aber was genau ist das und worum sollten sich Veranstalter einer Konferenz bis dahin noch kümmern, wenn sie bei der Online-Registrierung weiterhin die Zahlung per Kreditkarte anbieten wollen?
Was bedeuten PSD2 und 3D Secure 2.0?
Hinter der recht kryptischen Abkürzung PSD2 verbirgt sich die EU-Richtlinie für Zahlungsdienste und -dienstleister (Payment Services Directive 2).
Streng genommen ist deren Umsetzung bereits seit Anfang Januar 2018 im Gange – zumindest, was die erste Stufe betrifft. Seither gilt unter anderem das so genannte Surcharging-Verbot, das verhindert, dass Extra-Gebühren für die Zahlung mit Karte, per Überweisung oder Lastschrift erhoben werden.
Ab dem 14. September 2019 folgt die zweite Stufe, die den Bezahlvorgang verändern wird. Bisher lief dieser so ab, dass beim Zahlen im Internet entweder nur die Kreditkartendaten verlangt wurden, oder zusätzlich noch das ursprüngliche 3D Secure-Verfahren zum Einsatz kam. Letzteres forderte den Käufer zur Eingabe eines Codes auf, um sicherzustellen, dass die Person rechtmäßig in den Besitz der verwendeten Kreditkartendaten gelangt war.
Eine solche Überprüfung macht auch bei Konferenzen Sinn, etwa wenn ein Ticketkäufer nicht mit seiner eigenen Kreditkarte gezahlt, sondern eine Firmenkreditkarte verwendet hat. Der Name auf der Karte und der im Anmeldeformular stimmen also nicht überein, was auf einen Betrugsversuch hindeuten könnte. Ist der Käufer anschließend nicht in der Lage, sich zu authentifizieren, weil er zum Beispiel keinen Zugriff auf das Smartphone hat, an das die TAN gesendet wurde, wird der Vorgang abgebrochen. Wurde hingegen das Smartphone einer Kartenbesitzerin zusammen mit ihrer Karte gestohlen, dann liefert auch das keinen ausreichenden Schutz.
Das neue 3D Secure 2.0-Verfahren verfeinert das Vorgehen deshalb noch ein wenig. Um sicherzugehen, dass es sich um keinen Betrugsfall handelt, verlangt der Herausgeber der Kreditkarte bei der Transaktion künftig zwei der folgenden Merkmale vom Käufer (2-Faktor-Authentifizierung):
- Wissen: etwas, das die Person kennt (z.B. einmaliges Passwort oder PIN)
- Besitz: ein Gegenstand, den die Person bei sich trägt (z.B. Smartphone)
- Inhärenz: eine persönliche Eigenschaft der Person, die eindeutig mit ihr verknüpft ist (biometrische Daten wie Fingerabdruck oder Gesichtserkennung)
In Zukunft werden also zwei dieser drei Merkmale miteinander verknüpft, um einen Bezahlvorgang abzuschließen. Nur ein statisches Passwort abzufragen reicht fortan für die Authentifizierung nicht mehr aus. Kreditkartenbesitzer werden derzeit von Banken dazu aufgefordert, ihre Karte für Mastercard Identity Check oder Visa Secure zu registrieren und festzulegen, ob sie künftig Face ID, eine PIN oder die Verifizierung per Fingerabdruck beim Online-Bezahlen einsetzen möchten.
Die Alternative: Risikoanalyse
Die Zwei-Faktor-Authentifizierung ist je nach Zahlungsdienstleister nicht zwingend erforderlich. Computop etwa verzichtet in 95% der Transaktionen komplett darauf. Stattdessen läuft im Hintergrund eine komplexe Risikobewertung ab, bei der die Daten der Ticketkäuferin an den Issuer (= die Bank, die eine Kreditkarte herausgibt) übermittelt werden. Das können etwa die Kosten des Tickets, die IP-Adresse, die Browsersprache, aber auch weitere Details wie die angegebene Rechnungs- und Lieferadresse sein. Technisch ermöglicht wird das durch den Zahlungsdienstleister selbst, der mit der Website verbunden ist, über die sich Konferenzbesucher registrieren, und dafür sorgt, dass die Daten an den Issuer übertragen werden. Dort angekommen, wertet dieser sie aus und kommt entweder zu der Einschätzung, dass am anderen Ende die echte Inhaberin der Kreditkarte sitzt, oder sich jemand die Konferenzteilnahme auf weniger legalem Weg erschleichen will. Um das abschließend zu klären, wird die Person im zweiten Fall dazu aufgefordert, ihre Identität mittels Zwei-Faktor-Authentifizierung zu bestätigen. Kann sie das nicht, wird die Transaktion abgelehnt und das Ticket nicht verkauft. Je mehr Details zum Käufer der Issuer erhält, desto präziser kann er einschätzen, ob ein möglicher Betrugsfall vorliegt oder alles mit rechten Dingen zugeht.
Was muss für die Übermittlung der Daten meiner Konferenz getan werden?
Um Ihre Konferenz auf das neue 3D Secure 2.0-Verfahren vorzubereiten, müssen ein paar Anpassungen auf technischer Seite vorgenommen werden. Damit hat der Veranstalter einer Konferenz in der Regel nichts zu tun, denn das erledigt der Issuer gemeinsam mit dem Zahlungsdienstleister (Payment Service Provider).
Ein paar Aufgaben im Hinblick auf Ihre Konferenz bleiben für Sie dann allerdings doch noch übrig. Zunächst müssen Sie sich darüber informieren, ob Ihr bisheriger Zahlungsdienstleister das neue Verfahren überhaupt schon unterstützt. Ist das der Fall, sollten Sie klären, welche Daten dieser im Einzelnen für die Weiterleitung an den Issuer benötigt. Das ist vor allem bei Dienstleistern wichtig, die mit der oben beschriebenen Risikoanalyse arbeiten. Die zu übermittelnden Daten müssen sich mit den Angaben decken, die bei der Registrierung zur Konferenz im Anmeldeformular abgefragt werden. Trifft das nicht zu, müssen Sie Ihr Formular dahingehend anpassen. Deadline muss dann nicht unbedingt der 14. September sein. Wichtig ist nur, dass alles bis zum Start des Anmeldezeitraums Ihrer Konferenz funktioniert.
Je nachdem, wie Ihre Registrierung an die Zahlungsschnittstelle angebunden ist, können sich noch weitere Besonderheiten und Aufgaben ergeben. Vollständig klären lässt sich das aber nur mit dem Zahlungsdienstleister selbst, da das immer von dessen Spezifikationen abhängig ist.
Und auch wenn sich das vermeintlich sowieso nie jemand durchliest, müssen Sie sowohl Ihre AGBs als auch Ihre Erklärung zum Datenschutz anpassen. Dort soll nachvollziehbar sein, welche Daten in welchem Umfang an wen übermittelt werden. Darüber hinaus ist es hilfreich, vor dem Start der Registrierung auf der Konferenz-Website über das verwendete Verfahren zu informieren, um Abbrüche beim Ticketkauf zu vermeiden, weil vielleicht noch nicht alle die 2-Faktor-Authentifizierung für ihre Kreditkarte eingerichtet haben.
Ich arbeite mit einer Konferenz-Management-Software. Worauf muss ich achten?
Die wenigste Arbeit kommt als Veranstalter auf Sie zu, wenn der Anbieter der Konferenz-Management-Software im Zuge der Teilnehmerregistrierung die Tickets für Sie in Ihrem Namen und auf Ihre Rechnung verkauft. Dafür nutzt der Anbieter eigene Zahlungsverträge, weshalb Sie sich keine Gedanken über den Abschluss zusätzlicher Verträge mehr machen müssen.
Ist 3D Secure 2.0 wirklich sicherer?
3D Secure 2.0 kann Betrugsversuche schneller als solche identifizieren und anschließende Chargebacks vermeiden. Schaltete sich bisher irgendwann der rechtmäßige Besitzer der Kreditkarte ein und stornierte eine betrügerische Buchung, musste zumeist der Veranstalter für die Kosten der Rückbuchung aufkommen. PSD2 greift hier schon vor und kann dubiose Kaufvorgänge rechtzeitig unterbinden. Manchmal konnte es mit dem bisherigen 3D Secure 1.0-Verfahren zudem vorkommen, dass der Kauf eines Tickets fälschlicherweise abgelehnt wurde. Auch das soll in Zukunft vermieden werden. Zu behaupten, dass es ab September gar keinen Kreditkartenbetrug bei Konferenzen mehr geben wird, wäre trotz der neuen Methode vermutlich ein bisschen zu optimistisch gedacht. Problemresistenter wird der Bezahlvorgang aber definitiv, wovon nicht zuletzt Veranstalter der Konferenz profitieren.