PSD2 Zahlungsrichtlinie für Online-Shops mit WooCommerce

Es ist wieder an der Zeit, um die nächste EU-Richtlinie aufzugreifen und zu entwirren. Verwirrung liefern diese pragmatischen Bürokratie-Novellen schließlich schon genug. Auch in diesem Fall. Denn wenn Worthülsen wie PSD2, SCA und 2FA in nur einem Satz genannt werden, kann es nur um komplexe Finanz-Rettungsschirme für Mittelmeer-Anrainer gehen. Oder auch um Online-Handel, Datenschutz oder Zahlungsmittel. Oder wie in unserem Fall: Alles zusammen.

Damit hat die EU erneut ein rechtliches Ungetüm geschaffen, das insbesondere den Betreibern von Online-Shops so einige Kopfschmerzen bereiten dürfe. Denn am 14. September 2019 treten die neuen gesetzlichen Bestimmungen nach einer mehr oder minder kurzen Übergangsphase in Kraft. Es wird also höchste Zeit, sich mit dem Thema PSD2, SCA und 2FA auseinanderzusetzen, wenn du einen Online-Shop mit WooCommerce betreibst oder auf deiner Website beispielsweise Kreditkartenzahlungen einsetzt.

Was sind PSD2, SCA und 2FA?

Eigentlich ist das Ganze gar nicht so schwierig. PSD2 steht für „Payment Services Direktive two“ (oder einfach übersetzt: zweite Zahlungsrichtlinie) und ist der Name für eine staubtrockene neue EU-Richtlinie, die schon länger in nationalen Gesetzen umgesetzt ist und nun am 14.09.19 nach einer Übergangsfrist nun endgültig in Kraft tritt.

Ziel von PSD2 ist es, fortan im europäischen Wirtschaftsraum eine sog. starke Kundenauthentifizierung (Strong Customer Authentication – SCA) zu etablieren. Um das zu ermöglichen, muss ein technischer Authentifizierungsprozess im Ablauf von Finanztransaktionen um einige Schritte erweitert werden, die das Sicherheitsniveau einer insb. finanziellen Transaktion deutlich erhöhen.

Gerade für Kreditkartenzahlungen ist das eine wesentliche Voraussetzung für eine erhöhte Sicherheit, die vormals durch das einfache Abfangen von Identifikationsmerkmalen (z.B. Kreditkartennummer und Prüfziffer) ausgehebelt werden konnte. PSD2 fordert nun, dass sich Kunden über zwei unabhängige Faktoren ausweisen müssen, bevor eine Transaktion eingeleitet werden kann. Damit sind wir beim Begriff 2FA angelangt – die Zwei-Faktor-Authentifizierung.

Wer jetzt stutzig in seinen Bankunterlagen wühlt und dabei eine Vielzahl an iTan-Listen, mobileTan-Agreements, Chipkarten und Tan-Generatoren in seiner verstaubten Schublade findet, kommt zumindest kurz in’s Grübeln. Schließlich waren Banken in der Vergangenheit nicht untätig, wenn es um „innovative Sicherheitstechniken“ geht, mit denen Finanztransaktionen für die Zukunft abgesichert werden sollten.

Grundsätzlich erfüllen diese Verfahren die 2FA-Anforderungen im Kontext des SCA-PSD2-Wirrwarrs. Mit kleinen Ausnahmen: iTan-Listen für klassische Banküberweisungen und Kreditkartenzahlungen, die beispielsweise ohne eine 3D-Secure Authentifizierung wie von Mastercard agieren, fallen entsprechend unter die Neuregelungen von PSD2 und müssen zusätzlich abgesichert werden.

Wie funktioniert PSD2 mit 2FA?

Die 2-Faktor-Authentifizierung funktioniert auch im Rahmen der PSD2-Richtlinie nach einem nicht unbekannten Schema:

  • Schritt 1: Eine Login-Maske wird aufgerufen, über die eine reguläre Authentifizierung via Login/Password gestartet wird (z.B. der Login in das Online-Banking Konto)
  • Schritt 2: Bevor der Nutzer Zugriff auf das Konto bekommt und Transaktionen auslösen kann, wird der zweite Authentifizierungsfaktor abgefragt. In unserem Beispiel ist das ein im Online-Banking mit Telefonnummer hinterlegtes Smartphone, das über eine separate (idealerweise passwortgeschützte) App einen Code generiert, der für den Zugriff auf das Konto oder das Auslösen einer Transaktion (z.B. Überweisung) abgefragt und im nächsten Schritt einzugeben ist
  • Schritt 3: In diesem Schritt wird das erzeugte Sicherheitsmedium (i.d.R. ein Code/TAN oder eine einmalige Kennziffer) in einer dafür vorgesehenen Maske eingegeben und zur Authentifizierung der Transaktion genutzt.
Beispiel für 2FA in PSD2 mit WooCommerce

Auslösen einer Transaktion mit 2FA

Grundsätzlich ist das Verfahren also keine wirkliche Neuheit, bis auf den Unterscheid, dass alte TAN-Medien wie Tan-Listen oder veraltete Tan-Generatoren abgeschaltet werden. Ob das Smartphone dabei immer die beste Option ist, hängt sicherlich vom Anwender ab und bleibt abzuwarten. Zumindest ist das Ding bei den meisten Nutzern ja ohnehin immer mit dabei!

Doch zu den bisherigen Verfahren etabliert PSD2 ein paar feine Neuheiten. Denn ab sofort wird die 2FA-Methodik auf drei Kategorien eingegrenzt, aus denen die entsprechenden Faktoren stammen können. Im Klartext bedeutet das, dass die Authentifizierungsmethode mindestens zwei der folgenden Faktoren gewährleisten muss:

  • Wissen, bspw. Passwörter, PINs oder Sicherheitsfragen
  • Inhärenz, bspw. Fingerabdruck- oder Gesichtsscan
  • Besitz, bspw. EC-Karte oder Smartphone

Sobald das sichergestellt ist, sinkt das Risiko einer nicht-authorisierten Transaktion also fast gegen Null. Damit wärmt PSD2 alten Brei also nur neu auf und verschmiert ihn großflächig auf dem Teller, damit auch jeder etwas davon hat. Doch das stellt insbesondere Betreiber von Online-Shops von einige Herausforderungen, schließlich müssen sie den rechtlichen Rahmen in eine praxistaugliche Lösung umwandeln.

PSD2 und 2FA mit WooCommerce umsetzen

Die gute Nachricht vorweg: Als Shopbetreiber bist du zumindest nicht in der Pflicht, die Lösung technisch umzusetzen, wenn du die für betreffenden Zahlungsmethoden einen externen Zahlungsdienstleister wie PayPal, Paymill oder Stripe in Anspruch nimmst.

Im Umkehrschluss heißt das, dass dein Payment-Service für die korrekte Umsetzung der 2-Faktor-Authentifizierung im Rahmen der Payment Service Direktive 2 verantwortlich ist. Setzt du mit deiner WordPress-Installation auf einen WooCommerce-Shop, der singulär oder als Multisite aufgebaut ist, sind die Zahlungsmittel wie Lastschrift oder Kreditkartenzahlung i.d.R. via Plugin und API angebunden. Entsprechend kann die Umsetzung der Anforderungen nur gewährleistet werden, wenn auch die Schnittstellen seitens der Zahlungsanbieter entsprechend angepasst wird.

Es ist nicht auszuschließen, dass es in und nach der Übergangszeit zum 14.09.19 zu technischen Problemen und Einschränkungen in der Verfügbarkeit der APIs kommt. Entsprechend solltest du als WooCommerce-Nutzer folgende Tipps beachten:

  • Kontrolliere die verwendeten Plugins regelmäßig auf Updates sowie die gelieferten Update-Inhalte
  • Lege vor Plugins-Updates und Datenbank-Aktualisierungen zwingend frische DB-Backups an
  • Überwache die Anpassung der Allgemeinen Geschäftsbedingungen deiner Zahlungsanbieter und nehme ggf. Korrekturen in deinen eigenen AGB vor, falls hier relevante Änderungen auftreten
  • Passe deine statische Informationsseite „Zahlungsmethoden“ an, wenn sich an Verwendung deiner Schnittstellen etwas ändert (Hinweise auf das PSD2-Verfahren sind hier angebracht)
  • Aktualisiere deine Datenschutzerklärung falls nötig

WooCommerce sicher nutzen

Der Verkauf von Produkten im Internet ist immer mit etwas Risiko verbunden, wenn du auf ein großflächiges Angebot an unterschiedlichen Zahlungsmethoden setzt. Deshalb müssen nicht nur die Payment-Services sorgfältig ausgewählt werden, sondern auch das übrige Sicherheitsniveau muss entsprechend dimensioniert sein.

Wie du deine WordPress-Installation, deinen Webserver und das WooCommerce-Verzeichnis korrekt absicherst, vor Hackerangriffen schützt und das Risiko einer Kompromittierung deiner Zahlungsschnittstellen durch den gezielten Einsatz von Firewalls und zusätzlichen Sicherheits-Mechanismen verringerst, erfährst du in unserem umfangreichen WordPress Handbuch, das optimal auf Anfänger und weit fortgeschrittene Nutzer von WordPress und WooCommerce abgestimmt ist.