Die Technische Sicherheitseinrichtung (TSE) für stationäre Kassensysteme wird zum 30. September Pflicht in ganz Deutschland. Ganz Deutschland? Jein, denn einige Bundesländer (siehe Kasten) haben angekündigt, die sogenannte Nichtbeanstandungsregelung corona-bedingt zu verlängern.
Dennoch müssen sich alle Betreiber von elektronischen und computergestützten Kassen jetzt sputen, denn die Fristverlängerung ist trügerisch. „Händler sollten nicht vergessen, dass sie weiterhin bis zum 30. September ein neues Kassensystem oder den Einbau einer TSE in ihr vorhandenes – sofern technisch möglich – verbindlich beauftragen müssen“, erklärt Thomas Stümmler, CEO von Vectron Systems in Münster, einem der führenden Kassenanbieter. „In Niedersachsen und Sachsen sogar bis zum 31. August. Der Kaufnachweis ist dem Finanzamt auf Verlangen vorzulegen und es drohen Bußgelder von 25.000 Euro bei Verstößen“, warnt Stümmler davor, die Nichtbeanstandungsregelung in einigen Bundesländern als Freibrief zu nehmen.
Update zu lange ausgesessen
Die Kassenbranche sei gut aufgestellt und biete seit Anfang des Jahres die passenden Lösungen, erklärt der Vectron-CEO rückblickend. Viele Unternehmen hätten sich jedoch abwartend verhalten und wohl gehofft, dass die Verbände weitere Verzögerungen des Termins erreichen werden. „Dadurch ist die Zeit für die Umstellung in weiten Teilen ungenutzt verstrichen und durch Corona ist die Umstellung natürlich noch weiter aus dem Tritt gekommen“, berichtet Thomas Stümmler, „jetzt wird es sportlich, noch alle Kassen rechtzeitig umzurüsten“.
Das 3D-Secure-Verfahren 2.X
Die Zunahme des Online-Handels und damit auch der digitalen Bezahlmöglichkeiten hat in den letzten Jahren zu verschärften Sicherheitskomponenten in diesem Bereich geführt. Die sogenannte Strong Costumer Authentification (SCA) verlangt jetzt von allen, die Online-Payment anbieten, bis zum 31. Dezember 2020 auf das neue Verfahren 3D-Secure 2.X umzustellen, eine Weiterentwicklung des bisherigen Standards. Horst Rüter, Payment-Spezialist beim EHI Retail Institute, weist daraufhin, dass davon größtenteils, aber nicht nur der Einkauf im Netz betroffen ist. Auch der Beerenstand vor dem Supermarkt, die Außengastronomie oder Tankstellen könnten dem neuen Standard unterliegen. Nämlich dann, wenn der Bezahlvorgang mit Karte, Smartphone oder ähnlichem online geschieht, also das genutzte Terminal keine direkte Verbindung zum stationären Kassensystem hat, sondern eine Online-Anbindung nutzt, worüber Daten transferiert werden.
Die Weiterentwicklung des 3-D-Secure-Verfahrens bringt aber auch einige positive Eigenschaften mit sich. In der 2.X-Version werden die Sicherheitsdaten schneller an die kartenausgebende Bank übermittelt. Dabei wird eine Analyse in Echtzeit durchgeführt, wie hoch das Betrugsrisiko sein könnte. Dadurch dürften etwa 95 Prozent aller Kreditkartenzahlungen schneller abgewickelt werden, schätzt EVO Payments International aus Köln. Nur bei den verbleibenden fünf Prozent würde eine zusätzliche Identifikation nötig werden.
Auch für die Zahlungen im Netz ergeben sich Vorteile. So werden Kunden im alten 3D-Secure 1-Verfahren zur Authentifizierung noch auf separate Webseiten umgeleitet, was vielfach zu Abbrüchen des Einkaufs führt. Bei der Version 2.X bleibt der Shopper auf der Homepage oder der App des Anbieters und authentifiziert sich dort selbst. Dies geschieht durch zwei von drei Faktoren oder Elementen aus den Kategorien Wissen, Besitz und Persönliches (Inhärenz). Zu Wissen zählen Dinge, die nur der Karteninhaber weiß, wie Passwort, PIN oder die Antwort auf eine Geheimfrage. Unter der Kategorie Besitz fallen das Smartphone oder andere Gegenstände beziehungsweise Geräte (Token, Badges, Karten), die der Karteninhaber zuvor verifiziert hat. Der dritte Faktor Persönliches, auch Inhärenz genannt, ist der wohl sicherste. Hier können Fingerabdruck, Gesichts-, Iris- oder Stimmerkennung sowie eine DNA-Signature hinterlegt werden.
Eigene White-List möglich
Auch weiterhin werden geringe Geldbeträge bis 30 Euro, corona-bedingt aktuell bis 50 Euro, ohne zweiten Nachweis angewiesen. Hier genügt die Karte. Das gleiche gilt zukünftig mit dem 3D-Secure 2.X-Verfahren für Transaktionen mit geringem Risiko oder auch bei regelmäßigen Zahlungen wie ein Netflix-Abo. Der Kunde kann darüber hinaus Online-Händler, denen er vertraut, auf eine sogenannte White-List setzen, wodurch der zweite Authentifizierungsfaktor entfällt. Diese Positivliste müssen die Kreditinstitute aber nicht anbieten und wenn doch, können sie Online-Händler selbst einer Bewertung unterziehen, sich also über die Kundeneinschätzung hinwegsetzen.