Anzeige
STRATEGIE13. April 2017

3D Secure 2.0: Der neue Anlauf soll PSD2 & mobile Payment unterstützen … und besser bedienbar sein

Sven Mulder, VP Regional Sales Central & Südosteuropa, Russland bei CA TechnologiesCA Technologies

Online-Shopping und online zahlen ist heute völlig normal. Lag das Gesamttransaktionsvolumen 2016 bei 14 Millionen Euro, werden 2017 bereits 63 Millionen Euro und 2021 bis zu 745 Millionen Euro erwartet (Prognose von Statistika). Sven Mulder (Vice President Regional Sales CA Technologies) erklärt, warum ‘3D Secure 2.0’ nun das als Conversion-Killer 3DS (sozusagen 3D Secure 1.0) erfolgreich ablösen könne.

von Sven Mulder, CA Technologies

Auf dem Zahlungsmarkt ist entsprechend in den vergangen Jahren viel passiert: Mobile Payment, e-Wallet, Zahlungen über QR-Codes und Bluetooth ergänzen heute die „klassischen“ Möglichkeiten, online erworbene Waren zu bezahlen. In Deutschland wird allerdings am häufigsten per Rechnung oder PayPal bezahlt. Kreditkarten werden nach wie vor seltener gezückt, um den Bestellvorgang abzuschließen. Weniger als 10 Prozent der Deutschen nutzten 2016 die Zahlungsoption „Kreditkarte“.

Warum? Zum einen sicherlich, weil der Diebstahl von Kreditkartendaten in den letzten Jahren immer wieder die Runde machte. Zum anderen weil sie den Wunsch nach einem einfachen Online-Banking-Vorgang aus Kundensicht nur unzureichend erfüllen. Denn …

… die sichere Authentifizierung über 3D Secure (3DS) also über „Verified by Visa“ oder „Mastercard Secure Code“ gilt als sperrig und wenig nutzerfreundlich. Die Folge: Immer wieder brechen Käufer den Bezahlvorgang ab.”

Das schlägt sich nachteilig auf den Umsatz von Händlern und Kartenausstellern nieder und trägt auch nicht zur Imageaufbesserung der Karten bei.

Richtlinien zur Sicherheit im Zahlungsverkehr

Auch hinsichtlich der Sicherheitsregelungen hat sich in den letzten Jahren viel getan. Richtlinien und Anforderungen an Zahlungsdienstleister und Finanzinstitute gibt es einige; alle verfolgen jedoch dasselbe Ziel: Sie sollen den Betrug im Online-Zahlungsverkehr bekämpfen und das Vertrauen der Verbraucher in E-Commerce stärken. Seit Anfang 2017 ist beispielsweise PSD II (Payment Services Directive) in Kraft, die unter anderem eine strengere Kundenauthentifizierung verlangt. Diese von der Europäischen Bankenaufsichtsbehörde (EBA) aufgesetzte Richtlinie ist bindend für Finanzinstitute und Zahlungsdienstleister und soll über den europäischen Markt hinweg Transaktionen vereinfachen, Innovationen und Transparenz vorantreiben und gleichzeitig die Sicherheit von Online-Bezahlungen und Kunden-Accounts erhöhen.

3DS – veraltet und nutzerunfreundlich

Bisher war bei Kreditkartenzahlung im Internet das sogenannte 3DS-Verfahren im Einsatz. Hier hat sich der Kreditkarteninhaber einmalig bei „Verified by Visa“ bzw. „Mastercard Secure Code“ registriert, um sich bei Zahlungsanweisungen gegenüber der Bank, die die Kreditkarte ausgestellt hat, als Karteninhaber zu authentifizieren. Beim Bezahlvorgang öffnete sich ein Pop-Up-Fenster oder ein Inline-Frame, in dem der Karteninhaber sein Passwort eingeben musste. Damit sind auch gleich zwei der großen Nachteile der 3DS-Authentifizierung benannt: 1) Auf den neuen Kanälen wie Mobile Payment oder e-Wallet, die mehr und mehr für Zahlungen genutzt werden, funktionieren Pop-Ups und Frames nicht; eine sichere Authentifizierung über das 3DS-Protokoll kann damit nicht erfolgen. 2) Statische Passwörter, die standardmäßig für „Verified by Visa“ bzw. „MasterCard Secure Code“ genutzt werden, sind relativ leicht zu knacken, werden häufig von Karteninhabern vergessen und bieten nicht die Sicherheit, die Kunden sich wünschen und die in Zeiten steigender Raffinesse der Cyberkriminellen notwendig ist. Ein dritter Nachteil: 3DS hat Karteninhaber im Praxistest nur wenig überzeugt, da es dem Anspruch nach einfacher Zahlungsabwicklung nicht gerecht wird und die Abfrage zur Authentifizierung eher als lästig empfunden wird.

Autor Sven Mulder, CA Technologies
Sven Mulder ist seit Mai 2016 Vice President Regional Sales Central Europe, Südosteuropa und Russland bei CA Technologies. Sein Aufgabengebiet umfasst die Führung der Geschäfte in Deutschland, der Schweiz und Österreich sowie der CA Franchise-Unternehmen in Südosteuropa und Russland. Er will Unternehmen dabei unterstützen, die maximale Ausschöpfung ihrer Technologie-Investitionen und den Paradigmenwechsel der Application Economy zu erreichen.
Um der steigenden Anzahl von Online-Shoppern bedienfreundliche Bezahlvorgänge über alle Kanäle hinweg zu ermöglichen und CNP-Zahlungen (Card-not-present) sicherer zu machen, hat die EMVCo – ein Verbund der großen Kreditkartenaussteller wie Visa, MasterCard und American Express – das Sicherheitsverfahren 3DS überdacht und zukunftsfähig gemacht. Zudem erfüllt das neue Verfahren die PSD II-Forderung nach einer stärkeren Authentifizierung bei Online-Zahlungen.

Bühne frei für 3D Secure 2.0

Die Spezifikationen des erweiterten Sicherheitsverfahrens 3DS 2.0 wurden im Oktober 2016 vom EMVCo veröffentlicht und stehen seitdem zum Download zur Verfügung. 3DS 2.0 baut auf einen risikobasierten Authentifizierungsprozess und zieht zusätzliche Transaktionsdaten heran, auf deren Grundlage von Händlern und Kartenausstellern geprüft wird, ob die Zahlung vom Karteninhaber initiiert wurde und der Bezahlvorgang erlaubt oder abgebrochen wird. In die Überprüfung fließen auch weitere Faktoren wie die Zahlungsgewohnheiten oder der Fingerabdruck mit ein.

Durch die Abschaffung des statischen Passworts zu Gunsten von OTP (One-Time-Passwort) per SMS kommt 3DS 2.0 auch dem Kundenanspruch nach einfachem und sicherem Bezahlen nach und trägt zur Verbesserung der User Experience bei.”

3DS 2.0 unterstützt sowohl app- als auch browserbasierte Zahlungen von allen Endgeräten aus. Durch die intelligente Risikoanalyse, OTP und biometrische Authentifizierung (via Out-of-Band-Authentifizierung) schafft 3DS 2.0 einen lückenlosen und sicheren Zahlungsvorgang, wie es die PSD II-Richtlinie fordert. Händler können die verbesserte Authentifizierung zudem direkt in ihre Zahlungsumgebung einbetten und ihren Kunden damit ein angenehmes und über alle Kanäle hinweg konsistentes Einkaufserlebnis bieten.

Tipps für Kartenaussteller

1. Eine konsistente Customer Journey vor Augen haben

Nach Angaben von EMVCo wird 3DS 2.0 parallel zur Vorgängerversion laufen. Kartenaussteller, die aktuell an der Implementierung der ersten Version des Sicherheitsprotokolls arbeiten beziehungsweise dieses einsetzen, können davon ausgehen, dass 3DS (vorerst) auch weiterhin unterstützt wird. Allerdings: Wenn beide Authentifizierungssysteme synchron laufen, sind die Kartenaussteller gefordert, ihren Kunden eine konsistente Customer Journey und gleich hohe User Experiences für beide 3DS-Versionen zu liefern. Das kann gelingen, indem auch für Transaktionen, die über das 3DS-Protokoll laufen, ein risikobasierter Authentifizierungsprozess adaptiert wird und so eine schrittweise Annäherung an 3DS 2.0 erfolgt.

2. Risikobasierte Authentifikation mittels Analytics

3DS 2.0 Transaktionen basieren, wie bereits mehrfach erwähnt, auf einem risikobasierten Ansatz zur Überprüfung der Richtigkeit des Zahlvorgangs. In den Authentifizierungsprozess und die Entscheidung, ob eine Transaktion fortgesetzt oder abgebrochen wird, werden zusätzlich Daten (biometrische Daten, Zahlungsgewohnheiten) mit einbezogen. Hierfür sind Analysetools notwendig, die alle relevanten Daten abgleichen – am besten solche, die dem Karteninhaber einen detailgenauen Einblick und damit ein Höchstmaß an Kontrolle über den Authentifizierungsprozess geben.

3. Für jeden Bezahlvorgang ein neues Passwort

Kartenaussteller sollten sich bewusst sein, dass Kunden regelmäßig Passwörter, die nur selten – wie für Transaktionen über 3DS genutzt werden – vergessen. Das führt oft zu einem Abbruch des Bezahlvorgangs. Um das zu umgehen und gleichzeitig die Sicherheit der Zahlung zu verbessern, sollten Kartenaussteller beispielsweise OTP (One-Time-Passwort) per SMS einsetzen. Zudem ist es ratsam, die vorhanden Authentifizierungsmethoden für die unterschiedlichen Plattformen, über die Kunden bezahlen können – wie Mobile Apps oder Online-Banking-Portale – zu hinterfragen und, konform zu PSD II, strengere Authentifizierungsprozesse einzusetzen.

Der Zahlungsmarkt ist nicht nur in Bewegung, sondern auch hart umkämpft

Wollen Kreditkartenaussteller nicht weiter gegenüber Rechnungskauf und PayPal verlieren, müssen sie auf den Anspruch der Kunden nach einer höheren Nutzerfreundlichkeit reagieren.”

Neben der Einhaltung strenger Authentifizierungsprozesse, die die PSD II verlangt, trägt dies über kurz oder lang zu mehr Kundenvertrauen in die Zahlungsoption „Kreditkarte“ bei. Die Implementierung beziehungsweise ein Upgrade auf 3DS 2.0 wird für Kreditkartenausteller damit unumgänglich sein.aj

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert