3D Secure 2.0: Erstes erfolgreiches Processing der VR-Banken – Interview mit Harald Liedke, Card­Pro­cess

In 2019 treten die regulierenden technischen Standards der PSD2 in Kraft. Die damit verbundene Verstärkung der Kun­den­au­then­ti­fi­zie­rung beschäftigt IT-Unternehmen, Kre­dit­kar­ten­or­ga­ni­sa­tio­nen und Payment Service Provider. 3D Secure wird wohl ein wichtiger Baustein der geforderten Zwei-Faktor-Authentifizierung. Für die neuen Anforderungen muss allerdings nachgearbeitet werden. Nun ist EMV 3D Secure oder auch 3D Secure 2.0 bei ausgewählten Issuern und Händlern in der Implementierungsphase. Das neue Verfahren wird im April 2019 verpflichtend von den Kartenorganisationen eingeführt. Card­Pro­cess hat jetzt die ers­ten Au­then­ti­fi­zie­rungs- und Au­to­ri­sie­rungs­trans­ak­tio­nen er­folg­reich durch­ge­führt. Ha­rald Lied­ke, ver­ant­wort­lich für das Ge­schäfts­feld Is­suing Pro­ces­sing bei Card­Pro­cess, über Test­um­feld, Her­aus­for­de­run­gen und Er­geb­nis.

Herr Liedke, worin lagen die technischen Herausforderungen bei diesem Projekt?

Die Umsetzung der neuen PSD2-Anforderungen ist eine Aufgabe für alle am Bezahlvorgang beteiligten Player, vom Händler beziehungsweise der Akzeptanzstelle über die Kartenorganisation bis hin zum Betreiber des Autorisierungssystems im Issuing-Processing. Um sich der Funktionsfähigkeit der eigenen Systeme sicher zu sein, testet diese jeder Teilnehmer intern.

Die am Bezahlvorgang beteiligten Partner werden dabei durch Simulationssysteme ersetzt. Aus unseren internen Tests wissen wir, dass unsere Systeme in der Lage sind, 3D Secure 2.0 abzuwickeln.”

Wir können unsere Systeme aber nur dann produktiv in der Fläche einsetzen, wenn sichergestellt ist, dass die komplette Prozesskette vom Beginn bis zum Ende der Transaktion mit allen Schnittstellen funktioniert. Dieser Anspruch stellte die größte technische Herausforderung dar.

In welcher Testumgebung haben denn die Transaktionen stattgefunden?

Um die End-To-End-Funktionalität sicherzustellen, haben die beschriebenen Transaktionen nicht in einer Testumgebung stattgefunden, sondern sind produktiv über das gesamte Netzwerk gelaufen.

Welche Transaktion haben Sie generiert?

Am 9. November 2018 wurden zwei E-Commerce-Transaktionen mit kleinen Beträgen in zwei Währungen durchgeführt. Eine in Höhe von 8,29 GBP und eine weitere über 9,17 Euro. Bezahlt wurde mit der Mastercard-Kreditkarte einer Volksbank Raiffeisenbank.”

Ein Karteninhaber kaufte über die Website eines internationalen Online-Händlers ein. Nach erfolgreicher Authentifizierung auf Systemen unseres Partners in der Schweiz gelangte die Transaktion über Mastercard-Systeme in den USA zur CardProcess, bei der die Autorisierung stattfand. Das entsprechende Feedback an Händler und Karteninhaber erfolgte über die gleichen Schnittstellen. Diese internationale Transaktion konnte alle Schnittstellen bis zur Autorisierung erfolgreich überwinden.

Sowohl die Authentifizierung als auch die Autorisierung in den produktiven Systemen der CardProcess waren erfolgreich. Die beiden Einkäufe sind die ersten Transaktionen, die auf Basis des neuen Verfahrens „3D Secure 2.0“ End-to-End durchgeführt wurden.

Warum machen Sie das jetzt schon, obwohl es eigentlich erst ab September 2019 Pflicht wird?

CardProcess ist verantwortlich für das Issuing-Processing von Kreditkarten der genossenschaftlichen FinanzGruppe. Sicherheit genießt für uns und unsere Kunden höchste Priorität. Gemeinsam mit unseren Partnern haben wir frühzeitig die Relevanz von 3D Secure 2.0 für sichere Zahlungen im Internet erkannt und uns aktiv am Mastercard „Early Adopter Program“ beteiligt. Unser Ziel ist es daher, die sicherheitstechnischen Möglichkeiten auszuschöpfen und 3D Secure aktiv voranzutreiben.

Gibt es denn noch technische Hürden?

Der End-To-End-Test hat gezeigt, dass grundsätzlich alle technischen Hürden in den beteiligten Systemen überwunden sind und die 3D Secure 2.0 Verfahren bereitstehen.

Wir können nun ab März 2019 wie geplant die neuen 3D Secure 2.0 Verfahren für alle Karten im Issuing-Processing der CardProcess ausrollen.”

Technische Hürden können sich zum Beispiel durch noch nicht auf 3D Secure 2.0 umgestellte Schnittstellen, beispielsweise von Händlern, ergeben.

Muss der Online-Händler mit Kartenakzeptanz von sich aus für ein Upgrade aktiv werden?

Ja, jeder Onlineshop-Anbieter muss zunächst in seinen Systemen dafür sorgen, dass die geforderten Daten über den Payment Service Provider an den Issuer übermittelt werden. Nur wenn der Kartenherausgeber die erweiterten Daten erhält, kann er entscheiden, ob er von den Ausnahmen der RTS Gebrauch macht.

Ausnahmen? Die PDS2 sollte doch die Authentifizierung verschärfen …

Richtig, die PSD2 verlangt eine starke Authentifizierung, aber es gibt Ausnahmen von dieser Pflicht. Damit können beispielsweise Händler mit geringen Betrugsquoten Datenfreigaben ermöglichen, ohne den Bezahlvorgang, den seine Kunden gewöhnt sind, ändern zu müssen. Bei Abonnements macht beispielsweise eine Sonderreglung Sinn. Also sind in drei Fällen Ausnahmen von der Zwei-Faktor-Authentifizierung zulässig:
Erstens bei Zahlungen bis 30 Euro pro Transaktion. Dabei ist zu beachten, dass der kumulative Betrag von 100 Euro beziehungsweise die Anzahl von fünf aufeinanderfolgenden Transaktionen nicht überschritten werden darf.
Zweitens bei vertrauenswürdigen Begünstigten des Händlers (Whitelist).
Und drittens: Bei wiederkehrenden Zahlungen – gleicher Betrag und gleicher Empfänger, wenn die erste Bezahlung mit Zwei-Faktor-Authentifizierung erfolgte.

Werden mit diesen Ausnahmen die Sicherheitsaspekte wieder aufgeweicht?

Keinesfalls, weil sich die Datenbasis des 3D Secure-Verfahrens grundlegend geändert hat. Während in der Version 1.0 noch elf Datenfelder zur Risikobewertung ausgefüllt wurden, sind es in der Version 2.0 über hundert Datenfelder.”

Mit dieser Datengrundlage kann die Historie der Transaktionen besser abgeleitet und für eine möglichst realistische Risikobewertung genutzt werden. Der Spagat zwischen Minimierung von Risiko und Erhöhung von Convenience ist dabei gut gelungen.

Der Händler kann selbst Kriterien für Situationen festlegen, bei denen er eine Authentifizierung als nicht nötig einstuft, beispielsweise, wenn ihm der Kunde bekannt ist. Diese neue Funktion ist bekannt als One-Click-Shopping. Allerdings hat der Händler lediglich „die eigene Brille“ auf. Er kann beispielsweise nicht wissen, ob mit einer Karte eine halbe Stunde vor dem Einkauf in seinem Shop eine verdächtige Verfügung an anderer Stelle erfolgte. Demzufolge kann der Issuing-Processor die Bewertung des Händlers überstimmen und eine Authentifizierung verlangen.

Was passiert, wenn der Händler das Upgrade nicht hat?

… dann werden seine Kunden spätestens im Frühjahr bei Zahlung mit Kreditkarte immer mit einer zusätzlichen Eingabe für die Authentifizierung konfrontiert …”

und viele Onlineshopper zahlen bevorzugt mit der Kreditkarte. Wir informieren unsere E-Commerce-Händler in der nächsten Zeit über die Chancen des neuen Verfahrens und die verbesserten Sicherheitskriterien, damit sie das Potenzial von 3D Secure 2.0 kennlernen und erfolgreich nutzen können.

Herr Liedke, vielen Dank für das Interview!aj