Das 3-D-Secure–Verfahren wird weiterentwickelt

Mit Sicherheit im Web verkaufen

Die neue EU-Zahlungsdienstleisterrichtlinie PSD2 kommt. Hier finden Sie die wichtigsten Informationen auf einen Blick:

Das 3-D Secure–Verfahren wird weiterentwickelt.

Das weltweit standardisierte 3-D Secure-Protokoll (3DS) bietet Händlern und Verbrauchern zusätzliche Sicherheit bei der Authentifizierung von Kreditkartentransaktionen. Onlinekäufer verifizieren sich gegenüber ihrer kartenausgebenden Bank (Issuer) als rechtmäßiger Karteninhaber. 3-D Secure verlangt hierzu als zusätzliches Sicherheits-Feature die Eingabe eines Codes durch den Käufer, um den Bestellvorgang erfolgreich abzuschließen. Die Haftung für betrügerische Transaktionen, die trotz Einsatz des Verfahrens erfolgreich ausgeführt wurden, wird bei 3-D Secure von den kartenausgebenden Banken übernommen. Voraussetzung für den Einsatz des Verfahrens ist, dass 3-D Secure sowohl von der kartenausgebenden Bank des Käufers sowie von dem betreffenden Onlineshop unterstützt wird.

Welche Vorteile hat 3-D Secure 2.0 für den Händler?

  • Der Zahlungsvorgang wird reibungslos (Frictionless Flow)
  • Weniger Kartenbetrug durch Betrugserkennungsmechanismen
  • Die Anzahl der Zahlungsabbrüche sinkt dank risikobasierter Authentifizierung
  • Die Conversion Rate wird gesteigert 

Wie unterscheidet sich 3-D Secure 2.0 von dem herkömmlichen Verfahren?

3-D Secure 2.0 stellt eine Weiterentwicklung des herkömmlichen 3-D-Secure-Protokolls dar. Die schnellere automatisierte Übermittlung ermöglicht den Issuern, die bisher statische Code-Abfrage durch eine in Echtzeit ablaufende Risikoanalyse zu ersetzen. Die Entscheidung, ob in Einzelfällen die zusätzliche Abfrage eines Sicherheitscodes erforderlich ist, basiert somit künftig auf den übermittelten Transaktionsdaten. Eine Analyse-Software errechnet für jede Transaktion ein Scoring, basierend auf Datensignalen, die auf mögliche Betrugsversuche hinweisen. Wird eine Transaktion als risikoarm eingestuft, erfolgt eine Freigabe, ohne dass der Käufer um eine zusätzliche Code-Eingabe gebeten wird. Besteht hingegen eine erhöhte Betrugswahrscheinlichkeit (zutreffend für maximal 5 Prozent aller Kreditkartentransaktionen), wird der Käufer mittels SMS oder E-Mail zur erneuten Bestätigung seiner Identität aufgefordert.

Weshalb wird 3-D Secure 2.0 eingeführt?

Erklärtes Ziel von 3-D Secure 2.0 ist es, die von Händlern und Käufern vielfach kritisierten Schwächen des herkömmlichen Verfahrens zu beheben und den Anforderungen an die Strong Customer Authentication (SCA) gerecht zu werden, welche ab dem 14. September 2019 für elektronische Zahlungsverfahren rechtlich verpflichtend wird. Zusätzlich verspricht die individuelle, datenbasierte Risikobewertung jeder Transaktion einen noch besseren Schutz vor Betrug.

Muss eine Umstellung auf 3DS 2.0 zwingend erfolgen? Welche Fristen gilt es zu beachten?

Weder von Seiten des verantwortlichen Branchenverbands EMVCo noch seitens der Kreditkartengesellschaften wurde eine verbindliche Frist zur Integration des neuen Standards in Onlineshops gesetzt. Fakt ist: 3DS 2.0 selbst stellt keine gesetzlich vorgeschriebene Norm dar. Maßgeblich für Händler ist hingegen die Frage, ob im eigenen Onlineshop bis zum 14. September 2019 ein Verfahren zur Abwicklung von Kreditkartentransaktionen bereitgestellt werden kann, welches den Anforderungen an eine starke Kundenauthentifizierung (Strong Customer Authentication, Abk. SCA) gerecht wird.

Als „Minimallösung“ steht hierfür das bisherige 3DS-1.0-Verfahren bereit, welches in seiner grundlegenden Funktionsweise den Anforderungen an SCA genügt, jedoch zahlreiche, undurchsichtige Ausnahmeregelungen enthält, unter denen eine Abfrage des 3DS-Codes nicht zwingend erfolgen muss. Mit einer weiteren Verwendung von 3DS 1.0 laufen Händler daher Gefahr, bei einer fehlerhaften Anwendung der Ausnahmeregelungen gegen die Auflagen zur starken Kundenauthentifizierung zu verstoßen. Die von der Kreditkartenbranche präferierte, in jeder Hinsicht SCA-konforme Lösung lautet daher 3DS 2.0. Händler, die die bisherige 3DS-Version 1.0 integriert haben, stehen dennoch vor keinem akuten Handlungsbedarf. Auch nach September 2019 wird 3DS 1.0 auf unbestimmte Zeit standardmäßig als Fallback-Option herangezogen falls das neue 3DS-2.0-Verfahren noch nicht vom Händler bzw. Issuer unterstützt wird.

EVO Payments wird frühzeitig auf Partner und Kunden zugehen, sobald ein Handlungsbedarf besteht. Wenn Sie keine Benachrichtigung von EVO Payments bekommen, besteht für Ihren Online-Shop auch kein Handlungsbedarf.

Wie funktioniert die starke Kundenauthentifizierung?

Die starke Kundenauthentifizierung, auch "strong customer authentication" genannt, sichert elektronische Zahlungsvorgänge ab. Dabei müssen mindestens zwei der folgenden drei Elemente authentifiziert werden:

Wissen

Dazu gehören die PIN, ein Passwort sowie persönliche Sicherheitsfragen, deren Antworten nur dem Kunden bekannt sind.

Besitz

Hierbei handelt es sich um Gegenstände, die im ausschließlichen Besitz des Kunden sind wie Smartphone, Token, Smart Watch, etc.

Inhärenz

Hier geht es um einmalige Faktoren des Kunden wie biometrische Merkmale, Stimme, Verhaltensmuster, Face-ID, etc.