Im heutigen Artikel nehmen wir Sie mit auf eine Zeitreise zu einem Urgestein der Online-Zahlungssicherheit: Denn die Geschichte des 3D Secure-Verfahrens ist älter als die des Smartphones und reicht bis ins letzte Jahrtausend zurück. Und wir verfolgen seine Entwicklung bis heute – in die Zeiten von SCA und PSD2: Garantiert 3D Secure mobile, sichere Online-Einkäufe und ein reibungsloses Kundenerlebnis? Los geht’s!
3D Secure wurde 1999 entwickelt – im Jahr des gefürchteten Millenium-Bugs (der nicht eintrat) und des AOL-Werbespots „Ich bin drin“ mit Boris Becker (der heute lieber draußen wäre). Das zusätzliche Sicherheitsprotokoll für Online-Kreditkartenzahlungen entstand also lange bevor wir Siri kennenlernten und Alexa unsere Einkäufe erledigte. Oder In-App-Käufe zu einem 37 Milliarden Dollar schweren Business wurden.
Seit seiner Einführung ist 3D Secure unter verschiedenen Namen bekannt geworden: Sie kennen es beispielsweise unter Mastercard SecureCode, Verified by Visa (VBV), American Express SafeKey, Discover ProtectBuy, Secure Online Transactions (SOT), EMV 3-D Secure und Mastercard Identity Check. Das ursprüngliche 3D Secure[1] konnte jedoch nicht alle Arten von E-Commerce-Transaktionen abdecken. Wie auch – es gab 1999 ja weder mobile noch sprachgesteuerte Transaktionen.
3D Secure steht für "Three Domain Secure" und bezieht sich auf die drei Parteien, die an einer sicheren Zahlung beteiligt sind: Den Issuer (die kreditkartenausgebende Bank), den Acquirer (die Bank des Händlers) und das Netzwerk, das die Transaktion ausführt. Entwickelt und verbreitet wurde 3D Secure von Visa („Verfied by Visa“), ehe weitere globale Netzwerke den Standard übernahmen, um ebenfalls für mehr Sicherheit und Authentifizierung im wachsenden E-Commerce-Bereich zu sorgen.
Seine erste Version – 3D Secure 1.0 – basierte auf statischen Passwörtern, Popups und einer notwendigen Benutzerregistrierung, um den Karteninhaber zu verifizieren und zu authentifizieren. Ein neuer Prozess, der selbst für legitime Kunden ein Hindernis bedeutete und mit Frustration und Kaufabbrüchen einherging. Dass Kreditinstitute und Banken ihre Strategien zur Betrugsbekämpfung zunehmend weiter verstärkten, vergrößerte zeitgleich die Rate irrtümlicher Ablehnungen – und führte (wenig überraschend) zu einer noch höheren Zahl enttäuschter Kunden.
Kartenbetrüger hingegen ließen sich nicht so schnell abschrecken: Verfügten sie über ausreichende Informationen (und die entsprechende Geduld), gelang es ihnen oft genug, sich als Kunde auszugeben und die 3D Secure-Registrierung abzuschließen.
Heute, mehr als 20 Jahre (und 29 Modelle des iPhones[2]) später, hat sich nicht nur das Internet mehrfach grundlegend geändert. Mit dem Aufstieg der API-Wirtschaft (Amazon, Goolge, Uber), neuen, unregulierten Business Modellen (Stichwort: FinTech) stieg auch die Zahl an Online-Zahlungsbetrügen rasant.
Als Reaktion auf diese Entwicklungen wurden mit der zweiten Zahlungsdiensterichtline (Payment Security Directive 2 – kurz PSD2) eine Reihe von Gesetzen und Vorschriften für Zahlungsdienste in der EU und dem EWR verabschiedet. Oberstes Ziel: die Förderung sicherer Online-Zahlungen. Das Mittel: die SCA „Strong Customer Authentication“ oder Starke Kundenauthentifizierung, die eine Mehrfaktoren-Authentifizierung für initiierte Zahlungen erfordert.
Wie die SCA genau funktioniert, sehen Sie im kompakten Erklärvideo in unserem Blog-Artikel zum Thema:„SCA: Mehr Sicherheit auf Kosten der Benutzerfreundlichkeit?“.
Während Zahlungsanbieter und Banken gesetzlich verpflichtet sind, die mit der PSD2 verbunden Regulierungen umzusetzen, können diese weder Karteninhaber noch Händler umgehen. Wobei auch hierbei gilt: keine Regel ohne Ausnahme! Vertrauenswürdige Händler (via Whitelisting), Abonnements und wiederkehrende Zahlungen, Online-Zahlungen unter 30 € sowie Zahlungen mit geringem Risiko sind von der SCA ausgenommen. Hinzu kommen Ausnahmen für B2B-Transaktionen über Firmenkonten (wie beispielsweise den AirPlus Company Account) sowie für Regelungen, die Händler auf Basis einer Transaction Risk Analysis (TRA) mit ihrer Bank vereinbaren können – jedoch dann das Haftungsrisiko übernehmen[3] müssen.
Kehren wir zurück zu den Popup-Boxen von 3DS: Daten aus Q1 2019 zeigen, dass 22 % der Millionen von Zahlungen, die an 3DS gesendet wurden – verloren gingen. Zudem betrug die durchschnittliche Authentifizierungszeit 37 Sekunden. Gefühlt eine Ewigkeit in der heutigen Online-Welt, oder? Und 91 % der Zahlungen verursachten Reibungsverluste, da sie mehr als 5 Sekunden dauerten[4]. Seit 2021 wird 3D Secure jedoch Schritt für Schritt von den Kartensystem außer Betrieb genommen. Sein Nachfolger: 3D Secure 2.0 verspricht in allen Punkten Besserung. Und vor allem: die Popups sind Geschichte. Oder mochten Sie die etwa?
Keine lästigen Anforderungen an den Benutzer, keine Popups und eine neue, risikobasierte Authentifizierung: 3D Secure in der zweiten Generation setzt stattdessen auf Einmalpasswörter (One-Time-Passwords, OTPs) und auf dynamische Authentifizierung durch biometrische oder tokenbasierte Methoden. Und Sie müssen Ihre Kreditkarte auch nicht mehr bei Mastercard oder Visa registrieren lassen, um die Vorteile des Sicherheitsprotokoll zu nutzen.
Händler bietet 3DS2 einen weiteren Vorteil: Sie können weitaus mehr Daten an ihren Acquirer senden: Informationen wie IP-Adresse, Lieferadresse, Geräteinformationen und weitere Kundeninformationen verbessern sowohl die Risikobewertung als auch die Authentifizierungsentscheidung durch den Emittenten. Für reibungslosere Freigaben von Transaktionen ohne die manuelle Eingabe des Karteninhabers – ein sogenannter Frictionless Flow für vertrauenswürdige Kunden.
In Zukunft wird 3D Secure 2 mit weiteren Funktionen für eine noch bessere Usability sorgen. Die neuesten Versionen 3DS 2.1 und 2.2 erfüllen zudem die Anforderungen der SCA-Konformität und den Käuferschutz. Doch auch wenn die Zahl der 3D Secure 2.2 Transaktionen bereits stiegt, scheint der Stein der Weisen für dieses Protokoll noch nicht gefunden. Denn insbesondere Händler beklagen die verwirrend komplizierte Implementierung rund um 3DS2. Und die hohe Rate fehlgeschlagener Autorisierungen[5] bei 3DS2-Transaktionen spricht ebenfalls dafür, dass das neue Sicherheitsprotokoll noch nicht all seine sein Versprechen erfüllen kann.
Um dieses 3DS-Ziel mit der richtigen Mischung aus erfolgreich implementierten Sicherheitsmaßnahmen zu erreichen, gleichzeitig ein reibungsloses Kundenerlebnis zu gewährleisten und die Konversion zu maximieren, müssen Emittenten und Händler wohl noch einige Meilen gemeinsam zurücklegen.
Quellen:
[1] A Credit Union’s Guide to 3D Secure 2.0
[2] iPhone
[3] PSD2: Ausnahmen bei der starken Kundenauthentifizierung (SCA) nutzen
[4] PSD2 and strong customer authentication
[5] Authentication update March 2021: rocky start for PSD2 across Europe