ZAHLUNGSAUTHENTIFIZIERUNG MIT 3D SECURE – RISIKO VERMEIDEN UND BENUTZERFREUNDLICHKEIT STÄRKEN

09.03.2020 // Andrea Vieten

In den letzten 15 Jahren hat sich das Zahlungsökosystem erheblich verändert. Während früher Einkäufe mit Bargeld, Debit- oder Kreditkarten bezahlt wurden, stehen heute zahlreiche Zahlungsmethoden zur Auswahl: Twint, Jiffy, iDEAL oder payDirect, um nur einige zu nennen.

Welche Auswirkungen haben diese neuen Zahlungsmethoden auf die Kartensysteme?

Die neuen Zahlungsmethoden basieren meist auf technologischen Weiterentwicklungen und sind sehr bequem zu benutzen. Viele der oben genannten Zahlungsmethoden sind sowohl per Browser als auch auf mobilen Geräten verfügbar. Der Zahlungsprozess ist simpel und benutzerfreundlich: Kunden loggen sich in Ihr Konto ein, geben die Zahlungsinformationen, wie z.B. den Empfänger und den Betrag ein und führen die Transaktion aus. Viele der neuen Zahlungsmethoden bieten bereits die Möglichkeit einer reibungslosen Authentifizierung per Smartphone oder per biometrischer Authentifizierung mit Fingerabdruck- oder Gesichtsscan.

Die neuen Zahlungsmethoden setzen die Kartensysteme zunehmend unter Druck: Sie sind eingänglich und einfach zu verwenden. Während Karten am Terminal per Chip und PIN authentifiziert werden können, sind E-Commerce-Transaktionen schwieriger zu sichern. Karteninhaber geben in der Regel ihren Namen, die Kartennummer (PAN), das Ablaufdatum sowie den CCS- oder CSV-Code der Karte ein. Diese Informationen sind auf Kreditkarten zu finden und können abgelesen oder kopiert werden. Dies öffnete in der Vergangenheit Türen für Kreditkartenbetrug und -missbrauch. Das Vertrauen in die Nutzung von Kreditkarten bei Online-Käufe nahm dramatisch ab, andere Zahlungsmöglichkeiten wurden dagegen bevorzugt.

Daher führten die Kartensysteme das 3D-Secure-Protokoll zur Sicherung von Online-Kreditkartentransaktionen ein. Die Idee hinter diesem Protokoll war die Validierung der Authentifizierung des Karteninhabers durch zusätzliche Eingabe statischer Kennwörter. Jede Bank setzte diesen "Zugewinn zur Sicherheit" technisch anders um. Infolgedessen erlebten die Kunden der kartenherausgebenden Banken Reibungsverluste bei ihren Online-Einkäufen: Passwörter wurden vergessen und Einkäufe daraufhin abgebrochen, technische Funktionen wie Pop-up-Blocker machten die Eingabe von Passwörtern unmöglich.

Verbesserte Version von 3D Secure

Der Erfolg neuer Technologien, die zunehmende Nutzung von Mobiltelefonen, Tablets und Wearables bei Online-Transaktionen und die zunehmende Verfügbarkeit einfach zu bedienender Zahlungsmethoden beim Onlineeinkauf stellte eine erhebliche Konkurrenz für die Kartensysteme dar.

Als Reaktion darauf veröffentlichte EMVCo, eine Organisation sechs großer Kartennetzwerke, eine neue Version von 3D Secure. Die neue Version des Protokolls zielt darauf ab, viele der Mängel von 3D Secure 1.0 zu beheben. 3D Secure 2.0 sollte eine weniger störende Authentifizierung und einen höheren Benutzerkomfort bieten, in dem die Kundenauthentifizierung vollständig in den Verkaufsprozess integriert wurde. Die neue Version unterstützt auch mobile Geräte, Tablets, Wearables und In-App-Funktionen.

3D Secure 2.0 hatte keine großen Auswirkungen auf die zugrunde liegende Technologie selbst wie die Verwendung eines ACS oder des Merchant Plugins. Die bedeutendste Änderung ist die Anzahl der Datenfelder, die vom Merchant-Plugin an das ACS gesendet werden können. Während 3D Secure 1.0 elf Datenfelder unterstützte, sind es bei 3D Secure 2.0 mehr als hundert.

Wie können Kartenherausgeber die Vorteile von 3D Secure 2.0 zu Ihren Gunsten nutzen?

Eine höhere Anzahl von Information, die über das neue 3D Secure 2.0 Protokoll gesendet werden können, ermöglicht eine umfassendere Sicht auf die E-Commerce-Transaktion. Händler und Kartenherausgeber können jetzt diese zusätzlichen Informationen nutzen, um das Risiko eines möglichen Kartenmissbrauchs zu bewerten. Bei einem niedrigen Risiko können Transaktionen ohne zusätzliche Authentifizierung prozessiert werden, um dem Karteninhaber ein einfaches und komfortables Einkaufserlebnis zu bieten.

Der Einsatz von intelligenter Risikobewertungssoftware ermöglicht es Händlern und Kartenherausgebern bei Bedarf eine zusätzliche Authentifizierung anzufordern, um das Risiko von Kartenbetrug gering zu halten. Durch den Einsatz von KI-basierter Verhaltensanalyse- und Profilierungstechnologien lassen sich Ähnlichkeiten und Abweichungen im Kaufverhalten eines Karteninhabers leicht erkennen. Wiederkehrende E-Commerce-Transaktionen, die bereits zuvor authentifiziert wurden, können ohne zusätzliche Authentifizierung ausgeführt werden. Ein Profiling basierend auf Geräte-ID ermöglicht die Vorhersage der Wahrscheinlichkeit, ob der aktuelle eine Zahlung auslösende Benutzer auch der Karteninhaber ist. Bei einer hohen Wahrscheinlichkeit und einem gleichzeitig geringen Risiko der Transaktion ist keine zusätzliche Authentifizierung erforderlich.

Folgendes Beispiel veranschaulicht die neuen Prüfungsmöglichkeiten für Händler und Kartenherausgeber: Ein Kunde bestellt online ein Flugticket für 200€ an seinem Laptop. Eine intelligente Risikobewertungssoftware kann die Risikobewertung auf folgende Informationen stützen:

• Gab es für den Karteninhaber bei dem Händler oder der Händlerkategorie vorherige Transaktionen?
• Ist der Betrag im normalen Bereich für den Kunden?
• Wurde das verwendete Gerät und die installierten Anwendungen bereits zuvor zur Initiierung von Onlinetransaktionen verwendet?
• Stimmt die Zeit und die IP-Geolokalisierung mit dem bisherigen Nutzerverhalten überein?

Basierend auf diesen und ähnlichen Indikatoren kann ein Händler oder Kartenherausgeber entscheiden, ob eine zusätzliche Authentifizierung angefordert werden sollte oder ob darauf verzichtet werden kann. Dabei gilt die Regel: Je mehr Transaktionen ohne zusätzliche Authentifizierung verifiziert werden können, desto besser ist das Einkaufserlebnis für den Kunden.

Abschließende Gedanken

VISA schätzt, dass bei dem Einsatz von intelligenter Risikobewertungssoftware 95 % aller Transaktionen ohne zusätzliche Authentifizierung abgewickelt werden können. Transaktionen können um 85% schneller durchgeführt werden und die Abbruchraten sinken um 70%.

Mit 3D Secure und risikobasierter Authentifizierung kann der Spagat zwischen Risikominimierung und Steigerung des Komforts für den Kartennutzer gelingen.

Nutzen Sie als Händler und Kartenherausgeber intelligente Risikobewertungssoftware, um die Vorteile von 3D Secure 2.0 zu nutzen?