3D Secure: VISA und Mastercard werden sicherer
Flugreisen, Hotelbuchungen oder auch Kleidung: Viele Kunden im eCommerce zahlen online mit ihren Kreditkarten. Da hierbei sensible Informationen versendet werden, müssen besondere Vorkehrungen für die Sicherheit der Verbraucher getroffen werden. Im Zuge der PSD2 hat die EU nun noch stärkere Anforderungen an Bezahlsysteme im Internet gestellt – und die Kreditkarteninstitute haben reagiert. Mit der neuen Version des 3D-Secure-Verfahrens entsprechen VISA und Mastercard den Regularien der EU und verbessern den Schutz der Kunden.
Was ist 3D Secure: Code, Passwort, TAN?
Das Kreditkarteninstitut VISA hat bereits im Jahr 2000 ein Verfahren entwickelt, das die Verwendung von Kreditkarten im Internet sicherer machen sollte. Das Unternehmen selbst verwendet die Technik unter dem Namen „Verified by VISA“. Gleichzeitig haben auch andere Anbieter von Kreditkarten den Sicherheitsmechanismus bei sich implementiert. 3D Secure heißt bei Mastercard beispielsweise „SecureCode“ (inzwischen „Identity Check“), bei American Express „SafeKey“ und bei JCB „J/Secure“.
Zuvor lief eine Bezahlung per Kreditkarte im Internet sehr simpel ab: Man gab seine Kreditkarteninformationen in die entsprechenden Felder ein, bestätigte den Besitz der Karte mit dem Card Validation Code (CVC), der auf der Rückseite jeder Kreditkarte zu finden ist, und belastete die Karte mit einem Mausklick. Jeder, der im Besitz der Kreditkarte war, konnte somit Produkte – auch mit hochpreisige – aus dem Internet kaufen. Dass diese Methode nicht sonderlich sicher ist, war offensichtlich.
Da sich der E-Commerce-Bereich immer weiter ausweitet und immer mehr Menschen online mit der Kreditkarte zahlen, nimmt auch das Interesse von Kriminellen an den Karteninformationen zu. Besonders durch Phishing und Social Engineering kommen Kriminelle vielfach an Daten. Um diese Entwicklung einzudämmen, wurde 3D Secure entwickelt.
Zusätzlich zu den Informationen, die sich auf der Karte befinden (und damit deren Besitz bestätigen), muss bei diesem Verfahren eine weitere Information angegeben werden, etwa ein Passwort, das nur der rechtmäßige Besitzer der Kreditkarte wissen kann. Es handelt sich also um eine Zwei-Faktor-Authentisierung: Es werden zwei unterschiedliche Merkmale benötigt, um die Belastung der Kreditkarte zu veranlassen.
Dafür wird der Verbraucher auf die Seite des Kreditkarteninstituts weitergeleitet und gibt dort das zusätzliche Sicherheitsmerkmal ein. Den zweiten Faktor teilen Nutzer somit nur der Bank bzw. dem Kreditkarteninstitut mit. Der Betreiber des Onlineshops erhält anschließend nur die Bestätigung, dass die Verwendung der Karte rechtmäßig ist. Doch auch diese Methode hat sich nicht als sehr sicher herausgestellt. Bis zum Jahr 2016 ist die Betrugssumme im SEPA-Raum laut europäischer Zentralbank auf 1,32 Milliarden Euro angewachsen.
Der Umgang mit statischen Passwörtern ist sicherheitstechnisch ungeeignet. Ist dieses nämlich erst einmal Dritten bekannt, ist der angestrebte Schutz hinfällig. Besser geeignet sind daher dynamische Verfahren, die sich bei jedem Vorgang anpassen. Eine SMS beispielsweise mit einem nach kryptischen Verfahren generierten Secure-Code kann nur für diese eine Zahlung genutzt werden.
Sowohl Kunden als auch Onlinehändler waren zudem mit der ersten Version von 3D Secure mehr als unzufrieden. Die Website zur Eingabe des zusätzlichen Sicherheitsfaktors war äußerst unschön gestaltet, Beantragung und Verwendung des benötigten Passworts waren unübersichtlich und das Verfahren ließ sich nicht zufriedenstellend in Mobile Apps einbauen. Kunden waren immer wieder genervt und brachen Bestellvorgänge ab, was wiederum Conversions vermieste und Onlinehändler erboste.
Die zweite Version von 3D Secure – auch als 3DS2 bekannt – geht diese Probleme an und baut zudem die Sicherheit aus. Die Neuerungen entsprechen damit auch den neuen Zahlungsdiensterichtlinien der EU. Außerdem reagieren die Kreditkarteninstitute mit der neuen Version auf technische Entwicklungen. Inzwischen bieten vor allem moderne Geräte (z. B. Smartphones) Authentisierung mithilfe von biometrischen Daten an: per Fingerabdruck oder durch Analyse der Gesichtszüge.
3D Secure 2.0 ist so gestaltet, dass Onlinehändler das Verfahren in den Bezahlvorgang einbauen können. Damit ergibt sich für den Kunden ein angenehmeres Kauferlebnis. Außerdem soll es sich um ein intelligentes System handeln. Die Authentisierungsmethode passt sich demnach dem Risiko an. Das heißt: Für kleine Beträge gelten geringere Sicherheitsanforderungen als für große Summen. Zudem ist 3DS2 auch bei mobilen Zahlungen einsetzbar und arbeitet mit Apps von Banken zusammen.
Vor- und Nachteile von 3D Secure
Sowohl für Händler als auch für Verbraucher hat das 3D-Secure-Verfahren Vorteile, bringt aber auch Nachteile mit sich.
| Vorteile | Nachteile |
|---|---|
| ✓ Mehr Sicherheit für Kunden | ✗ Mehr Aufwand für Kunden |
| ✓ Kreditkartenanbieter übernehmen die Kosten bei Betrug trotz 3D Secure (Haftungsumkehr) | ✗ Händler verlieren Conversions |
| ✓ Verfahren ist für Kunden und Händler kostenlos | ✗ Hundertprozentige Sicherheit kann nicht garantiert werden |
Worauf müssen sich Kunden einstellen?
Für Verbraucher sollte das 3D-Secure-Verfahren ein besseres Bezahlerlebnis liefern. Statt das veraltete Verfahren zu bemühen oder ganz auf die Sicherheitsüberprüfung zu verzichten, können Nutzer jetzt von einem sicheren und modernen Verfahren profitieren. Damit müssen Kunden rechnen:
- Registrieren: Um 3D Secure nutzen zu können, muss man sich bei seiner Bank dafür registrieren. Verantwortlich ist die Bank, die auch die Kreditkarte ausgestellt hat.
- Installation: Man kann davon ausgehen, dass Banken zukünftig Apps verwenden werden, um den 3D-Secure-Code zu versenden oder biometrische Daten anzufordern.
- Bereithalten: Bei der Zahlung muss dann sowohl die Kreditkarte als auch das Smartphone vorhanden sein.
Auch mit 3D Secure sollten Nutzer im Internet aufpassen, wenn sie im Internet mit ihrer Kreditkarte zahlen. Sensible Daten dürfen nur dann eingegeben werden, wenn man sicher ist, dass man sich auf der korrekten Website befindet. Ein gültiges SSL-Zertifikat ist ein Anzeichen dafür, dass man der Website vertrauen kann.
Auswirkungen für den Onlinehandel
Die Payment Services Directive 2 der EU schreibt vor, dass ab dem 14. September 2019 Onlinezahlungen besonderen Sicherheitsstandards gerecht werden müssen. 3D Secure erfüllt die neuen Anforderungen. Um das neue Verfahren einsetzen zu können, müssen sich Onlinehändler mit ihrem Payment Service Provider (PSP) in Kontakt setzen. Dieser sollte eine technische Lösung bieten, die Händler dann nur noch in ihren Onlineshop implementieren müssen.
- PSP kontaktieren: Zunächst müssen Onlinehändler mit ihren Zahlungsdienstleistern in Kontakt treten. Viele Anbieter haben bereits auf ihren Websites Informationen für Händler hinterlegt.
- 3DS2 implementieren: Da sich das neue 3D-Secure-Verfahren nicht mehr auf einer anderen Website abspielt, sondern direkt im Shop, muss die Technik in den Onlineshop integriert werden.
Im Sinne von PSD2 und der darin verankerten Strong Customer Authentication (SCA) müssen nicht alle Zahlungen über so hohe Standards verifiziert werden, wie sie 3D Secure bietet. Bei Zahlungen unter 30 Euro beispielsweise kann auf die hohe Sicherheitsstufe verzichtet werden. Doch aufgepasst: Diese und andere Risikoeinschätzungen liegen nicht im Ermessen des Händlers, sondern werden von der Bank vorgenommen.
Auch abseits der gesetzlichen Anforderungen lohnt es sich für Händler, 3D Secure in ihren Webshops anzubieten: Das neue System ist sehr viel kundenfreundlicher, spielt sich komplett auf der Website des Händlers ab und erhöht das Vertrauen der Verbraucher in den E-Commerce. Das sorgt wiederum für mehr Conversions und damit für mehr Umsatz.