Auf japanischen E-Commerce-Websites ist die „risikobasierte Authentifizierung“ eine zunehmend wichtige Betrugspräventionsmaßnahme. Laut einem Bericht der Japan Credit Association beliefen sich die geschätzten Verluste durch Kreditkartenbetrug im Jahr 2025 auf etwa 51 Milliarden Yen. Obwohl dies einen Rückgang gegenüber dem Vorjahr darstellt, sind weiterhin Präventionsmaßnahmen erforderlich. Es ist wichtig zu beachten, dass die meisten Fälle von Kreditkartenbetrug den Diebstahl von Kartennummern beinhalten, wobei Vorfälle hauptsächlich bei Remote-Transaktionen auftreten, wie z. B. auf E-Commerce-Websites.
In diesem Zusammenhang gewinnt die risikobasierte Authentifizierung als Maßnahme an Aufmerksamkeit, die Sicherheit gewährleistet, ohne die Nutzererfahrung zu beeinträchtigen.
Dieser Artikel bietet eine klare Erklärung der Mechanismen und Arten der risikobasierten Authentifizierung, wie sie sich von der Multi-Faktor-Authentifizierung (MFA) unterscheidet, sowie der Vorteile und wichtigsten Überlegungen bei ihrer Implementierung, alles im Kontext des E-Commerce-Umfelds in Japan.
Das Wichtigste auf einen Blick
- Die risikobasierte Authentifizierung bewertet das Risiko basierend auf dem Verhalten von Nutzerinnen und Nutzern sowie der Zugriffsumgebung; sie fordert nur dann eine zusätzliche Verifizierung an, wenn dies erforderlich ist.
- Während die Multi-Faktor-Authentifizierung (MFA) für jede Anmeldung oder Transaktion eine zusätzliche Verifizierung erfordert, passt die risikobasierte Authentifizierung das Vorhandensein und die Stärke der Authentifizierung dynamisch basierend auf dem Risikoniveau an.
- Die aktive Authentifizierung erfordert eine Interaktion der Nutzerinnen und Nutzer, wohingegen die passive Authentifizierung das Verhalten von Nutzerinnen und Nutzern im Hintergrund analysiert, ohne dass eine Aktion der Nutzerin oder des Nutzers erforderlich ist.
- Die risikobasierte Authentifizierung kann helfen, Sicherheit und Nutzererfahrung in Einklang zu bringen, ihre Wirksamkeit hängt jedoch vom richtigen Design und der richtigen Implementierung ab.
- Auf dem japanischen E-Commerce-Markt wird die Betrugsprävention immer wichtiger, und die risikobasierte Authentifizierung wird als einer der wichtigsten Ansätze zu ihrer Bewältigung eingeführt.
Was ist risikobasierte Authentifizierung?
Risikobasierte Authentifizierung ist ein System, das das Nutzerverhalten und die Zugriffsumgebungen analysiert, um das Risiko zu bewerten. Auf Grundlage dieser Analyse wird bestimmt, ob eine zusätzliche Authentifizierung erforderlich ist.
Eine zusätzliche Authentifizierung ist beispielsweise nur dann erforderlich, wenn ungewöhnliche Verhaltensmuster erkannt werden – etwa der Zugriff über eine andere IP-Adresse, ein anderes Gerät oder einen anderen Browser oder aus einer Zeitzone, die von der üblichen Zeitzone der Nutzerin bzw. des Nutzers abweicht. Dieser Mechanismus ermöglicht es, unbefugten Zugriff zu verhindern, bevor er tatsächlich stattfindet.
Unterschiede zwischen risikobasierter Authentifizierung und Multi-Faktor-Authentifizierung (MFA)
Multi-Faktor-Authentifizierung (MFA) ist ein System zur Verifizierung der Identität von Nutzerinnen und Nutzern, bei dem zwei oder mehr Authentifizierungsfaktoren aus drei Kategorien kombiniert werden: Wissen (z. B. ein Passwort oder eine PIN), Besitz (z. B. ein Sicherheits-Token) und Inhärenz (z. B. biometrische Merkmale wie Fingerabdrücke).
Während die risikobasierte Authentifizierung die Anforderung an – oder die Stärke der – Authentifizierung je nach Kontext dynamisch anpasst, erfordert die Multi-Faktor-Authentifizierung bei jeder Anmeldung einer Nutzerin bzw. eines Nutzers eine zusätzliche Verifizierung. Obwohl die Multi-Faktor-Authentifizierung die Sicherheit erhöhen kann, neigt sie auch dazu, die Belastung für Nutzer/innen zu erhöhen.
Arten der risikobasierten Authentifizierung und ihre Funktionsweise
Es gibt zwei Arten der risikobasierten Authentifizierung – die „aktive Authentifizierung“, bei der die Nutzer/innen eine explizite Aktion ausführen müssen, und die „passive Authentifizierung“, bei der die Authentifizierung im Hintergrund verarbeitet wird, ohne dass eine Aktion der Nutzerin oder des Nutzers erforderlich ist.
Aktive Authentifizierung
Die aktive Authentifizierung erfordert, dass Nutzer/innen eine explizite Authentifizierungsaktion ausführen.
Wenn sich beispielsweise ein Nutzer oder eine Nutzerin von einem ungewöhnlichen Standort in das Online-Banking einloggt oder einen großen Kauf auf einer E-Commerce-Website tätigt, wird er oder sie möglicherweise gebeten, ein Einmalpasswort einzugeben oder eine zusätzliche Authentifizierung über 3D Secure 2 bereitzustellen.
Ein wesentliches Merkmal dieses Systems ist, dass es eine zusätzliche Verifizierung nur in Situationen durchführt, die als risikoreich eingestuft werden. Dies kann Betrug verhindern, ohne den Komfort alltäglicher Transaktionen zu beeinträchtigen.
Passive Authentifizierung
Die passive Authentifizierung ist eine Methode zur Bewertung des Risikos basierend auf Informationen über das Verhalten einer Nutzerin oder eines Nutzers und die Zugriffsumgebungen, ohne dass die Nutzerin oder der Nutzer bestimmte Aktionen ausführen muss.
Beispielsweise werden auf einer E-Commerce-Website die IP-Adresse, Geräteinformationen, der Browser, Zugriffszeiten, die Kaufhistorie und die Verhaltensmuster von Nutzerinnen und Nutzern im Hintergrund analysiert, und das System sucht kontinuierlich nach ungewöhnlichen Aktivitäten. Dieser Mechanismus macht es möglich, Anzeichen für Betrug zu erkennen, ohne dass sich Nutzerinnen und Nutzer der Sicherheitsmaßnahmen bewusst sein müssen.
Darüber hinaus erkennt das System Verhaltensweisen wie einen plötzlichen Anstieg von Bestellungen innerhalb kurzer Zeit oder unnatürlich schnelle Betriebsgeschwindigkeiten und trägt so dazu bei, das Risiko betrügerischer Bestellungen und Spaßbestellungen, die von Bots aufgegeben werden, zu mindern.
Während die passive Authentifizierung eine verbesserte Sicherheit ermöglicht, ohne den Komfort für die Nutzer/innen zu beeinträchtigen, wird sie in Fällen, in denen eine Entscheidung schwierig ist, im Allgemeinen in Kombination mit einer aktiven Authentifizierung verwendet.
Vorteile der risikobasierten Authentifizierung
Die risikobasierte Authentifizierung ermöglicht ein optimiertes Gleichgewicht zwischen Sicherheit und Nutzererfahrung. Auf E-Commerce-Websites spielt dies eine Schlüsselrolle bei der Aufrechterhaltung und Steigerung des Umsatzes.
Verhindert unbefugten Zugriff und Betrug
Bei der risikobasierten Authentifizierung wird eine zusätzliche Verifizierung nur dann ausgelöst, wenn basierend auf der Anmeldeumgebung oder den Transaktionsmustern verdächtige Aktivitäten erkannt werden. Dadurch werden Risiken wie unbefugte Anmeldungen und betrügerische Bestellungen effektiv gemindert.
Dies ist besonders wertvoll für E-Commerce-Websites und hilft dabei, Vorfälle wie betrügerische Bestellungen mit gestohlenen Karteninformationen, Kontoübernahmen und Spaßbestellungen zu reduzieren.
Beeinträchtigt nicht den Komfort für Nutzer/innen
Anstatt für alle Nutzer/innen eine Zwei-Faktor-Authentifizierung zu verlangen, ermöglicht das System das Überspringen der Authentifizierung in Fällen, die als risikoarm eingestuft werden, was reibungslose Anmeldungen und Zahlungen ermöglicht.
Dadurch ist es möglich, die Sicherheit zu gewährleisten und gleichzeitig die Reibung für legitime Nutzer/innen zu minimieren.
Reduziert Kaufabbrüche und hilft, Konversionsraten aufrechtzuerhalten
Auf E-Commerce-Websites kann ein umständlicher Authentifizierungsprozess zu Kaufabbrüchen führen. Bei der risikobasierten Authentifizierung ist eine zusätzliche Verifizierung nur bei risikoreichen Transaktionen erforderlich. Dies hilft, Kundenabwanderung wegen unnötiger Verifizierungen zu verhindern.
Der effektive Einsatz der risikobasierten Authentifizierung macht es möglich, Konversionsraten aufrechtzuerhalten und gleichzeitig ein hohes Maß an Sicherheit zu gewährleisten.
Wichtige Hinweise zur risikobasierten Authentifizierung
Während die risikobasierte Authentifizierung ein Gleichgewicht zwischen Sicherheit und Komfort schafft, kann sich ein einziger Fehltritt negativ auf die Nutzererfahrung und den Umsatz auswirken.
Potenzielle negative Folgen der erweiterten Authentifizierung
Bei der risikobasierten Authentifizierung ist eine zusätzliche Verifizierung erforderlich, wenn eine Hochrisikosituation erkannt wird. Wenn dies häufig vorkommt, kann es für Nutzer/innen ziemlich mühsam sein.
Insbesondere, wenn Kundinnen und Kunden während des Bezahlvorgangs mehrmals zur Authentifizierung aufgefordert werden, verlieren sie möglicherweise die Lust am Kauf. Beim Betrieb einer E-Commerce-Website ist es notwendig, der Sicherheit Priorität einzuräumen, aber wenn man dabei so aggressiv vorgeht, dass die Nutzererfahrung beeinträchtigt wird, könnte dies den Zweck verfehlen.
Auswirkungen von falsch positiven Ergebnissen auf legitime Nutzer/innen
Abhängig von der Genauigkeit der Risikobewertung kann das Verhalten legitimer Nutzer/innen als verdächtig eingestuft werden, was zu falsch positiven Ergebnissen führt.
Wenn beispielsweise ein legitimer Nutzer oder eine legitime Nutzerin während einer Geschäftsreise oder eines Urlaubs auf den Dienst zugreift oder das Gerät gewechselt hat, wird diese Aktivität möglicherweise so markiert, dass sie in einer atypischen Umgebung stattfindet. Da solche falsch positiven Ergebnissen leicht zu Frustration bei den Nutzerinnen und Nutzern führen können, ist Vorsicht geboten.
Die Wirksamkeit der risikobasierten Authentifizierung hängt stark von ihrem Design und ihrer Implementierung ab. Es ist wichtig, sie so einzusetzen, dass die Nutzererfahrung sorgfältig ausbalanciert wird.
Wichtige Überlegungen bei der Implementierung der risikobasierten Authentifizierung
Die wichtigsten Punkte für die effektive Implementierung der risikobasierten Authentifizierung sind die folgenden:
Design basierend auf dem Risikoprofil Ihres Unternehmens
Das optimale Design der risikobasierten Authentifizierung variiert je nach den Merkmalen des Dienstes und dem Verhalten der Nutzer/innen.
Bei E-Commerce-Websites ist es beispielsweise wichtig, das System mit Blick auf hochwertige Bestellungen und Zeiten zu entwerfen, in denen betrügerische Aktivitäten am wahrscheinlichsten sind. Bei Mitgliedschaftsdiensten hingegen sollte der Schwerpunkt auf der Verhinderung unbefugten Zugriffs während des Anmeldevorgangs liegen.
Durchführung fortlaufender Verbesserungen
Die Implementierung der risikobasierten Authentifizierung ist keine einmalige Aufgabe. Die für die Risikobewertung verwendeten Kriterien müssen regelmäßig überprüft und aktualisiert werden, um die spezifischen Merkmale des Dienstes und aktuelle Trends bei betrügerischen Aktivitäten widerzuspiegeln. Sowohl betrügerische Taktiken als auch das Verhalten von Nutzerinnen und Nutzern entwickeln sich im Laufe der Zeit weiter.
Auch nach der Implementierung ist es wichtig, die Risikobewertungen kontinuierlich anzupassen und die Abläufe zu verbessern, indem Metriken wie Authentifizierungsquote, Abwanderungsquote und die Genauigkeit der Betrugserkennung überwacht werden.
So kann Stripe Radar Sie unterstützen
Stripe Radar verwendet KI-Modelle, um Betrug zu erkennen und zu verhindern. Diese Modelle wurden mit Daten aus dem globalen Netzwerk von Stripe trainiert. Sie werden kontinuierlich auf der Grundlage neuester Betrugstrends aktualisiert und schützen Ihr Unternehmen vor aufkommenden betrügerischen Aktivitäten.
Stripe bietet außerdem Radar for Fraud Teams an, mit dem Nutzer/innen benutzerdefinierte Regeln für Betrugsszenarien hinzufügen können, die speziell auf ihr Unternehmen zugeschnitten sind. Außerdem erhalten sie Zugang zu neuesten Erkenntnissen über betrügerische Aktivitäten.
Mit Radar kann Ihr Unternehmen unter anderem Folgendes umsetzen:
Verlust aufgrund von Betrug vermeiden: Stripe wickelt jährlich Zahlungen in Höhe von über 1 Billion USD ab. Dadurch kann Radar auf einzigartige Weise Betrug genau erkennen und verhindern.
Umsatz steigern: Die KI-Modelle von Radar werden anhand tatsächlicher Anfechtungsdaten, Kundeninformationen, Daten zum Surfverhalten und mehr trainiert. Damit kann Radar riskante Transaktionen identifizieren und falsch positive Ergebnisse reduzieren und so Ihren Umsatz steigern.
Zeit sparen: Radar ist in Stripe integriert und lässt sich ohne Codierung einrichten. Sie können über eine einzige Plattform Ihre Performance mit Blick auf Betrug überwachen, Regeln schreiben und vieles mehr. Das erhöht die Effizienz.
Erfahren Sie mehr über Stripe Radar oder starten Sie noch heute.
Der Inhalt dieses Artikels dient nur zu allgemeinen Informations- und Bildungszwecken und sollte nicht als Rechts- oder Steuerberatung interpretiert werden. Stripe übernimmt keine Gewähr oder Garantie für die Richtigkeit, Vollständigkeit, Angemessenheit oder Aktualität der Informationen in diesem Artikel. Sie sollten den Rat eines in Ihrem steuerlichen Zuständigkeitsbereich zugelassenen kompetenten Rechtsbeistands oder von einer Steuerberatungsstelle einholen und sich hinsichtlich Ihrer speziellen Situation beraten lassen.