3D Secure 2

Ein Authentifizierungsstandard für weniger Betrug und mehr Sicherheit

Profilfoto von Olivier Godement
Olivier Godement

Olivier leitet Maßnahmen bei Stripe, um Unternehmen dabei zu unterstützen, sich für die starke Kundenauthentifizierung (Strong Customer Authentication, SCA) zu rüsten.

  1. Einführung
  2. Zusammenfassung
  3. Kurzer Überblick über die Entstehungsgeschichte von 3D Secure 1
  4. Das ändert sich mit 3D Secure 2
    1. Reibungslose Authentifizierung
    2. Bessere Nutzererfahrung
  5. 3D Secure 2 und die starke Kundenauthentifizierung
  6. Wie wird 3D Secure 2 von Stripe unterstützt?

Zusammenfassung

Der „3D Secure“-Standard – häufig unter firmeneigenen Markennamen wie Visa Secure, Mastercard Identity Check oder American Express SafeKey bekannt – soll das Betrugsrisiko reduzieren und Online-Zahlungen sicherer machen.

3D Secure 2 (3DS2) führt eine „reibungslose Authentifizierung“ ein und verbessert im Vergleich zu 3D Secure 1 das Einkaufserlebnis. Es ist die wichtigste Methode, um den Anforderungen an die starke Kundenauthentifizierung (Strong Customer Authentication, SCA) in Europa gerecht zu werden, und ein wichtiges Tool für Unternehmen, um Ausnahmen von der starken Kundenauthentifizierung anzufordern.

Stripe unterstützt 3D Secure 2 mit unseren neuen Zahlungs-APIsmobilen SDKs und Stripe Checkout.

Kurzer Überblick über die Entstehungsgeschichte von 3D Secure 1

Trotz zusätzlicher Sicherheitsmaßnahmen wie dem Address Verification System (AVS) oder der in einigen Märkten verbreiteten CVC-Prüfnummer ist das Betrugsrisiko bei Kredit- und Debitkartenzahlungen nach wie vor vergleichsweise hoch. (Aufgrund ebendieses Risikos haben Kunden und Kundinnen die Möglichkeit, betrügerische Zahlungen anzufechten, die mit ihrer Karte vorgenommen wurden.)

Um diesem Problem zu begegnen, haben die Kartennetzwerke im Jahr 2001 die erste Version von 3D Secure eingeführt. Wenn Sie regelmäßig online einkaufen, sind Sie möglicherweise bereits mit 3D Secure vertraut: Sie geben zur Bestätigung einer Zahlung Ihre Kartenangaben ein und werden anschließend auf eine andere Seite weitergeleitet, auf der Sie von Ihrer Bank aufgefordert werden, einen Code oder ein Passwort einzugeben, um den Kauf zu bestätigen. Da auf der Authentifizierungsseite häufig der Name des Kartennetzwerks angezeigt wird, sind die unterschiedlichen Markennamen für 3D Secure wie Visa Secure, Mastercard Identity Check oder American Express SafeKey meist geläufiger.

Für Unternehmen liegt der Vorteil von 3D Secure auf der Hand: Durch die Abfrage zusätzlicher Informationen können Sie eine zusätzliche Ebene zur Betrugsvorbeugung integrieren und auf diese Weise sicherstellen, dass Sie ausschließlich legitime Kartenzahlungen annehmen. Ein weiterer Vorteil ist, dass bei der Authentifizierung von Zahlungen per 3D Secure eine Haftungsumkehr für betrugsbedingte Rückbuchungen von Ihrem Unternehmen auf die Kundenbank erfolgt. Dieser zusätzliche Schutz ist der Grund dafür, dass 3D Secure häufig bei größeren Einkäufen (z. B. Flugbuchungen) zum Einsatz kommt.

Doch leider ergeben sich aus 3D Secure 1 auch einige Nachteile: Der zusätzliche Schritt, der erforderlich ist, um Zahlungen abzuschließen, stört den reibungslosen Bezahlvorgang und kann dazu führen, dass Einkäufe vorzeitig abgebrochen werden. Außerdem verlangen einige Banken noch immer die Erstellung statischer, kundenspezifischer Passwörter für 3D Secure. Diese Passwörter vergisst man leicht, was die Zahl der Kaufabbrüche erhöhen kann.

Das ändert sich mit 3D Secure 2

EMVCo, ein Zusammenschluss von sechs großen Kartennetzwerken, hat kürzlich eine neue Version von 3D Secure veröffentlicht. Dieses 3D Secure 2 (auch EMV 3-D Secure, 3D Secure 2.0 oder 3DS2) soll mit einem geschmeidigeren Authentifizierungsablauf und einer besseren Nutzererfahrung zahlreiche Schwachstellen von 3D Secure 1 beheben.

Reibungslose Authentifizierung

3D Secure 2 ermöglicht es Unternehmen und ihren Zahlungsanbietern, bei jeder Transaktion mehrere Datenelemente an die Karteninhaberbank zu senden. Dazu zählen sowohl zahlungsspezifische Daten wie die Lieferadresse als auch Kontextdaten wie die Geräte-ID oder der bisherige kundenspezifische Transaktionsverlauf.

Die Karteninhaberbank kann anhand dieser Informationen dann das Risiko der Transaktion einschätzen und sich für eine angemessene Reaktion entscheiden:

  • Betrachtet die Bank die Daten als ausreichend, um darauf zu vertrauen, dass der echte Karteninhaber den Kauf tätigt, kommt die Transaktion für einen „reibungslosen“ Ablauf infrage. Die Authentifizierung wird dann ohne zusätzliche Eingabe des Karteninhabers abgeschlossen.

  • Kommt die Bank zu dem Schluss, dass weitere Belege erforderlich sind, durchläuft die Transaktion den komplexen Ablauf (Challenge Flow) und der Kunde bzw. die Kundin wird zur Eingabe weiterer Daten aufgefordert, um die Zahlung freizugeben.

Zwar wurde eine eingeschränkte Form der risikobasierten Authentifizierung bereits von 3D Secure 1 unterstützt. Die Übermittlung zusätzlicher Daten bei 3D Secure 2 zielt jedoch darauf ab, die Anzahl der ohne weitere Kundenangaben authentifizierbaren Transaktionen zu erhöhen.

Beispielablauf für die Authentifizierung einer Zahlung mit 3D Secure 2 mit Fallback-Support für 3D Secure 1

Bei Transaktionen, bei denen der reibungslose Ablauf zur Anwendung kommt, profitiert das Unternehmen von derselben Haftungsumkehr wie bei Transaktionen, die den komplexen Ablauf durchlaufen.

Bessere Nutzererfahrung

Im Gegensatz zu 3D Secure 1 wurde 3D Secure 2 nach dem Aufstieg der Smartphones entwickelt und erleichtert es den Banken, innovative Authentifizierungserlebnisse über ihre mobilen Bankanwendungen anzubieten (manchmal auch als „Out-of-Band-Authentifizierung“ bezeichnet). Anstatt ein Passwort einzugeben oder eine SMS zu erhalten, können Karteninhaber eine Zahlung über die Bankanwendung authentifizieren, indem sie einfach ihren Fingerabdruck oder sogar ihre Gesichtserkennung verwenden. Wir sind überzeugt, dass viele Banken diese reibungsloseren Authentifizierungserfahrungen mit 3D Secure 2 unterstützen.

Die zweite Verbesserung in puncto Benutzerfreundlichkeit besteht darin, dass 3D Secure 2 so konzipiert ist, dass es den komplexen Ablauf direkt in Web- und mobile Checkout-Flows einbindet – ohne dass ganze Seitenumleitungen erforderlich sind. Wenn sich ein Kunde/eine Kundin auf Ihrer Website oder Webseite authentifiziert, erscheint die 3D Secure-Eingabeaufforderung jetzt standardmäßig in einem Modal auf der Checkout-Seite (Browserfluss).

3D Secure 2 browser flow

Wenn Sie eine App erstellen, ermöglichen es neue mobile SDKs für 3D Secure 2, einen Authentifizierungsablauf innerhalb der App einzurichten und Browser-Weiterleitungen damit komplett zu vermeiden.

3D Secure 1: Mobiler Authentifizierungsablauf mit Browser-Weiterleitung

3D Secure 2: Verbesserter mobiler Authentifizierungsablauf innerhalb der App

3D Secure 2 und die starke Kundenauthentifizierung

Seit der verpflichtenden Einführung der starken Kundenauthentifizierung (Strong Customer Authentication, SCA) kommt 3D Secure 2 eine noch größere Bedeutung zu, wenn Sie geschäftlich in Europa tätig sind. Denn die neue Vorschrift erfordert eine noch umfangreichere Authentifizierung bei Zahlungen in Europa. Und die verbesserte Nutzererfahrung von 3D Secure 2 unterstützt Sie dabei, die negativen Auswirkungen auf die Konversion zu minimieren.

Das Protokoll, das bei 3D Secure 2 zum Einsatz kommt, ermöglicht es Zahlungsanbietern wie Stripe zudem, Ausnahmen von der SCA anzufordern und die Authentifizierung bei risikoarmen Zahlungen komplett zu umgehen. Zahlungen, die eine starke Kundenauthentifizierung erfordern, müssen mithilfe des „komplexen Ablaufs“ authentifiziert werden. Transaktionen, die von der starken Kundenauthentifizierung ausgenommen werden können, können dagegen über den „reibungslosen Ablauf“ erfolgen. Es ist jedoch erwähnenswert, dass der Zahlungsdienstleister nicht von einer Haftungsumkehr profitiert, wenn er die Freistellung von der starken Kundenauthentifizierung beantragt und eine Transaktion somit den „reibungslosen“ Ablauf durchläuft.

Wie wird 3D Secure 2 von Stripe unterstützt?

Stripe unterstützt den Browserablauf bei 3D Secure 2 mit seinen Zahlungs-APIs und der Checkout-Seite, sodass Sie 3D Secure dynamisch auf risikoreiche Zahlungen anwenden können, um Ihr Unternehmen vor Betrug zu schützen. Wir wenden 3D Secure 2 immer dann an, wenn die neue Version von der Karteninhaberbank unterstützt wird. In allen anderen Fällen greifen wir auf 3D Secure 1 zurück.

Wenn Sie eine mobile Anwendung erstellen, ermöglichen unsere iOS- und Android-SDKs die Erstellung eines Authentifizierungsablaufs innerhalb der App, um ein „natives“ Authentifizierungserlebnis zu ermöglichen und eine Weiterleitung Ihrer Kunden und Kundinnen aus Ihrer App zu vermeiden. Wenn die jeweilige Karteninhaberbank 3D Secure 2 noch nicht unterstützt, zeigen unsere mobilen SDKs automatisch 3D Secure 1 in einer Webansicht innerhalb Ihrer Anwendung an.

Erfahren Sie mehr über unsere Zahlungs-APIsmobilen SDKs oder Stripe Checkout, um mit 3D Secure 2 zu beginnen.

Startklar? Kontaktieren Sie uns oder erstellen Sie ein Konto.

Erstellen Sie ein Konto und beginnen Sie direkt mit dem Akzeptieren von Zahlungen, ohne Verträge abschließen oder Bankdaten angeben zu müssen. Oder wenden Sie sich an uns. Gerne erstellen wir ein individuelles Angebot für Sie, das genau auf Ihr Unternehmen abgestimmt ist.