Starke Kundenauthentifizierung: Was ändert sich 2019 für Online-Händler?

Neue biometrische Authentifizierungsverfahren machen Bezahlvorgang noch einfacher und sicherer

Den aktuellen Zahlen der Europäischen Zentralbank (EZB) zufolge sind die betrügerischen Transaktionen mit Karten weiter rückläufig. Doch immer wieder versuchen Kriminelle über „ Online-Transaktionen Kasse zu machen. Im Jahr 2016 gingen laut EZB 73 Prozent der Schäden auf diesen Kanal zurück. In vielen Fällen könnte der Online-Betrug mit Hilfe technologischer Unterstützung vermieden werden. Mastercard setzt dabei auf innovative biometrische Authentifizierungsverfahren, die den Bezahlvorgang noch einfacher und sicherer machen. Durch Einbindung des neuen Sicherheitsprotokolls 3D-Secure 2.0 und Mastercard Identity Check können Händler noch schneller und genauer überprüfen, ob der Käufer auch tatsächlich der Inhaber der Debit- oder Kreditkarte ist. Ab April 2019 müssen alle Mastercard-Kartenherausgeber ihren Kunden entsprechende Lösungen anbieten.

Starke Kundenauthentifizierung wird ab September 2019 Pflicht für den Handel
Am 14. September treten neue technische Regulierungsstandards der Europäischen Bankaufsicht in Kraft, welche die Sicherheit von Online-Transaktionen und Kundenkontenzugängen erhöhen sollen. Die neue Richtlinie beinhaltet unter anderem die Forderung einer starken Kundenauthentifizierung. Bis auf vom Gesetzgeber definierte Ausnahmen müssen dann Zahlungstransaktionen aller von der Regulierung erfassten Zahlungssysteme mit einer Zwei-Faktor-Authentifizierung abgesichert werden.

Der Kartenherausgeber muss dann sicherstellen, dass zwei von drei Merkmalen abgefragt werden: Besitz (z. B. Karte, Handy), Wissen (z. B. PIN) oder Inhärenz wie etwa persönliche oder körperliche Eigenschaften (z. B. Fingerabdruck, Gesichtserkennung). Konkret muss also ein physischer Gegenstand wie das Smartphone mit einem einmaligen Passwort oder dem Fingerabdruck kombiniert werden, bevor die Zahlung erfolgen kann. Statische Passwörter werden in Europa nicht mehr ausreichen. Stattdessen machen es biometrische Verfahren dem Konsumenten einfach sich zu authentifizieren, da er sich auf das konzentrieren kann, was er ohnehin bei sich hat, etwa sein Smartphone, und was ihn identifiziert, also biometrische Faktoren.

Neue Standards verbinden Sicherheit und einfache Handhabung
Für Kartenzahlungen im Internet gibt es als Variante der starken Kundenauthentifizierung seit vielen Jahren das 3-D Secure-Verfahren, das bei Mastercard unter dem Namen „SecureCode“ auf dem Markt ist. Dieses Verfahren ist jedoch mittlerweile technisch überholt: Es entspricht nicht vollständig den neuen regulatorischen Anforderungen der EU, die im September 2019 in Kraft treten werden. Zudem wurde es von Handel und Verbrauchern nur unzureichend angenommen, da vielen Internet-Händlern eine unterbrechungsfreie Bezahlung bei sehr niedrigem Betrug wichtiger ist als eine hundertprozentige Absicherung durch doppelte Authentifizierung. Das hat für Händler jedoch den Nachteil, dass sie dann selbst das komplette finanzielle Risiko etwaiger Rückzahlungen tragen. Daher musste es verbessert werden.

Deutlich höhere Konversionrate mit 3-D Secure 2.0
Mastercard hat nun gemeinsam mit der Branchenvereinigung EMVCo das neue Sicherheitsprotokoll „3-D Secure 2.0“ entwickelt, das die neuen EU-Standards erfüllt und gleichzeitig für den Verbraucher einfacher zu handhaben ist. Es wird von Mastercard ab April 2019 flächendeckend eingeführt und ist sowohl für den Einsatz im Web als auch in Apps geeignet. Das ist besonders wichtig, da weltweit immer mehr Kunden über mobile Kanäle einkaufen und damit auch die mobilen Zahlungen rasant zunehmen. Mit dem neuen Verfahren lassen sich Betrugsversuche und anschließende Rückbuchungen minimieren, ohne auf Sicherheit zu verzichten. Gleichzeitig ermöglicht 3-D Secure 2.0 Händlern höhere Autorisierungsraten und reduziert fälschlicherweise abgelehnte Zahlungen. Zudem verschiebt sich die Betrugshaftung auf den Kartenherausgeber.

Mit 3-D Secure 2.0 können Händler und Banken deutlich mehr Daten austauschen und so bessere Risikoentscheidungen treffen. Dazu gehören Transaktions- und Karteninhaberdaten (z. B. Rechnungs- und Lieferadresse, E-Mail-Adresse, Mobiltelefonnummer oder Geräte-ID) oder die Sprache des Browsers des Kunden. Je mehr Daten und je besser die Daten zwischen Händlern und Kartenherausgebern ausgetauscht werden, desto genauer wird die Einschätzung.

Online-Händler können die Genehmigungsquote mit 3-D Secure 2.0 deutlich erhöhen. Der Kartenherausgeber hat zwar das letzte Wort, ob ein Betrag akzeptiert oder abgelehnt wird, aber der Händler kann die Entscheidung positiv beeinflussen. Mit dem neuen Sicherheitsprotokoll haben Verkäufer die Möglichkeit eigene Ausnahmereglungen mit individuellen Risikoindikatoren zu aktivieren, um nicht unnötig Umsätze zu verlieren. In diesen Fällen müssen Händler allerdings das Haftungsrisiko übernehmen, wenn dieser Kauf als betrügerisch eingestuft wird.

Mastercard Identity Check
Mastercard hat Mindeststandards für die Identifikation der Kunden definiert und bietet Händlern und Kartenherausgebern mit „Mastercard Identity Check“ eine einfache Möglichkeit, den neuen EMV 3-D Secure-Standard zu unterstützen und erweiterte Sicherheitslösungen zu nutzen, um potenzielle Risiken auszuschließen. Die neue Authentifizierungstechnologie bietet neben Fingerabdruck und Gesichtserkennung auch für die Zukunft Stimm- und Iriserkennung. Sie funktioniert reibungslos auf den unterschiedlichsten Geräten und ermöglicht eine unterbrechungsfreie Ein-Klick-Bezahlung, da die Identifikation nebenbei funktioniert. Kunden können so schnell und einfach ihre Identität verifizieren, während sie beispielsweise ihr Smartphone für Online-Shopping nutzen. Mit dem Verfahren wird im digitalen Einkauf nicht nur Zeit gespart, es verbessert auch die Sicherheit und sorgt für ein komfortables Einkaufserlebnis mit deutlich geringeren Abbruchraten beim Online-Einkauf.

Frühzeitig auf neue Anforderungen einstellen
Die Nutzer erwarten heute zu Recht, dass beim Online-Kauf alles reibungslos und sicher in Echtzeit funktioniert - am besten mit einem Klick. Daher sollten Händler die neuen Verfahren der starken Authentifizierung nutzen, um ihren Kunden beim Online-Kauf eine ebenso sichere wie komfortable Kartenzahlung zu ermöglichen. Denn im Wettbewerb wird es künftig immer wichtiger werden, seinen Kunden ein möglichst bequemes Authentifizierungsverfahren anzubieten. Jeder zusätzliche Klick, der erforderlich ist, um einen Kauf zu bestätigen, kann Konsumenten vom Abschluss der Transaktion abhalten. Daher sollten unnötige Hürden vermieden werden.

Um die neuen Authentifizierungsschnittstellen nutzen zu können, sollten sich Händler frühzeitig mit ihren Payment Service Providern in Verbindung setzen und ihre Online-Shops auf den neuesten technischen Stand bringen. In der Regel lässt sich ein Upgrade auf das neue 3-D Secure 2.0 als Plug-in schnell und einfach in den eigenen Shop integrieren.

Denn ab September 2019 wird es ernst: Dann müssen innereuropäische „Card not present“-Zahlungen, die nicht unter eine der diversen Ausnahmeregelungen laufen, ohne 3-D Secure-Absicherung von Kartenherausgebern abgelehnt werden, um die regulatorischen Vorgaben des Gesetzgebers zu erfüllen. Zwar wurden Ausnahmen wie White Listing oder regelmäßige Zahlungen gleicher Beträge definiert, aber auch diese müssen ordentlich implementiert und regulatorisch überprüfbar im laufenden Betrieb funktionieren.

Die Übergangsphase von April bis zum Herbst 2019 sollte unbedingt genutzt werden, um Erfahrungen mit den neuen biometrischen Verfahren und dem Sicherheitsprotokoll EMV 3-D Secure 2.0 zu sammeln. Auch Kunden sollten bestmöglich auf die neuen Verfahren vorbereitet werden und sich damit vertraut machen. Keinesfalls sollten die Authentifizierungssysteme erst am Stichtag im September umgestellt werden, da sonst die Gefahr droht, dass unnötig viele Kartenzahlungen abgebrochen und dadurch Kunden wie Händler frustriert werden. Noch ist ausreichend Zeit für eine reibungslose Umstellung der Systeme und die Implementierung der Hintergrundverarbeitung. Diese sollte genutzt werden!