Christoph Robert Braun

Christoph Robert Braun

Senior Consultant

Das Jahr 2019 steht im Zeichen der überarbeiteten Zahlungsdienstrichtlinie PSD2 (Payment Services Directive). Zwar trat PSD2 bereits am 13. Januar 2018 in Kraft, ihr volles Ausmaß wird aber erst am 14. September 2019 spürbar sein. Erst ab diesem Zeitpunkt sind die „Regulatory Technical Standards“ (RTS) der PSD2 verbindliche Vorgabe. Damit einher geht die Verpflichtung zur "Strong Customer Authentication" (SCA), einer stärkeren Kundenauthentifizierung für Online-Transaktionen. Diese soll Endkunden schützen, indem ein höheres Sicherheitsniveau bei elektronischen Zahlungen gewährleistet wird. Der Schutz wird durch eine Zwei-Faktor-Authentifizierung (2FA) erreicht, bei der zwei der drei möglichen Faktoren – Besitz, Wissen oder Inhärenz – vom Endkunden validiert werden müssen.

Notwendig sind diese verstärkten Sicherheitsmaßnahmen aufgrund der zehnfach höheren Betrugsrate bei digitalen im Vergleich zu physischen Zahlungen. Allein in Deutschland müssen nun rund 40.000 E-Shops SCA-konforme Prozesse in ihre Bezahlvorgänge integrieren. Aktuell fordern die Kreditkartenorganisationen von den E-Shops die richtlinienkonforme Umsetzung von PSD2 mit dem Anspruch, die bestmögliche Benutzerfreundlichkeit zu gewährleisten. Ab September 2019 können Kreditkartenorganisationen nicht SCA-konforme Transaktionen ablehnen. Dies führt zu potenziell höheren Warenkorbabbrüchen und möglichen Umsatzverlusten für die E-Shops.

Was ist 3D Secure und wie funktioniert es?

Einzelne Stakeholder im Kreditkartenumfeld haben 2FA bereits über den Technologiestandard 3D Secure (3DS) umgesetzt. Diese erste Implementierung von 2FA ist unter "Verified by Visa" oder "MasterCard SecureCode" als 3D Secure 1 bekannt und beinhaltet die Authentifizierung des Karteninhabers über den Kartenherausgeber. Der Karteninhaber muss während des 3DS-Authentifizierungsprozesses die Zahlung bestätigen. Dafür wird er nach der Auswahl der Zahlungsmethode "Kreditkarte" auf eine neue Seite weitergeleitet, die in den meisten Fällen als Popup-Seite funktioniert. Dort wird er aufgefordert, ein Passwort einzugeben, welches er zuvor bei dem jeweiligen Kartenherausgeber einrichten musste.

Dieser 2FA-Prozess stört in seiner derzeitigen Form die reibungslose Benutzererfahrung im Checkout-Prozess. Bisher haben sich nur wenige E-Shops für die Implementierung von 3DS1 entschieden, was die Frage nach dem „Warum“ aufwirft. Die Antwort besteht einerseits darin, dass die Implementierung von 3DS1 jahrelang nicht zwingend erforderlich war. Andererseits legen die Händler sehr viel Wert auf eine reibungslose Benutzererfahrung und weigern sich vermutlich deshalb dagegen, 3DS1 zu implementieren. Aktuell verfolgen die Händler und die Acquiring-Banken vorwiegend einen risikobasierten Ansatz: Sie kalkulieren lieber die finanziellen Auswirkungen von betrügerischen Aktivitäten ein, als das Risiko eines Abbruchs im Checkout-Prozess einzugehen. 

Zum Schutz der Endkunden haben die Händler ab September 2019 nun jedoch keine andere Wahl, als der gesetzlichen Vorschrift Folge zu leisten und ihre Zahlungsmethoden mittels 2FA zu sichern. Eine wesentliche Verbesserung von 3DS1 auf 3DS2 besteht in der Verstärkung des Authentifizierungsprozesses: Mit 3DS2 werden neue Sicherheitsabfragen eingeführt, wie zum Beispiel eine biometrische Authentifizierung über die Fingerabdruck- oder Gesichts-ID-Erkennung. Die jeweiligen Authentifizierungsmethoden können fortan direkt in den Checkout-Prozess eines E-Commerce-Händlers integriert werden.

Die Verknüpfung von regulatorischen Anforderungen, Compliance und Kundenerlebnis

Werden die gesetzlichen Anforderungen an eine stärkere Kundenauthentifizierung, wie sie in den RTS von PSD2 festgelegt sind, erfüllt, führt dies zu einem sichereren digitalen Handel mit erhöhtem Kundenschutz. Kreditkartenherausgeber müssen bis spätestens 14. September 2019 3DS2 aktiviert haben. Den Händlern stehen zwar andere, oft teurere, E-Commerce-Zahlungsmethoden zur Verfügung. Eine Kannibalisierung von Kreditkartenzahlungen könnte die Folge sein. Doch ist das eine wirkliche Option? Nein, denn die Kreditkarte stellt als Zahlungsmittel für Kunden eine wichtige Zahlungsart dar. Auch wird es für Acquiring-Banken nicht mehr möglich sein, die SCA-Regeln zu umgehen. Bisher haben diese bei ungesicherten Transaktionen im Rahmen des Händler-Risikomanagements die Haftung für Zahlungsausfälle und betrügerische Aktivitäten übernommen. Diese Möglichkeit fällt weg, da die Kartenherausgeber die SCA-Regeln ausnahmslos entsprechend den PSD2-RTS-Richtlinien anwenden müssen. Somit ist die Implementierung von 2FA-SCA unumgänglich.        

3DS2 reibungslos in die bestehenden Zahlungssysteme der Händler zu implementieren, ist eine verpflichtende Compliance-Maßnahme und eine Chance, die Kundenzufriedenheit zu erhöhen. Eine reibungslose und sichere Zahlung beim Online-Einkauf entlang der „Customer Journey“ ist der Schlüssel zum zufriedenen Kunden – letztendlich spielen die sichersten Zahlungsmethoden keine Rolle, wenn der Kunde sich nicht dafür entscheidet, sie zu nutzen.

Wie kann CGI die Händler und deren Zahlungsdienstleister (Payment Services Provider – PSP) unterstützen?

Basierend auf umfassenden Erfahrungen im Bereich Financial Services, speziell im Umfeld der Karten- und Zahlungsindustrie, hat CGI einen Projekt-Baukasten für Händler, Zahlungsdienstleister und Acquiring-Banken entwickelt:

  • Das CGI-Projekt „Backlog“ ermöglicht die Implementierung von 3DS2 gemäß dem EMVCo-Standard und den Spezifikationen der Kartenorganisationen. Es ist anwendbar auf einen einzelnen Händler oder ein Netzwerk von Händlern.
  • CGI verfügt über eine fundierte Fachexpertise in Bezug auf PSD2, die die Durchführung von Best-Practice-Implementierungen, eine positive Nutzererfahrung sowie die technische Umsetzung unter Berücksichtigung von Betrugs- und Compliance-Aspekten ermöglicht.
  • CGI hat direkten Zugang zu allen erforderlichen Stakeholdern, angefangen bei den Kreditkartensystemen bis hin zu den Acquiring-Banken, PSPs oder den Dienstleistern für die eingesetzten Warenkorbsysteme.
  • CGI bietet projektnahe Unterstützung von Finanzierungsmodellen und technischen Implementierungsansätzen.

Über diesen Autor

Christoph Robert Braun

Christoph Robert Braun

Senior Consultant

Christoph Robert Braun berät als Senior Consultant in Bereichen Banking und Payments zu den Themen Business Compliance und Informationssicherheit. Er treibt den Aufbau und die Entwicklung des Themas Internet of Payments voran und fokussiert sich hierbei insbesondere auf rechtliche Aspekte zukünftiger autonomer Machine-to-Machine-Payments.