„3D Secure 2.0 – Facelift oder Quantensprung?“

„3D Secure 2.0 – Facelift oder Quantensprung?“

POSTED ON 13. Juli 2018 BY RALF HESSE

Die neue Generation der Karteninhaber-Authentifizierung „3D Secure 2.0“
3D Secure wurde (und wird auch noch) oftmals als das magische Wundermittel propagiert, welches das Elend des Zahlungsausfalls auf der Händler-Seite heilen sollte. In den frühen Jahren dieses Jahrtausends von VISA ins Leben gerufen und als besagtes Wundermittel prominent platziert, zeigten sich allerdings alsbald die Kinderkrankheiten – an erster Stelle die Probleme mit der „Conversion Rate“ bei den 3D nutzenden Händlern. Der Einsatz von 3D Secure verursachte ungewollte Zahlungsabbrüche durch die Karteninhaber und minderte somit den Umsatz der betroffenen Händler. Die Conversion Rate beschreibt dabei das Verhältnis der Besucher einer Online-Shops auf Basis von Klicks zu den erzielten Conversions, also der Umwandlung von Interessenten in Käufer.

Die Problematik, einerseits das Zahlungsausfallrisiko durch Chargebacks minimieren zu wollen aber gleichzeitig maximal potentiellen Umsatz bei den teilnehmenden Händlern zu ermöglichen, lies sich also nicht in der genutzten Variante des 3D-Verfahrens (Version 1.0) lösen. Als dann noch die Europäischen Zahlungsaufseher mit der PSD2 die starke Kundenauthentifizierung für einen Großteil des bekannten Karten-Zahlungsverkehrs in Europa forderten, hatte man ein Erbarmen mit den Händlern. Die großen Kreditkartenorganisationen (Visa, MasterCard, AmericanExpress und JCB) formierten sich und definierten innerhalb des Gemeinschaftsunternehmens „EMVCo“, welches sich heute maßgeblich um die EMV Standards kümmert, einen neuen Authentifizierungsstandard „3D Secure 2.0“. Dieser sollte aus dem einstigen Wundermittel ein Heilmittel machen, welches flächendeckend die Leiden der Händler eliminieren sollte und gleichzeitig regulatorischen Anforderungen genügen musste.

3D Secure 2.0 ist aber auch die Antwort der Kartenorganisationen auf die Vorgaben der starken Kundenauthentifizierung (der PSD2), die ja bereits zum September 2019 umzusetzen ist. Mit der neuen Spezifikation ist weiterhin gewährleistet, dass die internationalen Schemes einen einheitlichen Standard für Konsumenten, Händler, Issuer und Acquirer anbieten.

Im Oktober 2016 war es dann soweit und die Spezifikation des neuen Standards wurde durch EMVCo veröffentlicht. Betrachtet man die operativen Schritte des neuen Verfahrens aus der Helikopterperspektive, so lassen sich gravierende Veränderungen im Vergleich zum alten Verfahren nicht direkt erkennen. Der Teufel liegt aber wie immer im Detail. Und genau diese Details lassen Hoffnung aufkommen, dass man mit der Version 2.0 tatsächlich ein Heilmittel gefunden haben könnte. Das neue Verfahren hat verschiedene Prozessschritte auf neue (oder zumindest modifiziert wirkende) Rollen definiert. Die klassische, wohl bekannteste Rolle aus Sicht der Händler war im alten Verfahren die Rolle des Merchant Plug-In-Betreibers (MPI). Diese wird in der neuen Spezifikation explizit nicht mehr genutzt. Es bleibt also abzuwarten, wie die heutigen MPI-Betreiber zukünftig mit einer technischen Lösung im 3D Secure 2.0 Verfahren operieren werden (z.B. als technischer Dienstleister eines „3DS Servers“).

Außerdem haben die Produktverantwortlichen bei der EMVCo eine neue Ingredienz beigemischt, die den Zahlungsabbruch im alten 3D Verfahren mindern – ja, wenn nicht sogar abstellen könnte. Der sog. „Frictionless Flow“ erlaubt nämlich im neuen Verfahren eine Authentifizierung ohne zusätzliche Interaktion mit der zu authentifizierenden Person.

Nachdem dann mit dem Herbst-Release 2017 auch die Reglements der beiden größten Kreditkartenorganisationen (VISA und MasterCard) in Bezug auf das neue 3D Secure 2.0 Verfahren adaptiert wurden, gilt es nun, die Umsetzung von 3D Secure 2.0 in den (z.T. neuen) operativen Instanzen voranzutreiben.

Um aber das neue Verfahren nutzen zu können, muss jede teilnehmende Instanz technische Änderungen in ihren Systemen vornehmen, da das Prozedere im Vergleich zur alten Authentifizierung einige Veränderungen mit sich bringt.

Spätestens aber zum 01.01.2020 sollen nach dem jetzigen Plan der MasterCard alle Authentifizierungen nur noch nach dem 3D Secure 2.0 Verfahren durchgeführt werden. Die Visa hat aber schon ihren für April 2018 geplanten Rollout (nur durch Händler initiierte Authentifizierungen) auf den April 2019 verschoben. Der Zeitplan scheint also offensichtlich sehr ambitioniert geplant und wird dann durch die Realität bestätigt werden müssen.

Entscheidend für den Erfolg ist aber die zukünftige Nutzung des Verfahrens durch die E-Commerce Gemeinde – sprich, das Transaktionsaufkommen mittels 3D Secure 2.0 authentifizierter Zahlungsvorgänge. Setzt man also voraus, dass das „3D Secure Räderwerk“ (bestehend aus Access Control Server und Directory Server) durch die operativen Vorgaben und Deadlines der Kreditkartenorganisationen implementiert wird (bzw. werden muss), so bleibt – genau wie im alten Verfahren – der Händler das Zünglein an der Waage des Erfolgs dieser Neuerung. Und genau diese kennen ja die Kinderkrankheiten des alten „Wundermittels“ aus eigener, schmerzlicher Erfahrung und dürften daher ein eher gemäßigtes Interesse an einer (aus deren Sicht ihnen aufgedrängten) Renovierung zeigen.

Der Acquirer als haftende Instanz im 4-Parteien Modell muss zwangsläufig ein immenses Interesse am Einsatz des neuen Verfahrens haben, denn nur über diesen Weg kann er sich flächendeckend von der Haftung im Falle eines Chargeback Fall mittels einer Haftungsumkehr („Liability-shift“) in Richtung der Issuer entledigen. Damit also der Acquirer das neue Verfahren bei den ihm angeschlossenen Händlern effektiv zum Einsatz bringen kann, muss das Problem der „Conversion Rate“ behoben werden. Das wiederum kann per Definition im neuen Verfahren nur dann eliminiert werden, wenn der Großteil der authentifizierten Transaktionen über den neu definierten „Frictionless Flow“ abgearbeitet wird, in welchem eine zusätzliche Sicherheitsabfrage im Authentifizierungsvorgang beim Karteninhaber überflüssig wird. Dieser „Frictionless Flow“ bedingt allerdings, dass der Händler ausreichend viel Informationen über den Karteninhaber und die zu autorisierende Transaktion im Authentifizierungsvorgang an den Issuer leitet, der dann „wohlwollend“ auf Basis eigener Risikobewertungen dieser Authentifizierung ohne weitere Nachfrage beim Karteninhaber zustimmt.

Es besteht also durchaus Unklarheit darüber, zu welchem Prozentanteil am Ende des Tages eine Authentifizierung im „Frictionless Flow“ abgearbeitet wird. Und genau an dieser Stelle lassen bislang die Kreditkartenorganisationen ihre Acquirer im Regen stehen, da sie einerseits keine bindenden Vorgaben an die Issuer hinsichtlich der Risiko-Bewertung im eigenen Haus machen, andererseits den Acquirern aber auch keinerlei Förderung zum Einsatz des neuen Verfahrens beisteuern.

Operativ betrachtet bringt 3D Secure 2.0 viele neue Features mit sich und ist auch aus regulatorischen Aspekten bestens gerüstet. Den Status eines „Facelifts“ dieses Tools kann man also unbedenklich attestieren. Soll 3D Secure 2.0 aber einen „Quantensprung der Authentifizierung“ auslösen – und das Potenzial dazu ist durch die neue Spezifikation gegeben –, so bedarf es weiterführender Definitionen oder aber auch Restriktionen, um die alte Kinderkrankheit der „Conversion Rate“ für immer loszuwerden.