3D Secure 2.0: Auswirkungen auf Ihren Onlineshop

Checkout Sicherheit

Mit EMV 3D Secure (EMV 3DS) tritt zum 01.01.2021 eine neue Version des Sicherheitsprotokolls 3D Secure in Kraft. Obwohl es darum bisher noch recht still ist, wird das neue Verfahren einige Auswirkungen auf den Onlinehandel haben. Wir erklären, worum es bei der neuen Zahlungsrichtlinie geht und was diese für Onlinehändler bedeutet.

Was ist EMV 3DS?

Hintergrund von EMV 3DS ist die sogenannte “zweite Zahlungsdiensterichtlinie” der EU, besser bekannt als PSD2. Mit der Richtlinie strebt die EU an, die Sicherheit des digitalen Zahlungsverkehrs zu erhöhen und den Verbraucherschutz zu stärken. 

PSD2 ist bereits seit 2016 in Kraft und seit 2018 Teil der nationalen Gesetze der EU-Mitgliedsstaaten. Zum 01.01.2021 wird nun ein Teilbereich der PSD2 auf einen neuen Stand gebracht: die Absicherung der Online-Transaktionen über das Verfahren 3D-Secure. Dieses wird im kommenden Jahr durch EMV 3DS, auch 3DS 2.0 genannt, ersetzt.

Nach dem großen Echo rund um die DSGVO und insbesondere auch die Verschärfung der Cookie-Richtlinien ist von EMV 3DS bisher vergleichsweise wenig zu lesen. Dabei sind die Auswirkungen auf digitale Zahlungsvorgänge nicht zu unterschätzen. 

Welche Auswirkungen hat 3DS 2.0 auf Online-Zahlungen?

Bei 3DS 2.0 müssen zukünftig alle Transaktionen mit einer SCA (“Strong Customer Authentication”) abgesichert sein, die auf einer Zwei-Faktor-Authentifizierung basiert. 

Hierzu wurden drei Gruppen solcher Faktoren aufgestellt. Jede Transaktion muss künftig mit zwei Faktoren aus unterschiedlichen Gruppen abgedeckt werden.

Das bedeutet konkret: Wer im Internet künftig etwas bezahlen will, muss ab 2021 seine Identität mit speziellem Wissen, Besitz oder einem inhärenten Merkmal nachweisen:

  • Wissen meint dabei etwas, das nur persönlich bekannt ist, etwa ein klassisches Passwort.
  • Besitz meint dabei etwas, das sich physisch in Besitz befindet, etwa ein Smartphone oder eine Smartwatch, aber auch eine per SMS zugesandte Transaktions-PIN.
  • Inhärenz meint einzigartige, personengebundene Merkmale wie ein Fingerabdruck oder ein Iris-Scan.

Einzelne Zahlungsdienstleister haben diese Authentifizierungsvorgänge bereits live ausgerollt, bei PayPal etwa wird nun sehr häufig die Kombination aus Login mit Passwort und Verifikation mit PIN-Eingabe durchgeführt.

Dass eine Verbesserung der Zahlungssicherheit im Onlinehandel durchaus nötig ist, zeigt u.a. eine Studie des ECC Köln von 2018. Demnach hat jeder zehnte Online-Kunde bereits erlebt, dass seine Zahlungsdaten für betrügerische Zwecke missbraucht wurden. „Dass die Zahlung sicher abläuft und die eigenen Daten vor Missbrauch geschützt sind, ist für Konsumenten das wichtigste Kriterium bei der Wahl eines Zahlungsverfahrens. Wie zufrieden Shopper mit der Bestellung insgesamt sind, wird zudem direkt von der Zahlungssicherheit beeinflusst. Diese müssen Payment-Anbieter und Onlinehändler also in jedem Fall gewährleisten“, so Mailin Schmelter, Teamleiterin am ECC KÖLN.

Was müssen Shopbetreiber jetzt beachten?

Die Maßnahmen im Rahmen von EMV 3DS sind also durchaus sinnvoll zur Betrugsvorbeugung im digitalen Zahlungsverkehr und können die Kundenzufriedenheit erhöhen. Allerdings führen mehr Sicherheitsmechanismen auch zu mehr Hemmschwellen und potentiellen Ausstiegspunkten für Kaufinteressierte. Grundsätzlich sollten die Klickstrecken im Checkout-Prozess des Onlineshops daher möglichst kurz und klar strukturiert sein, damit das User Interface nicht zur Hürde wird. 

Onlinezahlung mit EMV 3DS

Zusätzlich zu 3DS 2.0 fragen die Payment Service Provider zukünftig noch weitere Merkmale ab, um Betrugsversuche noch effektiver identifizieren zu können. Das hilft auch dabei, die Anzahl von ‘false positives’, also zu Unrecht abgelehnten Bezahlversuchen, gering zu halten. Dieser zusätzliche Sicherheitsschritt geschieht während der Kommunikation zwischen Shopsystem und Payment Service Provider und wird in aller Regel direkt im verwendeten Plugin durchgeführt. Für Shopbetreiber ist es aus diesem Grund wichtig, darauf zu achten, dass die Plugins immer auf dem neuesten Stand sind.

Wer im E-Commerce wiederkehrende Zahlungen anbietet, kann über seine Zahlungsdienstleister auch von den bei der SCA definierten Ausnahmen profitieren. Es ist nämlich möglich, dass nur die erste dieser Transaktionen den Prozess durchlaufen muss, und alle weiteren – etwa in einer Abonnementbestellung – vom Zwang zur starken Authentifizierung ausgenommen sind.

Fazit

EMV 3DS ist eine wichtige Maßnahme der EU, um Betrugsversuchen bei Online-Transaktionen besser vorzubeugen. Von einer höheren Sicherheit im digitalen Zahlungsverkehr profitieren sowohl die Konsumenten als auch die Anbieter und somit der gesamte E-Commerce.

Die wesentliche Arbeit bei der Umstellung auf 3DS 2.0 fällt für die Banken und die Payment Service Provider an. Für Shopbetreiber selbst besteht also wenig konkreter Handlungsbedarf. Wir empfehlen allerdings, den Checkout-Prozess des Onlineshops zu optimieren und die Plugins der Zahlungsdienstleister immer auf dem neuesten Stand zu halten. Damit werden beim Online-Einkauf die Anforderungen der PSD2 erfüllt und die größtmögliche Sicherheit beim gleichzeitig komfortabelsten Bezahlen gewährleistet.