Im Onlinehandel sollen die Authentifizierung des Kunden sowie die Autorisierung der Zahlung ohne großen Aufwand für den Kunden und kaum merklich im Hintergrund erfolgen. Daneben sollen Daten wie Karteninformationen möglichst geschützt bleiben – selbst dann, wenn der Verbraucher zum Beispiel sein Smartphone einmal verliert. Verfahren wie 3-D Secure und Tokenisierung machen das möglich.

Der „Pain of paying“, der Schmerz beim Bezahlen, ist in der Psychologie ein bekanntes und vielfach untersuchtes Phänomen. Im Kern geht es darum, dass die Trennung vom eigenen Geld nachweislich sogar physische Schmerzen verursachen kann.

Und Verbraucher deshalb Zahlungsmethoden bevorzugen, die den Trennungsschmerz weniger spüren lassen. Kreditkartenzahlungen zum Beispiel haben demnach klare Vorteile gegenüber Barzahlungen.
Sicherheit durch Tokenisierung: Datenfeld oder Datensatz werden vor der Datenübertragung gegen eine willkürliche Reihung von Zahlen oder Buchstaben getauscht.
© IMAGO / Imaginechina-Tuchong
Sicherheit durch Tokenisierung: Datenfeld oder Datensatz werden vor der Datenübertragung gegen eine willkürliche Reihung von Zahlen oder Buchstaben getauscht.

Starke Kundenauthentifizierung verringert das Betrugsrisiko

Im vergangenen Jahr aber waren die Befürchtungen groß, dass der Schmerz bei Kreditkartenzahlungen deutlich steigen könnte: Die starke Kundenauthentifizierung, seit 2021 Pflicht auch im Onlinehandel, warf ihre Schatten voraus.

Starke Kundenauthentifizierung bedeutet, dass zur Authentifizierung des Zahlers Angaben aus zwei verschiedenen Bereichen gemacht werden müssen. Diese werden unterschieden nach Wissen, Besitz und Inhärenz. Zum Wissen gehört etwa eine Kartennummer, zum Besitz das Smartphone.

Zur Inhärenz zählen biometrische Merkmale wie der Fingerabdruck oder das Gesicht. Durch die Abfrage von zwei Faktoren aus jeweils unterschiedlichen Bereichen wird das Betrugsrisiko erheblich reduziert, aber die Bezahlung unter Umständen etwas komplizierter.

Umstellung auf 3-D Secure

Befürchtungen über hohe Umsatzeinbrüche wegen der Umstellung haben sich bislang aber nicht bewahrheitet. „Es gab keine signifikanten Probleme“, stellt Volker Koppe, Head of Digital Central Europe bei Visa, fest. „Die Vorarbeit aller Beteiligten hat sich ausgezahlt.“

Zu den Faktoren, die einen vergleichsweise schmerzfreien Übergang ermöglicht haben, zählt der Kreditkartenstandard 3-D Secure 2.

„Durch diese Technologie können Kreditkartennutzer den Identifizierungsprozess bequem durchlaufen. Sie verringert die Wahrscheinlichkeit, dass zusätzliche Schritte vom Kunden verlangt werden oder dass er den Einkauf abbricht.“ Zudem sei die Technologie auch für die Verwendung auf Mobiltelefonen besser geeignet als die Vorgängerversion.
Vorteil der Tokenisierung: Der Besitzer teilt seine Daten bei der Übertragung nicht mit allen eingebundenen Akteuren, sondern nur mit dem zuständigen Token-Service und dem finalen Empfänger.
© Computop
Vorteil der Tokenisierung: Der Besitzer teilt seine Daten bei der Übertragung nicht mit allen eingebundenen Akteuren, sondern nur mit dem zuständigen Token-Service und dem finalen Empfänger.

70% geringere Abbruchrate

Das Protokoll EMV 3-D Secure ist ein Branchenstandard großer Zahlungsdienstleister, zu denen unter anderem auch Visa gehört. Wenn die Authentifizierung des Karteninhabers mit 3-D Secure durchgeführt wird, sind Händler gegen betrugsbedingte Chargebacks (Rückforderungen) im E-Commerce weitgehend geschützt.

Die Haftung verlagert sich vom Händler beziehungsweise der Händlerbank (Acquirer) auf den Kartenherausgeber. Bei 3-D Secure 2 wird anhand zahlreicher Daten, die sekundenschnell im Hintergrund ausgetauscht werden, die Authentifizierung sichergestellt. Zu den Informationen zählen beispielsweise das verwendete Gerät oder die Bezahlhistorie.

So wird die Identität des Karteninhabers einwandfrei verifiziert. „Studien zeigen, dass die Abbruchrate sich mit dem Verfahren im Vergleich zur Vorgängerversion um rund 70 Prozent verringert“, zeigt Digital-Experte Koppe auf.

Tokenisierung verbreitet sich

Ein weiterer Technologietrend soll dabei helfen, die Sicherheit nochmals zu verbessern und es gleichzeitig Händlern und Verbrauchern noch einfacher zu machen – die Verwendung sogenannter Token. Kunden wollen heute mit möglichst vielen ihrer vernetzten Geräte bezahlen können, vom Smartphone über die Smartwatch bis hin zum Wearable. Das hat ein Umdenken nötig gemacht.

Zuvor wurden Zahlungen über die Hardware abgesichert: Ein Chip in einer Plastikkarte, per Post verschickt, getrennt davon ein eigener Brief mit dem PIN. Mit der Entwicklung hin zu neuen Bezahllösungen auch in potenziell weniger sicheren Umgebungen sei der Wunsch entstanden, Kartendaten besser zu kontrollieren. Das gelingt durch Token.

Ein „Datenfeld“, etwa eine Kreditkartennummer (PAN, Primary Account Number), oder ein Datensatz wie alle einer Kreditkarte zugehörigen Informationen werden in diesem Verfahren gegen eine willkürliche Reihung von Zahlen oder Buchstaben getauscht. Diese zufällige Zeichenfolge ist der Token und die Zufälligkeit ein besonderer Sicherheitsfaktor.

Daten werden nur mit Token-Service und finalem Empfänger geteilt

Am Ende der Datenübertragung erfolgt der Rücktausch des Tokens in die Originaldaten und deren Ausgabe an den berechtigten Empfänger. So teilt der Besitzer seine Daten bei der Datenübertragung nicht mit allen eingebundenen Akteuren, sondern nur mit dem zuständigen Token-Service sowie dem finalen Empfänger.

Der Token-Service ist zuständig für die Generierung, Verteilung und Verwaltung von Token. Diese Rolle können verschiedene Akteure übernehmen, zum Beispiel ein Payment-Service-Provider oder eine Kartengesellschaft.

Token lassen sich auch an einen konkreten Verwendungszweck binden. So kann der Token-Service etwa die Gültigkeit eines Tokens auf eine bestimmte Shop-Domain oder ein bestimmtes Endgerät beschränken oder ein Ablaufdatum festlegen. Abseits des Geltungsbereichs lässt sich der Token nicht mehr nutzen – anders als gestohlene Kartendaten. Das erhöht die Sicherheit ebenfalls.

Autorisierungsraten steigen

Verfahren wie 3-D Secure und Tokenisierung ermöglichen auch neue Zahlungsmethoden im Onlinehandel, die hohe Sicherheitsstandards haben, aber für Verbraucher gleichzeitig einfach zu handhaben sind. Dazu zählt das neue „Click to Pay“.

Nach Erfahrungen von Visa steigen die Autorisierungsraten bei Token-Verfahren um mehrere Prozentpunkte – also haben auch Händler weit weniger Umstände mit diesem Verfahren. Ein weiterer Vorzug: Token werden automatisch aktualisiert, sobald die Bank an die Kreditkartengesellschaft meldet, dass eine Karte abgelaufen ist. Und durch die neuen Daten ersetzt. Auch das sorgt für mehr Bequemlichkeit.

Weitere Erleichterungen, Verbesserungen und Anwendungen sind schon in Vorbereitung: „Visa arbeitet im Rahmen von EMVCo daran mit, die Token-Technologie als Industrie-Standard kontinuierlich weiterzuentwickeln,“ unterstreicht Payment-Spezialist Koppe. Damit dann der „Pain“ beim „Payment“ weiterhin so gering wie möglich bleibt.

MEHR ZUM THEMA:

Der Onlinehandel boomt - und zieht immer mehr Kriminelle an, die Schwachstellen in den E-Commerce-Systemen ausnutzen.
© IMAGO / photothek
Etailment-Expertenrat

5 Schritte zu mehr Sicherheit im E-Commerce


Im Online-Handel oder vor Ort: Wenn Kunden nicht bar bezahlen, bleibt dem Händler ein Risiko, dass er sein Geld nicht bekommt, weil etwa Konten nicht gedeckt oder Karten gesperrt wurden.
© nik0.0kin/fotolia
Payment

Credit Scores zu Kunden sichern den Verkauf


PSD2 - Das Ziel ist klar, die Vorgaben interpretierbar, die Umsetzung mangelhaft.
© iStock/arthobbit
PSD2

Zwei-Faktor-Authentifizierung - Ist ab Samstag das Chaos programmiert?