3D Secure & PSD2

Wenn du schon einmal eine Online-Zahlung bestätigt hast, indem du einen Code eingegeben, eine Push-Benachrichtigung genehmigt oder Face ID verwendet hast, bist du bereits mit 3D Secure, auch 3DS genannt, in Berührung gekommen. Es ist die zusätzliche Verifizierungsebene, die hilft, die Identität eines Käufers zu bestätigen und sowohl Händler als auch Bank vor Betrug zu schützen.

3DS in Kürze

Der Name steht für Three-Domain Secure und bezieht sich auf die drei beteiligten Parteien:

  • die Acquirer-Domäne (Händler und PSP)
  • die Issuer-Domäne (die Bank des Karteninhabers)
  • die Interoperabilitäts-Domäne (das Kartennetzwerk, das beide Seiten verbindet)

Wenn eine Zahlung erfolgt, sendet der Händler eine Authentifizierungsanfrage durch diese drei Domänen. Der Issuer entscheidet dann, ob die Transaktion "frictionlessly" durchlaufen darf — basierend auf Daten wie Gerät, IP und Transaktionshistorie — oder ob der Kunde mit einer Aufforderung konfrontiert wird (SMS, App-Genehmigung, biometrisch usw.). Das Ergebnis wird innerhalb von Sekunden an das Gateway zurückgegeben, und wenn es erfolgreich ist, wird die Zahlung mit der Autorisierung fortgesetzt.

Warum es existiert

Online-Kartenbetrug war früher weit verbreitet. Die erste Version, 3DS1, die Visa 2001 als "Verified by Visa" einführte, brachte passwortbasierte Prüfungen. Das funktionierte, war aber umständlich und führte oft dazu, dass der Checkout abgebrochen wurde. Ich erinnere mich, wie mein Vater jedes einzelne Mal auf "Ich richte das später ein" klickte, wenn er diese Seite sah. Das moderne 3DS2 hat das behoben. Keine Pop-ups mehr, vollständige Mobile-Unterstützung und frictionless Abläufe, wenn das Risiko gering ist. Es führte ausserdem biometrische Authentifizierung und einen deutlich reichhaltigeren Datenaustausch zwischen Händler und Issuer ein, was Genehmigungen schneller und intelligenter macht.

Für Händler ist der Hauptvorteil der Liability Shift. Wenn eine Transaktion über 3D Secure authentifiziert wird, verlagert sich das Risiko von betrugsbezogenen Chargebacks vom Händler auf den Kartenherausgeber. Allein dieser Schutz macht die Implementierung lohnenswert, besonders in Märkten mit hohem Online-Betrug.

PSD2 & 3DS2

In Europa entwickelte sich 3D Secure von einer Best-Practice-Sicherheitsebene zu einer gesetzlichen Verpflichtung. Die überarbeitete Payment Services Directive (PSD2) führte Strong Customer Authentication (SCA) ein, die für die meisten elektronischen Zahlungen zwei unabhängige Faktoren verlangt:

  • etwas, das der Kunde weiss (PIN oder Passwort)
  • etwas, das der Kunde hat (Telefon oder Hardware-Token)
  • etwas, das der Kunde ist (Fingerabdruck oder Gesichtserkennung)

3D Secure 2 wurde zum wichtigsten Mittel für Kartenzahlungen, um diese Regel einzuhalten. Im Kern hat PSD2 starke Authentifizierung nicht erfunden. Sie hat sie durchgesetzt. Und 3DS2 bot eine Möglichkeit, die Regulierung zu erfüllen, ohne die User Experience zu beeinträchtigen.

Doch hinter dem reibungslosen Moment "In der Banking-App genehmigen" steckt ein komplexes technisches Ökosystem. Jeder Payment Service Provider (PSP) muss zertifizierte Integrationen mit den 3DS-Servern der Kartennetzwerke unterhalten und mit deren sich weiterentwickelnden Protokollen und Nachrichtenformaten konform bleiben. Visa, Mastercard, Amex und andere aktualisieren ihre 3DS-Spezifikationen regelmässig, was bedeutet, dass PSPs ihre Systeme fortlaufend neu zertifizieren und sicherstellen müssen, dass ihre Gateways die neuesten Dialekte der 3DS-Nachrichten sprechen können. Es ist keine Integration zum "einrichten und vergessen" — es ist ein lebendes System, das ständige Pflege braucht, damit Transaktionen erfolgreich authentifiziert werden.

Auf der Issuer-Seite verlassen sich Banken auf Access Control Servers (ACS). Das sind spezialisierte Systeme von Anbietern wie Thales, Broadcom, GPayments oder Netcetera, die den Authentifizierungsprozess übernehmen. Wenn ein Karteninhaber eine 3DS-Transaktion initiiert, prüft das ACS des Issuers die Anfrage, bestimmt, ob die Transaktion frictionlessly fortgesetzt werden kann, und löst andernfalls eine Challenge über die vom Bankinstitut gewählte Methode aus (Push-Benachrichtigung, SMS oder biometrische Prüfung). Das ACS gibt dann ein Authentifizierungsergebnis über das Kartennetzwerk an den PSP zurück, der es für die Fortsetzung der Autorisierung verwendet.

Dieser mehrschichtige Handshake hängt von der nahtlosen Koordination mehrerer Systeme ab: dem Gateway des Händlers, dem Acquirer, dem Directory Server des Kartenschemas und dem ACS des Issuers. Wenn eine dieser Ebenen hinterherhinkt oder die Zertifizierung fehlschlägt, können Transaktionen beginnen auszufallen.

Ausnahmen

Während PSD2 SCA zur Regel machte, baute es auch Flexibilität ein. Bestimmte Zahlungen können unter definierten SCA-Ausnahmen auf aktive Authentifizierung verzichten, was reibungslosere Checkouts ermöglicht, ohne gegen das Gesetz zu verstossen. Diese Ausnahmen sind darauf ausgelegt, die Conversion Rates hoch zu halten und gleichzeitig akzeptable Risikoniveaus zu bewahren:

  • Transaktionen mit geringem Wert — typischerweise unter €30, wobei kumulative Limits gelten.
  • Wiederkehrende oder Abonnement-Zahlungen — nach der ersten vollständig authentifizierten Zahlung können nachfolgende Belastungen mit demselben Betrag und demselben Zahlungsempfänger ausgenommen sein.
  • Vertrauenswürdige Begünstigte — Kunden können Händler bei ihrer Bank für zukünftige Transaktionen auf eine Whitelist setzen.
  • Transaction Risk Analysis (TRA) — wenn sowohl der Acquirer als auch der Issuer zertifizierte Betrugssysteme mit geringem Risiko einsetzen, kann SCA für berechtigte Transaktionen umgangen werden.

Der Kompromiss: Liability Shift

Wenn eine Transaktion über 3D Secure authentifiziert und genehmigt wird, verlagert sich die Haftung für betrugsbezogene Chargebacks vom Händler auf den Issuer. Wenn stattdessen Ausnahmen verwendet werden, gilt dieser Schutz möglicherweise nicht. Es wird zu einem strategischen Abwägen: 3DS einsetzen und Schutz gewinnen, aber mögliche Reibung in Kauf nehmen, oder eine Ausnahme beanspruchen und einen reibungsloseren Checkout geniessen, dafür aber das Betrugsrisiko akzeptieren.

Hier glänzen moderne PSPs. Sie fungieren als Orchestrierungs-Engines und wählen dynamisch, ob 3DS ausgelöst, eine Ausnahme angewendet oder über einen anderen Weg erneut versucht werden soll, abhängig von Transaktionsdaten, Issuer-Verhalten und Risikoprofilen. Gute Orchestrierung macht den Unterschied zwischen einem umständlichen 3DS-Schritt und einer nahtlosen Erfahrung aus.

3DS in der Praxis

Für Konsumenten ist 3D Secure heute Teil des alltäglichen Checkout-Lebens — ein unsichtbares Geländer, das dich gelegentlich anstupst. Für Händler und PSPs ist es ein sich ständig bewegendes Ziel aus Compliance, Zertifizierung und Optimierung. Jede Aktualisierung des 3DS-Protokolls, jede Änderung im Verhalten des Issuers und jedes neue Betrugsmuster erfordert Anpassungen im gesamten Ökosystem.

Kurz gesagt: 3D Secure brachte Vertrauen in das Internet-Zeitalter der Zahlungen. PSD2 machte dieses Vertrauen verpflichtend. Zusammen veränderten sie den Online-Handel nicht nur, indem sie Betrug stoppten, sondern auch, indem sie das Prinzip festschrieben, dass jede digitale Transaktion wissen sollte, wer wirklich bezahlt.

Zurück
Wichtige Zahlungsthemen rund um Karten
Die Grundlagen
Weiter
Währungsprodukte — DCC & MCP
Die Grundlagen
Buy Me a Coffee
undefined