3D-Secure-Verfahren: Neue Online-Kreditkartenzahlung ab Januar 2021

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print

Interview mit Ralf Gladies, Geschäftsführer der Firma Computop, in dem er über die Veränderungen im ePayment durch das 3D-Secure-Verfahren seit Januar 2021 spricht.

3D-Secure-Verfahren

Carolina Heyder: Herzlich Willkommen zum e-commerce magazin Podcast – das Fachmagazin für den Geschäftserfolg im Internet. Mein Name ist Carolina Heyder. Ich bin IT-Fachredakteurin und Sie hören einen Podcast des WIN-Verlags. Heute sprechen wir über das Thema ePayment und darüber, dass Kreditkarten ab Januar 2021 nur noch über das 3D-Secure-Verfahren funktionieren. Unser heutiger Gast in diesem Podcast ist Ralf Gladies, Geschäftsführer vom ePayment-Anbieter Computop

Herzlich Willkommen, Herr Gladies! Schön, dass Sie bei uns sind. Wie erwähnt, werden Kreditkartenzahlungen ab dem kommenden Jahr nur noch mit 3D-Secure-Verfahren funktionieren. Was bedeutet das? Und können sich es Banken überhaupt leisten, Zahlungen ohne 3D-Secure-Verfahren abzulehnen?

Ralf Gladies: Nein, eigentlich können es sich Banken nicht leisten, Kreditkartenzahlungen ohne 3D-Secure-Verfahren abzulehnen, weil sie damit ihr Kreditkartengeschäft torpedieren. Es gibt genügend Konkurrenz zur Kreditkarte und die Einführung von 3D-Secure soll die Kreditkartenzahlungen im Internet eigentlich komfortabler machen. Die Banken sind aber rechtlich dazu verpflichtet, Zahlungen stärker abzusichern, denn die Europäische Zentralbank verlangt ab dem 01.01.2021 eine 2-Faktor-Authentifizierung. Also reicht es nicht mehr, nur ein 3D-Secure-Passwort einzugeben, sondern man muss sich mit zwei Faktoren authentifizieren, z. B. mit einem Passwort oder mit einer App und einem Fingerabdruck oder einem Gesichtsscan. Einen Faktor nennt man “Haben”, das ist z. B. ein Handy, das ich in der Hand habe. “Wissen” ist ein Passwort und “Sein” ist eine biometrische Authentifizierung. Ohne diese 2-Faktor-Authentifizierung müssen die Banken die Zahlungen ablehnen.

Veränderung durch 3D-Secure-Verfahren bleibt nicht ohne Risiko

Und was meinen Sie, wie wirkt sich die harte Durchsetzung des Verfahrens sowohl für die Konsumenten als auch für die Händler aus?

Für die Konsumenten bedeutet das 3D-Secure-Verfahren an sich keine große Änderung, weil die meisten Menschen in Deutschland “3D-Secure 1.0” schon kennengelernt haben. Da reichte bisher ein Passwort, um Kreditkartenzahlungen abzusichern, also der Faktor “Wissen”. In Zukunft werden die meisten Kunden ihre Kreditkartenzahlungen aber mit einer App auf dem Smartphone absichern müssen – wie z. B. beim Online-Banking – um dann mit einer PIN und Fingerabdruck oder mit einem Gesichtsscan die Zahlungen wirklich mit zwei Faktoren abzusichern. Für den Handel ist das eine Veränderung, die nicht ohne Risiko bleibt. Denn die Frage, die sich im Handel jetzt natürlich stellt, ist: Haben die Kunden die App der Bank? Sind die Kunden wirklich alle für 3D-Secure registriert und können die Kunden, wenn sie die App haben, dann auch tatsächlich damit umgehen? Laut Zahlen, die wir kürzlich gemeinsam mit unserem Kunden Media Saturn veröffentlicht haben, waren noch relativ viele Kunden nicht registriert für 3D-Secure. Das war im September, da haben die Banken hoffentlich nachgelegt.

Das wollen wir hoffen. Aber ehrlich gesagt, frage ich mich, ob das nicht eigentlich ein Problem der Banken ist. Oder warum soll der Handel so einen Aufwand betreiben, nur damit die Kreditkarte weiterhin funktioniert?

Da haben Sie natürlich vollkommen Recht. Im Prinzip müssen zuallererst die Banken ihre Kunden informieren und dafür sorgen, dass sie für das 3D-Secure-Verfahren registriert sind. Da ist schon einiges passiert, aber wie unsere Statistiken zeigen, ist offensichtlich noch nicht genug passiert. Es hat keinesfalls jeder 3D-Secure zur Verfügung. Auf der anderen Seite funktionieren die Kreditkartenzahlungen aber ab dem 01.01.2021 nicht mehr. Der Handel steht zwischen dem Konsumenten und seiner Bank, um die gesetzlichen Anforderungen zu erfüllen – also die 2-Faktor-Authentifizierung. Deshalb ist es notwendig, dass Kreditwirtschaft und Handel zusammenarbeiten. Und die Zahlungsdienstleister, wie z. B. mein Unternehmen Computop, helfen dabei. Wir schaffen sozusagen die technische Lösung, die Verbindung zwischen den Banken und den Händlern. Die Kreditkarte ist auch sehr wichtig für den Online-Handel – viel wichtiger, als es oft dargestellt wird. Denn mit der Kreditkarte können Kunden aus aller Welt zahlen. Sie ist sehr flexibel, man kann Geld auf so einer Karte reservieren und man kann Gutschriften oder Teilgutschriften für Retouren machen. Die Kreditkarte zu fördern, ist eigentlich im Sinne des Händlers. Aber es ist auch sehr gut, sich darauf vorzubereiten, möglichst viele alternative Zahlarten zur Kreditkarte zur Verfügung zu haben, wenn die Kunden bei der Umstellung auf das 3D-Secure-Verfahren Schwierigkeiten haben, damit keine Zahlungen ausfallen.

Händler rüsten sich für Einführung des 3D-Secure 2 Standards

Aber da stellt sich auch noch die Frage, was genau ein Händler tun muss, wenn er sich noch schnell für die Einführung von 3D-Secure 2 rüsten will?

Es ist tatsächlich so, dass wir jetzt schon zwei Jahre an dem Thema arbeiten, aber es gibt tatsächlich – wie ich aus eigener Erfahrung mit unserem Kundenstamm sagen kann – immer noch einige Händler, die noch nicht auf 3D-Secure 2 umgestellt haben. Denen, die noch gar nichts getan haben bei der Umstellung der Kreditkarte auf den neuen Standard, würde ich raten, 3D-Secure 1.0 einzustellen, weil es das schnellste ist was man jetzt noch machen kann und die Voraussetzung dafür, dass Kreditkartenzahlungen überhaupt noch funktionieren. Das wird für den Kunden, wenn man bei 3D-Secure 1.0 stehen bleibt, ein bisschen unangenehm, weil er dann bei jeder Zahlung die Authentifizierung machen muss. Besser ist es, man schafft es jetzt noch, den neuen 3D-Secure 2 Standard einzuführen. Das bedeutet, dass der Händler Daten sammeln muss, die er sowieso schon hat. Die werden dann an die Bank übergeben, wie die Rechnungsadresse, die Lieferadresse, aber auch Daten wie die IP-Adresse oder die Information, wie lange der Kunde schon Kunde ist, ob er schon registriert oder neu ist. Damit können die Banken in Zukunft selber eine Risikoanalyse machen und wenn die Banken zu dem Ergebnis kommen, dass diese Zahlungen kein großes Risiko darstellen, dann fragen sie den Kunden auch gar nicht nach Passwort oder Fingerabdruck. Das ist natürlich ein sehr viel schlankerer Prozess. Der Händler, der viele Daten mitgibt, kann darauf hoffen, dass seine Kunden gar nicht zur Passwort- oder Gesichtserkennung aufgefordert werden. Die Bank erkennt, dass Ralf Gladies in Bamberg sitzt, das übliche Gerät und die übliche IP-Adresse hat. Dann braucht man keine Sicherheitsabfrage machen und kann einfach durch. Dadurch kriegt der Handel eine bessere Konversion und das ist eigentlich auch das Ziel von 3D-Secure 2.

Apropos Aufwand: Gibt es für Händler eine Art Hintertürchen, um das zu vermeiden? Wie Sie gerade erwähnt haben, muss man 3D-Secure im Online-Shop einführen, zusätzliche Daten sammeln und diese auch noch übermitteln – wirklich sehr viel Aufwand.

Ja, das ist Aufwand. Ob es sehr viel Aufwand ist, vermag ich nicht zu sagen. Es hängt vom Einzelfall ab. Ein interessantes “Hintertürchen” – es ist ganz offiziell und korrekt – gibt es aber tatsächlich für größere Händler und zwar nennt sich das “Delegated Authentication”, d. h. sowohl der Gesetzgeber, die PSD II, als auch Visa und Mastercard erlauben dem Handel selber mit Biometrie die 2-Faktor-Authentifizierung durchzuführen. Das bedeutet, dass der Händler seinen Kunden z. B. beim Login in den Online-Shop statt nach einem Passwort nach einer biometrischen Authentifizierung mit Fingerabdruck oder mit der Gesichtserkennung fragt. Das hat für den Kunden den Vorteil, dass er sein Passwort vergessen kann, weil er einfach den Daumen oder sein Gesicht nutzt. Außerdem kann dann genau diese Authentifizierung auch benutzt werden, um hinterher die Zahlungen abzusichern, d. h. man durchläuft einen ganz normalen Bestellprozess und wenn man zur Zahlung kommt, sichert man die Kreditkartenzahlung wieder mit dem Daumenabdruck oder mit der Gesichtserkennung ab, also was man vorher schon für den Login in den Shop benutzt hat. Das ist dann gelerntes Verhalten und hat den Vorteil, dass der Händler die Kontrolle über die User Experience hat. Wenn der Kunde ansonsten immer die Authentifizierung der Bank nutzen muss, dann weiß der Händler eigentlich gar nicht wirklich, was da passiert oder was seinem Kunden zustößt, wenn er die Authentifizierung versucht. Deswegen sind gerade größere Händler, die auch international tätig sind, daran interessiert, die Authentifizierung selber zu regeln, aber da sind die Banken – gerade in Deutschland – leider noch zurückhaltend. Die sehen das nicht so gerne und sind der Meinung, dass sie das nur selber können. Aber das stimmt natürlich nicht, denn sowohl das Gesetz als auch Visa und Mastercard lassen das zu.

3D-Secure-Verfahren: Positiver Trend ist erkennbar

Womit rechnen Sie persönlich am 1. Januar?

Fakt ist, dass weder alle Händler, noch alle Banken oder alle Kreditkartenunternehmen fertig sind. Es gibt verschiedene Standards von 3D-Secure. 3D-Secure 2.1 und 2.2 sind im Moment die Standards, die im Einsatz sind. Das spielt deshalb eine Rolle für den Handel, weil zum Beispiel bei Visa die Ausnahmeregelungen, also dass die Bank auf die Abfrage von biometrischer Authentifizierung oder von Passwörtern verzichten kann, nur mit 3D-Secure 2.2 funktionieren. Das hat aber tatsächlich noch nicht jeder Acquirer und noch nicht jede Bank implementiert. Das hat für den Händler den Nachteil, dass da, wo es nicht implementiert ist, der Kunde bei jeder Kreditkartenzahlung immer wieder gefragt wird, da er die Zahlung absichern muss. Die ganzen Ausnahmeregelungen, von denen wir vorhin gesprochen haben – dass das Risiko niedrig eingeschätzt wird und der Kunde dann ohne Passwortabfrage einfach durch den Prozess durchläuft – die funktionieren dann noch nicht. Das ist aber wahrscheinlich nur eine Frage von ein paar Monaten. Aber wenn Sie mich fragen, was ich am 1. Januar erwarte, dann, dass wir ständig unsere Kreditkartenzahlungen absichern müssen, zumindest alle Kreditkartenzahlungen über 50 Euro. Kleinere Händler sind wahrscheinlich nicht so gut vorbereitet, wie sie sein sollten und größere Händler arbeiten oft schon seit anderthalb Jahren daran und testen auch. Wir haben uns mit Media Saturn, aber auch mit unserem Kunden Otto, Statistiken angesehen und festgestellt, dass die 3D-Secure-Zahlungen sich durchaus positiv entwickeln. Wir hatten von Januar bis Juli bei 3D-Secure 2, also bei dem neuen Verfahren, noch eine Ablehnungsrate von 38 Prozent und von jetzt ab September sehen wir eine Ablehnungsrate von 32 Prozent. Also es ist durchaus besser geworden.

Es müsste aber noch viel besser werden oder?

Ja, absolut, aber das wird ein bisschen dauern. Der positive Trend ist erkennbar. Ich gehe davon aus, dass die Kreditkartenzahlungen funktionieren werden, das ist keine Frage. Aber, die Anzahl der Passwortabfragen oder die 2-Faktor-Authentifizierung, wofür man oft das Handy brauchen wird, das wird noch sehr häufig sein, bis die Zahlungen tatsächlich zu 95 Prozent ohne Authentifizierung funktionieren, sodass der Kunde den den Bezahlprozess einfach durchläuft. Wir rechnen bei Computop damit, dass das noch lange dauern wird. Da gehen sicherlich noch einige Monate ins Land, weil die Banken und die Acquirer noch etwas tun müssen und auch die Händler noch einige Arbeit zu leisten haben, z. B. bei der Datenübergabe, wie vorhin beschrieben.

Es bleibt zu hoffen, dass es nicht so lange dauert. Herr Gladies, vielen Dank für das informative aber auch sehr nette Gespräch.

Sehr gerne Frau Heyder.

Hören Sie gerne auch unsere Folge zum Thema Alternative Finanzierungen für Unternehmen.

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on xing
XING
Share on whatsapp
WhatsApp
Share on email
E-Mail
Share on print
Drucken

Ihre Meinung zum Podcast

Abonnieren
Benachrichtige mich bei
guest
0 Kommentare
Inline Feedbacks
View all comments

Redaktionsbrief

Tragen Sie sich zu unserem Redaktionsbrief ein, um auf dem Laufenden zu bleiben.

Wir wollen immer besser werden!

Deshalb fragen wir SIE, was Sie wollen!

Nehmen Sie an unserer Umfrage teil, und helfen Sie uns noch besser zu werden!

zur Umfrage

Aktuelle Ausgabe

Topthema: Hacked

Security

Mehr erfahren

Tragen Sie sich jetzt kostenlos und unverbindlich ein, um keinen Artikel mehr zu verpassen!

Form is deprecated, please cotact the webmaster to upgrade this form.

* Jederzeit kündbar

Entdecken Sie weitere Magazine

Schön, dass Sie sich auch für weitere Fachmagazine unseres Verlages interessieren.

Unsere Fachtitel beleuchten viele Aspekte der Digitalen Transformation entlang der Wertschöpfungskette und sprechen damit unterschiedliche Leserzielgruppen an.