Tokenisierung: Lösung für verschiedene Payment-Probleme im E-Commerce

Das Thema Payment wird auch mit der Einführung der Strong Customer Authentication (SCA) ab dem 14. September nicht abgeschlossen sein. Denn das neue Verfahren bleibt komplex. Einen Ausweg zur Verbesserung der Zahlungsprozesse im E-Commerce bietet die Tokenisierung.

Es gibt gute Argumente, die Tokenisierung weiter voranzutreiben: größere Sicherheit, geringeres Risiko bei den Payment-Service-Providern und Händlern, weniger operativer Aufwand und eine prognostizierte geringere Abbruchrate bei den Konsumenten – das sind gute Argumente, um die Tokenisierung weiter voranzutreiben.

Das Problem betrifft alle Beteiligten. Ob Kunden, Banken, Händler oder Payment-Service-Provider – sie alle leben beim Bezahlungsvorgang mit Abbruchraten von rund 70 Prozent. Verantwortlich dafür sind verschiedene Faktoren – insbesondere auf mobilen Geräten, wie die mühsame Eingabe der Kartendaten, Vergessen von Passwörtern zur Autorisierung und weitere Anforderungen. Zudem beruht die Sicherheit von traditionellen Zahlungen mit dem CNP-Verfahren (Card Not Present) auf einer geringen Vertraulichkeit von Kreditkartendaten (Payment Account Number (PAN), Ablaufdatum (Expiry-Date) und CVC-Nummer (Kartenprüfnummer) und damit im Wesentlichen auf der Sicherheit der 3-D-Secure-Autorisierung (3DS). Die Autorisierung erfolgt per Passwort, per SMS-TAN oder moderner Push-TAN über die Banking App.

PSD2-Regulierung fordert 2-Faktor-Authentifizierung

Mit den „finalen Regulatory Technical Standards (RTS) zur starken Kundenauthentifizierung und sicheren Kommunikation“ der PSD2-Regulierung wird es ab dem 14. September 2019 verpflichtend – wenn der Zeitraum der Einführung nicht verlängert wird –, die sogenannte Strong Customer Authentication (SCA) einzuführen. Damit müssen zwei voneinander unabhängige Faktoren verwendet werden, zum Beispiel die Registrierung eines Gerätes (Besitz des Smartphones) und Validierung des Fingerabdrucks (Eigenschaft des Benutzers). Die Hürde für den Konsumenten, insbesondere was die Registrierung betrifft, wird dadurch noch höher. Untersuchungen von Mastercard und WordPay haben ergeben, dass die Rate der Ablehnung bei Verwendung von 3DS 24 Prozent beträgt, während sie ohne 3DS bei nur 17 Prozent liegt. Das bedeutet, dass mit der Verpflichtung für die Verwendung von 3DS weniger Transaktionen erfolgreich bestätigt werden. Zudem ist die Betrugsrate (Fraud-Rate) bei Card-Not-Present-Zahlungen um das Zehnfache höher als bei Card-Present-Zahlungen, die über ein Kryptogramm deutlich besser gesichert werden.

Tokenisierung kann viele Probleme beseitigen

Mithilfe der Tokenisierung lassen sich diese Probleme beseitigen. Sie ist seit ein paar Jahren stark im Kommen und wird bereits im Bereich des mobilen kontaktlosen Bezahlens eingesetzt. Sowohl OEM Pays als auch HCE-Lösungen von Banken verwenden nicht die originären Kartendaten, sondern lassen von Token Services für eine Nutzung auf einem Gerät eingeschränkte Tokens erzeugen.

Durch die Tokenisierung bei der Kreditkartennutzung werden Zahlungen damit sicherer, da die Kreditkartendaten bei bargeldlosen Zahlungen verschlüsselt werden. Davon profitieren Verbraucher wie auch Kreditkarteninhaber und Händler. Bezahlprozesse werden per Tokenisierung flexibler, sicherer und vor allem kostengünstiger. Dieses Verfahren eignet sich für den Onlineshops wie auch POS-Commerce.

Der Händler trägt eine verminderte Verantwortung für die Kartendaten der Kunden, gewinnt aber mehr Sicherheit. Es handelt sich um eine einfache PCI-Compliance für Händler. Damit werden Risiken durch die Übertragung und Speicherung sensibler Kreditkartendaten sowie durch kriminelles Ausspähen vermieden. Zudem vereinfacht das Verfahren den Arbeitsprozess des in den Bezahlungsvorgang eingebundenen Händler und reduziert die Kosten.

Tokenisierung: so funktioniert das neue Verfahren

Das Verfahren der Tokensierung ist schnell erklärt. Ein Kunde bezahlt zum Beispiel online mit Kreditkarte. Er gibt für den Bezahlvorgang seine 16-stellige Kreditkartennummer ein. Die Kreditkartendaten werden über die Website an den Tokenisierungs-Server gesendet, der diese Karte beim Herausgeber überprüft. Stimmt der Herausgeber zu, so wird ein Token erstellt (eine neue Kartennummer) und wieder an den Handler übertragen. Dieser Token ist dem Händler zugeordnet und kann nicht anderer Stelle verwendet werden. Der Händler muss die im Sicherheitsscope (PCI-DSS Anforderung) befindliche PAN nicht speichern, sondern kann den weniger sicherheitskritischen Token speichern.

Die Vorteile der Tokenisierung im Überblick:

• Benutzer brechen Checkout-Vorgänge seltener ab, da der Ablauf deutlich einfacher und schneller erfolgen kann
• Die Entkoppelung von physischen Kartendaten vermeidet Ablehnungen wegen Kartenablauf oder Kartenwechsel
• Durch verbesserte Security Maßnahmen werden Tokentransaktionen deutlich seltener abgewiesen
• Payment Service Provider und Händler tragen ein deutlich geringeres Risiko
• Weniger operativer Aufwand für den Issuer, also für die Bank, die Kredit-, Debit- oder Prepaidkarten an Kunden ausgibt
• Bessere Übersicht und Sicherheitsempfinden für den Benutzer, da er sieht, wo seine Tokens verwendet werden

Diese Vorteile verbessern insgesamt den Abschluss der gewünschten Online-Aktion (Conversion) signifikant. Experten erwarten mindestens eine um zehn Prozent gesteigerte Conversion-Rate. Daher sind die Händler motiviert, diese Technologie möglichst schnell zu implementieren. Zusätzlich ist zu erwarten, dass es weitere Anreize geben wird, Tokenisierung einzusetzen. Hierzu zählen:

• Niedrige Gebühren für e-Commerce-Transaktionen, die mit Kryptogrammen und Tokens gesichert werden
• Mandate, FPAN nicht mehr für e-Commerce-Transaktionen zuzulassen
• Haftungsumkehr (Liability Shift) auf Händler für herkömmliche CNP („Card Not Present“) – Transaktionen

Tokenisierung: Ausblick auf die künftige Entwicklung

Die Tokenisierungs-Dienste der Schemes wie Visa oder Mastercard sind bereits seit langem für Device-Tokenisierung im Einsatz. Dies betrifft solche Dienste für Issuer Wallets und OEM Pays in fast allen Ländern Europas. Zudem sind viele Aussteller bereits an diese Services angeschlossen. Man rechnet, dass bis Ende 2019 nur ein kleiner Teil (unter fünf Prozent) des europäischen Kartenportfolios nicht an MDES (MasterCard Digital Enablement Service) und VTS (Visa Token Service) angeschlossen sein werden.

Die Schemes erfordern, dass Tokenisierungsanforderungen von Händlern immer beantwortet werden müssen. Alle Aussteller, die noch nicht an die TSP (Token Service Provider) angebunden sind, werden einen kostenpflichtigen On-Behalf-Service anbieten müssen. Damit ist zu erwarten, dass in Europa bis Ende 2019 alle Karten zur Digitalisierung im Händlerumfeld bereitstehen werden.

Quelle: NetceteraQuelle: Netcetera

Über den Autor: Kurt Schmid verantwortet als Managing Director seit Anfang 2018 die Division Digital Payments bei Netcetera. Diese entstand aus der Übernahme der Nexperts GmbH, einem Mobile-Payment- und NFC-Anbieter in Österreich, deren Gründer und Geschäftsführer Kurt Schmid war. Zuvor war er Geschäftsführer der Omnikey und Utimaco Safeware. Schmid ist seit über 25 Jahren in den Bereichen Smartcards und Security tätig. (sg)

Mehr zum Thema Bezahlsysteme: PSD2-Regulation: Das müssen jetzt Händler und Zahlungsdienstleister wissen