Tokenisierung: Neue Standards vereinfachen das Bezahlen

Die verpflichtende Einführung der PSD2-Regulierung ist nun verlängert worden. Welche Bestimmungen enthält die „finale Regulatory Technical Standards (RTS) zur starken Kundenauthentifizierung und sicheren Kommunikation“? Welche Rolle spielt dabei der 3DS-Standard und die Tokenisierung?

PSD2 soll die Transparenz, Innovationskraft und Sicherheit von Zahlungsdienste-Anbietern erhöhen, damit die Kunden von einem besser vernetzten System profitieren und ein offeneres Banking-Erlebnis haben. In diesem Umfeld erfordert jede elektronische Transaktion eine starke Kundenauthentifizierung, die den Bezahlvorgang für den Kunden sicherer macht. Zusätzlich soll PSD2 den Missbrauch der Karten eindämmen und helfen, Betrug zu verhindern.

Der 3DS-Standard ist ein Instrument, um genau diesen Anforderungen gerecht zu werden. Der häufigste Betrug betrifft nämlich Kartenzahlungen. Auch „digitaler Datenklau” ist ein Problem. 3DS überprüft die Identität des Konsumenten gleich zu Beginn jeder Transaktion und reduziert so das Betrugsrisiko.

Der inzwischen in die Jahre gekommene 3DS-1.0-Standard setzte ursprünglich auf Authentifizierungsmethoden wie Passwörter, die oft vergessen wurden und zu vielen Zahlungsabbrüchen führten. Sie sind entsprechend unpopulär. Zudem war bei der Entwicklung des 1.0 Standards vor über einem Jahrzehnt das Bezahlen auf Mobiltelefonen nicht verfügbar, sondern funktionierte nur browserbasiert.

Mit dem 3DS Standard der zweiten Generation (2.1, 2.2) gibt es zahlreiche Verbesserungen wie einen „frictonless flow“, die Unterstützung von nativen Apps und das Übertragen von relevanten Kundendaten vom Händler an die Bank. Diese deutlich umfangreicheren Informationen werden dann von der Bank zur Risikobewertung eingesetzt und erzeugen im Regelfall deutlich bessere Erfolgsraten. Zudem erlaubt diese neue, risikobasierte Prüfung neue Formen der Authentifizierung wie beispielsweise biometrische Verfahren auf Mobiltelefonen, bei denen der Nutzer über eine App Zahlungen freigeben kann.

Quelle: NetceteraQuelle: Netcetera

Sehen Sie beim PSD2-Standard noch Verbesserungsmöglichen, insbesondere für Benutzer?

Aktuell ist noch eine Reihe von Ausnahmen bei starker Authentifizierung möglich, wie bei der Zahlung von Kleinbeträgen unter 30 Euro. Es können aber auch fünf Zahlungen hintereinander für „kleine“ Beträge ohne Authentifizierung durch den Kunden getätigt werden. Kunden können häufig von ihnen frequentierte Händler auf eine sogenannte Whitelist, also eine Positivliste von vertrauenswürdigen Zahlungsempfängern setzen, die von ihrer Bank oder Sparkasse geführt wird.

Whitelist-Händler sind von der starken Kundenauthentifizierung regulatorisch ausgenommen, es sei denn, der Kartenherausgeber sieht wegen besonderen Risikofaktoren trotzdem die Notwendigkeit, eine Zwei-Faktor-Authentifizierung zu verlangen. So können Kunden, die regelmäßig bei einem bestimmten Unternehmen einkaufen, auf die starke Authentifizierung für jeden einzelnen Kaufvorgang verzichten und den Zahlvorgang vereinfachen.

Für den Konsumenten ist die Logik des Bezahlsystems oftmals nicht nachvollziehbar, da Banken in der Regel unterschiedliche Authentifizierungsverfahren einsetzen. Dem Nutzer bleibt oft schleierhaft, warum er manchmal aufgefordert wird, sich zu identifizieren und ab und zu auch nicht. Hier fehlt es noch an Aufklärung.

Quelle: NetceteraQuelle: Netcetera

Warum kommt es bei Bezahlvorgängen auf Shopping-Webseiten zu Abbruchsraten von bis zu 70 Prozent seitens der Nutzer?

Gute Frage! Die hohen Abbruchraten lassen sich darauf zurückführen, dass der Wechsel zu 3DS 2.x nicht schnell genug geht. Aktuell müssen sich Konsumenten noch immer bei den Online Shops registrieren, um etwas zu kaufen. Dies führt oft dazu, dass Zahlungen abgebrochen werden, weil die Kunden lieber zu einem Shop wechseln, wo sie bereits registriert sind, als alle Daten nochmal einzutippen. Generell gilt: Die Aufforderung zur Neu-Registrierung in Wallets oder andere Unterbrechungen bei Zahlungsvorgängen sind der Hauptgrund für hohe Abbruchraten. Aber es gibt Hoffnung. Wenn alle Banken PSD2 erfüllt haben – also spätestens im September 2020 – erwarten wir, dass die Abbruchraten signifikant sinken. Dies setzt allerdings voraus, dass die Nutzer durch Banken und den Handel adäquat informiert werden.

Wie könnte die Tokenisierung die angesprochenen Probleme im Zahlungsverkehr und insbesondere die Kaufabbrüche beseitigen?

Bei der Tokenisierung werden sensible Kartendaten durch einen Token ersetzt. Durch das Verfahren geht zudem die technische Ablehnungsrate von Zahlvorgängen durch den Herausgeber der Karten zurück, weil er besser einschätzen kann, ob eine Transaktion authentisch ist oder nicht. Über die Tokenisierung wird der Händler zudem mit dem Kartenherausgeben über die Schemes verbunden, was ermöglicht, dass beispielsweise abgelaufene Kartendaten automatisch erneuert werden können.

In der Praxis sollte die Abbruchrate durch die Tokens vier bis neun Prozent geringer sein, wie Tests von Scheme Networks gezeigt haben. Im Vergleich wurden Transaktionen sowohl via Kreditkartennummern (PAN) als auch via Token eingereicht. Die Akzeptanz und Sicherheit von Tokens waren deutlich höher.

Wie lassen sich Bezahlvorgänge beim Check-out automatisieren, sodass der Benutzer den Vorgang einfach abschließen kann?

Mit dem neuen Standard namens „Secure Remote Commerce“ (SRC) lassen sich Bezahlvorgänge automatisieren. Damit wird das Bezahlen mittels Kredit- und Debitkarte im Internet signifikant einfacher und zugleich sicherer. In den USA haben erste Händler seit wenigen Monaten SRC bereits unterstützt. Die Initiative, die von der EMVCo getragen wird, kommt im Lauf der nächsten 12-18 Monate auch nach Europa.

Heute ist die Eingabe von Kreditkarteninformationen auf Händler-Webseiten mit hohen Abbruchraten verbunden, da Kunden es insbesondere auf mobilen Geräten als zu umständlich empfinden, ihre Karten- und Kundendaten immer wieder einzugeben. SRC ermöglicht über alle Schemes hinweg ein konsistentes und bequemes Kundenerlebnis für Remote-Zahlungen. Netcetera ist Mitglied des internationalen Standardisierungsgremiums EMVCo und unterstützt die Entwicklung des Standards in technischen und betrieblichen Fragen.

Welche Entwicklungen und Innovationen sehen Sie in der nächsten Zeit bei Zahlungssystemen und insbesondere im Bereich Tokenisierung?

Die Tokenisierung im E-Commerce trägt dazu bei, das Risiko bei Speicherung und Verarbeitung von Kartendaten weiter zu verringern. Wer Kreditkartennummern (PAN) nicht gut schützt, muss heute nämlich mit extremen Kosten rechnen, wenn sie gestohlen werden. Gerät jedoch ein Token in die falschen Hände, ist die ursprüngliche PAN nicht betroffen – und somit muss die Plastikkarte auch nicht umgetauscht werden. Stattdessen wird nur das kompromittierte Token blockiert. Die Tokenisierung ermöglicht so die Bezahlvorgänge auf allen Arten von Geräten und Kanälen.

Zudem besteht eine indirekte Verbindung vom Händler über die Payment Service Provider via dem TSP (Token Service Provider) zum Kartenherausgeber. Diese Verbindung hat zwei wesentliche Vorteile: Der Kunde sieht erstens sein echtes Kartenbild und seine Kartendaten. Zweitens wird der zugewiesene Token-Inhaber – beispielsweise ein Händler – informiert, sobald die Herausgeber eine Karte aktualisieren oder erneuern. Bisher ist die Akzeptanz wiederkehrender Zahlungen eine Herausforderung, da etwa drei Prozent der gespeicherten Karten jeden Monat ablaufen und ihre Gültigkeit verlieren.

Auch weitere Vorteile sind überzeugend: Tokenisierung erhöht die Sicherheit durch das Hinzufügen von Kryptogrammen zu den Transaktionen. In der Folge bekommen Händler so deutlich höhere Zustimmungsrate.

Weiter ist Tokenisierung die Basistechnologie für „Delegated Authentication”, durch die der Handel den Kunden authentifiziert und nicht mehr wie früher üblich die Bank. Für den Konsumenten bedeutet dies einen bequemen Zahlvorgang mit der App des Händlers. So gewinnen alle: Banken und Handel sowie die Nutzer.

Welche Rolle werden Ihrer Ansicht nach Cyberwährungen wie Bitcoin oder Libra spielen?

Kryptowährungen sind aktuell eher Spekulationsobjekte und keine wirklichen Währungen. Es fehlt an der Regulierung beispielsweise durch die BaFin, auch ist die Nutzung von Daten unklar. Daher spielen diese Währungen als Alltags-Zahlungsmittel nach wie vor eine untergeordnete Rolle.

Wie werden Zahlungsanbieter wie auch Onlineshops auf die neuen Entwicklungen reagieren?

Generell ist es immer eine gute Idee, ein Auge für innovative Technologien zu haben, um frühzeitig für die Zukunft gerüstet zu sein. Konsumenten wollen sicher und komfortabel einkaufen. Nur Unternehmen, die dies gewährleisten, sind in der Lage, Conversions zu steigern und können damit langfristig erfolgreich sein. (Stefan Girschner)

Kurt Schmid verantwortet seit Anfang 2017 als Managing Director die Digital Payment Division der Netcetera. Diese entstand aus der Übernahme der Nexperts GmbH, einem Mobile Payment und NFC-Spezialisten aus Österreich, die von Kurt Schmid gegründet wurde. Zuvor war er Geschäftsführer der Omnikey und Utimaco Safeware und hat mehr als 25 Jahre Erfahrung in Smartcards und Security. Kurt Schmid hat Betriebs- und Verwaltungsinformatik an der Johannes-Kepler-Universität Linz studiert.

Martina Forster ist Senior Product Manager für Payment Security bei Netcetera.

Lesen Sie zum Thema PSD2 auch: Warum Verbraucher Zahlungsprobleme beim Einkaufen befürchten