3D Secure – Was ist das und was sollte man darüber wissen?

Als Produktmanager kommt man mitunter mit Themen in Berührung, von denen man so gar keine Ahnung hat, die allerdings einen nicht zu unterschätzenden Einfluss auf einen Teilbereich des Produktes haben. Eines dieser Themen heißt „3D Secure“ und hat mit Bezahlverfahren zu tun. Falls ihr mit eurem Produkt also Geld verdienen wollt und dazu verschiedene Bezahlverfahren integriert habt, dann könnte 3D Secure einen Einfluss auf eure Conversion haben.

Unser Gastautor Moritz Königsbüscher, freier Payment-Berater und Produktmanager, macht mit uns einen Ausflug in die Welt des Payments und erklärt uns, worum es sich bei 3D Secure handelt und was es dazu aus Produktmanagement-Sicht zu wissen gibt.

Die Idee

3D Secure ist das Verfahren, welches unter klangvollen Namen wie “Verified by Visa”, “Secure Code” (MasterCard) und “Safe Key” (Amex) benutzt wird. 3D Secure wurde bereits im Jahr 2000 konzipiert – viele Jahre bevor Smartphones erfunden wurden.

Das Ziel von 3D Secure ist, Kartenzahlungen im Web sicherer zu machen. Dabei wird der Karteninhaber authentifiziert, indem er ein Merkmal (Passwort, SMS-Token, etc.) eingibt, welches nur er und die Bank, bei der er seine Kreditkarte führt, kennt. Damit soll verhindert werden, dass Käufe mit gestohlenen Kreditkarten autorisiert werden können – in der Annahme, dass Betrüger (Fraudster) dieses Merkmal zwischen Karteninhaber und Bank in der Regel nicht kennen.

Mit 3D Secure einher geht die sogenannte Haftungsumkehr (liability shift), welche für den Händler durchaus vorteilhaft ist: Wenn es trotz des Einsatzes von 3D Secure zu einer Rückbuchung (Chargeback) mit Betrugs-Hintergrund kommt, haftet die Karten führende Bank für den Schaden. Das hat dabei zwei positive Effekte für den Händler: Zum einen muss er den entsprechenden Betrag nicht zurückerstatten und zum anderen zählt der Chargeback auch nicht zur Berechnung der recht strengen Obergrenzen von Chargebackquoten von VISA und MasterCard. Die Quoten-Obergrenzen für Fraud gelten dann aber weiterhin – diese sind aber auch weniger streng.   

Hier ist aber auch wichtig zu wissen, dass die Haftungsumkehr bei 3D Secure eben nur für betrügerische Transaktionen gilt. Chargebacks aufgrund von schlechtem oder keinem Service seitens des Händlers, Chargebacks aufgrund von Abozahlungen trotz bereits gekündigtem Abo etc. fallen nicht unter die Haftungsumkehr und können so durch 3D Secure nicht vermieden werden.

Brauchen wir das?

Die spannende Frage zu 3D Secure ist: Brauchen wir das eigentlich?

Die Enttäuschung dabei gleich zu Anfang: Die Frage ist nicht mit einem einfachen Ja oder Nein zu beantworten. Am Ende sind es zwei Metriken, die in Balance gehalten werden müssen, nämlich Conversion und Chargebacks. Oder anders ausgedrückt: Geringerer Umsatz aufgrund von schlechterer Conversion vs. höhere Kosten durch Chargebacks (inkl. dem Risiko, die erlaubten Chargebackquoten der Schemes zu überschreiten)

Folgende Parameter sind bei der Entscheidung für oder gegen 3D Secure zu beachten:

Vertrautheit des Endkunden mit dem 3D Secure Verfahren

Je vertrauter der Endkunde mit dem Verfahren ist, desto weniger wird die Conversion negativ beeinflusst:

  • Viele Banken verwenden hinterlegte Passwörter für die Authentifizierung des Kunden. Wenn der Kunde nur selten im Web einkauft oder das 3D Secure Verfahren generell nur selten verwendet wird ist die Chance hoch, dass der Kunde sich nicht mehr an das Passwort erinnert. Das führt dann zum Kaufabbruch oder im besten Fall zu einem aufwändigen Passwort-Recovery Prozess.
  • Die Nutzung bzw. die Verbreitung von 3D Secure ist vom Land abhängig, aus welchem der Kunde kommt. Nach einer Studie von Adyen wurde die durchschnittliche Conversion-Rate bei UK-Händlers um 3% verbessert. Aber auch da ist das Ergebnis nicht allgemeingültig: Bei Käufen mit Debit-Karten war die Verbesserung deutlich, bei Käufen mit  Business-Karten war die Conversion schlechter.

Die Usability des 3D Secure Verfahrens

Je schlechter die Usability, desto schlechter die Conversion. Beispiele für schlechte Usability:

  • Üblicherweise ist der 3D-Dialog in einem iFrame auf der Seite des Händler eingebunden. Dadurch kann der User nur umständlich erkennen, von wo der Dialog tatsächlich kommt.
  • Implementierung des 3D Screens als Popup Fenster. Per Default verhindern die allermeisten Browser das automatische Öffnen von Popups. Unterdrückte Popups sind teilweise kaum erkennbar und führen zu Verwirrung beim User. Im schlimmsten Fall probiert der User die Zahlung erneut und mehrfach, bis die beim Händler hinterlegten Fraud-Checks die Zahlung aufgrund von zu vielen Fehlversuchen ohne Ausnahme ablehnen.
  • Verwendung von Styles (Schriftgrößen, Farben, …), die komplett anders aussehen, als die der vorausgehenden Webseite des Händlers.
  • Keine Optimierung für Mobilgeräte. Im schlimmsten Fall werden bei mobiler Nutzung Texte nicht angezeigt oder abgeschnitten, und wichtige Elemente wie Eingabefelder oder Submit-Buttons werden bzw. sind nicht sichtbar.
  • Unklarheit beim User, was im nächsten Schritt passiert, bzw. wann denn nun die Zahlung abgeschlossen ist?

Die Art und die Menge von Chargebacks

Da 3D Secure diejenigen Chargebacks verhindert, die aufgrund von Betrug entstanden wären, sollte natürlich eine ausreichende Menge an Betrugs-Chargebacks vorhanden sein, damit 3D Secure hilft. Das ist dann der Fall:

  • Wenn sich die Chargebackquote in Richtung der magischen 1%-Marke bewegt und die Betrugs-Chargebacks mindestens ca. 20% aller Chargebacks ausmachen.
  • Wenn die 1%-Marke noch nicht in Sicht ist, und die Kaufbeträge hoch sind, die Ware bereits versendet  und die Marge niedrig ist.
  • Wenn die Chargeback-Gebühren in keinem Verhältnis zum tatsächlichen Kaufbetrag stehen, z.B. bei Online-Abos mit Transaktionsbeträgen unter 10 EUR

Es gibt auch noch externe Faktoren, die mit in die Überlegung für oder gegen 3D Secure einspielen:

  • Manche Zahlungsanbieter (PSPs / Acquirer) bepreisen 3D Secure-Transaktionen günstiger als nicht-3D Secure Transaktionen, bzw. berechnen einen Aufschlag, wenn 3D Secure nicht verwendet wird. Früher wurden tatsächlich 3D Secure Transaktionen durch geringere Interchange-Fees seitens VISA und MasterCard incentiviert, heute allerdings gibt es kaum noch Unterschiede. Offenbar aus historischen Gründen bleiben diejenigen PSPs / Acquirer dabei.

Chargebacks aufgrund von Betrug lassen sich auch ohne den Einsatz von 3D Secure verringern, wenn ein entsprechendes Fraudmanagement-System eingesetzt wird.

3D Secure Dialog beim Checkout (mit SMS Tan)

Einsatz von 3D Secure

Letztendlich hängt der Einsatz von 3D Secure davon ab, wie groß das Chargeback-Problem ist bzw. erwartet wird und wie viel Umsatzverlust der Händler durch die grundsätzlich schlechtere Conversion hinnehmen möchte.

Es gibt aber auch Ansätze, um eine Entscheidung pro/contra 3D Secure smarter zu gestalten. Basis zu allen Ansätzen ist, dass jeder Karten-Akzeptanzvertrag sowohl den Einsatz von 3D Secure erlaubt wie auch das Abwickeln von Transaktionen ohne 3D Secure:

  • A/B Tests
    A/B-Test sind der beste Weg, Veränderungen von relevanten Metriken (hier: Conversion und Chargebacks) zu messen und gegen eine Kontrollgruppe (kein 3D Secure) zu setzen. Nachteil ist allerdings, dass zum Erlangen einer statistischen Relevanz eine große Zahl an Transaktion prozessiert werden muss und/oder ein langer Betrachtungszeitraum gewählt werden muss.
  • Dynamisches 3D Secure
    Bei dynamischem 3D Secure werden Regeln definiert, die abhängig von Kriterien (z.B. Höhe des Betrages, Land des Users, Fraudscore etc.) entscheiden, ob der 3D Secure Prozess verwendet werden soll oder nicht. Diese Entscheidungen können beim PSP konfiguriert werden. Wenn der PSP das nicht unterstützt, kann der Händler auch mit einfachen Regeln die Entscheidungen selber treffen.
  • Ausnutzen der “Enrollment” Info
    Im (technischen) 3D-Secure Prozess wird immer zunächst abgefragt, ob die entsprechende Karte bereits mit 3D Secure verwendet wird (dann ist sie “Enrolled”). Ist sie das nicht, kann sie trotzdem über den 3D-Secure Vertrag abgewickelt werden, so dass dann auch die Haftungsumkehr gilt. Es ist also möglich, die Vorteile von 3D zu nutzen, ohne alle Nachteile zu haben. Eine Karte mit dem Status “Enrolled” würde dann über den Nicht-3D Vertrag abgewickelt, und so die Anzahl an Fraud-Chargebacks reduziert, wenn auch nicht vollständig verhindert. Das ist so aber nicht im Sinne der Schemes, und vermutlich ist es auch von deren Seite untersagt.

Ausblick: 3D Secure 2.0

Die nicht ganz unerheblichen Probleme von 3D Secure und die leicht angestaubten technischen Lösungen haben die Anbieter dazu bewogen, mit 3D Secure 2.0 eine neue Version zu schaffen. Damit soll 3D Secure zum einen alle relevanten Endgeräte unterstützen und in Bezug die Authentifizierung sollen Lösungen angeboten werden, die auch heute schon Beste Practices vor allem im eCommerce sind.  

Die wichtigsten Änderungen sind dabei:

  • 3D Secure 2.0 ist sowohl für den Einsatz im Web als auch in Apps geeignet. Hierzu werden eigene SDKs zur Verfügung gestellt. Ziel ist auch, die User-Interfaces für Web, Mobile-Web und Native Apps zu harmonisieren.
  • Die Möglichkeiten zur Authentifizierung der Karteninhaber wurden erweitert und beinhalten nun Token (z.B: SMS-PIN), Biometrie, Beantworten von multiplen Fragen und die dynamische Verwendung von Bildern.
  • Von den Endgeräten können Deviceinformationen an den Issuer übermittelt werden, der dann risikobasierte Entscheidungen treffen kann. Wie ein solches Device-Fingerprinting im Kontext Händler, PSP und Issuer im Bezug auf das Datenschutzrecht zu sehen ist, ist aber noch nicht wirklich klar.

Beispiel-Mock zum 3D Secure 2.0 Dialog (via HTTPS://WWW.EMVCO.COM/DOWNLOAD_AGREEMENT.ASPX?ID=1316)

3D Secure 2.0 soll in Europa bis April 2018 implementiert sein. Das bisherige 3D Secure Verfahren soll aber bis auf weiteres parallel weiter betrieben werden. Eine spannende, offene Frage ist dabei, wie kompatibel 3D Secure 2.0 zu den strengen Authentifizierungs-Anforderungen der Payment Service Directive 2 (PSD2) ist.

Fazit

3D Secure hilft beim Bekämpfen von Fraud, wenn es sinnvoll eingesetzt wird. Ein Allheilmittel ist es aber nicht – im Gegenteil. Durch die fast immer schlechtere Conversion erkauft man sich Umsatznachteile, die 3D Secure nur bei hohen Chargebackquoten auf Grund von Fraud kompensieren kann. Spannend wird zu sehen, wie gut es 3D Secure 2.0 schafft, das Conversionproblem zu lösen.

Dieser Artikel wurde ursprünglich auf Paymentandbanking veröffentlicht.

Avatar-Foto

Über Moritz Königsbüscher

Moritz Königsbüscher ist seit 17 Jahren im Bereich Payment tätig und hat u.a. als Produktmanager die Payment- und Subscription Plattform von SoundCloud gebaut. Heute arbeitet er als freier Berater zu Payment, Fraud und Produktmanagementthemen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Mit Absenden des Kommentars stimmst Du der Speicherung deiner persönlichen Daten (Name, eMail-Adresse, Webseite und Nachricht) durch uns bis auf Widerruf zu. Zur Vermeidung von Spam und zur rechtlichen Absicherung wird deine IP für 2 Monate gespeichert. Ebenfalls zur Vermeidung von Spam werden diese Daten einmalig an Server der Firma Automattic inc. geschickt. Zur Darstellung eines Nutzerbildes wird die eMail-Adresse im pseudonymisierter Form an Automattic inc. übermittelt. Wenn du einen oder beide Haken für die eMail-Benachrichtigungen setzt, wird deine eMail-Adresse bei Automattic inc. gespeichert. (Datenschutzerklärung)

Du hast noch viel mehr zu erzählen?

Dann schreib doch einen eigenen Artikel auf produktbezogen.

Artikel vorschlagen →