Aus den Erfahrungen mit 3D-Secure, einem PSD2-konformen Mechanismus für Starke Kundenauthentifizierung, kann man viel über das Zusammenspiel von Sicherheit und Nutzerfreundlichkeit lernen. Die Mehrheit der Online-Shopper in den Benelux-Staaten, Italien, der Schweiz und Großbritannien schützt heute Einkäufe im Internet (card-not-present) mittels 3D-Secure, das sich aufgrund der Compliance-Anforderungen weit verbreitet hat.
Trotzdem ist das System nicht beliebt: Konsumenten empfinden die meisten Implementierungen immer noch als frustrierend, schwerfällig und zeitaufwendig. Händler registrieren häufige Abbrüche des Einkaufsprozesses, wenn Kunden ihr statisches Passwort vergessen haben oder die Eingabe von Einmal-Passwörtern zu umständlich ist.
Spagat zwischen Sicherheit und Nutzerfreundlichkeit
Die Frustration, die Konsumenten bereits bei der Durchführung sicherer Zahlungen auf dem Desktop-Computer empfinden, multipliziert sich bei der Durchführung derselben Aktionen auf mobilen Geräten mit kleineren Bildschirmen und Touchpads um ein Vielfaches.
Dies ist ein Problem für Service Provider, die ihre Authentifizierung nicht für mobile Geräte optimiert haben - und dieses Problem wird unter PSD2 noch deutlich größer. Denn die Mehrzahl der digitalen Interaktionen europäischer Konsumenten mit Finanzinstitutionen und Drittanbietern wird in Zukunft über Mobilgeräte erfolgen.
Unter anderem deshalb startete Pluscard im Jahr 2015 die Suche nach einem neuen Authentifizierungssystem für seine Kreditkarten. Die im gleichen Jahr veröffentlichten Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSI) machten diesen Schritt zunächst von rechtlicher Seite aus notwendig. Ziel war es jedoch auch, eine Anwendung zu finden, die diese Sicherheitsstandards erfüllt und gleichzeitig für den Nutzer leicht zu verstehen ist. Hohe Abbruchquoten bei den Online-Käufen mit Kreditkarten und Beschwerden über das 3D-Secure-Verfahren mit Passwort seitens der Händler waren ein weiterer Aspekt.
Nach Sichtung und Bewertung der am Markt angebotenen Systeme entschied sich Pluscard für die Lösung von Entersekt, implementiert von Pluscards IT-Partner Net cetera. Sie basiert auf Transakt, dem Produkt für eine sichere Out-of-Band, Zwei-Faktor-Authentifizierung. Die Lösung bietet ein X.509 Zertifikat, welches das Gerät einmalig identifiziert und so gegenseitige Authentifizierung zwischen dem Gerät und der Institution sowie eine völlig verschlüsselte End-to-End-Kommunikation ermöglicht.
Wenn ein Kunde auf der Webseite eines teilnehmenden Händlers eine Bestellung durchführt, initiiert der Händler eine Anfrage auf Kundenbestätigung. Die Anfrage wird über die 3D-Secure-Infrastruktur zum ACS (Access Control Server) des Ausstellers geleitet. Die Bank sendet eine Bestätigungsnachricht mit den Einzelheiten der Transaktion direkt zum Mobiltelefon des Kunden.
3D-Secure-Implementierung neu erfunden
Um die Transaktion zu bestätigen, wählt der Kunde einfach Annehmen oder Ablehnen - es besteht keine Notwendigkeit, einen Wert in ein 3D-Secure-Browserformular einzutragen. Die Antwort wird digital mit dem einmaligen privaten Schlüssel des Kunden signiert, womit die Nachweisbarkeit erleichtert wird. Dann wird die Nachricht sicher an den Austeller zurückgesandt und dieser leitet die Antwort über die 3D-Secure Infrastruktur zurück an den Händler.
Die Sicherheitsplattform wurde durch Visa, Mastercard und American Express akkreditiert. Sie erfindet die bestehende unhandliche 3D-Secure-Implementierung neu und bietet den Karteninhabern einen intuitiven Weg, um kartenlose Transaktionen mithilfe ihres Mobiltelefons zu autorisieren.
SMS-TAN keine Option
Nicht überall erntete Pluscard Zustimmung für die Entscheidung, die App mit dem Namen "S-ID-Check" einzuführen. Mit Hilfe der App wird eine Push-Nachricht an den Kartennutzer geschickt. Der Empfänger erhält die wichtigen Informationen zu seinem Online-Kauf auf sein mobiles Endgerät und muss mit nur einem Klick die Transaktion bestätigen oder ablehnen.
Anhänger des traditionellen SMS-TAN-Verfahrens argumentierten, dass man damit eine Reihe von Kunden - nämlich die, die kein Smartphone oder Tablet nutzen - ausschließen würde. Trotz dieser Bedenken entschloss sich Pluscard, auf ein System mit Zukunft zu setzen. Das SMS-TAN-Verfahren war keine Option bei der Einführung einer sicheren Lösung. Außerdem ist man der Überzeugung, dass der Trend zur Smartphone-Nutzung auch in Deutschland weiterhin deutlich zunehmen wird. Laut Branchenverband Bitkom nutzten bereits Anfang 2018 acht von zehn Menschen hierzulande diese Geräte. Tendenz steigend.
Optimale Verbindung von Nutzerfreundlichkeit und Sicherheit
Den Ausschlag für die Entscheidung für das Push-basierte Authentifizierungsverfahren gab die Kombination aus Nutzerfreundlichkeit und neuester Sicherheitstechnologie, die das System bietet. Außerdem sollte der Kunde aktiv in den Authentifizierungsprozess eingebunden werden und zu jeder Zeit volle Transparenz erhalten, ohne ihm komplizierte und umständlichen Vorgehensweisen aufzuerlegen. Denn die Erfahrung zeigt: Kunden sind ungeduldig. Dauert der Prozess zu lange oder erfordert zu viele Schritte, wird der Einkauf abgebrochen.
Nach der Implementierung des Systems innerhalb von 12 Monaten erfolgte eine Phase der "sanften Umstellung". Zunächst konnten die Kunden noch wählen, ob sie die App zur Zahlungsbestätigung nutzen oder eine Neuregistrierung mit dem "alten" Passwort 3D-Secure-Verfahren durchführen wollten. Genau darin bestand jedoch das Problem in den ersten Monaten: Kunden davon zu überzeugen, sich die App herunterzuladen und Abschied zu nehmen vom bekannten Passwort-Prozess. Das erzeugte Unmut und Unverständnis bei vielen Nutzern. Negative Kommentare in den App-Stores waren die Folge.
Keine alternative Lösung für Karteninhaber ohne Smartphone
Es zeigte sich jedoch schnell: Wer diesen einmaligen Aufwand hinter sich hat, ist mit dem Ergebnis sehr zufrieden und schätzt die hohe Nutzerfreundlichkeit gegenüber dem alten Verfahren. Einmal installiert, empfinden die Nutzer das System der Zustimmung oder Ablehnung per Klick als viel einfacher und angenehmer als die Eingabe eines Passwortes.
Nach einer Übergangsphase von wenigen Monaten wurde deshalb im Herbst 2017 das alte System komplett abgeschaltet. Es wird zurzeit keine alternative Lösung für Karteninhaber ohne Smartphone angeboten.
Seit dem Start des neuen Verfahrens wurden bereits rund 1,4 Millionen Zahlungen problemlos authentifiziert. Die Abbruchrate ging signifikant zurück und betrug im August 2018 nur noch 6 Prozent - nach zuvor 40 bis 50 Prozent. Ist die App einmal installiert, gibt es so gut wie keine Beschwerden oder gar Kündigungen der Karten aufgrund des neuen Verfahrens. Auch in Puncto Sicherheit zeichnet sich eine positive Entwicklung ab: Nach der Einführung des neuen Systems ging der Missbrauch im Bereich 3D-Secure um 60 Prozent zurück.
Von dem neuen Authentifizierungs-System der Sparkassen-Kreditkarten profitieren alle Beteiligten. Die Kunden - denn der Zahlungsvorgang mit Kreditkarte bei Online-Einkäufen wird für sie deutlich einfacher und angenehmer. Die Händler - denn ihre Umsätze steigen, wenn weniger Kunden den Kaufprozess abbrechen - und natürlich Pluscard und seine Institute dank zufriedener Kunden und steigender Umsätze. Und nicht zuletzt werden damit alle regulatorischen Anforderungen in Bezug auf die Sicherheit von E-Commerce-Zahlungen erfüllt.
