Die „Strong Customer Authentication“ (SCA) reguliert mittlerweile das Einkaufen im Internet in ganz Europa. In Deutschland gelten die Regeln schon seit drei Jahren, und die meisten deutschen Verbraucher akzeptieren heute die Vorteile dieser erhöhten Sicherheit.
Retailer erleben allerdings auch die andere Seite der Medaille: Für sie stellt ein hohes SCA-Level häufig ein zusätzliches Umsatzrisiko dar, denn auch legitime Käufer bleiben immer wieder einmal im Sicherheitsraster hängen und brechen den Kaufprozess dann komplett ab. Wie lässt sich der Spagat zwischen einer besseren Betrugsprävention und eines reibungslosen Kauferlebnisses bewältigen? Eine Hilfe, um den Authentifizierungsprozess zu optimieren und das Risiko falscher Ablehnungen unter SCA-Bedingungen zu reduzieren, verspricht z. B. der Einsatz von Machine-Learning (ML).
Die große Mehrheit vieler Konsumenten fühlt sich mit einer Multifaktor-Authentifizierung sicherer beim Einkaufen im Internet: In einer unserer letzten Retail-Studien, die Mitte des Jahres (2022) durchgeführt wurde, gab dies eine große Mehrheit der befragten deutschen Verbraucher offen zu. Auf Retailer-Seite sieht das Bild allerdings ein wenig anders aus: 25 Prozent der befragten Händler betrachten höhere Sicherheitsbarrieren beim Online-Shopping als Risiko. Sie befürchten, durch falsch-positive Ablehnungen eigentlich legitimer Einkäufer ihre Kundschaft an die Konkurrenz zu verlieren.
Denn die Zahlen unserer Verbraucherstudie zeigen auch, dass ein Viertel aller europäischen Verbraucher ihre Kauftransaktionen im vergangenen Jahr mindestens einmal aufgrund zusätzlicher Authentifizierungsanforderungen abgebrochen hat. Auch fehlerhafte Zurückweisungen von Bezahlvorgängen stellen ein tatsächlich reales Problem beim Online-Shopping dar: Mit 55 Prozent hat das über die Hälfte der in der neuen Retailstudie befragten Konsumenten mindestens einmal in den letzten Monaten erlebt.
Was kann SCA?
Die starke Authentifizierung ist kein formell fest definierter Begriff. Als einzige Voraussetzung muss der Prozess durch mehrere Faktoren abgesichert werden. Meist werden dafür mehrere Informationskategorien kombiniert – etwa „Wissensfaktoren“ (eine Information, die normalerweise nur die Nutzer selbst kennen, z. B. eine PIN-Nummer) oder „Besitzfaktoren“ (ein Berechtigungsnachweis, der mittels einer Authentifizierungsapp über einen Besitzgegenstand wie ein Smartphone erteilt wird) oder „Inhärenzfaktoren“ (z. B. die biometrische Identifikation durch einen Fingerabdruck). Die der SCA aktuell zugrundeliegende Regulierung ist die zweite Payment Service Direktive (PSD2), die seit 2018 in Kraft ist.
Um SCA zu gewährleisten, wird üblicherweise ein sogenanntes 3DSecure (3DS) Protokoll genutzt – ein Verfahren, bei dem Verbraucher zur Bestätigung ihrer Zahlungen auf eine gesicherte Seite ihrer Bank weitergeleitet werden. Aktualisiertere Versionen dieses Protokolls (3DS2, 3DS2.1 und 3DS2.2) ermöglichen Unternehmen darüber hinaus, auch erweiterte Kundeninformationen mit der ausstellenden Organisation zu teilen, so dass die Website, auf der Kunden einkaufen, nicht mehr verlassen werden muss. Dabei trägt das 3DS2-Protokoll schon der stetigen Veränderung von Einkaufsgewohnheiten Rechnungen und deckt auch mobile und In-App-Zahlungen ab, ob auf dem Smartphone oder anderen Kanälen wie dem digitalen Fernsehen. Im Rahmen von 3DS2 ist heute die Weitergabe von über 100 Datenelementen zwischen Händlern und Emittenten erlaubt, um die Freigabe einer Zahlung zuverlässiger durchführen zu können.
Die Herausforderungen beim Authentifizierungsprozess für Retailer
Sicherheit ist wichtig, aber aus Unternehmenssicht muss der Zahlungsvorgang für die Kunden auch möglichst reibungslos gestaltet werden. Denn wenn der Checkout-Prozess am Ende der Customer Journey nicht problemlos abläuft oder einfach auch zu lange dauert, ist das Risiko eines kompletten Kaufabbruches sehr hoch. Der Authentifizierungsprozess einer Zahlung ist, wie oben bereits angedeutet, in der Regel sehr komplex und ändert sich dazu auch noch häufig.
So können harte und weiche Transaktionsrückgänge aufgrund von plötzlichen Änderungen der Präferenzen auf Seiten der Emittenten auftreten oder aufgrund der Inbetriebnahme neuer 3DS-Versionen, der Außerbetriebnahme alter Versionen wie 3DS1 oder aufgrund von Technologieänderungen und sogar allein durch die Art und Weise, wie optionale Daten mit einer Transaktion präsentiert werden. Es ist nicht untypisch, dass eine Authentifizierungsroute an einem Tag funktioniert und am nächsten dann schon nicht mehr so gut.
Eine Möglichkeit, den Checkout-Prozess zu optimieren, ohne dabei die Sicherheit zu vernachlässigen, ist der Einsatz von Machine Learning (ML). Lösungen, die ML-Verfahren nutzen, können sogenannte „weiche Datenpunkte“ einsetzen, um eine Authentifizierung im Hintergrund sicherer zu machen, ohne dabei die Kaufabschlussphase für den Kunden durch sichtbare Barrieren zusätzlich zu erschweren. Zu solchen optionalen „weichen“ Informationen zählen z. B. Angaben zu den von Kunden beim Shopping genutzten Bildschirmgrößen oder auch das Datum des letzten Kaufs.
Fließen solche Zusatz-Informationen als zusätzliche Verifizierungsfaktoren in das Authentifizierungsergebnis mit ein, verstärken sie das Vertrauen des Emittenten in einen Zahlungsvorgang. Für Retailer kann allerdings die Art und Weise, wie ein Payment-Provider Transaktionen automatisch bewertet und ggfs. mit optionalen Daten anreichert, dabei durchaus einen Unterschied machen und sich direkt auf die Erfolgsquote ihrer Authentifizierungen auswirken. Im globalen Checkout.com-Händlernetzwerk und der Zahlungsplattform werden beispielsweise Milliarden von harten und weichen Datenpunkten genutzt, um betrügerische Muster und Verhaltensweisen zu erkennen. Die Datenbank enthält dabei über 950 Millionen einzigartige Kredit- und Debitkarten.
Optimale Optimierung
Eine optimale Authentifizierungslösung muss vor allem in der Lage sein, mit den sich häufig dynamisch ändernden Voraussetzungen auf Emittentenseite umgehen zu können. Auch sollten zusätzliche Verifizierungsanfragen vom Aussteller, sollte eine Transaktion im ersten Schritt aufgrund von Verdachtsmomenten „weich“ abgelehnt wird, den Checkout-Prozess für die Online-Shopper so wenig wie möglich stören. Retailer sollten daher folgende Punkte bei der Auswahl ihrer SCA-Strategie berücksichtigen:
Dynamische 3DS-Abdeckung
Die 3DS-Landschaft ist längst nicht einheitlich und es existieren häufig mehrere Versionen der 3DS-Protokolle, die zudem kontinuierlich erweitert werden. Eine moderne Authentifizierungslösung sollte daher in jedem Fall die neuesten 3DS-Versionen abdecken, sobald diese verfügbar sind. Jede Transaktion sollte dynamisch durch das jeweils leistungsstärkste Protokoll gelenkt werden, um die Genehmigungsraten hochzuhalten.
Handling von Ausnahmen
Das Handling von „Ausnahmen“ ist ein besonders wichtiges Instrument in jeder Authentifizierungsstrategie. Es muss genau überlegt werden, wann Ausnahmen beantragt werden können und auch welche Ausnahmen angewendet werden sollen. Typischerweise sind z. B. Transaktionen unter 30 Euro als „geringwertig“ im Allgemeinen von der Authentifizierung ausgenommen. Bei mehreren aufeinanderfolgenden geringwertigen Zahlungen, die einen gewissen Gesamtwert übersteigen, machen allerdings dann eine SCA erforderlich. Eine leistungsstarke Authentifizierungslösung erkennt verdächtige Muster und wählt dann einen alternativen Freistellungspfad. Dies verringert die Ablehnungsquote und damit das Risiko, dass ein Kunde einen Kauf während eines verlängerten Checkouts mit zusätzlichen Verfizierungsanfragen abbricht.
ML-Einsatz
Für den Einsatz einer dynamischen Authentifizierungsstrategie darf sich eine Authentifizierungslösung nicht allein auf eine regelbasierte Logik stütze. Sie muss stattdessen eine Mischung aus einem ausgefeilten Regelwerk nutzen, die sich die Vorteile maschinellen Lernens zunutze macht und die Tausenden von Datenpunkten nutzt, aus denen jede Authentifizierungsanfrage besteht. Durch den Einsatz von maschinellem Lernen wird sichergestellt, dass sich eine Authentifizierungsstrategie dynamisch weiterentwickelt und Authentifizierungsanfragen automatisch immer weiter optimiert werden. Vorteilhaft ist der ML-Einsatz auch im Hinblick auf die einfachere Einhaltung von Compliance-Anforderungen. ML-basierte Authentifizierungsanfragen stellen sicher, dass z. B. immer die leistungsfähigste Version von 3DS pro Aussteller oder Region ausgewählt wird und Ausnahmeregelungen immer weiter optimiert werden.
Gehostete Lösungen: Customer Experience im Blick?
Autor: Nicolas Mayntz, Head of Marketing DACH bei Checkout.com
Gehostete und sofort einsetzbare Authentifizierungslösungen sind für Retailer die schnellste und einfachste Möglichkeit, ihren Kunden eine nahtlosen und vertrauenswürdigen Einkaufserlebnis zu bieten. Allerdings ist es hier nicht immer möglich, das End-to-End-Erlebnis an alle spezifischen Anforderungen auf Händlerseite anzupassen. Es gibt aber auch Anbieter, die Lösungen anbieten, die teilweise gehostet und nicht-gehostet sind. Hier nutzen Retailer sozusagen das Beste aus zwei Welten: Sie profitieren von einer schnellen Implementierung, haben aber trotzdem noch Möglichkeiten, auf den Aufbau und die Pflege des Datenflusses über alle Endgeräte hinweg sowie auf die Art der Datenerfassung und die Erstellung von Szenarien Einfluss zu nehmen. Sie können eine solche Lösung auch immer wieder an sich ändernde Anforderungen dynamisch anpassen.
Multi- oder Single-Payment-Partner-Konfiguration?
Unternehmen, die sich für eine Strategie mit mehreren Payment-Anbietern entscheiden, erleben häufig eine unnötige Fragmentierung und Komplexität bei der Authentifizierung. Dies kann sich auf die Konfiguration und den Abgleich von Daten sowie auf die Optimierung verschiedener Authentifizierungssysteme beziehen oder sogar einen unnötigen Ressourcenaufwand und suboptimale Kundenerfahrung beziehen, denn die Wahl der richtigen Konfiguration hängt stark von den individuellen Anforderungen eines Retailers ab.
Zusammenarbeit mit einem Full-Stack-Zahlungspartner
Wird eine vollständig integrierte End-to-End-Authentifizierungslösung intern in Zusammenarbeit mit einem Full-Stack-Zahlungspartner entwickelt, ist es in der Regel möglich, eine nahtlos ablaufende Kaufabwicklung zu gestalten, da es ohne unnötige externe Partner in der Regel weniger Unterbrechungspunkte oder Datenverluste gibt. So lassen sich zudem mehr Sekundärdaten über das Gateway nutzen, um robustere Autorisierungsfälle zu erstellen. Mit solchen voll-integrierten Lösungen lassen sich auch neue Anforderungen an den Authentifizierungsprozess viel leichter testen. Setzen Retailer hierbei auf einen global agierenden Full-Stack-Partner, können sie ihr Angebot auch problemlos auf Regionen außerhalb Europas replizieren, ohne einen zusätzlichen lokalen Authentifizierungspartner finden zu müssen.
Fazit
Da ein zuverlässiger Authentifizierungsprozess sehr viele Facetten beinhaltet, sollte Online-Händler für eine gute Betrugsprävention auf SCA-Systeme setzen, mit der sich Risikoregeln individuell an Verhaltensprofile von Kunden und an die sich immer wieder ändernden Authentifizierungsrouten der Emittenten anpassen lassen. Moderne Lösungen setzen hierfür heute auf fortschrittliche, ML-basierte Methoden. Datenbasierte Entscheidungen machen den gesamten Prozess zuverlässiger und sicherer. Sie optimieren vor allem auch das Handling von Ausnahmeregelungen und verdächtigen Mustern auf eine für die Customer Experience möglichst nahtlose Art und Weise. Bei der Zusammenarbeit mit globalen Authentifizierungsexperten können sich Retailer zudem darauf verlassen, automatisch immer die lokal geltenden Compliance-Regularien zuverlässig einhalten zu können.
