Adyen 3D Secure: So funktioniert die 3DS2-Authentifizierung
3D Secure ist die Authentifizierungsebene zwischen Kartenzahlung und deren Genehmigung. Adyen 3DS ist eine der am weitesten verbreiteten Implementierungen dieses Standards, integriert in die Zahlungsplattform von Adyen und verarbeitet jährlich Milliarden von Transaktionen in Europa, Nordamerika und Asien.
Wie Adyen 3D Secure handhabt, ist für jeden Entwickler, der Kartenzahlungen integriert, und für jeden Händler, der Betrugsprävention und Conversion-Rate im Checkout-Prozess in Einklang bringen möchte, von Bedeutung. Beides steht in direktem Spannungsverhältnis: Mehr Authentifizierung bedeutet zwar weniger Betrug, aber auch mehr Aufwand, und Aufwand kostet Umsatz. Die regionalen Daten hierzu – insbesondere aus den USA und Brasilien – sind gravierender, als die meisten Händler erwarten.
Was ist Adyen 3D Secure?
Bei Online-Zahlungen mit einer Visa-Karte kann Visa einen Identitätsnachweis verlangen. Dieser Nachweis wird durch 3D Secure erbracht – ein Authentifizierungsprotokoll, das von den Kartennetzwerken (Visa nennt es Verified by Visa, Mastercard SecureCode) speziell für Transaktionen ohne Kartenpräsenz entwickelt wurde. Adyen setzt dieses Protokoll auf seiner Zahlungsplattform unter dem Namen Adyen 3DS um.
Es gibt zwei Versionen. Die erste Generation – 3DS1 – leitete den Kunden auf die Authentifizierungsseite des Kartenausstellers weiter und unterbrach damit den Bezahlvorgang komplett. Die Konversionsrate sank. Händler waren unzufrieden. Die meisten haben 3DS1, wo immer möglich, aufgegeben.
3D Secure 2 ersetzte die bisherige Methode durch einen intelligenteren Ansatz. Anstatt eine Umleitung durchzuführen, erfasst es im Hintergrund unauffällig Geräte- und Browserdaten – Bildschirmauflösung, Zeitzone, IP-Adresse, Sitzungsverlauf – und sendet diese an die ausstellende Bank. Der Risikomanager der Bank erhält über 150 Datenpunkte zur Auswertung. Mit diesen Informationen kann die Bank die Transaktion oft einfach ohne weitere Prüfung genehmigen, ohne dass der Kunde überhaupt merkt, dass 3D Secure aktiv war.
Händler in der EU und im EWR haben hier kaum eine Wahl. Die PSD2-Richtlinie zur starken Kundenauthentifizierung schreibt 3D Secure 2 für Kartenzahlungen über 30 € vor. Jede Zahlungsmethode mit Kartenzahlung fällt darunter. Außerhalb der EU wird 3DS2 aufgrund des gebotenen Haftungsschutzes bei Betrug dringend empfohlen, ist aber nicht gesetzlich vorgeschrieben.
So funktioniert die Adyen 3DS2-Authentifizierung
Der 3DS2-Ablauf durchläuft drei Phasen: Datenerfassung, Authentifizierung und Autorisierung. Bei reibungslosem Ablauf ist er in Sekundenschnelle abgeschlossen.
- Der Käufer initiiert die Zahlung – gibt seine Kartendaten auf der Checkout-Seite des Händlers ein.
- Adyen sammelt Gerätedaten – eine kleine JavaScript-Komponente (der 3DS2-Fingerabdruck) läuft im Hintergrund und erfasst Browser- und Gerätesignale: Bildschirmauflösung, Zeitzone, Sprache, Gerätetyp, IP-Adresse
- Adyen sendet eine Authentifizierungsanfrage – der Geräte-Fingerabdruck und die Transaktionsdaten werden verpackt und über das Kartennetzwerk an den Kartenaussteller gesendet.
- Der Kartenaussteller prüft die Anfrage – sein Risikobewertungssystem vergleicht die über 150 Datenpunkte mit dem bisherigen Kartenverhalten und möglichen Betrugssignalen.
- Der Emittent entscheidet: reibungslos oder mit Authentifizierung – bei geringem Risiko erfolgt die Authentifizierung stillschweigend (reibungslos); bei vorhandenen Risikosignalen fordert der Emittent eine Authentifizierung an.
- Der Challenge-Flow wird ausgeführt, wenn er ausgelöst wird – der Käufer führt eine zusätzliche Verifizierung durch: Einmalpasswort, biometrische Daten oder Bestätigung per Banking-App.
- Ergebnis der Authentifizierung zurückgegeben — Adyen empfängt das Ergebnis der Authentifizierung (authentifiziert, nicht authentifiziert oder versucht).
- Adyen übermittelt die Autorisierung – mit dem beigefügten Authentifizierungsergebnis wird die Zahlung über das Kartennetzwerk zur Autorisierung weitergeleitet.
- Haftungsverlagerung greift – wenn die Authentifizierung erfolgreich war, geht die Haftung für betrugsbedingte Rückbuchungen vom Händler auf die ausstellende Bank über.
Der entscheidende Unterschied zwischen 3DS1 und 3D Secure 2 liegt in Schritt 2. Bei 3DS1 standen dem Kartenaussteller kaum Daten zur Verfügung, weshalb es häufig zu Sicherheitslücken kam. Dank des umfassenderen Geräte-Fingerabdrucks von 3D Secure 2 können Kartenaussteller deutlich mehr Transaktionen im Hintergrund genehmigen, unabhängig von der gewählten Zahlungsmethode – solange es sich um eine Karte handelt.
Reibungsloser vs. herausfordernder Fluss in Adyen
Die Ergebnisse von reibungslosen und anfechtbaren Transaktionen werden vom Emittenten und nicht von Adyen oder dem Händler bestimmt. Die Qualität der von Adyen erfassten Daten beeinflusst jedoch direkt, wie oft Emittenten eine reibungslose Transaktion durchführen können – bessere Geräte-Fingerprinting-Daten bedeuten, dass weniger Emittenten eine Anfechtung durchführen müssen.
| Faktor | Reibungsloser Fluss | Herausforderungsablauf |
|---|---|---|
| Einkaufserlebnis | Unsichtbar – kein zusätzlicher Schritt | Erfordert Bestätigung per Einmalpasswort, Biometrie oder App. |
| Konversionsauswirkung | Minimal – das entspricht dem Verzicht auf einen 3DS. | Deutlicher Rückgang (variiert je nach Markt) |
| Wer entscheidet | Risikomanagement-System der ausstellenden Bank | Risikomanagement-System der ausstellenden Bank |
| Auslösen | Niedriges Risiko, ausreichende Datenlage | Erhöhte Risikosignale oder unvollständige Daten |
| Haftungsverlagerung | Ja – der Emittent trägt das Betrugsrisiko. | Ja – der Emittent trägt das Betrugsrisiko. |
| Typischer Anteil | 40 %–93 % der Transaktionen (marktabhängig) | 7 %–60 % (marktabhängig) |
Japan zeigt die Vorteile reibungsloser Transaktionen: Rund 60 % der 3DS-Transaktionen werden problemlos abgewickelt, und die Gesamtkonversionsrate liegt weiterhin bei 93 %. In Brasilien ist die Situation umgekehrt – weit verbreitete Challenge-Flows haben zu einem Rückgang der Konversionsrate um 55 % geführt. In den USA liegt der durchschnittliche Einfluss von Challenge-Flows auf die Konversionsrate laut einer Stripe-Studie zu den Nutzungsmustern von 3DS bei 43 %.
Der Betrugsschutz ist unabhängig vom gewählten Authentifizierungsverfahren konsistent. Sowohl die reibungslose als auch die Herausforderungsauthentifizierung führen zur Haftungsverschiebung. Eine betrugsbedingte Rückbuchung nach erfolgreicher 3DS-Authentifizierung ist das finanzielle Problem des Kartenausstellers, nicht des Händlers.
Adyen Dynamic 3D Secure-Regeln
Die meisten 3DS-Implementierungen wenden die Authentifizierung universell an: bei jeder Transaktion, jedes Mal. Die Dynamic 3D Secure-Regel-Engine von Adyen ermöglicht Händlern eine gezieltere Vorgehensweise.
Dynamic 3DS ermöglicht Händlern die Konfiguration regelbasierter Weiterleitungsregeln, die 3DS selektiv anwenden – basierend auf Risikosignalen, Ausnahmen und Transaktionsmerkmalen. Ziel ist es, die Authentifizierung bei risikoreichen Transaktionen zu maximieren und gleichzeitig durch Ausnahmen die Reibungsverluste bei Transaktionen mit geringem Risiko zu minimieren.
Wichtige Regeltypen, die in der Dynamic 3DS-Konfiguration von Adyen verfügbar sind:
- Ausnahmeregelungen – Weiterleitung von Transaktionen mit geringem Risiko über SCA-Ausnahmen (Transaktionsrisikoanalyse, Ausnahmen für geringe Beträge unter 30 €, Listen vertrauenswürdiger Händler), um 3DS vollständig zu umgehen, sofern dies rechtlich zulässig ist
- Behandlung von Soft Decline – Transaktionen, die von Emittenten ohne 3DS abgelehnt werden, werden automatisch umgeleitet und lösen beim zweiten Versuch eine 3DS-Authentifizierung aus.
- Geschwindigkeitsregeln – 3DS wird basierend auf der Transaktionshäufigkeit einer bestimmten Karte oder eines bestimmten Geräts innerhalb eines bestimmten Zeitraums angewendet
- Betragsschwellenwerte – 3DS wird ab einem bestimmten Transaktionswert ausgelöst, kleinere Einkäufe sind jedoch ausgenommen.
- Länderbasierte Regeln – je nach Land des Käufers wird eine unterschiedliche Authentifizierungslogik angewendet, die regionale SCA-Vorgaben und das Verhalten des Ausstellers berücksichtigt.
- Regeln für Kartentypen – Firmen- oder Premiumkarten werden über 3DS geleitet, während Standard-Debitkarten von Privatkunden über Ausnahmeregelungen ermöglicht werden.
Händler, die Dynamic 3DS intelligent konfigurieren, können das Risiko von Challenge-Flows im Vergleich zur universellen 3DS-Anwendung deutlich reduzieren und gleichzeitig den vollen Betrugsschutz in Hochrisikosegmenten aufrechterhalten.
Adyen 3DS Integrationsmethoden
Wie Händler 3DS über Adyen integrieren, hängt von ihrer Zahlungsintegrationsmethode ab. Adyen unterstützt drei Hauptansätze:
- Sessions (empfohlen) – Die vorkonfigurierte Adyen-Integration unterstützt 3DS nativ ohne zusätzliche Konfiguration. Der Sessions-Ablauf erfasst Geräte-Fingerprints automatisch und verwaltet das Routing (reibungslos/herausfordernd) transparent. Für die meisten Händler der einfachste Weg.
- Drop-in – Die gehostete UI-Komponente von Adyen wird in die Checkout-Seite des Händlers eingebettet und verarbeitet 3DS-Abläufe, einschließlich Challenge-Popups und Ergebnisverarbeitung. Weniger Konfigurationsaufwand als bei einer vollständigen API-Integration, mehr Anpassungsmöglichkeiten als bei Sessions.
- API-Integration – volle Kontrolle über den 3DS-Ablauf. Der Händlercode übernimmt die Fingerabdruckerfassung, Authentifizierungsanfragen, Ergebnisverarbeitung und Autorisierungsübermittlung. Erforderlich für hochgradig individualisierte Checkout-Prozesse oder native mobile Apps, die natives 3DS2 in der Benutzeroberfläche benötigen.
Für die meisten Online-Händler bieten Sessions oder Drop-in das beste Verhältnis zwischen Integrationsaufwand und 3DS-Konformität. Die native API-Integration wird typischerweise von größeren Unternehmen mit eigenen Zahlungsabwicklungsteams genutzt.
Eine Besonderheit von Adyen: Die native 3DS2-Integration in mobile Apps erfordert die iOS- und Android-SDKs von Adyen, die die Komponenten für das Fingerprinting und die Benutzeroberfläche für die Challenge enthalten. Webintegrationen mit Sessions oder Drop-in handhaben dies automatisch.
Auswirkungen der 3D Secure-Konvertierung: Regionale Daten
Die Überschrift „3DS schadet der Konversion“ ist teilweise richtig, aber die tatsächlichen Auswirkungen hängen fast ausschließlich von marktspezifischen Faktoren ab – wie vertraut die Käufer mit den Authentifizierungsprozessen der Banken sind und ob die Benutzererfahrung beim mobilen Banking reibungslos ist.
| Markt | Herausforderungsrate | Konversionsauswirkung | Anmerkungen |
|---|---|---|---|
| Japan | ~40% Herausforderung | Minimaler Abfall | Die Authentifizierung über die Bank-App ist vertraut; hohe Reibungsrate |
| Vereinigtes Königreich | ~25% Herausforderung | Niedrig bis mittel | Die Banking-App (biometrische Daten) ist Standard und bietet ein schnelles Nutzungserlebnis. |
| Frankreich | ~50% Herausforderung | Mäßig | Die Anzahl der Herausforderungen hat sich verdoppelt, aber die Nutzer sind mit OTP vertraut. |
| UNS | ~45% Herausforderung | -43 % bei beanstandeten Transaktionen | Der 3DS ist noch neu; Nutzer sind mit dem OTP-Ablauf der Banken nicht vertraut. |
| Brasilien | Herausforderungsgrad: ca. 60 %+ | -55% | Hohe Anzahl an Anfechtungen; uneinheitliche Bankauthentifizierungsprozesse |
| Globaler Durchschnitt | — | Marktvolumen: 1,72 Mrd. USD (2026) | Es wird erwartet, dass der Wert bis 2034 4,66 Milliarden US-Dollar erreichen wird. |
Die Zahlen zur Betrugsreduzierung sind eindeutiger: Die 3DS-Authentifizierung verringert Betrugsstreitigkeiten um bis zu 80 %, und Europa schätzt, dass dadurch jährlich Betrugsverluste in Höhe von rund 900 Millionen Euro verhindert werden. Dies sind Einsparungen auf Händlerseite. Rückbuchungen sind über den Transaktionswert hinaus kostspielig – sie verursachen zusätzlichen Betriebsaufwand, Strafzahlungen für die Risikobewertung und bergen in manchen Fällen Risiken für die Geschäftsbeziehung zum Zahlungsdienstleister.
Das Konversionsparadoxon löst sich auf, wenn man zwei Aspekte trennt: die Anwendung von 3DS und die reibungslose Durchführung der Herausforderung. Märkte mit guten Mobile-Banking-Apps und erfahrenen Online-Shoppern können Reibungsverluste bei solchen Herausforderungen gut abfedern. Märkte, in denen Kunden auf SMS-basierte OTP-Authentifizierung oder inkonsistente Banking-Apps stoßen, verzeichnen hingegen viele Umsatzeinbußen.
3DS und Kryptozahlungen
3D Secure gilt ausschließlich für Kartenzahlungen. Kryptowährungstransaktionen laufen nicht über Kartennetzwerke, daher gibt es keinen 3D-Secure-Prozess, der ausgelöst werden könnte.
Das hat zwei Seiten. Krypto-Zahlungsportale können sich nicht auf die Haftungsverlagerung nach dem 3DS-Prinzip verlassen – es gibt keine ausstellende Bank, auf die das Betrugsrisiko übertragen werden könnte. Die Sicherheit hängt von anderen Mechanismen ab: Transaktionsüberwachung, Wallet-Screening und Echtzeit-Risikobewertung auf Gateway-Ebene.
Die andere Seite: keine 3DS-bedingten Einschränkungen. Kein Fingerabdruck-Tracking im Hintergrund, keine Aussteller-Authentifizierung, kein Warten auf ein Einmalpasswort. Der Bezahlvorgang ist so einfach wie das Scannen einer Wallet-Adresse oder die Bestätigung in einer Wallet-App. Für Händler, die die Auswirkungen von Challenge-Flows auf die Konversionsrate in den USA oder Brasilien miterlebt haben, ist diese Einfachheit bares Geld wert.
Für Händler, die Kryptowährungen als Zahlungsoption neben herkömmlichen Karten anbieten möchten, bietet Plisio ein Krypto-Zahlungsgateway, das die Akzeptanz von Kryptowährungen ermöglicht, ohne die Komplexität der 3DS-Compliance für den Händler zu erhöhen.
