SCA und 3DS2 erklärt: PSD2-Zahlungsauthentifizierung
Der Online-Verkauf an europäische Kunden erfordert die Anwendung von SCA und 3D Secure 2, ob man will oder nicht. Starke Kundenauthentifizierung ist eine zwingende gesetzliche Vorgabe gemäß PSD2, und 3D Secure 2 ist die gängigste Methode, diese zu erfüllen. Was SCA und 3D Secure 2 in der Praxis bedeuten, wo die Sonderfälle auftreten und welche Kosten bei Fehlern entstehen – all das erfahren Sie in diesem Leitfaden.
Was ist SCA? Definition der starken Kundenauthentifizierung
Die starke Kundenauthentifizierung ist eine Verifizierungsanforderung gemäß PSD2 – der EU-Zahlungsdiensterichtlinie 2. Sie kommt zur Anwendung, wenn ein Kunde eine elektronische Zahlung initiiert und sowohl die kartenausgebende Bank als auch die Händlerbank im Europäischen Wirtschaftsraum ansässig sind.
Die Regel selbst bezieht sich auf Faktoren. Eine sichere Authentifizierung muss mindestens zwei von drei Faktoren nutzen, und diese müssen aus unterschiedlichen Kategorien stammen:
- Wissen – etwas, das der Karteninhaber weiß: ein Passwort, eine PIN oder eine Sicherheitsfrage
- Besitz – etwas, das der Karteninhaber besitzt: ein Mobiltelefon, ein Hardware-Token oder eine Smartcard.
- Inhärenz – etwas, das der Karteninhaber ist: Fingerabdruck, Gesichtserkennung, Stimm-ID
Die Faktoren müssen voneinander unabhängig sein – die Kompromittierung eines Faktors darf den anderen nicht offenlegen. Sie müssen außerdem dynamisch mit dem jeweiligen Transaktionsbetrag und Zahlungsempfänger verknüpft sein. Ein statisches Passwort, das für jeden Kauf funktioniert, genügt nicht.
Geltungsbereich: Die starke Kundenauthentifizierung (SCA) deckt vom Kunden initiierte Online-Kartenzahlungen ab. Sie gilt nicht für vom Händler initiierte Transaktionen (wiederkehrende Zahlungen nach der Erstautorisierung), Bestellungen per Post oder Telefon sowie Transaktionen, bei denen der Händler oder die Bank des Karteninhabers außerhalb des EWR ansässig ist. Letztere Kategorie wird als „One-Leg-Out“ bezeichnet und ist relevant für Händler mit einem heterogenen globalen Kundenstamm.
Was ist 3DS2 und in welchem Zusammenhang steht es mit SCA?
Der Name lässt sich folgendermaßen aufschlüsseln: 3D steht für drei Bereiche – die ausstellende Bank, die die Karte des Karteninhabers ausgestellt hat, die Acquirer-Bank, die die Zahlungen des Händlers abwickelt, und das dazwischenliegende Kartennetzwerk. Version 2 unterscheidet sich vom ursprünglichen Protokoll, das Visa 1999 unter dem Namen „Verified by Visa“ eingeführt hat. EMVCo, ein Gemeinschaftsunternehmen von Visa, Mastercard, American Express und anderen Kartennetzwerken, hat den 3D Secure 2-Standard entwickelt und pflegt ihn.
Welcher Zusammenhang besteht zur starken Kundenauthentifizierung (SCA)? PSD2 schreibt vor, dass Kartenzahlungen mit zwei Faktoren authentifiziert werden müssen. 3D Secure 2 ist der Mechanismus, den Händler zur Durchführung dieser Authentifizierung bei Online-Zahlungen nutzen. Technisch gesehen können auch Open-Banking-Prozesse und Weiterleitungen in Bank-Apps die Anforderungen der SCA erfüllen – in der Praxis wird jedoch der Großteil der Online-Kartenzahlungen mit 3D Secure 2 abgewickelt.
Visa und Mastercard stellten die Unterstützung von 3DS1 für europäische Transaktionen im Oktober 2022 ein. Nach diesem Zeitpunkt war die Abwicklung von Kartenzahlungen über 3DS1 nicht nur veraltet, sondern auch nicht mehr konform mit den Sicherheitsstandards. Was einst optional war, wurde verpflichtend, und das von Zahlungsdienstleistern seit Jahren empfohlene Upgrade auf 3D Secure 2 war der einzige Weg in die Zukunft.
Geschichte von 3D Secure: Von 3DS1 zu 3DS2
3DS1 wurde Anfang der 2000er-Jahre eingeführt. Die Authentifizierung erfolgte über ein Weiterleitungs-Popup, das üblicherweise von der kartenausgebenden Bank bereitgestellt wurde. Karteninhaber sahen ein neues Browserfenster, gaben ein statisches Passwort ein, das sie oft vergessen hatten, und entweder wurden sie durchgelassen oder der Vorgang wurde abgebrochen. Der Abbruch an dieser Stelle war ein messbares Problem für Händler aller Branchen.
| Besonderheit | 3DS1 | 3DS2 |
|---|---|---|
| Authentifizierungs-UI | Weiterleitungs-Popup / neues Fenster | Eingebetteter iFrame oder natives SDK |
| An den Aussteller gesendete Daten | ~15 Datenpunkte | Mehr als 100 Datenpunkte (Gerät, Verhalten, Verlauf) |
| Mobile Unterstützung | Mangelhaft – kein natives SDK | Vollständiges natives iOS- und Android-SDK |
| Reibungsloser Fluss | Nicht verfügbar | Ja – die Mehrheit der Transaktionen |
| Herausforderungsmethode | Statisches Passwort | OTP, Push-Benachrichtigung, Biometrie |
| Haftungsverlagerung | Ja | Ja (erweiterter Versicherungsschutz) |
| EU-Status | Veraltet seit Oktober 2022 | Obligatorisch |
3DS2 wurde entwickelt, um die durch 3DS1 verursachten Probleme bei der Umstellung zu beheben. Indem zu Beginn des Transaktionsprozesses über 100 Risikosignale an den Kartenaussteller gesendet werden, liefert das Protokoll Banken genügend Daten, um die meisten Transaktionen zu genehmigen, ohne dass der Kunde etwas tun muss. Im Falle einer Sicherheitsabfrage handelt es sich um einen SMS-Code oder biometrische Daten, nicht um ein Passwort, das der Karteninhaber vor drei Jahren festgelegt hat.
So funktioniert die 3DS2-Authentifizierung: Schritt für Schritt
Jede 3DS2-Transaktion wird über einen von zwei Pfaden geleitet. Die ausstellende Bank wählt den Pfad anhand der ihr vorliegenden Risikodaten aus. In den meisten Fällen bemerken Kunden die Authentifizierung überhaupt nicht.
Reibungsloser Ablauf (70–90 % der Transaktionen):
- Der Kunde gibt seine Kartendaten beim Bezahlvorgang ein.
- Das Zahlungsportal oder der 3DS-Server des Händlers erfasst über 100 Datenpunkte: Geräte-Fingerabdruck, IP-Geolokalisierung, Browsermerkmale, Transaktionshistorie, Verhaltenssignale
- Diese werden in einer Authentifizierungsanfrage (AReq) an den Verzeichnisserver des Kartennetzwerks gesendet und anschließend an den Zugriffskontrollserver (ACS) der ausstellenden Bank weitergeleitet.
- Das ACS führt eine automatisierte Risikobewertung durch – typischerweise in weniger als einer Sekunde.
- Wird die Transaktion als risikoarm eingestuft, erteilt das ACS eine reibungslose Genehmigung, ohne dass vom Kunden ein Eingreifen erforderlich ist.
- Die Transaktion wird mit einem Haftungsübergang auf die ausstellende Bank abgeschlossen.
Challenge-Flow (10–30 % der Transaktionen):
- Die Schritte 1–3 sind identisch – Datenerfassung und AReq-Einreichung
- Das ACS kennzeichnet die Transaktion als risikoreicher: neues Gerät, ungewöhnlicher Betrag, neue Lieferadresse oder erhöhte Betrugsrate für diese Händlerkategorie
- Der Kunde wird zur Eingabe eines zweiten Faktors aufgefordert – per SMS-Einmalpasswort, Push-Benachrichtigung seiner Banking-App oder biometrischer Authentifizierung.
- Der Kunde meistert die Herausforderung
- Transaktion genehmigt mit Haftungsverlagerung auf den Emittenten
Der reibungslose Ablauf ist das, was 3DS2 von seinem Vorgänger unterscheidet. Die meisten Kunden schließen eine authentifizierte Transaktion ab, ohne etwas zusätzlich tun zu müssen. Sollte eine Abfrage erscheinen, erfolgt diese auf gewohnte Weise – per Push-Benachrichtigung, wie sie auch bei Banküberweisungen verwendet werden.
Ausnahmen nach dem SCA und wann sie gelten
Nicht jede Transaktion erfordert eine starke Kundenauthentifizierung (SCA). PSD2 definiert Ausnahmen, die Zahlungen ohne Zwei-Faktor-Authentifizierung ermöglichen. Die Beantragung einer Ausnahme ist nicht gleichbedeutend mit deren Bewilligung. Die ausstellende Bank entscheidet über die Gewährung. Eine Ablehnung bedeutet eine vorläufige Ablehnung, und der Händler muss die Transaktion mit aktivierter SCA erneut einreichen.
| Befreiungsart | Zustand | Limit |
|---|---|---|
| Transaktion mit geringem Wert | Transaktion unter 30 € | Maximal 5 aufeinanderfolgende Transaktionen oder 100 € kumulativ seit der letzten SCA |
| Transaktionsrisikoanalyse (TRA) | Betrugsrate bei Erwerbern oder Emittenten unterhalb des Schwellenwerts | 100 € bei einer Betrugsrate von ≤0,13 % / 250 € bei einer Betrugsrate von ≤0,06 % / 500 € bei einer Betrugsrate von ≤0,01 % |
| Wiederkehrende Transaktionen (fester Betrag) | Gleicher Betrag, gleicher Zahlungsempfänger nach der ersten SCA | Keine Grenzen |
| Vom Händler initiierte Transaktion | Abonnementabrechnung, Ratenzahlung | SCA ist nur bei der ersten Transaktion erforderlich. |
| Vertrauenswürdiger Begünstigter | Der Karteninhaber hat den Händler bei seiner Bank auf die Whitelist gesetzt. | Händlerspezifisch, karteninhabergesteuert |
| Sichere Unternehmenszahlungen | Spezielle B2B-Zahlungssysteme | Nur von der Regulierungsbehörde zugelassene Systeme |
Die Haftung richtet sich danach, wer die Ausnahme in Anspruch genommen hat. Beantragt der Acquirer eine Ausnahme nach dem Transaction Agreement (TRA) und akzeptiert der Issuer diese, haftet der Acquirer (und damit auch der Händler) im Falle von Betrugsfällen. Hat der Issuer die Ausnahme eigenständig angewendet, trägt er die Haftung. Händler, die Transaktionen mit TRA-Ausnahmen abwickeln, sollten genau nachverfolgen, welcher Weg für jede einzelne Transaktion genutzt wurde.
Wie SCA und 3DS2 Händler beeinflussen
Die wirtschaftlichen Vorteile einer korrekten Umsetzung von SCA 3DS2 gehen weit über die Einhaltung gesetzlicher Vorschriften hinaus:
- Haftungsverlagerung : Eine abgeschlossene 3DS2-Authentifizierung verlagert die Haftung für Betrugsrückbuchungen vom Händler auf die ausstellende Bank. Ohne Authentifizierung trägt der Händler das direkte Risiko des Kartenbetrugs. In der EU ist der Kartenbetrug in Regionen ohne SCA-Pflicht 17-mal höher.
- Autorisierungsraten : 3DS2 verbessert häufig die Autorisierungsraten im Vergleich zu nicht authentifizierten Zahlungen. Kartenaussteller können Zahlungen mit größerer Sicherheit genehmigen, wenn ihnen 100 Datenpunkte anstelle einer Kartennummer und eines CVV-Codes zur Verfügung stehen.
- Die Checkout-Konversion wird durch einen zusätzlichen Schritt im Checkout-Prozess optimiert, während der reibungslose Ablauf mit 3DS2 praktisch keine zusätzlichen Hürden verursacht. Eine gut implementierte 3DS2-Lösung führt im Vergleich zu 3DS1 in der Regel zu einer gleichbleibenden oder sogar positiven Konversionsrate.
- Datenqualität : Die Qualität der AReq-Nutzdaten bestimmt, wie viele Transaktionen reibungslos ablaufen. Händler, die nur Pflichtfelder übermitteln, erzielen höhere Authentifizierungsraten als solche, die optionale Felder wie Geräte-Fingerabdruck, Anzahl der bisherigen Transaktionen und Alter der Lieferadresse ausfüllen.
- Geografie : Die SCA-Regeln unterscheiden sich in den EWR-Mitgliedstaaten, im Vereinigten Königreich (mit seinem eigenen SCA-Zeitplan nach dem Brexit) und in anderen Märkten. Ein globaler Checkout muss diese Unterschiede auf Anfrageebene korrekt berücksichtigen.
SCA-Konformitätscheckliste für Online-Händler
Für eine korrekte Einrichtung von SCA 3DS2 ist mehr erforderlich, als 3DS2 am Gateway zu aktivieren. Auch die fortlaufenden Arbeiten sind wichtig:
- Prüfen Sie, ob Ihre PSP oder Ihr Gateway 3DS2 unterstützt. Die meisten großen Zahlungsanbieter (Stripe, Adyen, Worldpay, Braintree) erledigen das automatisch. Regionale oder ältere Anbieter funktionieren möglicherweise noch mit 3DS1 oder bieten nur teilweise Unterstützung.
- Überprüfen Sie Ihre AReq-Daten. Arbeiten Sie mit Ihrem Zahlungsanbieter zusammen, um sicherzustellen, dass Sie alle über 100 optionalen Datenfelder senden und nicht nur die obligatorischen Mindestangaben. Jedes zusätzliche Feld erhöht die Sicherheit des Ausstellers bei der reibungslosen Genehmigung.
- Ordnen Sie Ihre Transaktionstypen zu. Ermitteln Sie, welche Zahlungen vom Händler initiiert werden (Abonnements nach der Einrichtung), per Post/Telefon bestellt werden oder nur einmalig erfolgen. Kennzeichnen Sie diese korrekt – sie laufen nicht über 3DS2 und sollten auch nicht dorthin weitergeleitet werden.
- Testen Sie die Benutzerfreundlichkeit des Challenge-Ablaufs. Wenn eine zusätzliche Sicherheitsabfrage ausgelöst wird, sollte die Benutzererfahrung klar und mobilfreundlich sein. Ein unübersichtlicher OTP-Bildschirm kostet Conversions. Testen Sie die Anwendung vor dem Livegang auf verschiedenen Geräten und Browsern.
- Überwachen Sie die Quoten für reibungslose und anfechtbare Zahlungen. Ein Rückgang der Quote für reibungslose Zahlungen deutet auf ein Problem hin – beispielsweise eine verminderte Datenqualität, eine Änderung des Risikomodells durch den Aussteller oder eine Betrugsrate in einer Händlerkategorie, die einen Schwellenwert der TRA überschreitet.
- Behalten Sie den Überblick über die Ergebnisse Ihrer Anträge auf Befreiungen. Wissen Sie, welche Befreiungen Sie beantragen, welche genehmigt werden und welche als vorläufige Ablehnungen zurückkommen. Vorläufige Ablehnungen bei Befreiungen mit geringem Wert bedeuten oft, dass die kumulative Grenze von 100 € erreicht wurde, ohne dass sie zurückgesetzt wurde.
- Behalten Sie den Zeitplan für PSD3 im Auge. Der PSD3-Vorschlag der Europäischen Kommission befindet sich im Gesetzgebungsverfahren; die Umsetzung durch die Mitgliedstaaten wird für 2026–2027 erwartet. PSD3 erweitert die starke Kundenauthentifizierung (SCA), anstatt sie zu ersetzen – die Authentifizierungsanforderungen werden detaillierter, nicht einfacher.
Was viele Händler bei SCA 3DS2 nicht wissen: Das gesamte Framework beschränkt sich auf elektronische Zahlungstransaktionen gemäß PSD2, also auf Fiatgeldtransaktionen über Banken und Kartennetzwerke. Kryptowährungszahlungen fallen vollständig nicht darunter.
Wenn ein Kunde mit Bitcoin, Ethereum oder einem Stablecoin bezahlt, wird die Transaktion nicht über ein Kartennetzwerk oder eine Bank abgewickelt. Kein Kartenaussteller betreibt ein ACS. Es gibt keine AReq-Anfrage, keinen Verzeichnisserver und keinen Challenge-Flow. SCA-Regeln finden keine Anwendung, da diese Zahlungsart nicht unter die regulatorischen Bestimmungen fällt.
Für Händler bedeutet das konkret: Bei Kryptozahlungen gibt es keine 3DS2-Authentifizierung, keine OTP-Anfrage und keinen Challenge-Prozess. Der Kunde zahlt aus seiner Wallet; das Geld kommt an. Rückbuchungen sind ebenfalls ausgeschlossen – Kryptotransaktionen sind unwiderruflich, wodurch die Haftungsmechanismen bei Betrug vollständig entfallen.
Für Händler, die eine Zahlungsoption anbieten möchten, die vollständig außerhalb des Kartenauthentifizierungsrahmens liegt, unterstützt Plisio mehr als 20 Kryptowährungen ohne SCA-Overhead, ohne Chargeback-Risiko und ohne Abhängigkeit vom Risikomodell der ausstellenden Bank.
Was SCA und 3DS2 für Ihre Zahlungsabwicklung bedeuten
Die starke Kundenauthentifizierung (SCA) wird nicht einfacher. PSD3 wird die Authentifizierungsanforderungen weiter verschärfen, und Großbritannien verfolgt nach dem Brexit einen eigenen SCA-Durchsetzungsprozess. Für Händler stellt sich daher nicht die Frage, ob sie die SCA implementieren sollen, sondern wie gut die SCA-Implementierung in 3DS2 tatsächlich funktioniert.
Richtig umgesetzt, funktioniert das System für alle Beteiligten. Händler sind vor Haftungsansprüchen bei Betrugsrückbuchungen geschützt. Kartenaussteller erhalten durch die erweiterte Datenlast von 3D Secure 2 aussagekräftigere Signale und können mehr Transaktionen sicher genehmigen. Kunden profitieren von einer sicheren Authentifizierung, die den Bezahlvorgang in der Regel nicht unterbricht. Diejenigen Händler, die Probleme haben, sind diejenigen, die 3DS2 nur mit den minimal erforderlichen Gateway-Funktionen aktiviert und ihre Gebühren für reibungslose Transaktionen, die Qualität der AReq-Daten oder die Erfolgsquote von Ausnahmen danach nicht mehr überprüft haben.
