Paylindo Logo
Veröffentlicht am

3D Secure

Max Uth
Max Uthpaylindo Team

3D Secure (kurz 3DS) ist ein Sicherheitsprotokoll, das bei Online-Kartenzahlungen eine zusätzliche Authentifizierung des Karteninhabers erfordert. Es wurde von Visa als „Verified by Visa" eingeführt und ist bei Mastercard als „Mastercard Identity Check" bekannt. 3D Secure ist die technische Umsetzung der Starken Kundenauthentifizierung (SCA), die durch die PSD2 vorgeschrieben ist.

Wie funktioniert 3D Secure?

Bei einer Online-Kartenzahlung mit 3D Secure läuft der Prozess so ab:

  1. Der Kunde gibt seine Kartendaten im Online-Shop ein
  2. Der Zahlungsdienstleister prüft, ob 3DS erforderlich ist
  3. Falls ja: Der Kunde wird zur Authentifizierung an seine Bank weitergeleitet
  4. Die Bank fordert einen zweiten Faktor an (z. B. Push-Benachrichtigung, SMS-TAN oder biometrische Bestätigung)
  5. Nach erfolgreicher Authentifizierung wird die Zahlung autorisiert

Die drei „D" in 3D Secure stehen für die drei beteiligten Domains: Händler (Acquirer Domain), Kartenherausgeber (Issuer Domain) und Kartennetzwerk (Interoperability Domain).

3D Secure 1.0 vs. 2.0

3D Secure 1.0 (veraltet)

  • Umleitung auf separate Webseite der Bank
  • Oft umständlich und fehleranfällig
  • Hohe Abbruchquoten im Checkout
  • Statische Passwörter als Authentifizierung

3D Secure 2.0 (aktuell)

  • Nahtlose Integration im Checkout (ohne Seitenumleitung)
  • Risikobasierte Authentifizierung: Nur bei verdächtigen Transaktionen wird aktiv gefragt
  • Biometrische Verfahren (Fingerabdruck, Face ID) möglich
  • Deutlich bessere Conversion-Rate

Frictionless Flow

Ein großer Vorteil von 3DS2 ist der sogenannte Frictionless Flow. Dabei analysiert die Bank über 100 Datenpunkte im Hintergrund (Gerät, Standort, Kaufhistorie, Betrag) und entscheidet automatisch, ob die Transaktion sicher ist. Bei geringem Risiko wird die Zahlung ohne aktive Kundenaktion genehmigt. Das reduziert Kaufabbrüche erheblich.

Vorteile für Händler

  • Haftungsumkehr (Liability Shift): Bei erfolgreich durchgeführter 3DS-Authentifizierung haftet die Bank bei einem Chargeback, nicht der Händler
  • Weniger Betrug: Zusätzliche Authentifizierung verhindert Kartenmissbrauch
  • Pflichterfüllung: 3DS2 erfüllt die SCA-Anforderungen der PSD2
  • Bessere Conversion: Frictionless Flow sorgt für weniger Abbrüche als 3DS1

Ausnahmen von der 3DS-Pflicht

Nicht jede Transaktion erfordert eine aktive Authentifizierung. Folgende Ausnahmen sind möglich:

  • Kleinbetragszahlungen unter 30 Euro (bis maximal 5 aufeinanderfolgende Transaktionen oder 100 Euro kumuliert)
  • Wiederkehrende Zahlungen nach der ersten authentifizierten Transaktion
  • Händler auf der Whitelist: Kunden können vertrauenswürdige Shops bei ihrer Bank hinterlegen
  • Transaktionsrisikoanalyse (TRA): Bei sehr niedrigen Betrugsraten kann der Acquirer eine Ausnahme beantragen

3D Secure und PCI DSS

3D Secure und PCI DSS ergänzen sich. Während PCI DSS die sichere Speicherung und Verarbeitung von Kartendaten regelt, schützt 3D Secure den Authentifizierungsprozess bei der Zahlung selbst. Zusammen bilden sie die Sicherheitsgrundlage für den Online-Kartenzahlungsverkehr.