Aktuelle Artikel Die beliebtesten Artikel
Person mit Kreditkarte, die sich mit intelligenter Authentifizierung bei einer App anmeldet.
#Digital Payments

SCA und 3DS für einen Wettbewerbsvorteil

Insights
5 Min.

Die PSD2 der EU schreibt eine starke Kundenauthentifizierung (Strong Customer Authentication, SCA) vor und überträgt die Verantwortung an den Kartenherausgeber. Eine auf dem 3DS-Protokoll basierende Lösung hilft Emittenten, diese Vorgaben zuverlässig zu erfüllen und zugleich ein reibungsloses Nutzererlebnis zu bieten, das Kaufabbrüche auf Händlerseite reduziert, einen klaren Wettbewerbsvorteil schafft und wertvolle Dateneinblicke in das Verhalten der Kundinnen und Kunden liefert.

Inhaltsverzeichnis

Banken und Emittenten von Zahlungskarten stehen vor einer Frage, die auf den ersten Blick simpel wirkt, in der Praxis jedoch hochkomplex ist: Wie können sie die Anforderungen an eine starke Kundenauthentifizierung (Strong Customer Authentication, SCA) zuverlässig erfüllen, ohne das Nutzererlebnis zu beeinträchtigen und Kaufabbrüche oder andere vom Handel gefürchtete Effekte hervorzurufen? Und mehr noch: Lässt sich diese Sicherheitsmaßnahme so gestalten, dass sie für Emittenten zu einem echten Wettbewerbsvorteil wird?

Eine Person kauft mit einem Laptop online ein, wobei die sichere Kaufabwicklung im Vordergrund steht.
Das Bild zeigt Online-Shopping auf einem Laptop mit Paketen im Hintergrund. Es steht für sichere Bezahlvorgänge, digitale Identitätsprüfung und vertrauenswürdige Authentifizierung im modernen E-Commerce.

SCA senkt Betrug im Kartenzahlungsverkehr

Branchenbeobachter und Insider wissen schon lange, dass eine starke Kundenauthentifizierung die Häufigkeit von Kartenbetrug senkt – besonders bei Card-not-Present-Transaktionen (CNP), also bei Zahlungen ohne physische Karte. In einem aktuellen Bericht zu Zahlungsbetrug in der Europäischen Union und im Europäischen Wirtschaftsraum (EWR), den die Europäische Zentralbank (EZB) und die Europäische Bankenaufsicht (EBA) veröffentlicht haben, heißt es unmissverständlich: „SCA-authentifizierte Transaktionen wiesen geringere Betrugsraten auf als Nicht-SCA-Transaktionen, insbesondere bei Kartenzahlungen. Darüber hinaus waren die Betrugsraten bei Kartenzahlungen zehnmal höher, wenn sich der Vertragspartner außerhalb des EWR befand, wo die Anwendung von SCA gesetzlich nicht vorgeschrieben ist.“¹ 

Ein genauerer Blick in den Bericht liefert zusätzliche Erkenntnisse: So machten „Remotely-initiated Payments“ im ersten Halbjahr 2023 82 % des Kartenbetrugs nach Wert aus, was 80 % nach Transaktionsvolumen entspricht.² 

In einer Pressemitteilung gibt die EZB zudem weitere interessante Einblicke in das Zahlungsverhalten im Euroraum. Darin heißt es, dass bargeldlose Zahlungen im ersten Halbjahr 2024 um 7,4 % gestiegen sind und Kartenzahlungen dabei 56 % ausgemacht haben.³ Zahlenmäßig waren zwar nur 18 % aller Kartentransaktionen Remote-Zahlungen, ihr Anteil am Zahlungsvolumen machte jedoch 28 % aus. 

Es stimmt zwar, dass die Betrugszahlen in Europa noch niedrig sind, aber mit der Zunahme von Kartenzahlungen und CNP-Transaktionen rückt der Schutz der Nutzerinnen und Nutzer immer stärker in den Mittelpunkt. 

Die Sicherheit der Anwenderinnen und Anwender zu erhöhen, war auch ein wesentlicher Treiber für die Zweite Zahlungsdiensterichtlinie (Payment Services Directive, PSD2) der EU. Die Pflicht zu einer starken Kundenauthentifizierung bei vom Kunden/von der Kundin initiierten Online-Zahlungen – also CNP-Zahlungen – wird darin klar festgelegt. 

Betrachten wir einmal, wie Banken die Nutzerinnen und Nutzer schützen, die Vorschriften einhalten und allen Beteiligten ein zufriedenstellendes Nutzererlebnis bieten können.

Die Herausforderungen für Kartenherausgeber

Banken nennen derzeit vor allem folgende Themen als zentrale Herausforderungen: 

  1. Compliance: Der Bankensektor ist stark reguliert – und das aus gutem Grund. Doch die Einhaltung der Compliance-Regeln ist aufwendig, kostspielig und durch dynamische Anpassungen geprägt.
  2. Technologie: Bedrohungslagen ändern sich schnell und erfordern kontinuierlich neue technologische Antworten. Diese Komplexität zu beherrschen, ist anspruchsvoll.
  3. Wettbewerb: Die Neukundengewinnung ist schwierig und teuer. Fintechs und Neobanken sind zudem dank ihres Digital-first-Ansatzes oft besser auf die neuen Rahmenbedingungen vorbereitet als traditionelle Anbieter. 

Zu erkennen, was Kundinnen und Kunden erwarten, und es konsequent zu liefern, ist eine Grundvoraussetzung. „Banken wollen zum einen Betrug verhindern“, sagt Martina Forster, Portfolio Owner Payment & Identity bei G+D Netcetera. „Zum anderen möchten sie ihre Kundinnen und Kunden halten und sich an deren Bedürfnisse anpassen, um in einem sich schnell wandelnden Umfeld für sie relevant zu bleiben.“ 

Den Spagat zwischen geschäftlichen und regulatorischen Anforderungen zu meistern, bleibt somit eine Daueraufgabe – gerade in Europa.

Banken wollen zum einen Betrug verhindern. Zum anderen möchten sie ihre Kundinnen und Kunden halten und sich an deren Bedürfnisse anpassen, um in einem sich schnell wandelnden Umfeld für sie relevant zu bleiben.

Martina Forster
Portfolio Owner Payment & Identity bei G+D Netcetera

Sich abheben mit 3DS

Die PSD2-Vorgaben sind anspruchsvoll, doch sie gelten für alle Kartenherausgeber. Der Unterschied liegt darin, wie Banken sie jeweils erfüllen. 

Wichtig: PSD2 schreibt nicht vor, wie die starke Kundenauthentifizierung technisch umgesetzt werden muss. Sie verlangt lediglich, dass bei von Kundinnen oder Kunden initiierten Zahlungen zwei der folgenden drei Faktoren abgefragt werden: 

  • Wissen: etwas, das nur die Nutzerin oder der Nutzer kennt, zum Beispiel ein Passwort oder eine PIN B
  • Besitz: etwas, das eindeutig der Nutzerin oder dem Nutzer zugeordnet werden kann, zum Beispiel ein bestimmtes Smartphone
  • Inhärenz: etwas, das der Nutzerin oder dem Nutzer unveränderbar zugehörig ist, etwa ein Fingerabdruck oder eine Stimmerkennung.⁶ 

Eine optimale Lösung erfüllt dabei idealerweise zwei Kriterien: Sie ist flexibel und konfigurierbar und sie lässt sich nahtlos in die Systeme der Bank integrieren – unabhängig davon, ob sie mit einer Authenticator-App, TAN, Passkey, OTP oder anderen Verfahren arbeitet. 

Eine 3-Domain-Secure-Lösung (3DS) als technischer Standard bringt all diese Eigenschaften mit. Jedes Issuer-Setup, das diesen technischen Standard nutzt, beantwortet also viele der aktuellen Herausforderungen. Entscheidend: Der 3DS-Standard ist PSD2-konform und damit ist es auch jede Lösung, die auf dem Standard beruht. 

Ein wenig Störung tut gut

„Wenn Ihr Handy in der Tasche pingt, wissen Sie: Ich werde geschützt“, sagt Martina Forster. „Für Kundinnen und Kunden ist eine Verifizierungsanfrage beruhigend.“ Anders gesagt: PSD2 führt die zusätzliche verpflichtende Authentifizierung zwar ein, um Kundinnen und Kunden besser zu schützen, doch sie sorgt zugleich dafür, dass sie aktiv in ihren Zahlungsvorgang eingebunden bleiben. 

Auf diese Weise stärkt die notwendige Authentifizierung die Beziehung zwischen der Bank sowie den Kundinnen und Kunden. In Zeiten, in denen persönliche Kontakte seltener geworden sind, kann eine kurze, positiv empfundene Interaktion im Zahlungsprozess einen wichtigen Unterschied machen. 

Entscheidend ist dabei, die richtige Balance im Nutzererlebnis zu finden: also den Prozess gerade genug zu stören, damit Vertrauen entsteht, aber nicht so viel, dass Nutzerinnen und Nutzer den Prozess abbrechen. Eine 3DS-Lösung, die diese Balance gut austariert, kann Banken in einem dicht besetzten Wettbewerbsumfeld klar positionieren. 

Mit dem richtigen Partner zusammenarbeiten

„Wenn die Authentifizierungslösung eines Herausgebers eine Transaktion als riskant einstuft, wird sie abgelehnt“, sagt Forster. „Die Kundin oder der Kunde ist zwar geschützt, aber der Warenkorb bleibt liegen und die Händlerin oder der Händler verkauft in diesem Fall nichts. Die richtige Lösung sollte für alle Beteiligten das optimale Ergebnis erzielen.“ Gefragt ist eine Lösung, die Risiken schnell, effizient, sicher und weitgehend korrekt bewertet. 

Wie das in der Praxis aussehen kann, zeigt sich an einer 3DS-Lösung, die mit einem leistungsstarken Access Control Server (ACS) arbeitet. Als Netcetera 2019 bei Erste Bank, einem führenden europäischen Finanzdienstleister, an Bord kam, kannte die Bank zwar die Vorteile von 3DS, doch die Umsetzung entsprach nicht den Erwartungen. Zudem sollte das Onboarding schlanker werden. Um die Probleme zu lösen, fiel die Wahl auf Netcetera. Hauptgrund: der proprietäre ACS. 

Durch risikobasierte Authentifizierung (Risk-Based Authentication, RBA), die auf Verhaltensmustern, Geräteparametern und Transaktionsdaten sowie auf Machine Learning beruht, entscheidet der ACS schnell, ob eine Transaktion weitere Authentifizierung erfordert oder abgelehnt wird. Out-of-Band-Herausforderungen wurden erfolgreich in die Customer Journey integriert, einschließlich einer eigenen Authenticator-App. So fügte sich der ACS reibungslos in die Systeme und Abläufe der Ersten Bank ein. 

Als PSD2 2021 verpflichtend wurde, war die Erste Bank ihrer Zeit voraus. Tatsächlich meldet sie eine 3DS-Abbruchrate von unter 10 %. Der Erfolg zeigt: Eine sichere und zugleich komfortable Nutzererfahrung bei CNP-Transaktionen ist möglich – ohne Kompromisse bei Sicherheit oder Convenience. 

Das daraus entstehende Gefühl von Sicherheit und Einfachheit ist ein wertvolles Gut und kann Kartenherausgebern helfen, sich klar von Wettbewerbern abzuheben. 

Key Takeaways

  • Nutzerinnen und Nutzer wünschen sich bessere Einkaufserlebnisse beim Online-Shopping, während Händler auf Warenkorbkonversionen setzen. SCA befasst sich mit dem kritischen Thema Sicherheit. Die beste Lösung sollte all diese Fragen berücksichtigen.
  • Die aktuelle Version von EMV®® 3DS beantwortet all diese Fragen.
  • Die Bereitstellung einer solchen Lösung verschafft einer ausstellenden Bank einen Wettbewerbsvorteil gegenüber ihren Mitbewerbern und fördert gleichzeitig ihr Bestreben, eine ganzheitliche Umgebung zu schaffen, die alle Bedürfnisse ihrer Kundinnen und Kunden erfüllt. 

  1. ECB and EBA publish joint report on payment fraud, European Central Bank, 2024, https://shorturl.at/hEvuW 

  2. Ibid

  3. Payment statistics: second half of 2024, ECB, https://shorturl.at/a2OLD 

  4. Ibid 

  5. Making electronic payments and online banking safer and easier for consumers, European Commission, 2019, https://ec.europa.eu/commission/presscorner/detail/en/qanda_19_5555 

  6. Ibid 

Veröffentlicht: 20.01.2026

Entdecken Sie unsere Produkte und Lösungen

Ähnliche Themen entdecken

#Geschäftsbanken #PSD2 #Big Data

Diesen Artikel teilen

Ähnliche Artikel lesen
Abonnieren Sie unseren Newsletter

Verpassen Sie nicht die neusten Artikel von G+D SPOTLIGHT: Wenn Sie unseren Newsletter abonnieren, bleiben Sie immer auf dem Laufenden über aktuelle Trends, Ideen und technische Innovationen – jeden Monat direkt in Ihr Postfach.

Bitte geben Sie Ihre Daten an: