Bei Hitmeister haben wir ja (wie im Artikel zu den Rücklastschriften beschrieben) einige Probleme mit Fraudstern. Wir gehen da sehr rigoros vor, vor kurzem kam es zur zweiten Hausdurchsuchung durch die Polizei bei einem lieben Kunden, der meint mit über 50 Accounts Elektronikartikel bestellen zu müssen, ohne dabei einen Cent in der Tasche zu haben. Aber gut, heute wollte ich mal das 3-D Secure Verfahren etwas beleuchten und warum man es als Händler implementieren sollte.
Chargebacks (Rückbelastungen) sind bei Kreditkarten sehr ärgerlich für den Händler. Der Kunde kann bei CNP (Card Not Present) Transaktionen über das Internet ohne Probleme sagen, er sei für die Buchung nicht verantwortlich und die Zahlung stornieren. Bei Betrugsfällen o.ä. eine gute Sache, nur leider wird dieser Mechanismus von schwarzen Schafen missbraucht. Für den Händler entstehen hohe Kosten. Zum einen die stornierte Transaktion, dann die Gebühr der Kreditkartenfirma für das chargeback (teilweise 10-15 Euro) und nicht zuletzt kommt man, wenn man zu viele Chargebacks hat, bei den Kreditkartenfirmen auf Beobachtungslisten, muss mehr Sicherheiten hinterlegen usw. Jeder Händler möchte also Chargebacks vermeiden.
Die üblichen (Scoring-ähnlichen) Verfahren, wie IP/BIN Check o.ä. sollte eh jeder implementieren bzw. bei seinem Payment-Dienstleister aktivieren, um den gröbsten Missbrauch (russische Kunden mit ägyptischen Kreditkarten usw.) abzufangen.
Als Lösung für Betrüger wurde von MasterCard 3-D Secure entwickelt. Bei Visa nennt sich das ganze Verified by Visa und ist das gleiche in Grün. Mit 3-Ds erhält jeder Kunde eine PIN oder Passphrase, die er zur Bestätigung einer Transaktion auf der Website seiner Bank eingeben muss. Der Kunde wird also vom Händler zu seiner Bank umgeleitet und dann zurück zum Händler.
Erstmal vorneweg: 3-D Secure und Verified by Visa sind ganz schrecklich zu implementieren. Wenn man seinem Entwickler das folgende Prozessdiagramm vorlegt wird dieser vermutlich ernsthaft über eine Karriere als Landwirt nachdenken:
(Quelle: Visa)
Aus 3-DS ergeben sich einige Konsequenzen für alle Beteiligten.
- Wenn ein Händler 3-DS implementiert, gibt es einen sogenannten liability shift, sprich der Händler ist nicht mehr für Chargebacks verantwortlich, auch wenn der Kunde noch gar nicht 3DS nutzt! Den letzten Satz bitte nochmal lesen. Ein Händler, der jetzt 3-DS implementiert, vermeidet also künftig fast alle Rücklastschriften!
- Für den Kunden ändert sich erstmal wenig. Es gibt meines Wissens erst einen Kreditkartenherausgeber in Deutschland (AirPlus), der 3-DS an seine Kunden ausgerollt hat. Ansonsten finde ich ja 3-DS von der Usability her nicht so toll (noch eine PIN), aber bisher ist es eh wurscht, wenn keine Bank das unterstützt. Diese Tatsache führt aber auch dazu, dass man die Implementierung von 3-DS nicht wirklich testen kann, weil es keine Kreditkarten gibt! Wir helfen uns hier mit Prepaid-Karten aus Österreich aus, die 3DS unterstützen.
- I am not a lawyer, aber ich finde in Zukunft wird der Kunde von 3-DS ziemlich gekniffen sein. Er bekommt etwas mehr Sicherheit, kann dafür aber nicht mehr ohne weiteres Chargebacks einreichen, weil er ja seine PIN eingegeben haben soll. Dass 3-D Secure Betrug über z.B. Session-Hijacking nicht verhindert, wird dabei nicht berücksichtigt. Also im Prinzip das gleiche Problem wie bei PINs am Geldautomaten, die laut den Banken unglaublich sicher sind.
Fazit: Für einen Händler, der viel mit Kreditkarten-Chargebacks konfrontiert ist, macht es also durchaus Sinn jetzt schon 3-D Secure zu implementieren, weil die Haftung für Chargebacks größtenteils auf die Banken übergeht. Die Implementierung ist aber wegen der Komplexität der Systeme und den mangelhaften Testmöglichkeiten grausam.
Kann diesem Artikel nur zustimmen. Ich wollte bei Etihad ein Ticket buchen, bei Bezahlung mit Lufthansa Kredit Card (Master Card) kam Fehlermeldung “Die Bank benutzt 3d Secure System und verweigert Bezahlung”. Bei Anruf der Lufthansa Hotleine konnte man mit dem Ausdruck 3d Secure System nichts anfangen und teilte mir mit, dass keine Anfrage des Etihad-Rechners stattgeunden habe. Da nur noch wenige Plätze bei dem Flug vorhanden waren, versuchte ich es mit der BMW Card (American Express) und siehe da die Bezahlung verlief ohne Probleme. Ich habe sofort das Secure Card System zu meiner Lufthansa Card abgemeldet aber auch das bereitete wieder Problem (würde einen weiteren langen Kommentar ergeben).
goschka
November 8th, 2009
Der Liability shift ist zwar an sich eine feine Sache, aber halt leider nur für Deutschland, da dort noch so gut wie keine 3D Karten im Umlauf sind.
In unserem französischen Onlineshop haben wir seit 3D Secure mehr als 4mal so viele Abbrüche wir vorher, da die Kunden damit nicht klar zukommen scheinen. Noch ein Fenster in das man irgendeinen Pin eingeben soll, dass könnte genauso gut von Hackern sein und was für einen Pin soll man da überhaupt eingeben….. Die Kunden akzeptanz ist sehr schlecht! Mich würde interessieren ob wir mehr Geld durch Zahlungsabbrüche oder durch Chargebacks bzw. Betrüger verlieren würden. Ich tippe auf, wir verlieren mehr Geld durch 3D Secure, da wir für alle kaufwilligen Kunden ja auch schon Werbegeld ausgegeben haben.
Noch jemand mit ähnlichen Erfahrungen?
Andreas Becker
Dezember 15th, 2009