Mastercard will im anstehenden Jahr das bisherige Online-Legitimationsverfahren Secure Code durch Identity Check ablösen. Das neue Sicherheitssystem zur Authentifikation von Karteninhabern soll einen reibungsloseren Zahlungsvorgang und besseren Schutz vor Betrug bieten.Von Franz Công Bùi, Frankfurt”Die beste Authentifikation ist gefühlt gar keine Authentifikation.” Ausgehend von dieser Prämisse hat Mastercard das neue Online-Legitimationsverfahren Identity Check entwickelt, wie Carsten Mürl, Leiter Enterprise Security Solutions (Deutschland und Schweiz), im Gespräch mit der Börsen-Zeitung sagt. Das neue System soll “mehrere Fliegen mit einer Klatsche” schlagen. Für die Banken soll sich laut Mürl, der bei dem Kartendienstleister für Sicherheitslösungen wie Authentifizierung, 3D-Secure oder Betrugserkennung verantwortlich ist, die Risikosituation verbessern, ferner soll der Betrug mit Kreditkarten eingedämmt werden. Für Händler soll das Verfahren zudem gleichzeitig die Benutzerführung so verbessern, dass ihnen Warenkörbe nicht mehr so häufig verloren gehen wie bisher.Für die Konsumenten ist vorgesehen, dass sie möglichst nicht mehr einen Registrierungsprozess während des Kaufvorgangs durchlaufen (Activation during Shopping), denn das habe zu enormen Abbruchraten geführt. Stattdessen sollen sie bereits bei Ausgabe einer neuen Karte von ihrer Bank automatisch per SMS ein One-Time Password für die Registrierung zu Identity Check erhalten.Zudem soll das Verfahren besser in die Webseiten eingebettet sein und seltener zu Unterbrechungen führen, indem weniger häufig eine starke Kundenauthentifikation im Sinne der Zahlungsdiensterichtlinie PSD2 erforderlich werde, da das kartenausgebende Institut ihn leichter als den korrekten Konsumenten identifizieren könne. Und selbst wenn für eine Transaktion eine starke Authentifizierung erforderlich sein sollte, werde dies durch Identity Check benutzerfreundlicher erfolgen.Die Implementierung soll im deutschen Markt in den kommenden Monaten erfolgen und bis zum 1. April bei allen beteiligten Banken eingeführt sein. Das neue Sicherheitsprotokoll 3D-Secure 2.0 oder EMV 3D-Secure soll Verbesserungen in der Nutzerführung und in der sogenannten risikobasierten Authentifikation bringen. Wichtigste Änderung: Ein statisches Passwort allein reicht nicht mehr aus, weil auch das zu vielen Transaktionsabbrüchen geführt hat, da Kunden immer wieder ihr Passwort vergessen hatten. Ziel sei indes, dass überhaupt weniger häufig eine Authentifikation vollzogen werden muss.Mit Blick auf die Umsetzung der Vorschriften für eine starke Kundenauthentifizierung nach PSD2 im September sollen Banken und Acquirer ein halbes Jahr Vorlauf für die Einführung eines Authentifikationsverfahrens haben, das nicht nur aus einem, sondern aus mindestens zwei Elementen der drei Kategorien Wissen, Besitz und Inhärenz besteht. Ein Beispiel für ein Element aus der Kategorie Wissen ist das Passwort, das sich ein Kunde merkt. Für die Kategorie Besitz steht etwa sein Mobiltelefon. Und Elemente der Kategorie Inhärenz sind dem Nutzer persönlich beziehungsweise körperlich zu eigen, zum Beispiel biometrische Merkmale wie sein Fingerabdruck, seine Iris oder sein Gesicht. Fingerabdruck im Worst CaseDoch idealerweise sollten, bevor solche biometrischen Daten abgefragt werden müssen, bereits durch die im Hintergrund durchgeführte Risikoprüfung der Kunde authentifiziert und die Transaktion freigegeben werden. Die Prüfung erfolgt auf Basis aller Daten, die zu dem Zeitpunkt vom Konsumenten gezogen werden, wie Mürl darlegt. Also etwa welches Gerät verwendet wird, wo er sich eingeloggt hat, die Einstellungen des Handys, ob der Konsument die Versandadresse geändert hat oder nicht oder auch, ob der Kunde dem Händler schon bekannt ist. Mindestens 40 und bis zu 200 Datenpunkte können in die Risikobewertung einfließen. Und wenn aufgrund dieser Daten festgestellt wird, dass es sich um den richtigen Kunden handelt, soll nach “einer Sanduhrumdrehung” auf dem Bildschirm die Zahlung vollzogen sein.Wenn indes das Risikoadjustierungssystem der Bank doch eine gewisse Wahrscheinlichkeit erkenne, dass es sich nicht um den korrekten Karteninhaber handelt, werde nach einer starken Authentifikation gefragt, etwa durch Auflegen des Fingers auf dem Handy. Das sei dann Mürl zufolge der “Worst Case”, dass der Kunde nach dem ersten Klick zur Bezahlung darum gebeten werde, den Vorgang zusätzlich mit dem Fingerabdruck freizugeben.Die Authentifikation ließe sich auch mit anderen Verfahren wie etwa Gesichts- oder Iris-Scan oder auch Stimmerkennung vollziehen -oder über eine Kombinatorik daraus. Die Technologien hierfür seien vorhanden, doch Mürl ist im deutschen Markt bis jetzt keine solche Implementierung bekannt. Behavioral Biometrics, also biometrische Daten auf Basis des Verhaltens eines Nutzers, spielten derweil zum jetzigen Zeitpunkt keine Rolle. Dabei gehe es um die Tasteneingaben eines Nutzers am PC oder um die Art, wie er sein Smartphone benutzt. Das typische Eingabeverhalten eines Konsumenten werde als Profil hinterlegt und dann mit dem Verhalten im Moment einer Transaktion verglichen. Mürl rechnet damit, dass solch ein Verfahren eher bei einem Shopbetreiber als bei einer Bank installiert wird. Denn es brauche eine gewisse Interaktionszeit des Konsumenten mit dem System, damit sich sein Verhalten vergleichen lässt. Hierfür könne das Verhalten des Konsumenten während des Einkaufs verfolgt werden und mit dessen Normalprofil abgeglichen werden. Ein Klick alleine wie bei einem bloßen Bezahlvorgang reiche hierfür zum Vergleichen nicht.