Die 3D-Secure Technologie, bekannt unter den Markennamen Verified by Visa und MasterCard SecureCode, ist grundsätzlich nichts neues. Bereits im Jahr 2003 haben wir einen Fachartikel für die Netzwoche verfasst. In wenigen Worten umschrieben, geht es um folgendes:
- Ohne 3D-Secure ist nur die Bank des Onlineshops bei Kreditkarten-Transaktionen involviert, eine Identifikation des Karten-Inhabers entfällt.
- Mit 3D-Secure wird im Checkout-Prozess zur Prüfung auch die Bank des Kunden – die ihm die Karte ausgestellt hat – involviert zur Identifizierung.
Die Schweiz kennt das sog. 4-Parteien-System. Neben dem Händler und dem Kunden sind jeweils deren Banken involviert wobei zu beachten ist, dass die sog. Merchant- (Bank des Händlers) und Issuer-Banken (Bank des Kunden) nicht die selben sind.
Mit 3D-Secure ist im online Kreditkarten-Zahlungsprozess die Bank des Kunden fortan als zusätzliche Partei im Spiel.
Haftungsumkehr / Liability Shift
Erst in der jüngeren Vergangenheit wurde nun diese Technologie fast flächendeckend in der Schweiz für die Kunden aufgeschaltet, den Händlern steht sie bereits seit längerem zur Verfügung. Für den Händler ergeben sich gewisse Vorteile, insbesondere wird bei Aufschaltung von 3D-Secure die Haftung an die Bank des Kunden verlagert, der sog. Liability Shift.
Für den Kunden wird durch die Identifikation gefühlt die Sicherheit erhöht. Wie immer besteht jedoch zwischen Sicherheit und Benutzerfreundlichkeit ein Trade-Off. Kommt hinzu, dass die vermeintliche zusätzliche Sicherheit vom Kunden mit der Haftungsübernahme bezahlt werden soll.
Soweit die eine Seite der Medaille. Die Kehrseite jedoch ist, dass die Abbrüche im Checkout angestiegen sind mit 3D-Secure und die Kunden durch den neuen Identifikations-Schritt irritiert scheinen.
Entpuppt sich die vermeintliche zusätzliche Sicherheit als Conversion-Killer?
Bereits 2009 schrieb Peter Schüpbach von Fashionfriends in seinem persönlichen Blog unter dem Titel „VISA/Mastercard – 3d Secure Bullsh***“
„Das ganze Prozedere ist eine absolute Verhinderung eines Kaufprozesses. Ich will gar nicht wissen, wie viele Nutzer da abbrechen und nie mehr die Karte benützen. Zudem ist die Art und Weise der Information der Benutzer eine absolute Katastrophe.“
Eine kurze Umfrage via Twitter, ob 3D-Secure ein Conversions-Killer sei, provozierte folgende Aussagen:
 |
 |
 |
 |
Ähnlich tönt es in den Callcentern und Kundendiensten bei einigen der umsatzstärksten Schweizer Onlineshops, die regelmässig mit Anfragen irritierter Kunden bzgl. 3D-Secure konfrontiert werden.
Woran liegt’s?
Die Kreditkarte gibt es schon um einiges länger als das Internet und sie wurde daher auch grundsätzlich nicht für den Distanzkauf konzipiert. Dennoch hat sie sich durch ihre Charakterisierung der für den Händler idR. garantierten Zahlung vor Lieferung zum Quasi-Standard im (intl.) E-Commerce entwickelt und ist bei den meisten (neuen) Onlineshops Zahlungsmittel erster Wahl, bevor man sich an andere Zahlungsmethoden wie Rechnung etc. wagt.
Einzelne Händler bestätigen zwar, dass ohne 3D-Secure das Betrugsrisiko signifikant höher sei. Doch bezahlt der Händler den zusätzlichen Schutz mit weniger Umsatz durch abgebrochene Checkouts?
Wir konfrontierten die Schweizer Payment Provider mit dieser Fragestellung. Die Postfinance konnte nach eigenen Worten keine erhöhten Abbruchquoten feststellen: Zudem wurden auch keine Volumen-Veränderungen seit Einführung von 3D-Secure registriert. Die Postfinance legt Wert auf folgende Feststellung:
„3DSecure wurde aufgrund von Kundenbedürfnissen und einer Lücke im Bereich gestohlene/verlorene Kreditkarte eingeführt. Konnten doch Dritte im Fall lost/stolen mit dieser Karte im e-commerce ohne weiteres Zahlen. Mit 3DSecure wurde diese Lücke geschlossen und die Karteninhaber sind gegen Missbrauch geschützt.
Es ist im Interesse von allen beteiligten Parteien, 3DSecure konsequent umzusetzen um dem Kartenmissbrauch im e-commerce keinen Nährboden zu bieten.“
Dem ist grundsätzlich nicht einzuwenden und Sicherheit geht vor! Ähnlich die Argumentation seitens Datatrans mit Blick auf die Sicherheit:
„Auch wir hören von höheren Abbruchquoten mit 3-D Secure. Trotzdem unterstützen und befürworten wir das Verfahren, und zwar aus folgenden Gründen:
- Der Grossteil der Schweizer VISA- und MasterCard Karteninhaber haben sich mittlerweile für Verified by VISA/MasterCard SecureCode registriert und kennen das Verfahren.
- Seit der breiteren Einführung von 3D Secure sind Fraud-Fälle bei unseren Kunden massiv zurückgegangen.
- In Zukunft werden die statischen Passwörter wohl durch dynamische abgelöst (z.B. via SMS). Dies vereinfacht den Checkout mit 3D Secure.“
Sicherheit zu Lasten Benutzerfreundlichkeit?
Aber auch Datatrans sieht Optimierungspotential im Verfahren, welches man kundenfreundlicher gestalten sollte, nicht zuletzt auch, um die Conversionen nicht unnötig zu gefährden:
„Gleichzeitig sind wir der Ansicht, dass man das Verfahren weiter vereinfachten könnte – vor allem in Hinblick auf einen verstärkten Einsatz von mobilen Geräten. MasterCard schlägt mit ihrem Programm „Advanced Registration“ eine sinnvolle Lösung vor. Wir wissen allerdings nicht, wann dieses Programm im Markt eingeführt wird – ausserdem scheint VISA momentan noch keine entsprechende Regelung zu planen.“
Diese Lösung sieht vor, dass beim Anlegen des Kundenprofils im Onlineshop nur bei Ersttransaktionen das 3D-Secure-Passwort seitens des Kunden erfasst werden muss. Bei Folgetransaktionen erfolgt die Identifikation durch den Händler über das Kundenlogin, die erneute Identifikation über 3D-Secure durch die Kreditkarten-Organisation kann dann entfallen. Nicht berücksichtigt sind hierbei jedoch Gastlogins.
Ist 3D-Secure der Weisheit letzter Schluss?
Man darf hoffen, dass es dies definitiv nicht ist. Denn die aktuelle Umsetzung ist wenig benutzerfreundlich und führt wiederholt zu Kaufabbrüchen. Zudem kann sie den derzeit verbreiteten Betrugsmethode mittels Trojanern wenig entgegensetzen, da kein zweiter Kommunikationsweg ins Spiel kommt. Hier können bspw. die dynamischen Passwörter über SMS abhilfe schaffen.
3D-Secure kann daher nur eine Zwischenlösung sein – sie ist zweifelsohne in der heutigen Umsetzung mit starken Usability-Mängeln behaftet und eines dieser Übel, die man zusammen mit Captchas heutzutage den Kunden zumutet – von Technikern entwickelt die wissen, dass die Kunden deren private Adresse nicht kennen.
Conversions-Optimierer sind gefordert
Für die Conversion in Onlineshops heisst dies vorab, den Kunden möglichst gut zu führen und zu informieren, dass sich im Checkout seine „Hausbank“ einschaltet und er sich gegenüber dieser identifizieren muss. Es gilt subtil darauf hin zu arbeiten, dass die heutige Irritation in ein gestärktes Sicherheitsgefühl transformiert werden kann.
Denn sonst entpuppt sich 3D-Secure in der Tat als Conversion-Killer.
Toll, dass ihr das Thema aufgreift! Seit 2009 ist bezüglich Benutzerführung nichts geschehen. Jeder halbwegs gewiefte Online würde die Registrierung und den Ablauf viel besser und schöner hinkriegen – auch so, dass sich der Nutzer nicht völlig verloren fühlt.
Was mich vor allem irritiert ist die Tatsache, dass dies scheinbar VISA/Mastercard nicht interessiert – obwohl ihnen bei den Abbruchraten ja auch Business verloren geht. Oder ist es einfach so, dass es denen schon so viel zu gut geht…
Noch ein Zusatz (bin ja da als Tweet erwähnt).
Mit der Supercard (mastercard) vom Coop ist’s eine absolute Katastrophe, das funktioniert nur per Zufall und ich versuch’s eigentlich schon gar nicht mehr (bin aber der Ursache nie auf den Grund gegangen)
Mit der BonusCard von Jelmoli (visa) funktioniert’s dafür immer und zuverlässig. Die machen’s via SMS code und das geht prompt und zuverlässig und stört eigentlich kaum.
Bei der MasterCard ist’s irgendein Passwort Mechanismus, der Prozess war so doof und „untrust“-worthy, dass ich das alles verdrängt habe 😉
Ich sehe auch zwei einfache Möglichkeiten, den Prozess zu optimieren:
> Einerseits wäre eine SMS-Validierung der Zahlung bequem.
> Andererseits müssten die Anbieter aktiver werden, d.h. beim Erstellen der Kreditkarte bereits einen Code definieren lassen oder via postalischer eine 3DS-Aufschaltung initiieren. Wenn 3DS zum ersten Mal im Checkout auftritt, ist fast sicher ein Conversion-Killer.
Definitiv ein Conversion Killer und bin voll auf der Linie der Kommentierer. Es ist unerklärlich, dass die Mastercards dieser Welt hier nicht intelligentere Mechanismen einbauen.
Und im Weiteren richtig „gefährlich“ für die KK-Anbieter, sollte jemand anders eine intelligente, bezahlbare Zahlungsart anbieten können – dann schwimmen die Felle schnell davon. Aber noch gilt: Bisher hat niemand DIE Lösung!
Also ich wurde gestern ja das erste Mal mit dem 3D-Secure Thema als Käufer konfrontiert und hätte wohl Passwörter erstmals vergeben soll.
Mir war das tatsächlich zu blöd bzw. auch zu undurchsichtig und habe daher den Checkout abgebrochen und woanders bestellt.
Man muss aber auch dazu sagen, dass die Landingpage für 3D-Secure extrem schlecht gemacht war. Es gab auch keinerlei Infos warum ich jetzt was machen soll und welche möglichen Vorteile sich daraus ergeben etc. pp.
Auch wir hören diese Behauptungen bzw. Befürchtungen der „höheren Abbruchsquote im Checkout bei Kreditkartenzahlung mit dem 3D Secure Verfahren“, die leider auf keiner zuverlässigen Auswertung basieren.
Das Hauptproblem liegt meistens darin, dass keine eine saubere Auswertung gemacht wird oder vermutlich gar nicht möglich ist. Und jeden Abbruch als verlorenen Umsatz zu zählen, ist auch nicht korrekt. Vielmehr müsste man diese Abbrüche detailliert auswerten. Es kann durchaus sein, dass sich derselbe Kunde später (am selben Tag, einige Tage später oder sogar Wochen später), nachdem er seine Karte beim Issuer für 3D enrolled hat, auf die eShop WebSite zurückkehrt und den Einkauf trotzdem noch durchführt. Oder er bestellt die Ware später trotzdem nochmals und wählt zum Beispiel ein anderes alternatives Zahlungsmittel, oder es ist ein Fraudversuch und die Bestellung konnte durch 3D erfolgreich verhindert werden.
Damit wirklich eine saubere Analyse gemacht werden kann, müsste sowohl im eShop, wie auch im PSP-Tool überwacht werden, ob der Kunde „zurückkehrt“ und den Umsatz trotzdem noch generiert. Dazu müssten aber die Abbrüche wirklich geloggt werden (vielleicht kann der Shopbetreiber den aktuellen Inhalt des Warenkorbes für eine gewisse Dauer abspeichern, dass wenn der Kunde später zurückkommt, die ausgewählten Artikel noch im Warenkorb vorfindet und er nur noch bezahlen muss?). So dass der Shopbetreiber am Abend des Tages weiss, dass der Kunde A, welcher im Moment wo er das Passwort hätte eingeben oder seine Karte während dem Einkaufen hätte „enrollen“ sollen, mit dem Artikel X und Y im Gesamtwert von Z Franken im Warenkorb, den Einkauf abbrach. Um dann wirklich zu wissen, dass der Umsatz verloren ist, müsste er den Kunden anhand der Kundennummer „überwachen“ und auswerten, ob er evtl. später diese Artikel eben doch noch gekauft hat? Und dann mit Kreditkarte, gegen Rechnung oder mit Paypal, InternetCash oder PaySafecard oder was es alles gibt, bezahlt hat. So hätte man endlich mal wirklich aussagekräftige Voten zu diesem Thema.
Mit der Einführung des 3D-Secure Verfahrens erinnert man sich an die Einführung der Chip & PIN Karten an den POS-Terminals und es wird halt wie bei vielen anderen Themen auch hier die „Ei oder Huhn“-Frage im Vordergrund stehen. Die Tatsache ist, dass der grosse Teil der Online Händler in der Schweiz das 3D Secure Verfahren in ihren Webshops integriert haben und der Anteil der Transaktion mit registrierten Kreditkarten nehmen kontinuierlich zu. Der Anteil der 3D Transaktionen mit Passwort liegt nach unserer Statistik über 70%.
SIX steht voll hinter dem Verfahren und pusht es kräftig auf dem E-Commerce Markt. Sicherlich gibt es seitens Usability und Sicherheit (z.B. dyn. Passwort) weitere Verbesserungspotential, dran arbeiten intensiv die involvierte Parteien wie Visa, MasterCard, Issuing Banken und Acquirer.
Ich habe schon den Checkout schon abgebrochen wegen 3D Secure – q.e.d. 🙂
1. Kundenführung/Information insgesamt ist schlecht
2. Nervige Restriktionen für das Passwort (keine Sonderzeichen…)
3. Passwort-Reset nur möglich wenn man Zugriff auf die Abrechnungen hat
Die Umsetzung ist einfach zu holprig und weckt dadurch eher Ängste als es Vertrauen schafft. Ich denke für Gelegenheits-Besteller kann das durchaus ein Killer sein.
[…] Thomas Lang von Carpathia beschreibt in seinem Beitrag “Ist 3D-Secure ein Conversion-Killer?” auftretende Probleme mit dem 3D Secure Verfahren und sammelt interessante Stellungnahmen zum […]
…definitives Killerformat – bin seit kurzem auf SMS-Prozess umgestellt – bis auf Weiteres auf Grund Prozessfehler (Insider: bin nicht der Einzige) kein Einkauf mehr in ca. 20.000 Shops im Grosskanton resp. 300.000 im restlichen Europa (Quelle: Visa) mehr möglich.
a. Bank schiebt’s auf Card Service Betreiber
b. der schiebt’s auf die Bank
c. Shops werten ihre Abbrüche unzureichend aus (siehe oben) oder s’geht sie nix an weil deutlich geringere Schäden durch Betrug
Kauf‘ ICH als Kunde halt nur noch da ein wo’s noch ohne geht (z.B. Amazon?!…) oder lass‘ es soweit ich’s nicht zwingend brauch‘ (z.B. Flugbuchungen). Merkt Ihr was?…
[…] die nationalen Standards in Sachen Warenkorb, Weichenseite, Formularen, Lieferoptionen und Zahlungsarten sowie […]