EMV 3DS Access Control Server: Passkeys, FIDO und SPC

Die Welt der Online-Zahlungsauthentifizierung befindet sich in einem tiefgreifenden Wandel. Angetrieben wird dieser Wandel durch zwei zentrale Anforderungen: die Sicherheit gegen raffinierte Betrugsmaschen zu erhöhen und gleichzeitig das Nutzererlebnis zu verbessern, um Reibungsverluste und Warenkorbabbrüche zu reduzieren. Das EMV® 3-D Secure (3DS)-Protokoll, insbesondere in seinen neueren Versionen (EMV 3DS 2.x), ist die grundlegende Technologie zur Authentifizierung von Card-Not-Present (CNP)-Transaktionen weltweit. Dieses von EMVCo verwaltete Protokoll ermöglicht den Datenaustausch zwischen Händlern, Kartenherausgebern (über deren Access Control Server – ACS) und der Interoperabilitätsdomäne (Directory Server, die von Zahlungsnetzwerken betrieben werden), um die Identität des Karteninhabers zu überprüfen.

In diesem Rahmen zeichnen sich zwei wichtige technologische Fortschritte ab, die mit den Standards der FIDO (Fast Identity Online) Alliance zusammenhängen:

1. Die Nutzung von FIDO-Authentifizierungsdaten, die bei früheren Nutzerinteraktionen (z. B. beim Login beim Händler) generiert wurden, um die Risikobewertung für den EMV 3DS Frictionless Flow zu verbessern.
2. Die Integration von Secure Payment Confirmation (SPC), einem W3C-Webstandard, der auf FIDO/WebAuthn aufbaut, als optimierte und Phishing-resistente „Challenge“-Methode innerhalb des EMV 3DS Flows.

Dieser Artikel gibt einen Überblick über den globalen Markt für EMV 3DS Access Control Server (ACS)-Lösungen, die für kartenherausgebende Banken angeboten werden. Er identifiziert die wichtigsten Anbieter und versucht, deren aktuelle Unterstützung für FIDO-Datenstrukturen (ohne SPC) und Secure Payment Confirmation (SPC) für Challenge Flows zu bewerten. Darüber hinaus wird erläutert, wie Herausgeber ihre eigenen FIDO-Passkeys für die kryptografische Verifizierung innerhalb des 3DS Challenge Flows mittels SPC nutzen können, und die globale Anwendbarkeit dieses Standards wird diskutiert.

EMV 3DS arbeitet hauptsächlich über zwei verschiedene Authentifizierungspfade:

• Frictionless Flow: Dies ist der bevorzugte Weg, der auf ein nahtloses Nutzererlebnis abzielt. Der ACS des Herausgebers führt eine Risikobewertung durch, die auf einem umfangreichen Datensatz basiert, der bei der Transaktionseinleitung ausgetauscht wird (über die Authentication Request, oder AReq-Nachricht). Diese Daten umfassen Transaktionsdetails, Händlerinformationen, Gerätemerkmale, Browserdaten (die potenziell über das 3DSMethod-JavaScript gesammelt werden) und möglicherweise frühere Authentifizierungsinformationen. Wenn das Risiko als gering eingestuft wird, wird die Transaktion authentifiziert, ohne dass eine direkte Interaktion oder „Challenge“ vom Karteninhaber erforderlich ist. Dieser Flow macht den Großteil der 3DS-Transaktionen aus, insbesondere dort, wo die Risiko-Engines gut abgestimmt sind.
• Challenge Flow: Wenn der ACS das Transaktionsrisiko als hoch einstuft, wenn es durch Vorschriften (wie die PSD2 SCA in Europa) oder die Richtlinien des Herausgebers vorgeschrieben ist, wird der Karteninhaber aktiv aufgefordert, seine Identität zu verifizieren. Traditionelle Challenge-Methoden umfassen Einmalpasswörter (OTP), die per SMS gesendet werden, wissensbasierte Fragen oder Out-of-Band (OOB)-Authentifizierung über eine Banking-App. Das Ziel neuerer 3DS-Versionen und verwandter Technologien wie SPC ist es, diesen Challenge Flow sicherer und weniger umständlich zu gestalten als ältere Methoden.

EMVCo und die FIDO Alliance haben gemeinsam einen standardisierten Weg definiert, damit Händler Informationen über frühere FIDO-Authentifizierungen (bei denen der Händler als Relying Party fungierte, z. B. beim Nutzer-Login) an den ACS des Herausgebers innerhalb der Standard-3DS-AReq-Nachricht übermitteln können. Dieser Mechanismus, der erstmals in EMV 3DS v2.1 unterstützt wurde, nutzt spezifische Felder innerhalb der AReq, hauptsächlich die threeDSRequestorAuthenticationInfo-Struktur, die Unterfelder wie threeDSRequestorAuthenticationData enthält.

Das FIDO Alliance Technical Note und das zugehörige EMVCo White Paper spezifizieren eine JSON-Struktur für dieses threeDSRequestorAuthenticationData-Feld, wenn Details zu einer früheren FIDO-Authentifizierung übermittelt werden. Dieses JSON-Objekt enthält Details wie die Authentifizierungszeit (authTime), die FIDO Relying Party ID (rpId oder appId) und Informationen über den/die verwendeten Authenticator(s), einschließlich des öffentlichen Schlüssels, der AAGUID/AAID und Indikatoren für die Nutzeranwesenheit (UP) und Nutzerverifizierung (UV).

Die Logik dahinter ist, dass, wenn ein Händler kürzlich eine starke FIDO-Authentifizierung (z. B. mit Biometrie oder einem Passkey) für die Nutzersitzung durchgeführt hat, die den Kauf initiiert, diese Information als wertvolles zusätzliches Risikosignal für den ACS des Herausgebers dienen kann. Durch den Empfang und die Verarbeitung dieser standardisierten FIDO-Daten kann der ACS potenziell mehr Vertrauen in die Legitimität der Transaktion gewinnen, was die Wahrscheinlichkeit einer reibungslosen Genehmigung erhöht und die Notwendigkeit einer separaten Challenge verringert. Es ist wichtig zu beachten, dass in diesem Szenario der Händler die FIDO RP ist und der Herausgeber diese Daten als Input für seine Risiko-Engine verwendet; der Herausgeber verifiziert die FIDO-Assertion in diesem reibungslosen Flow nicht kryptografisch. Der ACS behält sich die Möglichkeit vor, diese Daten zu ignorieren, wenn er nicht für deren Verarbeitung konfiguriert ist.

Secure Payment Confirmation (SPC) stellt eine separate Integration von FIDO-Standards innerhalb des EMV 3DS Challenge Flows dar. SPC ist ein W3C-Webstandard, der in Zusammenarbeit mit FIDO und EMVCo entwickelt wurde und auf WebAuthn aufbaut. Er wird formell innerhalb von EMV 3DS ab Version 2.3 unterstützt.

Wenn SPC als Challenge-Methode verwendet wird:

1. Der Herausgeber (oder eine vom Herausgeber explizit beauftragte Partei, wie z. B. ein Zahlungsnetzwerk) fungiert als FIDO Relying Party (RP). Dies unterscheidet sich grundlegend vom zuvor beschriebenen FIDO-Datenfluss ohne SPC, bei dem typischerweise der Händler als RP für seine eigenen Login-/Authentifizierungszwecke agiert.
2. Während der 3DS-Challenge signalisiert der ACS die Notwendigkeit von SPC und stellt die erforderlichen FIDO-Credential-Identifikatoren und eine kryptografische Challenge dem Händler/3DS-Server zur Verfügung.
3. Das System des Händlers ruft die SPC-API des Browsers auf und präsentiert dem Nutzer die Transaktionsdetails (Betrag, Währung, Zahlungsempfänger, Instrument) in einem sicheren, vom Browser kontrollierten Dialog.
4. Der Nutzer authentifiziert sich mit seinem FIDO-Authenticator (z. B. Gerätebiometrie, PIN, Sicherheitsschlüssel), der die Transaktionsdetails und die Challenge mit dem privaten Schlüssel signiert, der mit dem vom Herausgeber registrierten Passkey verknüpft ist.
5. Die resultierende FIDO-Assertion (kryptografischer Nachweis der Authentifizierung und Zustimmung) wird über das 3DS-Protokoll (typischerweise über eine zweite AReq-Nachricht) an den ACS des Herausgebers zurückgesendet.
6. Der ACS, als RP, validiert die Assertion kryptografisch mit dem entsprechenden öffentlichen Schlüssel und bestätigt so die Identität des Karteninhabers und seine Zustimmung zu den spezifischen Transaktionsdetails.

SPC zielt darauf ab, ein Challenge-Erlebnis zu bieten, das sowohl sicherer (Phishing-resistent, dynamische Verknüpfung der Authentifizierung mit Transaktionsdaten) als auch potenziell reibungsloser (oft schneller als die Eingabe einer OTP) ist im Vergleich zu traditionellen Methoden.

Die beiden Wege der FIDO-Integration – einer, der frühere Händler-Authentifizierungsdaten für die reibungslose Risikobewertung nutzt, und der andere, der vom Herausgeber verwaltete Credentials für eine direkte FIDO-basierte Challenge via SPC verwendet – bieten unterschiedliche Ansätze zur Verbesserung von Sicherheit und Nutzererlebnis im EMV 3DS-Framework. Das Verständnis der Anbieterunterstützung für jeden dieser Wege ist für Herausgeber und PSPs, die ihre Authentifizierungsstrategien planen, von entscheidender Bedeutung.

Dieser Abschnitt analysiert die Fähigkeiten globaler Anbieter von EMV 3DS ACS-Lösungen, mit einem Fokus auf ihre Marktpräsenz und Unterstützung für FIDO-Daten (ohne SPC) und Secure Payment Confirmation (SPC). Genaue Marktanteilszahlen sind proprietär und öffentlich schwer zu beschaffen; daher wird die Präsenz auf der Grundlage von Anbieterangaben, Zertifizierungen, Partnerschaften, geografischer Reichweite und Marktberichten bewertet.

• Marktpräsenz: Entersekt positioniert sich, insbesondere nach der Übernahme des 3DS-Softwaregeschäfts von Modirum im Dezember 2023, als ein führender globaler Anbieter von EMV 3DS-Lösungen und strebt eine Top-Fünf-Marktposition an. Modirum hatte über 20 Jahre Erfahrung im 3DS-Bereich. Entersekt hebt ein Rekordwachstum hervor, das durch neue Kunden, insbesondere in Nordamerika, und strategische Partnerschaften, einschließlich einer erweiterten Beziehung zu Mastercard, angetrieben wird. Sie geben an, jährlich über 2,5 Milliarden Transaktionen zu sichern (Stand Geschäftsjahr 24) und werden von Liminal als Nummer 1 in der ATO-Prävention im Banking eingestuft. Ihr ACS ist gehostet (von Entersekt oder dem Kunden) oder On-Premise verfügbar. Sie bedienen Herausgeber und Prozessoren weltweit.
• Unterstützung für FIDO-Daten ohne SPC (Frictionless): Entersekt betont seine Context Aware™ Authentication, Geräte- und Verhaltensanalysen für Risikosignale sowie die Integration mit verschiedenen Risk-Scoring-Diensten. Ihr ACS ist FIDO EMVCo 2.2 zertifiziert. Obwohl sie die Nutzung von Risiko- und Verhaltensdaten für die RBA hervorheben, wird eine explizite Bestätigung der Verarbeitung der standardisierten FIDO-Attestierungsdaten aus früheren Händler-Authentifizierungen im threeDSRequestorAuthenticationInfo-Feld zur Verbesserung des Frictionless Flows in den Online-Materialien nicht ausdrücklich erwähnt. Ihr Fokus auf fortschrittliche Authentifizierung und Risikosignale deutet jedoch auf diese Fähigkeit hin.
• SPC-Unterstützung (Challenge): Es gibt starke Anzeichen dafür, dass Entersekt SPC unterstützt. Modirum, dessen 3DS-Geschäft Entersekt übernommen hat, lieferte Komponenten für den SPC-Piloten von Visa, der 3DS 2.2 mit Erweiterungen nutzte. Entersekt listet explizit die Unterstützung für SPC-Compliance als Teil seiner regulatorischen Compliance-Fähigkeiten auf. Ihr ACS unterstützt biometrische Authentifizierung, ist für EMV 3DS 2.2 zertifiziert und integriert wahrscheinlich Fähigkeiten aus Modirums Pilotbeteiligung. Die Kombination aus der Modirum-Übernahme, der expliziten Erwähnung von SPC-Compliance und der FIDO-Zertifizierung deutet stark auf eine SPC-Unterstützung in ihrem aktuellen Angebot hin.

• Marktpräsenz: Broadcoms Arcot ist ein fundamentaler Akteur im 3DS-Markt, der das ursprüngliche Protokoll gemeinsam mit Visa erfunden hat. Sie positionieren sich als anerkannter globaler Marktführer, der über 5.000 Finanzinstitute weltweit bedient und Transaktionen aus 229 Ländern verarbeitet. Ihr Arcot Network betont einen riesigen Konsortiumsdatenansatz (sie beanspruchen 600M+ Gerätesignaturen, 150 Billionen Datenpunkte), um ihre Betrugsbewertungs- und Risiko-Engines anzutreiben. Sie haben eine starke Präsenz in Europa, Australien und Nordamerika.
• Unterstützung für FIDO-Daten ohne SPC (Frictionless): Broadcom legt großen Wert auf den Reichtum ihres Datennetzwerks und den Einsatz von KI/neuronalen Netzen zur Betrugserkennung und risikobasierten Bewertung, die über die Standard-EMV-3DS-Datenelemente hinausgehen. Sie geben explizit an, dass ihre Lösung Daten nutzt, die durch mehrere Herausgeber fließen, und digitale Daten wie Geräte- und Geolokalisierungsinformationen einbezieht. Obwohl die Verarbeitung der spezifischen FIDO-JSON-Struktur aus threeDSRequestorAuthenticationData nicht explizit erwähnt wird, deutet ihr Fokus auf die Aufnahme verschiedener Datenpunkte für die RBA stark darauf hin, dass sie solche Daten konsumieren könnten, wenn sie bereitgestellt werden, was mit der Absicht der EMVCo/FIDO-Leitlinien übereinstimmt. Ihre Plattform zielt darauf ab, reibungslose Genehmigungen durch eine überlegene Risikobewertung zu maximieren.
• SPC-Unterstützung (Challenge): Die Dokumentation von Broadcom bestätigt die Unterstützung für FIDO-Authenticators (Security Key, Biometric, Passkey) innerhalb ihrer breiteren VIP Authentication Hub / Identity Security Suite. Ihr 3DS ACS unterstützt verschiedene Challenge-Methoden, einschließlich OTPs und Push-Benachrichtigungen, und sie erwähnen die Unterstützung für Biometrie. Sie bieten auch Delegated Authentication-Fähigkeiten an und haben Funktionen zur Risikobewertung nach der Challenge eingeführt. Eine explizite Bestätigung, dass ihr EMV 3DS ACS-Produkt derzeit SPC als spezifische Challenge-Methode unterstützt (was EMV 3DS v2.3+-Fähigkeiten und den Zwei-AReq-Flow erfordert), fehlt jedoch in der bereitgestellten Dokumentation. Obwohl sie ein wichtiger Akteur sind, der wahrscheinlich in der Lage ist, dies zu implementieren, konzentriert sich das aktuelle öffentlich zugängliche Material stärker auf ihre RBA-Engine und traditionelle/OOB-Challenge-Methoden.

• Marktpräsenz: Netcetera positioniert sich als bedeutender internationaler Akteur im Zahlungsverkehr, besonders stark in Europa und im Nahen Osten. Sie geben an, dass ihr ACS von über 800 Banken/Herausgebern genutzt wird und mehr als 50 Millionen Karten weltweit sichert. Sie betonen Zertifizierungen bei allen großen Kartennetzwerken (Visa, Mastercard, Amex, Discover, JCB, UnionPay, etc.) und PCI-Compliance. Sie waren bemerkenswerterweise der erste ACS-Anbieter weltweit, der die EMV 3DS 2.3.1-Zertifizierung erreichte.
• Unterstützung für FIDO-Daten ohne SPC (Frictionless): Die Dokumentation von Netcetera unterstreicht die Bedeutung der über die 3DSMethod gesammelten Daten für die ACS-Risikobewertung, um die reibungslose Authentifizierung zu erhöhen. Sie bieten die Integration mit Risiko-Tools an. Eine spezifische Bestätigung der Verarbeitung früherer Händler-FIDO-Authentifizierungsdaten (aus threeDSRequestorAuthenticationInfo) für die Risikobewertung wird in den geprüften Materialien jedoch nicht explizit erwähnt.
• SPC-Unterstützung (Challenge): Netcetera zeigt eine starke Unterstützung für SPC. Sie waren der erste Anbieter weltweit, der für EMV 3DS 2.3.1 zertifiziert wurde, die Version, die SPC integriert. Sie nahmen am Visa SPC-Piloten teil und stellten die v2.3.1-Komponenten zur Verfügung. Ihre Produktdokumentation definiert explizit SPC. Sie haben Webinare zur Diskussion der FIDO- und SPC-Integration durchgeführt und Artikel veröffentlicht, die die Vorteile von SPC hervorheben. Diese Kombination aus Zertifizierung, Pilotenteilnahme und expliziter Dokumentation bestätigt ihre Unterstützung für SPC-Challenges.

• Marktpräsenz: Worldline positioniert sich als europäischer Marktführer für Zahlungs- und Transaktionsdienstleistungen und als wichtiger globaler Akteur (beansprucht den Status des viertgrößten Zahlungsanbieters weltweit). Sie verarbeiten jährlich Milliarden von Transaktionen und betonen garantierte Compliance, Betrugsbekämpfung mit KI/ML und Skalierbarkeit. Ihr ACS ist nach eigenen Angaben EMV 3DS-zertifiziert und konform mit den großen Schemata (Visa Secure, Mastercard Identity Check) und PSD2. Sie berichten von der Verarbeitung von über 2,4 Milliarden 3DS-Transaktionen jährlich für über 100 Herausgeber.
• Unterstützung für FIDO-Daten ohne SPC (Frictionless): Das ACS-Angebot von Worldline umfasst eine RBA-Regel-Engine, die es Herausgebern ermöglicht, reibungslose oder Challenge-Flows basierend auf dem Risiko zu konfigurieren. Ihre breitere „Trusted Authentication“-Lösung nutzt Geräteintelligenz und Verhaltensanalyse. Obwohl sie FIDO allgemein unterstützen, wird eine explizite Bestätigung der Verarbeitung früherer Händler-FIDO-Daten (ohne SPC) innerhalb des ACS zur Risikobewertung in den bereitgestellten Ausschnitten nicht detailliert.
• SPC-Unterstützung (Challenge): Worldline zeigt klare Anzeichen für die Unterstützung von SPC. Ihre Dokumentation erkennt die Entwicklung von EMV 3DS 2.3 an, um SPC/FIDO einzuschließen. Sie vermarkten explizit ihre „WL Trusted Authentication“-Lösung als unterstützend für FIDO-Authentifizierung und bieten einen „WL FIDO Server“ an, der für „3DS-Anwendungsfälle, mit emvCO2.3 und SPC“ geeignet ist.

• Marktpräsenz: GPayments positioniert ActiveAccess als eine „robuste, marktführende Access Control Server (ACS)-Plattform“ mit über 20 Jahren Erfahrung im 3D-Secure-Bereich. Sie sind bei den großen Kartensystemen (Visa Secure, Mastercard Identity Check, JCB J/Secure) sowohl für 3DS1 als auch für EMV 3DS zertifiziert. Ihre Lösung kann On-Premise oder in der Cloud gehostet werden. Marktberichte identifizieren GPayments als einen namhaften Akteur, der ACS-Lösungen anbietet.
• Unterstützung für FIDO-Daten ohne SPC (Frictionless): ActiveAccess unterstützt die Integration mit RBA-Lösungen von Drittanbietern und verwendet verschiedene Parameter für seine eigene Risikobewertung. Die bereitgestellte Dokumentation erwähnt jedoch nicht explizit die Unterstützung für die Aufnahme oder Verwendung früherer Händler-FIDO-Authentifizierungsdaten (ohne SPC) für die reibungslose Risikobewertung.
• SPC-Unterstützung (Challenge): Die geprüfte Dokumentation für ActiveAccess erwähnt nicht explizit die Unterstützung für Secure Payment Confirmation (SPC), WebAuthn-Challenges oder FIDO-Challenges als Teil ihrer Challenge-Flow-Fähigkeiten. Obwohl sie verschiedene Authentifizierungsmethoden unterstützen, einschließlich OOB (was Biometrie umfassen kann), ist die spezifische SPC-Unterstützung aus den verfügbaren Informationen unklar.

• Marktpräsenz: Visa, als großes globales Zahlungsnetzwerk, definiert das Visa Secure-Programm basierend auf dem EMV 3DS-Standard. Sie waren Pioniere des ursprünglichen 3DS-Protokolls. Anstatt primär als direkter ACS-Anbieter im gleichen Sinne wie Technologieunternehmen wie Entersekt oder Broadcom zu agieren, betreibt Visa das Programm und stützt sich auf eine Liste zugelassener 3DS-Anbieter (einschließlich ACS-Anbieter), deren Produkte als konform mit EMV 3DS und den Visa Secure-Regeln zertifiziert sind. Herausgeber beschaffen ACS-Lösungen typischerweise von diesen zertifizierten Anbietern. Visa selbst konzentriert sich auf das Netzwerk (Directory Server), die Definition von Programmregeln, die Förderung der Akzeptanz und die Förderung von Innovationen wie SPC-Piloten.
• Unterstützung für FIDO-Daten ohne SPC (Frictionless): Visa Secure, basierend auf EMV 3DS, unterstützt von Natur aus den Austausch umfangreicher Daten zur Risikobewertung, um einen reibungslosen Flow zu ermöglichen. Das EMVCo/FIDO-Framework zur Übermittlung früherer FIDO-Daten funktioniert innerhalb des Visa Secure-Ökosystems, wenn der gewählte ACS-Anbieter die Verarbeitung unterstützt.
• SPC-Unterstützung (Challenge): Visa ist aktiv an der Pilotierung und Förderung von SPC beteiligt. Sie arbeiten mit Partnern (wie Netcetera und Modirum/Entersekt in Piloten) zusammen, um den SPC-Flow innerhalb des 3DS-Protokolls zu testen und zu verfeinern. Dieses starke Engagement deutet auf eine strategische Unterstützung für SPC als Challenge-Methode innerhalb des Visa Secure-Programms hin, abhängig von der Bereitschaft des Ökosystems (ACS-, Händler-, Browser-Unterstützung).

• Marktpräsenz: Ähnlich wie Visa betreibt Mastercard das Mastercard Identity Check-Programm, das auf EMV 3DS basiert. Sie bieten Optionen für Herausgeber und Händler, einschließlich Stand-in-Verarbeitung und potenziell die Nutzung von Partnern oder Tochtergesellschaften wie NuData. Mastercard erwarb 2017 NuData Security, ein Unternehmen für Verhaltensbiometrie, und erweiterte damit seine Fähigkeiten zur Risikobewertung. Sie betonen auch die kontinuierliche Innovation in den Bereichen Biometrie, RBA und KI. Wie Visa verlassen sie sich auf zertifizierte Anbieter für Kern-ACS-Komponenten, können aber gebündelte Dienstleistungen anbieten oder erworbene Technologie nutzen.
• Unterstützung für FIDO-Daten ohne SPC (Frictionless): Mastercard Identity Check nutzt den reichhaltigen Datenaustausch von EMV 3DS 2.x für verbesserte Risikoentscheidungen und einen reibungslosen Flow. Ihre Übernahme von NuData deutet auf einen starken Fokus auf Verhaltensanalysen als Teil dieser Risikobewertung hin. Die Unterstützung für die Verarbeitung früherer Händler-FIDO-Daten würde von der spezifischen ACS-Implementierung abhängen, die der Herausgeber im Rahmen des Identity Check-Programms verwendet.
• SPC-Unterstützung (Challenge): Mastercard ist ein Schlüsselmitglied von EMVCo und an der Entwicklung von EMV 3DS-Standards beteiligt, einschließlich v2.3, das SPC unterstützt. Sie fördern auch die Einführung von Passkeys im Allgemeinen. Weitere Details finden Sie hier. Sie sind ein starker Befürworter von SPC und treiben moderne Authentifizierungsmethoden voran.

Der Markt für EMV 3DS ACS umfasst zahlreiche Anbieter über die oben genannten hinaus. Anbieter wie /n software, RSA, 2C2P, 3dsecure.io, Adyen, ACI Worldwide, Computop und andere bieten ebenfalls zertifizierte Lösungen an oder spielen eine wichtige Rolle in bestimmten Regionen oder Segmenten. Diese Analyse zielt darauf ab, prominente globale Akteure abzudecken, ist aber aufgrund der dynamischen Natur des Marktes nicht erschöpfend. Die Fähigkeiten der Anbieter, insbesondere in Bezug auf aufkommende Standards wie SPC, entwickeln sich schnell. Wenn Sie Ungenauigkeiten feststellen oder aktualisierte Informationen zur Unterstützung von FIDO-Daten oder Secure Payment Confirmation durch Anbieter haben, kontaktieren Sie uns bitte, damit wir sicherstellen können, dass dieser Überblick aktuell und korrekt bleibt.

Ein Kernprinzip der Verwendung von Secure Payment Confirmation (SPC) im EMV 3DS Challenge Flow ist, dass der Kartenherausgeber (oder eine vom Herausgeber explizit beauftragte Partei, wie z. B. ein Zahlungsnetzwerk) als FIDO Relying Party (RP) fungiert. Dies unterscheidet sich grundlegend vom zuvor beschriebenen FIDO-Datenfluss ohne SPC, bei dem typischerweise der Händler als RP für seine eigenen Login-/Authentifizierungszwecke agiert.

Damit SPC in einer 3DS-Challenge funktioniert, sind die folgenden Schritte erforderlich:

1. Registrierung: Der Karteninhaber muss zuerst einen FIDO-Authenticator (z. B. Gerätebiometrie wie Fingerabdruck-/Gesichtserkennung, Geräte-PIN oder einen Roaming-Sicherheitsschlüssel) bei seiner ausgebenden Bank registrieren. Dieser Prozess erstellt einen Passkey, bei dem der öffentliche Schlüssel und eine eindeutige Credential-ID vom Herausgeber gespeichert und mit dem Konto des Karteninhabers oder einer bestimmten Zahlungskarte verknüpft werden. Die Registrierung kann in der mobilen App der Bank, im Online-Banking-Portal oder möglicherweise nach einer erfolgreichen traditionellen 3DS-Challenge angeboten werden. Entscheidend ist, dass für den Aufruf von SPC durch eine Drittpartei wie eine Händler-Website das Credential typischerweise mit ausdrücklicher Zustimmung des Nutzers erstellt werden muss, die seine Verwendung in solchen Kontexten erlaubt, was oft spezifische WebAuthn-Erweiterungen während der Registrierung erfordert.
2. Authentifizierung (während der 3DS-Challenge):
   • Wenn eine 3DS-Transaktion eine Challenge auslöst und der Herausgeber/ACS SPC unterstützt und auswählt, identifiziert der ACS die relevante(n) FIDO-Credential-ID(s), die mit dem Karteninhaber und dem Gerät verknüpft sind.
   • Der ACS fügt diese Credential-ID(s) zusammen mit einer einzigartigen kryptografischen Challenge und Transaktionsdetails (Betrag, Währung, Name/Herkunft des Zahlungsempfängers, Instrumenten-Icon/Anzeigename) in die Authentication Response (ARes) ein, die an den 3DS-Server/Requestor zurückgesendet wird.
   • Die 3DS-Requestor-Komponente des Händlers verwendet diese Informationen aus der ARes, um die SPC-API des Browsers aufzurufen.
   • Der Browser zeigt einen standardisierten, sicheren Dialog an, der die vom ACS bereitgestellten Transaktionsdetails anzeigt.
   • Der Nutzer bestätigt die Transaktion und authentifiziert sich mit seinem registrierten FIDO-Authenticator (z. B. durch Berühren eines Fingerabdrucksensors, Gesichtserkennung, Eingabe der Geräte-PIN, Tippen auf einen Sicherheitsschlüssel). Diese Aktion entsperrt den privaten Schlüssel, der sicher auf dem Gerät/Authenticator gespeichert ist.
   • Der Authenticator signiert die präsentierten Transaktionsdetails und die vom ACS erhaltene kryptografische Challenge.
   • Der Browser gibt die resultierende FIDO-Assertion (die signierte Datennutzlast) an den 3DS-Requestor des Händlers zurück.
   • Der 3DS-Requestor übermittelt diese Assertion zurück an den Issuer-ACS, typischerweise gekapselt in einer zweiten AReq-Nachricht.
   • Der Issuer/ACS, der als autoritative Relying Party agiert, verwendet den zuvor gespeicherten öffentlichen Schlüssel des Karteninhabers, um die Signatur auf der Assertion kryptografisch zu überprüfen. Eine erfolgreiche Überprüfung bestätigt, dass der legitime Karteninhaber mit seinem registrierten Authenticator die spezifischen präsentierten Transaktionsdetails genehmigt hat.

Die Integration von SPC in den EMV 3DS Challenge Flow erfordert Änderungen an der Standard-Nachrichtensequenz, die typischerweise zwei AReq/ARes-Austausche umfassen:

1. Erste Authentifizierungsanfrage (AReq #1): Der Händler/3DS-Server initiiert den 3DS-Prozess, indem er eine AReq mit Transaktions- und Gerätedaten sendet. Um die Fähigkeit für SPC zu signalisieren, kann die Anfrage einen Indikator wie threeDSRequestorSpcSupport auf 'Y' gesetzt enthalten (oder ähnlich, je nach Implementierung des ACS-Anbieters).
2. Erste Authentifizierungsantwort (ARes #1): Wenn der ACS feststellt, dass eine Challenge erforderlich ist und sich für SPC entscheidet, antwortet er mit einer ARes, die dies anzeigt. Der transStatus könnte auf 'S' (was auf eine erforderliche SPC hinweist) oder einen anderen spezifischen Wert gesetzt sein. Diese ARes enthält die notwendige Datennutzlast für den SPC-API-Aufruf.
3. SPC-API-Aufruf & FIDO-Authentifizierung: Die 3DS-Requestor-Komponente des Händlers empfängt ARes #1 und verwendet die Nutzlast, um die SPC-API des Browsers aufzurufen. Der Nutzer interagiert mit seinem Authenticator über die sichere Benutzeroberfläche des Browsers.
4. Rückgabe der FIDO-Assertion: Nach erfolgreicher Nutzerauthentifizierung gibt der Browser die FIDO-Assertionsdaten an den 3DS-Requestor zurück.
5. Zweite Authentifizierungsanfrage (AReq #2): Der 3DS-Requestor erstellt und sendet eine zweite AReq-Nachricht an den ACS. Der Hauptzweck dieser Nachricht ist der Transport der FIDO-Assertionsdaten. Sie enthält typischerweise:
   • ReqAuthData: Enthält die FIDO-Assertion.
   • ReqAuthMethod: Auf '09' gesetzt (oder der designierte Wert für SPC/FIDO-Assertion).
   • Potenziell den AuthenticationInformation-Wert aus ARes #1, um die Anfragen zu verknüpfen.
   • Optional einen SPCIncompletionIndicator, falls der SPC-API-Aufruf fehlgeschlagen ist oder eine Zeitüberschreitung hatte.
6. Finale Authentifizierungsantwort (ARes #2): Der ACS empfängt AReq #2, validiert die FIDO-Assertion mit dem öffentlichen Schlüssel des Karteninhabers und bestimmt das endgültige Authentifizierungsergebnis. Er sendet ARes #2 zurück, die den endgültigen Transaktionsstatus enthält (z. B. transStatus = 'Y' für erfolgreiche Authentifizierung, 'N' für fehlgeschlagen).

Dieser Zwei-AReq-Flow stellt eine Abweichung von traditionellen 3DS-Challenge-Methoden dar (wie OTP oder OOB, die über CReq/CRes- oder RReq/RRes-Nachrichten abgewickelt werden), die typischerweise innerhalb des anfänglichen AReq/ARes-Zyklus abgeschlossen werden, nachdem ein transStatus = 'C' empfangen wurde. Während der Nutzerinteraktionsteil von SPC (biometrischer Scan, PIN-Eingabe) oft deutlich schneller ist als das Eintippen einer OTP, fügt die Einführung einer zweiten vollständigen AReq/ARes-Runde Netzwerklatenz zwischen dem 3DS-Server, dem Directory Server und dem ACS hinzu. Implementierer und Anbieter müssen diesen Flow sorgfältig optimieren und potenzielle Zeitüberschreitungen behandeln, um sicherzustellen, dass die gesamte End-to-End-Transaktionszeit wettbewerbsfähig bleibt und die Erwartungen der Nutzer erfüllt.

Secure Payment Confirmation ist für eine globale Einführung positioniert, da es doppelt standardisiert ist. Es ist formell als Webstandard vom World Wide Web Consortium (W3C) definiert und hat Mitte 2023 den Status einer Candidate Recommendation erreicht, wobei die Arbeit an einer vollständigen Recommendation fortgesetzt wird. Gleichzeitig wurde SPC in die EMV® 3-D Secure-Spezifikationen ab Version 2.3 integriert, die von EMVCo, dem globalen technischen Gremium für Zahlungsstandards, verwaltet werden. Diese Integration stellt sicher, dass SPC innerhalb des etablierten globalen Rahmens für die Authentifizierung von CNP-Transaktionen funktioniert. Die Zusammenarbeit zwischen W3C, der FIDO Alliance und EMVCo unterstreicht die branchenweite Anstrengung, interoperable Standards für sichere und benutzerfreundliche Online-Zahlungen zu schaffen.

Obwohl das Design von SPC, insbesondere seine Fähigkeit, die Nutzerauthentifizierung kryptografisch mit spezifischen Transaktionsdetails zu verknüpfen („dynamische Verknüpfung“), dazu beiträgt, die Anforderungen der Starken Kundenauthentifizierung (SCA) gemäß Vorschriften wie der europäischen Zahlungsdiensterichtlinie (PSD2) zu erfüllen, ist sein Nutzen nicht auf diese vorgeschriebenen Regionen beschränkt. SPC ist ein globaler technischer Standard, der in jedem Markt anwendbar ist, einschließlich der Vereinigten Staaten und Kanada, vorausgesetzt, die notwendigen Ökosystemkomponenten sind vorhanden.

In Märkten ohne explizite SCA-Vorgaben für jede Transaktion sind die Haupttreiber für die Einführung von SPC:

• Verbessertes Nutzererlebnis: Bietet eine potenziell schnellere und bequemere Challenge-Methode (z. B. durch die Verwendung von Gerätebiometrie) im Vergleich zu traditionellen OTPs oder wissensbasierten Fragen, was potenziell zu weniger Warenkorbabbrüchen führt. Pilotprojekte haben signifikante Reduzierungen der Authentifizierungszeit im Vergleich zu traditionellen Challenges gezeigt.
• Erhöhte Sicherheit: Die FIDO-basierte Authentifizierung, die SPC innewohnt, ist resistent gegen Phishing-Angriffe, Credential Stuffing und andere gängige Bedrohungen, die auf Passwörter und OTPs abzielen.

Daher können Herausgeber und Händler in Regionen wie Nordamerika SPC strategisch implementieren, um die Sicherheit zu erhöhen und ein besseres Kundenerlebnis zu bieten, auch ohne eine regulatorische Anforderung für alle Transaktionen.

Die erfolgreiche Einführung und breite Akzeptanz von Secure Payment Confirmation (SPC) hängt stark von der koordinierten Bereitschaft über mehrere Komponenten des Zahlungsökosystems hinweg ab. Während die zugrunde liegenden FIDO-Standards und die Passkey-Technologie schnell reifen, bleiben die spezifische Browser-Unterstützung für die SPC-API und die vollständige Integration in der gesamten Zahlungskette entscheidende Hürden. Andere Akteure im Ökosystem machen im Allgemeinen gute Fortschritte.

Zusammenfassung der Ökosystem-Bereitschaft (Stand Mai 2025)

Was das in der Praxis bedeutet (Mai 2025)

Der primäre limitierende Faktor für die SPC-Einführung ist die User-Agent (Browser)-Schicht:

• Safari (macOS & iOS): ❌ WebKit fehlt immer noch die secure-payment-confirmation Payment Request-Methode. Jede in Safari besuchte Website muss auf andere Authentifizierungsmethoden zurückgreifen (OTP, OOB, potenziell Nicht-SPC-WebAuthn-Erlebnisse). Apple hat kein Interesse bekundet, die Erweiterung zu implementieren.
• Chrome / Edge (Chromium): ⚠️ Grundlegendes SPC (Credential-Erstellung + Authentifizierung) ist stabil, aber Schlüssel werden noch nicht in Hardware-Authenticatoren gespeichert und wurden nur in Pilotprojekten verwendet. Implementierer sollten potenzielle Breaking Changes erwarten und bereit sein, die Funktionalität basierend auf API-Verfügbarkeitsprüfungen (z. B. canMakePayment()) oder Feature-Flags zu steuern.
• Firefox: ❌ Das Team hat Interesse signalisiert, hat aber keinen verbindlichen Implementierungszeitplan; Händler müssen für geordnete Fallback-Pfade planen.

Da die Infrastruktur der Herausgeber (ACS, FIDO-Server) und die Scheme Directory Server weitgehend bereit sind oder sich schnell weiterentwickeln und die Tools für Händler/PSP verfügbar werden, ist die Hauptbarriere für eine weit verbreitete SPC-Nutzung die Browser-Unterstützung. Sobald sich die Browser-Abdeckung verbessert, bestehen die verbleibenden Aufgaben hauptsächlich in der Integration durch Händler/PSP (Upgrade auf EMV 3DS v2.3+, Hinzufügen der SPC-Aufruflogik, Handhabung des Zwei-AReq-Flows) und der Skalierung der Registrierung von Passkeys durch die Herausgeber speziell für Zahlungskontexte.

Erwarten Sie vorerst, dass SPC nur für einen begrenzten Teil der Transaktionen erscheint. Bis Safari (und damit das gesamte iOS-Ökosystem) Unterstützung liefert, kann SPC keine Marktunterstützung erreichen.

Die Analyse zeigt eine klare Divergenz in der Bereitschaft der beiden primären FIDO-Integrationen innerhalb von EMV 3DS (Stand Mai 2025). Während die grundlegenden Elemente für Secure Payment Confirmation (SPC) als Challenge-Methode voranschreiten – insbesondere die Fähigkeiten von Herausgebern/ACS und die Bereitschaft der Schemes – wird ihre weit verbreitete Einführung erheblich durch den kritischen Engpass der Browser-Unterstützung behindert, vor allem durch die fehlende Implementierung in Apples Safari (was alle iOS/iPadOS-Geräte blockiert) und Firefox, sowie durch Einschränkungen in den aktuellen Chromium-Implementierungen. SPC bleibt ein vielversprechender zukünftiger Zustand, ist aber heute keine praktische, allgegenwärtige Lösung.

Basierend auf dem aktuellen Zustand des Ökosystems gelten folgende Empfehlungen:

• Händler:
  • Passkey-Einführung priorisieren: Implementieren Sie Passkeys für den Nutzer-Login und die Authentifizierung. Dies verbessert nicht nur Ihre eigene Sicherheit und das Nutzererlebnis (Faktoren, die hier nicht detailliert werden), sondern schafft auch die Daten, die für reibungslose 3DS-Flows benötigt werden.
  • FIDO-Daten übermitteln: Stellen Sie sicher, dass Ihre 3DS-Integration das Feld threeDSRequestorAuthenticationInfo korrekt mit den Details erfolgreicher früherer Passkey-Authentifizierungen während der Checkout-Sitzung füllt. Arbeiten Sie mit Ihrem PSP/3DS-Server-Anbieter zusammen, um dies zu ermöglichen.
• Herausgeber:
  • Nutzer-Passkeys registrieren: Beginnen Sie damit, Karteninhabern die Registrierung von Passkeys direkt bei Ihnen anzubieten und zu fördern (für den Zugang zur Banking-App, zukünftiges SPC usw.). Bauen Sie die notwendige FIDO Relying Party-Infrastruktur auf.
  • Händler-Passkey-Daten jetzt nutzen: Weisen Sie Ihren ACS-Anbieter an, die von Händlern übermittelten FIDO-Daten (threeDSRequestorAuthenticationInfo) als starkes positives Signal in Ihrer RBA-Engine zu verwenden und zu nutzen. Führen Sie Aufzeichnungen über vertrauenswürdige Händler-Passkeys, die mit Nutzern verknüpft sind, wo immer möglich. Ziel ist es, die reibungslosen Genehmigungen für Transaktionen, denen eine starke Händler-Passkey-Authentifizierung vorausgeht, deutlich zu erhöhen.
  • Auf SPC vorbereiten, aktiv beobachten: Stellen Sie sicher, dass Ihre ACS-Roadmap die volle Unterstützung für EMV 3DS v2.3.1+ SPC enthält, behandeln Sie es aber als eine zukünftige Verbesserung. Beobachten Sie kontinuierlich die Entwicklungen bei den Browsern (insbesondere Safari), um abzuschätzen, wann SPC in großem Maßstab realisierbar werden könnte.
• ACS-Anbieter:
  • RBA mit Passkey-Intelligenz verbessern: Investieren Sie stark in die Fähigkeit Ihrer RBA-Engine, von Händlern bereitgestellte FIDO/Passkey-Daten zu verarbeiten und ihnen zu vertrauen. Entwickeln Sie eine Logik, um die Passkey-Nutzung über Händlerkäufe für einen bestimmten Nutzer/ein bestimmtes Gerät hinweg zu verfolgen. Speichern Sie öffentliche Schlüssel (aus der direkten Registrierung beim Herausgeber), um die kryptografische Integrität der Authentifizierungsdaten des Händlers zu überprüfen, falls diese bereitgestellt werden. Verknüpfen Sie eine erfolgreiche Passkey-Nutzung direkt mit höheren Raten reibungsloser Genehmigungen.
  • Robuste SPC-Fähigkeiten aufbauen: Entwickeln und zertifizieren Sie weiterhin die volle Unterstützung für den SPC-Challenge-Flow (EMV 3DS v2.3.1+), um für die zukünftige Marktakzeptanz bereit zu sein.
• Zahlungs-Schemes/Netzwerke:
  • Frictionless FIDO-Daten fördern: Fördern und potenziell incentivieren Sie aktiv die Übermittlung und Nutzung von Händler-FIDO-Authentifizierungsdaten (threeDSRequestorAuthenticationInfo) innerhalb des 3DS-Flows. Bieten Sie klare Anleitungen und Unterstützung für Herausgeber und ACS-Anbieter, wie diese Daten effektiv für die RBA genutzt werden können.
  • SPC-Befürwortung & Browser-Engagement fortsetzen: Setzen Sie die Bemühungen zur Standardisierung und Förderung von SPC fort und treten Sie kritisch mit den Browser-Anbietern (Apple, Mozilla, Google) in Kontakt, um eine vollständige, interoperable Implementierung des SPC-API-Standards zu fördern.

Die unmittelbare, greifbare Chance liegt in der Verbesserung des Frictionless Flows durch die Nutzung der wachsenden Akzeptanz von Passkeys auf Händlerebene. Alle Teilnehmer des Ökosystems sollten die Erstellung, Übertragung und intelligente Nutzung dieser früheren Authentifizierungsdaten innerhalb des bestehenden EMV 3DS-Frameworks priorisieren. Dieser Weg bietet kurzfristige Vorteile bei der Reduzierung von Reibungsverlusten und potenziell von Betrug, ohne auf eine universelle SPC-Browser-Unterstützung warten zu müssen. Gleichzeitig stellt die Vorbereitung der Grundlagen für SPC – insbesondere die Registrierung von Passkeys bei den Herausgebern und die Bereitschaft der ACS – sicher, dass das Ökosystem positioniert ist, um diese überlegene Challenge-Methode zu übernehmen, sobald der Browser-Engpass behoben ist.