--- url: 'https://www.corbado.com/de/blog/mastercard-identity-check-leitfaden' title: 'Mastercard Identity Check: Alles, was Issuer & Merchants wissen müssen' description: 'Entdecken Sie Mastercard Identity Check: Ein Guide für Issuer & Merchants zu EMV 3DS, NuData-Biometrie und wie man eine sichere, reibungslose Authentifizierung erreicht.' lang: 'de' author: 'Max' date: '2025-07-15T13:24:29.958Z' lastModified: '2026-03-27T07:03:05.711Z' keywords: 'Mastercard Identity Check, NuData verhaltensbasierte Biometrie, Mastercard 3-D Secure, reibungslose Authentifizierungsflüsse, EMV 3DS Mastercard Programm' category: 'Passkeys Strategy' --- # Mastercard Identity Check: Alles, was Issuer & Merchants wissen müssen ## 1. Einführung: Mastercard Identity Check Die Welt des digitalen Handels steht vor einer fundamentalen Herausforderung: Wie können Unternehmen einen reibungslosen, mühelosen Online-Checkout-Prozess anbieten und sich gleichzeitig selbst und ihre Kunden vor der ständigen Bedrohung durch Betrug schützen? Bei Card-Not-Present (CNP)-Transaktionen, dem Rückgrat des [E-Commerce](https://www.corbado.com/passkeys-for-e-commerce), fehlt die inhärente [Sicherheit](https://www.corbado.com/de/blog/vollstaendig-passwortlos-werden) der physischen Kartenvorlage, was zu deutlich höheren Betrugsraten führt. Historisch gesehen machen [CNP](https://www.corbado.com/glossary/cnp)-Transaktionen im Vergleich zu ihrem Volumen einen überproportionalen Anteil der Betrugsverluste aus. Darüber hinaus können die Kosten für die Betrugsprävention durch übermäßig aggressive Maßnahmen, die zur fälschlichen Ablehnung legitimer Transaktionen führen (False Declines oder „Kundenverärgerung“), manchmal die Kosten des Betrugs selbst übersteigen, was zu Umsatzeinbußen und Frustration bei den Kunden führt. Hier kommt [Mastercard Identity Check](https://www.corbado.com/blog/mastercard-identity-check) ins Spiel, das umfassende Programm von [Mastercard](https://www.corbado.com/blog/mastercard-passkeys), das entwickelt wurde, um diese Herausforderung direkt anzugehen. Es basiert auf dem globalen EMV [3-D Secure](https://www.corbado.com/glossary/3d-secure)-Standard und stellt eine bedeutende Weiterentwicklung bei der Authentifizierung von Online-[Zahlungen](https://www.corbado.com/de/blog/digitale-nachweise-zahlungen) dar. Seine Kernaufgabe ist es, die [Sicherheit](https://www.corbado.com/de/blog/vollstaendig-passwortlos-werden) zu erhöhen, Betrug zu bekämpfen, die Genehmigungsraten von Transaktionen zu steigern und den [Zahlungsprozess](https://www.corbado.com/passkeys-for-payment) für Karteninhaber, kartenherausgebende Banken (Issuer) und Unternehmen (Merchants) gleichermaßen zu optimieren. Dieser Blogbeitrag beantwortet entscheidende Fragen für [Issuer](https://www.corbado.com/glossary/issuer), Merchants, [Payment](https://www.corbado.com/passkeys-for-payment) Service Provider (PSPs), Softwareentwickler, Produktmanager und Sicherheitsexperten, die [Mastercard Identity Check](https://www.corbado.com/blog/mastercard-identity-check) tiefgehend verstehen möchten: 1. Was genau ist [Mastercard Identity Check](https://www.corbado.com/blog/mastercard-identity-check) und warum wurde es entwickelt? 2. Wie nutzt Mastercard Identity Check die EMV 3-D Secure-Technologie, um Betrug und fälschlicherweise abgelehnte Transaktionen zu reduzieren? 3. Welche Rolle spielen fortschrittliche Technologien wie die verhaltensbasierte [Biometrie](https://www.corbado.com/de/blog/biometrie-payer-awareness) von NuData bei der Ermöglichung einer reibungslosen Benutzerauthentifizierung? 4. Wie können Merchants und PSPs Mastercard Identity Check effektiv in ihre bestehenden [Zahlungsprozesse](https://www.corbado.com/passkeys-for-payment) integrieren? 5. Welche konkreten Vorteile – in Bezug auf Transaktionsgenehmigungsraten, Benutzererfahrung und Betrugsreduzierung – können Unternehmen von der Einführung von Mastercard Identity Check erwarten? ## 2. Ursprünge und Ziele des Programms: Mehr als nur SecureCode Die Entwicklung von Mastercard Identity Check begann mit den inhärenten Schwachstellen des frühen [E-Commerce](https://www.corbado.com/passkeys-for-e-commerce). Mit dem Aufschwung des Online-Shoppings nutzten Betrüger das Fehlen der physischen Karte aus, was zu steigenden [CNP](https://www.corbado.com/glossary/cnp)-Betrugsraten führte. Die erste Reaktion der Branche kam 1999 mit der Einführung des [3-D Secure](https://www.corbado.com/glossary/3d-secure) (3DS)-Protokolls. Die Markenversion dieser ersten Iteration von [Mastercard](https://www.corbado.com/blog/mastercard-passkeys) war als [Mastercard](https://www.corbado.com/blog/mastercard-passkeys) SecureCode bekannt. Obwohl SecureCode (3DS 1.0) darauf abzielte, die [Sicherheit](https://www.corbado.com/de/blog/vollstaendig-passwortlos-werden) einer physischen Zahlung durch eine zusätzliche Schicht der Karteninhaber-Authentifizierung nachzubilden und den entscheidenden Vorteil der Haftungsumkehr für bestimmte betrügerische Rückbuchungen von den Merchants bot, hatte es erhebliche Nachteile, die seine Wirksamkeit und Akzeptanz beeinträchtigten: • **Hohe Reibung**: Die häufigste Implementierung umfasste statische Passwörter oder umständliche Sicherheitsfragen, die oft eine vorherige Registrierung und das Merken separater Anmeldedaten erforderten. Dies fügte dem Checkout-Prozess spürbare Reibung hinzu. • **Schlechte User Experience**: Weiterleitungen zu Seiten des Issuers zur Authentifizierung schufen eine inkonsistente und oft störende Benutzererfahrung, die bei den Käufern zu Verwirrung und Misstrauen führte. Diese Reibung trug direkt zu hohen Warenkorbabbruchraten bei. • **Begrenzter Datenaustausch**: 3DS 1.0 erlaubte nur den Austausch von etwa 15 Datenelementen zwischen dem [Merchant](https://www.corbado.com/glossary/merchant) und dem [Issuer](https://www.corbado.com/glossary/issuer), was für eine genaue Risikobewertung nicht ausreichte. • **Browser-zentriertes Design**: Es wurde hauptsächlich für browserbasierte Transaktionen entwickelt und war daher schlecht für die schnell wachsende Welt der mobilen App-[Zahlungen](https://www.corbado.com/de/blog/digitale-nachweise-zahlungen) und des aufkommenden [IoT](https://www.corbado.com/blog/how-to-use-passkeys-apple-watch)-Handels geeignet. • **Unzureichende Minderung von False Declines**: Die begrenzten Daten und der Fokus auf explizite Challenges konnten das erhebliche Problem der fälschlicherweise abgelehnten Transaktionen nicht wirksam angehen, bei denen legitime Transaktionen fälschlicherweise als betrügerisch eingestuft wurden, was Kundenbeziehungen schädigte und zu Umsatzeinbußen führte. Es wurde deutlich, dass die negativen Auswirkungen einer schlechten User Experience – manifestiert in Warenkorbabbrüchen und fälschlicherweise abgelehnten Transaktionen – für Unternehmen oft einen größeren finanziellen Verlust darstellten als die direkten Betrugskosten. Diese wirtschaftliche Realität, gepaart mit der Notwendigkeit einer stärkeren Betrugsprävention in einer zunehmend digitalen Welt, trieb die Entwicklung eines modernisierten Ansatzes voran. Die Einführung von Mastercard Identity Check, das auf dem EMV [3-D Secure](https://www.corbado.com/glossary/3d-secure)-Protokoll der nächsten Generation aufbaut, zielte darauf ab, diese Einschränkungen mit klaren Zielen zu überwinden: 1. **CNP-Betrug reduzieren**: Einsatz ausgefeilterer Techniken zur Erkennung und Verhinderung nicht autorisierter Transaktionen. 2. **Reibung minimieren**: Schaffung reibungsloserer, schnellerer und reibungsloser Authentifizierungsflüsse für die große Mehrheit der Transaktionen. 3. **Genehmigungsraten erhöhen**: Reduzierung von fälschlicherweise abgelehnten Transaktionen, indem Issuern umfassendere Daten für genauere Risikobewertungen zur Verfügung gestellt werden. 4. **Moderne Kanäle unterstützen**: Native Unterstützung der Authentifizierung in mobilen Apps, digitalen Wallets und anderen vernetzten Geräten. 5. **Umfassenden Datenaustausch ermöglichen**: Erleichterung des sicheren Austauschs von deutlich mehr Transaktions- und Kontextdaten. 6. **Haftungsumkehr beibehalten**: Beibehaltung des Vorteils der Haftungsumkehr für authentifizierte betrügerische Transaktionen weg von den teilnehmenden Merchants. | **Nachteil von 3DS 1.0 (SecureCode)** | **Ziel/Lösung von Mastercard Identity Check (EMV 3DS)** | | ------------------------------------------- | ------------------------------------------------------- | | Hohe Reibung (Statische Passwörter) | Reibung minimieren (Reibungslose Flüsse) | | Schlechte User Experience (Weiterleitungen) | Native Mobil-/App-Unterstützung, konsistente UX | | Begrenzter Datenaustausch (\~15 Elemente) | Umfassender Datenaustausch (150+ Elemente) | | Browser-zentriert | Unterstützung für moderne Kanäle (Mobil, IoT) | | Unzureichende Minderung von False Declines | Erhöhte Genehmigungsraten (Bessere Risikobewertung) | [Mastercard Identity Check - Early Adopter Program Learnings](https://www.mastercard.us/content/dam/public/mastercardcom/na/us/en/smb/other/Mastercard-Identity-Check-Early-Adopter-Program-Learnings.pdf) ## 3. Wie Mastercard auf EMV 3DS aufbaute: Protokoll vs. Programm Es ist wichtig, zwischen dem zugrunde liegenden Technologiestandard und der spezifischen Implementierung von Mastercard zu unterscheiden. ### 3.1 EMV® 3-D Secure (EMV 3DS): Das Fundament EMV 3DS ist die globale Protokollspezifikation, die von EMVCo entwickelt und verwaltet wird, einer Organisation, die sich im gemeinsamen Besitz der großen globalen Zahlungsnetzwerke wie Mastercard, [Visa](https://www.corbado.com/blog/visa-passkeys), American Express, Discover, JCB und UnionPay befindet. Es definiert den technischen Rahmen für die sichere Kommunikation und den Datenaustausch zwischen den drei Schlüsseldomänen, die an der Authentifizierung einer Online-Transaktion beteiligt sind: 1. **Acquirer-Domäne**: Umfasst den [Merchant](https://www.corbado.com/glossary/merchant), sein [Payment](https://www.corbado.com/passkeys-for-payment) Gateway und die Acquiring Bank (Bank des Merchants). Diese Domäne initiiert die Authentifizierungsanfrage über eine Komponente, die typischerweise als 3DS Server (oder historisch als [Merchant](https://www.corbado.com/glossary/merchant) Plug-In/MPI) bezeichnet wird. 2. **Issuer-Domäne**: Umfasst die ausgebende Bank (Bank des Karteninhabers) und den Karteninhaber. Diese Domäne ist für die Überprüfung der [Identität](https://www.corbado.com/de/blog/digital-credentials-api) des Karteninhabers über eine Komponente namens Access Control Server (ACS) verantwortlich. 3. **Interoperabilitäts-Domäne**: Besteht hauptsächlich aus dem Directory Server (DS), der vom Kartenschema (wie Mastercard) betrieben wird. Der DS fungiert als zentraler Router, der Authentifizierungsnachrichten zwischen dem richtigen 3DS Server und dem [ACS](https://www.corbado.com/glossary/acs) basierend auf der Kartennummer (insbesondere der Bank Identification Number oder BIN) weiterleitet. Das EMV 3DS-Protokoll (oft als 3DS 2.0 oder 2.x bezeichnet) führte erhebliche Verbesserungen gegenüber dem ursprünglichen 3DS 1.0 ein: - **10x mehr Daten**: Unterstützt den Austausch von über 150 Datenelementen (im Vergleich zu \~15 bei 3DS 1.0) und bietet einen reichhaltigeren Kontext für die Risikobewertung, einschließlich Geräteinformationen, Transaktionshistorie, Browserdetails und Merchant-Daten. - **Risikobasierte Authentifizierung (RBA)**: Ermöglicht reibungslose Authentifizierungsflüsse, bei denen risikoarme Transaktionen im Hintergrund auf der Grundlage von Datenanalysen stillschweigend genehmigt werden, ohne dass eine Interaktion des Karteninhabers erforderlich ist. Ziel sind 90–95 % reibungslose Raten. - **Native Mobil-/App-Unterstützung**: Beinhaltet Software Development Kits (SDKs) für eine nahtlose Integration in die Checkout-Abläufe von mobilen Apps, wodurch störende Browser-Weiterleitungen entfallen. - **Verbesserte Authentifizierungsmethoden**: Unterstützt moderne Authentifizierungsmethoden wie Einmalpasswörter (OTPs), die per SMS oder App zugestellt werden, [Biometrie](https://www.corbado.com/de/blog/biometrie-payer-awareness) (Fingerabdruck, Gesichtserkennung) und Out-of-Band-Authentifizierung und löst sich von statischen Passwörtern. - **Breitere Anwendungsfälle**: Erweitert sich über die einfache Zahlungsauthentifizierung hinaus und unterstützt die Authentifizierung ohne Zahlung (z. B. das Hinzufügen einer Karte zu einem digitalen [Wallet](https://www.corbado.com/blog/digital-wallet-assurance)), wiederkehrende [Zahlungen](https://www.corbado.com/de/blog/digitale-nachweise-zahlungen) und die Tokenisierung. Mastercard Identity Check Corbado [3DS ACS](https://www.corbado.com/blog/emv-3ds-acs-passkeys-fido-and-spc) Passkeys ### 3.2 Programmintegration Mastercard Identity Check ist der Name des spezifischen Programms von Mastercard, das die Nutzung des EMV 3DS-Protokolls innerhalb seines Netzwerks implementiert und regelt. Es ist der Nachfolger des Mastercard SecureCode-Programms. Obwohl es auf dem EMV 3DS-Standard aufbaut, integriert Mastercard Identity Check die einzigartigen Ressourcen und Technologien von Mastercard, um Leistung und Sicherheit zu verbessern. Dies beinhaltet: - **Proprietäre KI und Machine Learning**: Nutzung der riesigen Netzwerkdaten und KI-Fähigkeiten von Mastercard zur Verfeinerung der Risikobewertung und Entscheidungsfindung. - **Verhaltensanalyse (NuData)**: Integration von Erkenntnissen aus der verhaltensbasierten [Biometrie](https://www.corbado.com/de/blog/biometrie-payer-awareness) von NuData (im nächsten Abschnitt erläutert), um Benutzerinteraktionsmuster zu verstehen und ausgefeilte Betrugsversuche zu erkennen. - **Netzwerkintelligenz**: Nutzung von Erkenntnissen aus Milliarden von weltweit verarbeiteten Transaktionen zur Information von Risikobewertungen. - **Programm-Governance**: Mastercard legt spezifische Key Performance Indicators (KPIs) und Regeln für Teilnehmer (Issuer, Merchants, [Acquirer](https://www.corbado.com/glossary/acquirer)) innerhalb des Identity Check-Programms fest, um eine optimale Leistung und Benutzererfahrung in seinem Netzwerk zu gewährleisten. Daher ist Mastercard Identity Check nicht nur ein Rebranding des EMV 3DS-Protokolls. Es stellt die strategische Überlagerung von Mastercards proprietärer Intelligenz und Governance-Framework auf das standardisierte Protokollfundament dar. Diese Synergie zielt darauf ab, einen potenziell effektiveren und differenzierteren Authentifizierungsdienst im Vergleich zu einer einfachen EMV 3DS-Implementierung zu liefern, der eine verbesserte Risikoerkennung und Leistungsoptimierung innerhalb des Mastercard-Ökosystems bietet. Mastercard Identity Check ## 4. Schlüsselkomponenten: Der Motor hinter Mastercard Identity Check Mastercard Identity Check beruht auf einem ausgeklügelten Zusammenspiel mehrerer technologischer Kernkomponenten, um seine Ziele von Sicherheit und Nahtlosigkeit zu erreichen. Das Verständnis dieser Komponenten ist entscheidend, um zu würdigen, wie das System Risiken bewertet und Benutzer authentifiziert. ### 4.1 Verhaltensbasierte Biometrie von NuData Die 2017 von Mastercard übernommene Technologie der verhaltensbasierten Biometrie von NuData ist ein Eckpfeiler der fortschrittlichen Authentifizierungsfähigkeiten von Mastercard. Im Gegensatz zur traditionellen Authentifizierung, die sich darauf konzentriert, was ein Benutzer weiß (Passwort) oder hat (Telefon für OTP), analysiert die verhaltensbasierte Biometrie, wie ein Benutzer mit seinem Gerät und der Anwendung interagiert. Sie konzentriert sich auf passive Biometrie – inhärente, oft unbewusste Interaktionsmuster. - **Wie es funktioniert**: Während einer Online-Sitzung (wie beim Checkout oder sogar bei der [Kontoeröffnung](https://www.corbado.com/de/blog/digitale-identitaetsverifizierung)) sammelt und analysiert die NuData-Technologie passiv Hunderte von subtilen Verhaltenssignalen. Dazu können gehören: - Tippdynamik (Geschwindigkeit, Rhythmus, Druck) - Mausbewegungen (Muster, Geschwindigkeit, Klicks) - Gerätehandhabung (Winkel, Beschleunigungsmesserdaten) - Touchscreen-Interaktion (Druck, Wischmuster) - Navigationsmuster (Verwendung von Tab vs. Klicken, Formularfortschritt, „Zurückkreisen“-Verhalten) - Sitzungsverhalten (Formularvertrautheit, benötigte Zeit, Verwendung von Kopieren/Einfügen, Fensterwechsel) - **Zweck & Integration**: Diese Verhaltensdaten werden in Machine-Learning-Modelle eingespeist, die für jeden legitimen Benutzer ein einzigartiges Profil erstellen. Das System analysiert jährlich Milliarden von Datenpunkten, um diese Profile kontinuierlich zu lernen und zu verfeinern. Seine Hauptfunktion innerhalb von Mastercard Identity Check besteht darin, echte Menschen von automatisierten Bots und raffinierten Betrügern zu unterscheiden, selbst wenn diese gestohlene Anmeldeinformationen besitzen. Es erkennt Anomalien und Hochrisikosignale in Echtzeit und liefert einen entscheidenden Input für die risikobasierte Authentifizierungs-Engine. Die NuData-Technologie ist ein integraler Bestandteil der mehrschichtigen Sicherheitsstrategie von Mastercard, treibt Lösungen wie NuDetect an und trägt maßgeblich zur Intelligenz hinter Mastercard Identity Check bei. Sie ist besonders wirksam gegen automatisierte Angriffe wie [Credential Stuffing](https://www.corbado.com/glossary/credential-stuffing) und Kontoübernahmeversuche. [WSJ Mastercard Nudata](https://partners.wsj.com/aws/how-mastercards-nudata-keeps-identities-protected-with-aws/) ### 4.2 Geräteintelligenz Mastercard Identity Check nutzt die umfassenden Datenaustauschfähigkeiten von EMV 3DS 2.0 und integriert eine umfassende Geräteintelligenz. Dies beinhaltet das Sammeln und Analysieren einer breiten Palette von Datenpunkten, die für das Gerät spezifisch sind, das die Transaktion initiiert. - **Datenpunkte**: Das EMV 3DS-Protokoll ermöglicht die Übertragung von über 150 Variablen. Dazu gehören Informationen wie: - Gerätetyp, Modell und Betriebssystem - Browsertyp, Version, Sprache und installierte Plugins - IP-Adresse und Geolokalisierungsdaten - Art der Netzwerkverbindung und Zeitzone - Gerätekennungen oder Fingerabdrücke - Bildschirmauflösung und andere Geräteeigenschaften - Mastercard kann auch mit Unternehmen wie Ekata zusammenarbeiten, um Geräte- und Identitätsverifizierungsdaten weiter anzureichern - **Zweck**: Dieser Reichtum an Geräteinformationen hilft, ein umfassendes Risikoprofil zu erstellen. Es ermöglicht dem System, vertrauenswürdige Geräte zu erkennen, Anomalien wie Standort-Diskrepanzen oder Versuche, Geräteinformationen zu fälschen, zu erkennen, risikoreiche Netzwerkverbindungen zu identifizieren und potenziell betrügerische Aktivitäten von unbekannten oder kompromittierten Geräten zu kennzeichnen. Die Geräteintelligenz ist ein weiterer entscheidender Input für die RBA-Engine. ### 4.3 Risk-Based Authentication (RBA) Engine Die RBA-Engine ist die zentrale Intelligenz-Drehscheibe von Mastercard Identity Check, die für die Bewertung des Gesamtrisikos einer Transaktion in Echtzeit und die Bestimmung des geeigneten Authentifizierungspfads verantwortlich ist. **Wie es funktioniert**: Die Engine synthetisiert Informationen aus mehreren Quellen: - EMV 3DS-Datenfelder (Transaktionsdetails, Merchant-Infos, Geräteintelligenz) - Verhaltensbiometrische Signale von NuData - Historische Transaktionsdaten und Benutzerprofile - Mastercards proprietäre KI- und Machine-Learning-Modelle, die auf globalen Netzwerkdaten trainiert wurden **Zweck**: Basierend auf dieser ganzheitlichen Analyse berechnet die RBA-Engine einen Risikoscore für die Transaktion. Dieser Score beeinflusst die Entscheidung, ob eine reibungslose Authentifizierung (für risikoarme Transaktionen) durchgeführt oder eine Step-up-Challenge (für risikoreichere Transaktionen) eingeleitet wird, um die [Identität](https://www.corbado.com/de/blog/digital-credentials-api) des Karteninhabers weiter zu überprüfen. Das Ergebnis (ein Score oder eine Empfehlung) wird typischerweise an den [ACS](https://www.corbado.com/glossary/acs) des Issuers gesendet, um bei dessen endgültiger Authentifizierungsentscheidung zu helfen. Mastercard bietet auch Stand-In RBA-Dienste an, um eine Abdeckung zu gewährleisten, falls der eigene [ACS](https://www.corbado.com/glossary/acs) eines Issuers nicht verfügbar oder noch nicht 3DS-fähig ist. Die Stärke von Mastercard Identity Check liegt in der Synergie dieser Komponenten. Während umfassende Geräte- und Transaktionsdaten von EMV 3DS einen wesentlichen Kontext liefern, fügt die Integration der verhaltensbasierten Biometrie von NuData eine entscheidende Verteidigungsschicht hinzu. NuData kann oft ausgefeilte Betrugsversuche erkennen, wie z. B. Kontoübernahmen mit gültigen Anmeldeinformationen oder Bots, die menschliche Interaktionen nachahmen sollen, die Systeme, die sich ausschließlich auf traditionelle Datenpunkte verlassen, umgehen könnten. Dieser vielschichtige Ansatz ermöglicht es der RBA-Engine, nuanciertere und zuversichtlichere Risikobewertungen vorzunehmen, was eine höhere Rate an reibungslosen Genehmigungen bei gleichzeitig robuster Sicherheit ermöglicht. [Mastercard Identity Check Program](https://static.developer.mastercard.com/content/identity-check/uploads/files/mastercardidentitycheckprogram.pdf) ## 5. Ermöglichung reibungsloser Abläufe: Daten, Ausnahmen und Haftung Ein Hauptziel von Mastercard Identity Check ist es, Störungen beim Online-Checkout zu minimieren, indem wann immer möglich reibungslose Authentifizierungsabläufe ermöglicht werden. Dieses nahtlose Erlebnis, bei dem die Authentifizierung stillschweigend im Hintergrund stattfindet, beruht stark auf datengesteuerten Genehmigungen, der intelligenten Nutzung von Ausnahmen und einem klaren Verständnis der Haftungsfolgen. ### 5.1 Mechanismus: Datengesteuerte Genehmigungen über RBA Die Grundlage für einen reibungslosen Ablauf ist die risikobasierte Authentifizierung (RBA). Das EMV 3DS-Protokoll erleichtert den Austausch einer riesigen Datenmenge (über 150 potenzielle Elemente) zwischen der Umgebung des Merchants (über den 3DS Server) und der Umgebung des Issuers (dem ACS). Mastercard reichert diese Daten mit seiner eigenen Netzwerkintelligenz, KI-Algorithmen und den Erkenntnissen der verhaltensbasierten Biometrie von NuData an. Der ACS des Issuers (oder der RBA-Dienst von Mastercard) analysiert diesen umfassenden Datensatz in Echtzeit. Wenn die Analyse eine geringe Betrugswahrscheinlichkeit anzeigt – basierend auf Faktoren wie einem erkannten Gerät, typischem Kaufverhalten, bekanntem Standort, konsistenten Verhaltensmustern und anderen kontextbezogenen Hinweisen – kann die Transaktion passiv authentifiziert werden, ohne dass der Karteninhaber eine Aktion ausführen muss (wie die Eingabe eines OTP oder die Verwendung eines Fingerabdrucks). Dies ist die Essenz einer datengesteuerten Genehmigung, die den reibungslosen Ablauf ermöglicht und darauf abzielt, 90–95 % der Authentifizierungen abzudecken. ### 5.2 Ausnahmen von der starken Kundenauthentifizierung (SCA) In Regionen wie Europa, die der Zahlungsdiensterichtlinie (PSD2) unterliegen, ist die [Starke Kundenauthentifizierung](https://www.corbado.com/de/blog/psd2-passkeys) (SCA) – die typischerweise zwei unabhängige Authentifizierungsfaktoren erfordert – für Online-Zahlungen oft obligatorisch. Die Verordnung und das EMV 3DS-Protokoll erlauben jedoch spezifische Ausnahmen, bei denen [SCA](https://www.corbado.com/de/blog/passkeys-fuer-zahlungsanbieter-drittanbieter-sdk) nicht erforderlich ist, was reibungslose Erlebnisse weiter erleichtert. Mastercard Identity Check unterstützt die Anwendung dieser Ausnahmen. Zu den wichtigsten Ausnahmen gehören: - **Transaktionsrisikoanalyse (TRA)**: Wenn entweder der [Acquirer](https://www.corbado.com/glossary/acquirer) oder der [Issuer](https://www.corbado.com/glossary/issuer) eine Echtzeit-Risikoanalyse durchführt und die Transaktion als risikoarm einstuft und der Transaktionsbetrag unter bestimmten Schwellenwerten liegt, die mit der Gesamtbetrugsrate des Unternehmens verknüpft sind, kann von der [SCA](https://www.corbado.com/de/blog/passkeys-fuer-zahlungsanbieter-drittanbieter-sdk) abgesehen werden. - **Zahlungen mit geringem Wert**: Transaktionen unter einem bestimmten Wert (z. B. 30 € in Europa) können ausgenommen werden, obwohl kumulative Grenzen gelten (z. B. Gesamtbetrag oder Anzahl der Transaktionen seit der letzten [SCA](https://www.corbado.com/de/blog/passkeys-fuer-zahlungsanbieter-drittanbieter-sdk)). - **Vertrauenswürdige Begünstigte (Merchant Whitelisting)**: Karteninhaber können bestimmte Merchants bei ihrem Issuer als „vertrauenswürdig“ einstufen. Nachfolgende Transaktionen mit diesen auf der Whitelist stehenden Merchants können von der SCA ausgenommen sein. - **Wiederkehrende Zahlungen & vom Händler initiierte Transaktionen (MITs)**: Während die erstmalige Einrichtung einer wiederkehrenden Zahlung oder einer Card-on-File-Vereinbarung in der Regel SCA erfordert, können nachfolgende vom Händler initiierte Zahlungen mit diesen Anmeldeinformationen unter bestimmten Bedingungen als außerhalb des Geltungsbereichs oder als ausgenommen betrachtet werden. EMV 3DS 2.2 und spätere Versionen bieten spezifische Unterstützung für diese 3RI (3DS Requestor Initiated)-Transaktionen. - **Sichere Unternehmenszahlungen**: Spezifische Ausnahmen können für Unternehmenszahlungen gelten, die über dedizierte sichere Protokolle getätigt werden. | **Ausnahmetyp** | **Beschreibung** | **Typische Haftung (bei Anwendung der Ausnahme)** | | -------------------------------------- | ------------------------------------------------------------------------------------- | ---------------------------------------------------------------------------- | | Transaktionsrisikoanalyse (TRA) | Risikoarme Transaktion basierend auf Acquirer-/Issuer-Analyse unter Betrugsschwellen. | Merchant (wenn vom Merchant beantragt) / Issuer (wenn vom Issuer angewendet) | | Zahlungen mit geringem Wert | Transaktionen unter einem bestimmten Wert (z. B. 30 €), kumulative Grenzen gelten. | Merchant (wenn vom Merchant beantragt) | | Vertrauenswürdige Begünstigte | Karteninhaber setzt Merchant beim Issuer auf die Whitelist. | Merchant (wenn vom Merchant beantragt) | | Wiederkehrende Zahlungen (nachfolgend) | Nachfolgende Zahlungen nach anfänglicher SCA. | Merchant (oft, für MITs) | Merchants und PSPs können ihre Anfrage für eine Ausnahme in der EMV 3DS-Authentifizierungsnachricht angeben. Corbado Outcome Based SCA Passkey ### 5.3 Auswirkungen auf die Haftungsumkehr Ein wesentlicher Vorteil der Nutzung von 3-D Secure war schon immer die potenzielle Umkehr der Haftung für bestimmte Arten von betrügerischen Rückbuchungen. - **Erfolgreich authentifizierte Transaktionen**: Wenn eine Transaktion erfolgreich über Mastercard Identity Check authentifiziert wird (sei es durch einen reibungslosen Ablauf oder eine Challenge), verschiebt sich die Haftung für Rückbuchungen, die als „nicht autorisiert“ reklamiert werden, im Allgemeinen vom Merchant zum Karten-Issuer. Dieser Schutz gilt auch dann, wenn die Authentifizierung reibungslos verlief, obwohl spezifische Kartenschema-Regeln und Szenarien gelten können. - **Auswirkungen von Ausnahmen**: Dies ist ein entscheidender Punkt: Wenn ein Merchant oder sein [PSP](https://www.corbado.com/blog/payment-provider-passkeys-third-party-sdk) eine SCA-Ausnahme (wie TRA oder geringer Wert) beantragt und der Issuer sie gewährt, verbleibt die Haftung für Betrug typischerweise beim Merchant. Der Merchant profitiert von einem reibungsloseren Checkout, behält aber das finanzielle Betrugsrisiko. Wenn der Issuer jedoch einseitig beschließt, eine Ausnahme anzuwenden (z. B. basierend auf seiner eigenen Risikobewertung), kann die Haftung auf den Issuer übergehen. - **Versuchte/fehlgeschlagene Authentifizierung**: Die Regeln zur Haftung, wenn eine Authentifizierung versucht wird, aber fehlschlägt oder nicht abgeschlossen werden kann (z. B. weil der ACS des Issuers nicht verfügbar ist), können komplex sein und hängen von den spezifischen Umständen und den Regeln des Kartenschemas ab. Die Regeln von Mastercard können dem Merchant in bestimmten Szenarien Schutz bieten, auch wenn der Issuer noch nicht vollständig migriert ist. - **Nur-Daten-Flüsse**: Spezifische Flüsse wie Mastercards „Identity Check Insights“, die den Austausch von Daten zur Risikobewertung ohne einen vollständigen Authentifizierungsversuch beinhalten, gewähren dem Merchant ausdrücklich keine Haftungsumkehr. Dies schafft einen wichtigen strategischen Entscheidungspunkt für Merchants und PSPs. Das Beantragen von Ausnahmen kann die Konversionsraten optimieren, indem ein reibungsloses Erlebnis gewährleistet wird, geht aber mit der Beibehaltung der Betrugshaftung einher. Umgekehrt kann das Erzwingen einer Authentifizierung (auch wenn dies zu einem vom Issuer genehmigten reibungslosen Ablauf führt) die Haftungsumkehr sichern, könnte aber potenziell Reibung verursachen, wenn eine Challenge erforderlich ist. Daher ist eine ausgefeilte Risikomanagementstrategie erforderlich, um den optimalen Ansatz auf Transaktionsbasis zu bestimmen und die Konversionsziele mit der Toleranz gegenüber dem Betrugsrisiko abzuwägen. Darüber hinaus hängt der Erfolg des reibungslosen Ablaufs und die Genauigkeit der RBA-Entscheidung stark von der Qualität und Vollständigkeit der Daten ab, die vom Merchant und seinem [PSP](https://www.corbado.com/blog/payment-provider-passkeys-third-party-sdk) über die EMV 3DS-Nachrichten bereitgestellt werden. Unvollständige oder ungenaue Daten beeinträchtigen die Fähigkeit des Issuers, zuverlässige Risikobewertungen durchzuführen, was potenziell zu mehr Challenges oder sogar Ablehnungen führen und somit die Vorteile des Systems untergraben kann. Das Erreichen einer optimalen reibungslosen Leistung ist eine gemeinschaftliche Anstrengung, die ein sorgfältiges Datenmanagement auf der [Acquirer](https://www.corbado.com/glossary/acquirer)-Seite erfordert. [Mastercard Identity Check Program](https://static.developer.mastercard.com/content/identity-check/uploads/files/mastercardidentitycheckprogram.pdf) [Mastercard Frictionless Future](https://www.mastercard.us/content/dam/public/mastercardcom/na/us/en/documents/welcome-to-the-frictionless-future.pdf) ## 6. Integrationspfade für Issuer: ACS-Optionen und BIN-Aktivierung Für Karten-Issuer ist die Integration in das Mastercard Identity Check-Programm unerlässlich, um dessen Sicherheits- und Benutzererlebnisvorteile zu nutzen. Dies beinhaltet die Aktivierung ihrer Kartenportfolios (identifiziert durch Bank Identification Numbers oder BINs) und die Anbindung an die Authentifizierungs-[Infrastruktur](https://www.corbado.com/passkeys-for-critical-infrastructure), hauptsächlich über einen Access Control Server (ACS). ### 6.1 Die Rolle des Access Control Server (ACS) Der ACS befindet sich in der Domäne des Issuers und ist aus Sicht des Issuers das technologische Herzstück des Authentifizierungsprozesses. Seine Hauptaufgaben umfassen: - Empfang von Authentifizierungsanfragen (AReq-Nachrichten), die vom Merchant über den Mastercard Directory Server (DS) weitergeleitet werden - Überprüfung, ob die spezifische Kartennummer für Mastercard Identity Check registriert und berechtigt ist - Durchführung einer Risikobewertung (oft unter Nutzung von RBA-Engines und Daten wie dem Mastercard Smart Authentication Score) - Entscheidung, ob reibungslos authentifiziert oder eine Challenge eingeleitet wird - Verwaltung des Challenge-Prozesses bei Bedarf (z. B. Senden eines OTP per SMS, Aufforderung zur biometrischen Verifizierung über eine [Banking](https://www.corbado.com/de/blog/revolut-passkeys-analyse)-App) - Erstellung und Rücksendung der Authentifizierungsantwort (ARes-Nachricht), einschließlich des entscheidenden Accountholder Authentication Value (AAV) für erfolgreich authentifizierte Transaktionen, zurück an den DS ### 6.2 ACS-Optionen für Issuer Issuer haben mehrere Möglichkeiten zur Implementierung der ACS-Funktionalität: 1. **Inhouse-ACS**: Ein Issuer kann sich dafür entscheiden, seine eigene ACS-Softwarelösung in seiner eigenen IT-Umgebung zu erstellen, bereitzustellen, zu hosten und zu verwalten. - Vorteile: Bietet maximale Kontrolle über Authentifizierungslogik, Risikoregeln, Anpassung der Benutzererfahrung und Integration mit internen Systemen. - Nachteile: Erfordert erhebliches internes technisches Fachwissen, bedeutende Entwicklungs- und Wartungsressourcen sowie eine strikte Einhaltung der laufenden EMVCo- und [PCI](https://www.corbado.com/blog/pci-dss-4-0-authentication-passkeys) 3DS-Compliance-Standards. 2. **Gehosteter ACS (Drittanbieter)**: Issuer können mit spezialisierten, von Mastercard zugelassenen ACS-Anbietern zusammenarbeiten, die den ACS als Managed Service bereitstellen. Der Issuer wird in diesem Modell oft als „Hosted Principal“ bezeichnet. - Vorteile: Reduziert die betriebliche Komplexität, die [Infrastrukturkosten](https://www.corbado.com/passkeys-for-critical-infrastructure) und den Compliance-Aufwand des Issuers. Nutzt das Fachwissen des Anbieters und bietet potenziell eine schnellere Markteinführung. - Nachteile: Bietet möglicherweise weniger granulare Kontrolle und Anpassungsmöglichkeiten im Vergleich zu einer Inhouse-Lösung. Abhängigkeit von einem Dritten für eine kritische Funktion. - Anbieter-Ökosystem: Mastercard führt eine Liste konformer ACS-Anbieter, mit Beispielen wie Entersekt, Netcetera, GPayments und Logibiztech. 3. **Zusatzdienste von Mastercard**: Mastercard bietet Mehrwertdienste an, die den gewählten ACS-Pfad eines Issuers ergänzen können: - Mastercard Smart Authentication für ACS/Issuer: Bietet RBA-Intelligenz zur Verbesserung der Entscheidungsfähigkeiten des ACS. - Mastercard Stand-In RBA: Bietet eine Backup-RBA-Verarbeitung, falls der primäre ACS des Issuers nicht verfügbar ist oder wenn bestimmte BINs noch nicht vollständig für EMV 3DS aktiviert sind. - [Mastercard 3-D Secure](https://www.corbado.com/blog/mastercard-identity-check) Authentication Challenge Service: Bietet biometrische Challenge-Funktionen (unter Nutzung von [FIDO](https://www.corbado.com/de/blog/emv-3ds-acs-passkeys-fido-und-spc)-Standards), die in den ACS-Ablauf integriert werden können. Die Wahl zwischen einem Inhouse- und einem gehosteten ACS stellt für Issuer eine wichtige strategische Entscheidung dar, bei der der Wunsch nach Kontrolle gegen die Notwendigkeit von Effizienz, Kosteneffektivität und Implementierungsgeschwindigkeit abgewogen wird. ### 6.3 Checkliste zur BIN-Aktivierung für Issuer Die Aktivierung spezifischer Bank Identification Number (BIN)-Bereiche für Mastercard Identity Check umfasst eine Reihe koordinierter Schritte: 1. **ACS-Pfad auswählen**: Entscheiden, ob ein Inhouse-ACS oder ein gehosteter Anbieter verwendet werden soll. 2. **ACS-Konformität sicherstellen**: Überprüfen, ob die gewählte ACS-Lösung (Inhouse oder Anbieter) den aktuellen Regeln des Mastercard Identity Check-Programms und der relevanten EMV 3DS-Spezifikationsversion entspricht. Dies beinhaltet in der Regel, dass der ACS-Betreiber die Mastercard-Konformitätstests abschließt. 3. **Für Mastercard Identity Check registrieren**: Die ausgebende Institution über die Mastercard Identity Check Test Platform auf Mastercard Connect für das Programm anmelden, die Bedingungen akzeptieren und notwendige Kennungen wie Company ID (CID) und Interbank Card Association (ICA)-Nummer angeben. 4. **BIN-Bereiche beim Directory Server registrieren**: Das Identity Solutions Services Management (ISSM)-Tool auf Mastercard Connect verwenden, um die spezifischen BIN-Bereiche zu registrieren, die an Identity Check teilnehmen werden. Für jeden registrierten Bereich muss die URL des entsprechenden ACS angegeben werden. Beachten Sie, dass BIN-Bereiche, die zuvor für Mastercard SecureCode (3DS 1.0) registriert wurden, eine separate Registrierung für Identity Check (EMV 3DS) erfordern. 5. **Authentifizierungsregeln konfigurieren**: Die primären Authentifizierungsmethoden (z. B. RBA) und alle Step-up-Challenge-Methoden (z. B. SMS OTP, Biometrie) definieren, die für die registrierten BINs verwendet werden sollen. Sicherstellen, dass die Unterstützung für reibungslose und Challenge-Abläufe konfiguriert ist. 6. **Zertifikate verwalten**: Die notwendigen Transport Layer Security (TLS) Server-/Client-Zertifikate für die sichere Kommunikation mit dem Mastercard Directory Server und gegebenenfalls digitale Signaturzertifikate über das Mastercard Key Management Portal beziehen und verwalten. 7. **AAV-Validierung implementieren**: Prozesse zur Validierung des Accountholder Authentication Value (AAV) einrichten, der in Autorisierungsnachrichten für authentifizierte Transaktionen empfangen wird. Dies kann intern oder durch Nutzung des AAV-Validierungsdienstes von Mastercard erfolgen. 8. **Mit dem Prozessor koordinieren**: Sicherstellen, dass der Zahlungsabwickler des Issuers in der Lage ist, alle neuen Datenelemente im Zusammenhang mit Mastercard Identity Check zu verarbeiten, wie z. B. Digital Transaction Insights. 9. **Live gehen und überwachen**: Sobald Konfiguration und Tests abgeschlossen sind, die registrierten BIN-Bereiche in der Produktionsumgebung aktivieren und die Transaktionsleistung und KPIs kontinuierlich überwachen. Es ist wichtig zu erkennen, dass das BIN-Management ein fortlaufender Prozess ist. Branchenänderungen, wie die Migration von 6-stelligen zu 8-stelligen BINs, erfordern von den Issuern, ihre Portfolios proaktiv zu bewerten, potenziell BINs zu konsolidieren und ihre Systeme und Konfigurationen entsprechend zu aktualisieren, um den weiterhin reibungslosen Betrieb von Authentifizierungsdiensten wie Mastercard Identity Check zu gewährleisten. [Mastercard Identity Check Program](https://static.developer.mastercard.com/content/identity-check/uploads/files/mastercardidentitycheckprogram.pdf) ## 7. Auswirkungen auf Merchants & PSPs: Genehmigungen steigern, Reibung reduzieren Die Einführung von Mastercard Identity Check und dem zugrunde liegenden EMV 3DS Mastercard-Programm bietet erhebliche Vorteile für Merchants und die [Payment Service Provider](https://www.corbado.com/blog/payment-provider-passkeys-third-party-sdk) (PSPs), die sie bedienen. Die zentralen Auswirkungen drehen sich um die Verbesserung der Transaktionserfolgsraten, die Verbesserung des Kundenerlebnisses und die Vereinfachung der Abläufe in der globalen [E-Commerce](https://www.corbado.com/passkeys-for-e-commerce)-Landschaft. ### 7.1 Steigerung der Genehmigungsrate Einer der überzeugendsten Vorteile ist das Potenzial, die Autorisierungsgenehmigungsraten zu erhöhen. - **Wie es funktioniert**: Die umfassenderen Daten, die über EMV 3DS ausgetauscht werden, kombiniert mit ausgeklügelten RBA-Engines, die KI und Verhaltensanalytik nutzen, geben den Issuern einen weitaus größeren Einblick in die Legitimität einer Transaktion. Dies ermöglicht es ihnen, genauer zwischen echten Kunden und Betrügern zu unterscheiden, was zu einer Reduzierung von fälschlicherweise abgelehnten Transaktionen führt – Situationen, in denen eine legitime Transaktion fälschlicherweise wegen Betrugsverdachts abgelehnt wird. - **Quantifizierte Ergebnisse**: Studien und Berichte deuten auf signifikante Verbesserungen hin. Mastercard-Daten haben durchschnittliche Steigerungen der Genehmigungsrate von 10–12 Basispunkten (0,10–0,12 %) oder sogar Steigerungen von bis zu 14 % bei Milliarden von Transaktionen in einem Jahr gezeigt. Andere Quellen erwähnen potenzielle Steigerungen von 12 %. Fallstudien, wie eine mit einem Bekleidungshändler, zeigten erhebliche Umsatzsteigerungen, die auf verbesserte Genehmigungen und Betrugsreduzierung durch Identity Check zurückzuführen sind. - **Vorteile**: Für Merchants führen höhere Genehmigungsraten direkt zu mehr abgeschlossenen Verkäufen, höheren Einnahmen und verbesserter Kundenzufriedenheit. Für PSPs verbessert das Angebot einer Lösung, die nachweislich die Genehmigungsraten ihrer Kunden steigert, ihr Wertversprechen und ihre Wettbewerbsfähigkeit. ### 7.2 Reduzierte Step-ups und verbessertes Kundenerlebnis Eine direkte Folge einer effektiven RBA ist eine signifikante Reduzierung der Notwendigkeit einer Step-up-Authentifizierung, bei der der Karteninhaber aktiv aufgefordert wird, einen weiteren Identitätsnachweis zu erbringen. - **Wie es funktioniert**: Das Ziel ist, dass die große Mehrheit (oft als >90 % oder 95 % zitiert) der Transaktionen auf der Grundlage der Risikobewertung reibungslos authentifiziert wird. Das bedeutet weniger Unterbrechungen für den Kunden während des Checkouts. - **Vorteile**: Dies verbessert die Benutzererfahrung dramatisch, indem unnötige Hürden beseitigt werden. Reduzierte Reibung führt direkt zu niedrigeren Warenkorbabbruchraten und höheren Konversionsraten für Merchants. ### 7.3 Vereinfachter globaler Rollout Die Grundlage von Mastercard Identity Check auf dem globalen EMV 3DS-Standard erleichtert die Implementierung und Verwaltung für Unternehmen, die grenzüberschreitend tätig sind. - **Wie es funktioniert**: EMV 3DS bietet eine gemeinsame technische Sprache und ein Rahmenwerk für die Authentifizierung, das von teilnehmenden Issuern und Acquirern weltweit anerkannt wird. - **Vorteile**: Diese Standardisierung reduziert die Komplexität für internationale Merchants und PSPs, die andernfalls möglicherweise mehrere, unterschiedliche regionale Authentifizierungslösungen integrieren müssten. Die Integration wird durch standardisierte Protokolle, APIs und SDKs von Mastercard und seinen Partnern optimiert. Darüber hinaus hilft die Verwendung einer EMV 3DS-basierten Lösung wie Mastercard Identity Check Unternehmen, regulatorische Anforderungen wie [PSD2](https://www.corbado.com/blog/psd2-passkeys) SCA in Europa und ähnliche aufkommende Mandate an anderer Stelle zu erfüllen. Für PSPs werden diese Merchant-Vorteile verstärkt. Durch das Angebot einer robusten, global konsistenten und leistungsstarken Authentifizierungslösung wie Mastercard Identity Check können PSPs mehr Merchants anziehen, ihren eigenen Betriebsaufwand im Zusammenhang mit der Verwaltung verschiedener Authentifizierungsmethoden reduzieren und potenziell ihre Exposition gegenüber betrugsbedingten Kosten, die von Merchants weitergegeben werden, senken. Mastercard Identity Check ## 8. KPI-Framework & Reporting Um die Leistung von Mastercard Identity Check effektiv zu verwalten und zu optimieren, benötigen Issuer, Acquirer und Merchants ein klares Framework von Key Performance Indicators (KPIs). Die Verfolgung dieser Metriken liefert Einblicke in die Benutzererfahrung, die Sicherheitseffektivität und die Einhaltung der Regeln des EMV 3DS Mastercard-Programms. ### 8.1 Key Performance Indicators (KPIs) Basierend auf Programmleitfäden und Best Practices sind die folgenden KPIs entscheidend für die Überwachung der Leistung von Mastercard Identity Check: 1. **Challenge Rate**: Diese misst den Prozentsatz der Authentifizierungsanfragen, die dazu führen, dass der Karteninhaber aktiv herausgefordert wird (z. B. nach einem OTP oder einer biometrischen Verifizierung gefragt wird). Eine niedrigere Challenge Rate deutet im Allgemeinen auf eine bessere, reibungslosere Benutzererfahrung hin. Die Leitlinien von Mastercard empfehlen, Challenges bei weniger als 10 % der Transaktionen anzustreben und sich für die Mehrheit auf RBA zu verlassen. 2. **Authentication Success Rate**: Diese verfolgt den Prozentsatz der Authentifizierungsversuche (sowohl reibungslos als auch mit Challenge), die vom Karteninhaber erfolgreich abgeschlossen und vom Issuer verifiziert werden. Hohe Erfolgsraten sind entscheidend, um Transaktionsabbrüche zu minimieren. Mastercard kann Mindestschwellen für die Genehmigungsraten von insgesamt authentifizierten Transaktionen festlegen (z. B. 90 %) und die Erfolgsraten von Challenges spezifisch überwachen. 3. **Frictionless Rate**: Das Gegenteil der Challenge Rate, diese misst den Prozentsatz der Authentifizierungen, die erfolgreich ohne Interaktion des Karteninhabers abgeschlossen wurden. Eine hohe Frictionless Rate ist ein Hauptziel von EMV 3DS und korreliert stark mit höheren Gesamterfolgsraten und einer besseren Benutzererfahrung. 4. **Fraud Rate**: Die Überwachung der Rate bestätigter betrügerischer Transaktionen, insbesondere derjenigen, die über Identity Check authentifiziert wurden, ist unerlässlich, um die Wirksamkeit des Systems bei der Betrugsprävention zu beurteilen. Mastercard überwacht die Betrugslevel von Merchants durch Programme wie das Excessive Fraud Merchant (EFM)-Programm. Ein Hauptziel ist es, eine Reduzierung des Betrugs im Vergleich zu nicht authentifizierten Transaktionen zu sehen. 5. **Authorization Approval Rate**: Das ultimative Maß für den Transaktionserfolg ist die endgültige Autorisierungsgenehmigungsrate durch den Issuer. Identity Check zielt darauf ab, diese Rate durch die Reduzierung von fälschlicherweise abgelehnten Transaktionen zu erhöhen. 6. **Technische Leistung**: Metriken wie die Verfügbarkeit von ACS und 3DS Server (Mastercard fordert 99,0 % Verfügbarkeit für Anbieter), Transaktionsverarbeitungszeiten und Fehlerraten in der Authentifizierungsnachrichtenübermittlung sind ebenfalls entscheidend. | **KPI** | **Beschreibung** | **Warum es wichtig ist** | **Zielbeispiel (falls verfügbar)** | | --------------------------- | ------------------------------------------------------------------------- | ---------------------------------------- | ----------------------------------- | | Challenge Rate | % der Auth-Anfragen, die zu einer aktiven Karteninhaber-Challenge führen. | Misst die Reibung. | <10% | | Authentication Success Rate | % der erfolgreich abgeschlossenen Auth-Versuche. | Minimiert Abbrüche. | >90% (insgesamt) | | Frictionless Rate | % der ohne Challenge abgeschlossenen Auth-Vorgänge. | Misst die Nahtlosigkeit. | >90-95% | | Fraud Rate | Rate bestätigter betrügerischer Transaktionen (nach Authentifizierung). | Misst die Sicherheitseffektivität. | Reduktion vs. nicht authentifiziert | | Authorization Approval Rate | Endgültige Genehmigungsrate des Issuers. | Misst den gesamten Transaktionserfolg. | Steigerung vs. vor Identity Check | | Technische Leistung | Verfügbarkeit von ACS/3DS Server, Verarbeitungszeiten, Fehlerraten. | Gewährleistet die Systemzuverlässigkeit. | z.B. 99,0% Verfügbarkeit | ### 8.2 Reporting-Mechanismen Die Überwachung dieser KPIs stützt sich auf verschiedene Reporting-Kanäle: - **Mastercard Programm-Monitoring:** Mastercard überwacht aktiv die Leistung der Teilnehmer anhand etablierter Programm-KPIs. Nichteinhaltung kann Benachrichtigungen und potenzielle Bewertungen oder Bußgelder im Rahmen von Programmen wie DIMP oder EFM auslösen. - **Data Integrity Monitoring Program (DIMP) Reports:** Dieses Programm konzentriert sich speziell auf die Genauigkeit und Vollständigkeit der Transaktionsdaten, die durch das Mastercard-Netzwerk fließen. Issuer und Acquirer können über ein dediziertes Portal auf DIMP-Berichte zugreifen, um Transaktionen zu identifizieren, die wegen Datenintegritätsproblemen gekennzeichnet wurden. Mehrere DIMP-„Edits“ beziehen sich direkt auf EMV 3DS-Daten, wie fehlende oder ungültige DS-Transaktions-IDs, fehlende Ausnahmeindikatoren, ungültige AAVs oder nicht übereinstimmende Transaktionsbeträge. Issuer können speziell einen **Mastercard Data Integrity Monitoring Report** abonnieren, um ihre Leistung im Hinblick auf die Ziele der Frictionless Rate zu verfolgen. - **Payment Service Provider (PSP) / Vendor Reporting:** Merchants und Issuer nutzen oft die Reporting-Dashboards und Analysen, die von ihren PSPs, 3DS-Server-Anbietern oder ACS-Anbietern bereitgestellt werden, um ihre Authentifizierungsleistungsmetriken zu verfolgen. Die effektive Nutzung dieser KPIs und Reporting-Mechanismen ermöglicht es den Stakeholdern, Verbesserungspotenziale zu identifizieren, Konfigurationen (wie RBA-Regeln) zu optimieren, technische Probleme zu beheben und letztendlich die Vorteile des Mastercard Identity Check-Programms zu maximieren. [Mastercard Identity Check Program](https://static.developer.mastercard.com/content/identity-check/uploads/files/mastercardidentitycheckprogram.pdf) ## 9. Roadmap: Die Zukunft der Authentifizierung mit EMV 3DS v2.3+ und SPC Die Landschaft der Online-Zahlungsauthentifizierung entwickelt sich ständig weiter, angetrieben von der Notwendigkeit erhöhter Sicherheit, regulatorischen Änderungen und der Nachfrage nach immer reibungsloseren Benutzererfahrungen. **Mastercard Identity Check**, das auf dem **EMV 3DS Mastercard-Programm** aufbaut, ist untrennbar mit der Roadmap verbunden, die EMVCo für das 3-D Secure-Protokoll festgelegt hat. EMV 3DS Evolution (v2.1, v2.2, v2.3) Das EMV 3DS-Protokoll hat seit seiner ursprünglichen Einführung (Version 2.0) mehrere Iterationen durchlaufen, von denen jede neue Funktionen und Verfeinerungen einführte: - **EMV 3DS 2.1:** Wurde zur vorgeschriebenen Basislinie und beinhaltete grundlegende Unterstützung für einen umfassenderen Datenaustausch und verbesserte mobile Erlebnisse im Vergleich zu 3DS 1.0. Mastercard forderte die Unterstützung bis Mitte 2020. - **EMV 3DS 2.2:** Führte weitere Verbesserungen ein, einschließlich besserer Unterstützung für SCA-Ausnahmen (wie Acquirer TRA und Trusted Merchant Listing über Mastercard-Nachrichtenerweiterungen) und verfeinerte Datenelemente. Mastercard begann mit der Unterstützung von Konformitätstests für 2.2, wobei Mandate später folgten. Mastercard Gateway plante, die Unterstützung für 2.1 im September 2024 einzustellen, wodurch 2.2 zum effektiven Minimum wird. - **EMV 3DS 2.3 (insbesondere 2.3.1):** Von EMVCo Ende 2021/2022 veröffentlicht, stellt diese Version den neuesten bedeutenden Fortschritt dar und konzentriert sich auf die weitere Verbesserung von Sicherheit, Benutzererfahrung und Kanalunterstützung. Zu den wichtigsten Funktionen, die für die Zukunft der Authentifizierung relevant sind, gehören: - **Erweiterte Daten & Abläufe:** Zusätzliche Datenelemente und Nachrichtenflüsse zur weiteren Optimierung der Authentifizierung und Verbesserung der Betrugserkennung. Beinhaltet umfassendere Daten für wiederkehrende Zahlungen und Zahlungstoken. - **Secure Payment Confirmation (SPC) Unterstützung:** Integrationspunkte für [SPC](https://www.corbado.com/blog/dynamic-linking-passkeys-spc), die eine kryptografische Bestätigung von Transaktionsdetails unter Verwendung von [FIDO](https://www.corbado.com/de/blog/emv-3ds-acs-passkeys-fido-und-spc)-Authenticators innerhalb des 3DS-Ablaufs ermöglichen. - **WebAuthn-Unterstützung:** Explizite Unterstützung für die Verwendung des W3C-Standards Web Authentication (WebAuthn), was die Nutzung von Passkeys und Plattform-Authenticators (wie [Gerätebiometrie](https://www.corbado.com/de/blog/passkeys-lokale-biometrie-native-apps)) für Challenges erleichtert. - **Verbesserungen bei der Out-of-Band (OOB)-Authentifizierung:** Automatisierte Übergänge zur Optimierung der Benutzererfahrung, wenn die Authentifizierung über einen separaten Kanal erfolgen muss, wie z. B. eine [Banking](https://www.corbado.com/de/blog/revolut-passkeys-analyse)-App. - **Device Binding:** Ermöglicht es Benutzern, ein vertrauenswürdiges Gerät mit ihrem Konto zu verknüpfen, was potenziell zukünftige Challenges auf diesem Gerät reduziert. - **Split-SDK-Modell:** Bietet größere Flexibilität bei der Implementierung von 3DS-SDKs auf verschiedenen Plattformen, einschließlich traditionellem Web/Mobil und aufkommenden Kanälen wie [IoT](https://www.corbado.com/blog/how-to-use-passkeys-apple-watch)-Geräten. - **UI-Verbesserungen:** Mehr Optionen für Issuer und Merchants zur Anpassung der Benutzeroberfläche während der Challenges. Mastercard, als wichtiges Mitglied von EMVCo, beteiligt sich aktiv an der Entwicklung dieser Standards. Sie sind starke Befürworter von [SPC](https://www.corbado.com/blog/dynamic-linking-passkeys-spc) und dem breiteren Übergang zu modernen, passwortlosen Authentifizierungsmethoden wie Passkeys. Unternehmen wie DECTA haben bereits eine frühe Zertifizierung für EMV 3DS 2.3.1.1 mit Mastercard erreicht, was darauf hindeutet, dass die Einführung im Gange ist. **Secure Payment Confirmation (SPC) Integration** [SPC](https://www.corbado.com/blog/dynamic-linking-passkeys-spc) ist ein W3C-Webstandard, der entwickelt wurde, um neben Authentifizierungsprotokollen wie EMV 3DS zu funktionieren. Es nutzt [FIDO](https://www.corbado.com/de/blog/emv-3ds-acs-passkeys-fido-und-spc)/WebAuthn-Anmeldeinformationen (Passkeys), um Benutzern zu ermöglichen, sich zu authentifizieren und Transaktionsdetails (Betrag, Zahlungsempfänger) direkt im Browser explizit zu bestätigen, indem sie den integrierten [Authenticator](https://www.corbado.com/glossary/authenticator) ihres Geräts verwenden (z. B. Fingerabdruck, Gesichtserkennung, PIN). - **Wie es sich in EMV 3DS 2.3 integriert:** Während eines 3DS-Challenge-Ablaufs, wenn der Issuer SPC unterstützt und der Benutzer eine registrierte FIDO-Anmeldeinformation (Passkey) beim Issuer für dieses Gerät hat, kann der ACS des Issuers die notwendigen Informationen in der ARes-Nachricht zurückgeben. Die Website des Merchants ruft dann die SPC-API des Browsers auf und präsentiert einen standardisierten, sicheren Bestätigungsdialog. Der Benutzer authentifiziert sich lokal (z. B. über Biometrie) und signiert die Transaktionsdetails kryptografisch. Diese signierte [Assertion](https://www.corbado.com/glossary/assertion) wird zur Überprüfung an den ACS zurückgesendet. - **Vorteile:** SPC verspricht ein hochsicheres (Phishing-resistentes) und potenziell sehr reibungsarmes Challenge-Erlebnis im Vergleich zu OTPs, was die Konversionsraten verbessert. Es bietet einen starken kryptografischen Nachweis der Zustimmung des Benutzers, der an spezifische Transaktionsdetails gebunden ist. Mastercard fördert aktiv die Einführung von Passkeys und die Unterstützung von SPC. **Mastercards umfassendere Vision: Auf dem Weg in eine passwortlose Zukunft** Über die unmittelbare EMV 3DS-Roadmap hinaus hat Mastercard eine umfassendere Vision für die Zukunft der Online-Authentifizierung formuliert, die darauf abzielt, die manuelle Karteneingabe und Passwörter bis 2030 vollständig zu eliminieren. Diese Strategie beruht auf der Konvergenz von: - **Tokenisierung:** Ersetzen sensibler Primary Account Numbers (PANs) durch sichere Netzwerk-Token (über MDES - Mastercard Digital Enablement Service), um die zugrunde liegenden Kartendaten zu schützen. Mastercard strebt bis 2030 eine 100%ige E-Commerce-Tokenisierung in Regionen wie Europa an. - **Biometrische Authentifizierung:** Nutzung von On-Device-Biometrie (Fingerabdrücke, Gesichtserkennung - „Lächeln und Fingerabdrücke“) über Standards wie FIDO/WebAuthn und Technologien wie SPC und Mastercards [Payment Passkey Service](https://www.corbado.com/de/blog/visa-passkeys). - **Click to Pay:** Mastercards optimierte Online-Checkout-Lösung, die auf den EMV Secure Remote Commerce (SRC)-Standards basiert und so konzipiert ist, dass sie nahtlos mit Tokenisierung und moderner Authentifizierung zusammenarbeitet. Dieser zukünftige Zustand stellt sich ein Checkout-Erlebnis vor, bei dem sich Benutzer sicher authentifizieren und Zahlungen mit einer einfachen biometrischen Aktion bestätigen, ohne jemals Kartennummern oder Passwörter manuell eingeben zu müssen. Die fortlaufende Entwicklung von EMV 3DS, einschließlich Version 2.3 und der Integration von SPC, sind entscheidende Meilensteine auf dem Weg zur Verwirklichung dieses ehrgeizigen Ziels. Corbado EMV [3DS ACS](https://www.corbado.com/blog/emv-3ds-acs-passkeys-fido-and-spc) Passkeys ## 10. Fazit: Heute sichern, für morgen bauen **Mastercard Identity Check**, angetrieben durch das **EMV 3DS Mastercard-Programm**, stellt eine entscheidende Weiterentwicklung bei der Sicherung des digitalen Zahlungsökosystems dar. Es geht über die Grenzen seines Vorgängers, Mastercard SecureCode, hinaus und begegnet der zentralen Herausforderung, eine robuste Betrugsprävention mit dem Gebot **reibungsloser Authentifizierungsabläufe** im modernen E-Commerce in Einklang zu bringen. Für Issuer und Merchants sind die Vorteile greifbar: - **Erhöhte Sicherheit:** Die Nutzung eines umfassenden Datenaustauschs, ausgefeilter risikobasierter Authentifizierungs-Engines (RBA), der **verhaltensbasierten Biometrie von NuData** und der Geräteintelligenz verbessert die Genauigkeit der Betrugserkennung erheblich. - **Verbesserte User Experience:** Der Fokus auf reibungslose Abläufe minimiert Störungen beim Checkout, reduziert Warenkorbabbrüche und fördert die Kundenbindung. - **Höhere Genehmigungsraten:** Eine genauere Risikobewertung führt zu weniger fälschlicherweise abgelehnten Transaktionen, was legitime Verkäufe und Einnahmen steigert. - **Haftungsschutz:** Das Potenzial der Haftungsumkehr bei authentifizierten Transaktionen bleibt ein wichtiger Anreiz für die Einführung. Die Implementierung von Mastercard Identity Check erfordert eine sorgfältige Abwägung der Integrationspfade, insbesondere der Wahl des ACS für Issuer, sowie ein sorgfältiges Management der BIN-Aktivierung und Datenqualität. Die Überwachung der Leistung durch das bereitgestellte KPI-Framework und Reporting-Tools, wie den Data Integrity Monitoring Report, ist für die Optimierung und Compliance unerlässlich. Mit Blick auf die Zukunft setzt sich die Entwicklung mit EMV 3DS 2.3 und darüber hinaus fort und integriert Standards wie [Secure Payment Confirmation](https://www.corbado.com/blog/dynamic-linking-passkeys-spc) (SPC) und WebAuthn, um eine noch sicherere und benutzerfreundlichere Authentifizierung mit Passkeys und [Gerätebiometrie](https://www.corbado.com/de/blog/passkeys-lokale-biometrie-native-apps) zu ermöglichen. Dies steht im Einklang mit Mastercards umfassenderer Vision einer passwort- und nummernlosen Zukunft für Online-Zahlungen bis 2030, die auf Tokenisierung und Biometrie basiert. Da sich die Authentifizierungslandschaft hin zu diesen moderneren, [Phishing](https://www.corbado.com/glossary/phishing)-resistenten Methoden verschiebt, ist das Verständnis der Grundlagen, die von Programmen wie Mastercard Identity Check gelegt wurden, von entscheidender Bedeutung. Für Unternehmen, die eine Authentifizierung der nächsten Generation implementieren möchten, die robuste Sicherheit mit beispiellosem Benutzerkomfort kombiniert, stellt die Erkundung von Lösungen, die auf FIDO-Standards basieren, wie die von Anbietern wie Corbado angebotenen Passkeys, den logischen nächsten Schritt dar, um Online-Interaktionen und -Zahlungen zukunftssicher zu machen.