3D-Secure, SPA/UCAF - Was kommt nach SET? - Zahlungsverkehrsfragen.de

Was kommt nach SET? 3D-Secure, SPA/UCAF

In der Fachpresse wird teils schon der Grabgesang für SET angestimmt, die großen Kartenherausgeber versuchen, mit 3D Secure (VISA) und SPA/UCAF (MasterCard) neue Verfahren für sicheren E-Commerce zu platzieren. Aber was ist eigentlich passiert und was verbirgt sich hinter den neuen Ansätzen?

SET (oder in der späteren Ausbaustufe 3D SET) wurde als sicheres Zahlungsverfahren für das Internet unter Beteiligung der Kartengesellschaften und der Industrie Ende der 90er Jahre aus der Taufe gehoben und zu einem gemeinsamen Standard ausgebaut. Ziel von SET war, ein hochsicheres Internetzahlungsverfahren zu etablieren, in dem alle Beteiligten vom Karteninhaber über die eingeschalteten Abwicklungssysteme bis zum Händler durch digitale Zertifikate eindeutig identifiziert werden. Die Verbreitung von SET ließ jedoch stark zu wünschen übrig, insbesondere die Investitionskosten auf Händlerseite, die nötige Installation von Wallet und Zertifikat auf Kundenseite sowie die (aus Kundensicht) komplexere Handhabung verschafften SET einen schweren Stand. Dies, obwohl seit Ende 2001 als Händler im Internet kaum ein Akzeptanzvertrag bei einem deutschen Acquirer zu bekommen war, wenn man nicht SET nutzte (und überdurchschnittliche Umsätze versprach). Aus diesem Grund können Sie auch in unserem Shop nicht mit Kreditkarte bezahlen. Ebenfalls dürfte sich negativ ausgewirkt haben, daß keiner der "großen" E-Commerce Händler SET genutzt hat und insbesondere im Kartenmarkt USA SET keine Rolle spielte.

Als (gleitende) Nachfolger von SET haben VISA und MasterCard sich unterschiedliche Verfahren einfallen lassen:

VISA geht mit 3D Secure in die nächste Runde des sicheren E-Commerce (als "Verified by Visa" vermarktet)
MasterCard kombiniert unter der Bezeichnung SPA/UCAF (als "MasterCard SecureCode" vermarktet) eine Händler- und eine Kundenkomponente

Beiden Verfahren gemein ist, daß sie, ähnlich wie beim 3D SET (Three Domain Model), die Einflußbereiche zwischen den Beteiligten aufteilen:

Issuer-Domain (bei MasterCard: SPA Environment)
In der Issuer (Kartenherausgeber) Domain wird die sichere Identifizierung des Karteninhabers vom Kartenherausgeber sichergestellt.
Interoperability Domain
Zwischen Kartenherausgeber und Händlerbank wird die sichere Weiterleitung der Zahlungsdaten abgewickelt.
Acquirer Domain (bei MasterCard: UCAF Environment)
In der Acquirer (Händlerbank) Domain wird die sichere Abwicklung auf Händlerseite von Händlerbank und Händler sichergestellt.

Ebenso setzen beide Verfahren für die Identifizierung des Karteninhabers im wesentlichen auf Server-Wallets (also keine komplette, umfangreich zu installierende Software mit Zertifikaten auf Kundenseite) und nutzen keine lokalen Zertifikate auf Kundenseite mehr, sondern setzen auf Verifizierungsmechanismen wie Paßwörter, PIN-Eingabe oder ggf. einen Chip auf der Kreditkarte. Und ebenso wie in einigen Fällen bereits bei 3D-SET wird dem Händler, wenn er die Verfahren einsetzt, eine Zahlungsgarantie eingeräumt und er wird von bestimmten Gründen für Zahlungsrückgaben freigestellt.

Wie MasterCard zwischenzeitlich bekanntgegeben hat, wird es mehrere technische Implementationen für SPA/UCAF geben, eine davon wird wie 3D Secure funktionieren, so daß Karteninhaber, die sowohl VISA als auch MasterCard Karten haben, optional beide Marken ohne Wallet oder zusätzliche Hardware nutzen können.
Spätestens nach dem für deutsche Acquirer unglücklichen BGH-Urteil (XI ZR 375/00), das alle Risiken im ECommerce dem Acquirer aufbürdete (und in der Folge eine Welle von Akzeptanz-Kündigungen bei der damaligen EKS auslöste), ist eine sichere Lösung, die dem Händler Zahlungsgarantie bietet, auch mehr als dringend nötig.

Zurück zum Zahlungsverkehr Karten, zur Hauptübersicht oder zur Startseite

Es gelten die Disclaimer