Definition
3D Secure ist ein Sicherheitsprotokoll für Online-Kartenzahlungen, das eine zusätzliche Authentifizierung des Karteninhabers erfordert. Die aktuelle Version (3DS2) ermöglicht eine risikobasierte Entscheidung: Bei niedrigem Risiko erfolgt eine friktionslose Zahlung, bei erhöhtem Risiko wird der Kunde zur Authentifizierung aufgefordert – meist per Banking-App oder Biometrie.
Die Markennamen der Kartennetzwerke lauten:
- Visa: Visa Secure
- Mastercard: Mastercard Identity Check
- American Express: SafeKey
3DS1 vs. 3DS2: Versionsvergleich
| Merkmal | 3DS1 (veraltet) | 3DS2 (aktuell) |
|---|---|---|
| Authentifizierung | Statisches Passwort | Biometrie, Push-Notification, App |
| Risikobasiert | Nein (immer Challenge) | Ja (Frictionless möglich) |
| Mobile-Optimierung | Nein (Redirect, Pop-ups) | Ja (Native SDK, In-App) |
| Datenpunkte | ~15 Felder | ~150+ Felder für Risikobewertung |
| Conversion-Impact | −15 bis −25% | −2 bis −8% (bei guter Integration) |
| Liability Shift | Ja | Ja |
| Status | Abgeschaltet (Okt. 2022) | Standard |
3DS1 wurde von Visa und Mastercard per Oktober 2022 abgeschaltet. Alle Händler müssen 3DS2 verwenden.
Frictionless vs. Challenge Flow
Frictionless Flow (kein Eingriff des Kunden)
- Kunde gibt Kartendaten ein
- PSP sendet 3DS2-Anfrage mit ~150 Datenpunkten (Gerät, IP, Kaufhistorie, Betrag)
- Issuer-ACS (Access Control Server) bewertet das Risiko
- Risiko niedrig → Issuer genehmigt ohne Kundeninteraktion
- Zahlung wird autorisiert – der Kunde merkt nichts von 3DS
Challenge Flow (Kundeninteraktion erforderlich)
- Schritte 1–3 wie oben
- Risiko erhöht → Issuer fordert Authentifizierung
- Kunde authentifiziert sich per Banking-App, SMS-Code oder Biometrie
- Nach erfolgreicher Authentifizierung wird die Zahlung autorisiert
Ziel: Möglichst hohen Anteil Frictionless Flows erreichen, um die Conversion nicht zu beeinträchtigen.
SCA-Pflicht und die Schweiz
Die Strong Customer Authentication (SCA) unter PSD2 verlangt in der EU eine Zwei-Faktor-Authentifizierung für elektronische Zahlungen. Die Schweiz fällt nicht unter PSD2, dennoch:
- Schweizer Issuer (UBS, ZKB, Raiffeisen, PostFinance) setzen 3DS2 standardmässig ein
- Cross-Border-Zahlungen: Bei EU-Kunden eines Schweizer Shops greift SCA über den Issuer
- Schweizer Acquirer wie Worldline empfehlen 3DS2 generell, um den Liability Shift zu nutzen
- Praxis: De facto ist 3DS2 auch in der Schweiz Standard, selbst ohne gesetzliche Pflicht
Entscheidung beschleunigen?
Nutze den Payment-Fit-Check und erhalte eine priorisierte Anbieterliste für dein Setup.
Zum Payment-Fit-CheckExemption-Strategien: Weniger Challenges, mehr Conversion
Exemptions erlauben es, bestimmte Transaktionen von der SCA-Pflicht auszunehmen:
| Exemption-Typ | Bedingung | Wer beantragt | Risiko |
|---|---|---|---|
| Low Value | Transaktion < EUR 30 (kumuliert < EUR 100) | Automatisch | Kein Liability Shift |
| Transaction Risk Analysis (TRA) | Fraud-Rate des Acquirers unter Schwellenwert | Acquirer/PSP | Kein Liability Shift |
| Trusted Beneficiary | Kunde hat Händler als vertrauenswürdig markiert | Issuer | Gering |
| Recurring Payment | Folgetransaktionen nach initialer Authentifizierung | Händler/PSP | Gering |
| Secure Corporate Payment | B2B-Zahlungen mit dedizierten Firmenkarten | Issuer | Gering |
| MIT (Merchant Initiated) | Händler löst Zahlung aus (Abo-Verlängerung) | Händler/PSP | Abhängig von Setup |
Praxis-Tipp: Eine gute Exemption-Strategie kann den Anteil an Challenge Flows um 40–60% reduzieren, ohne die Sicherheit zu beeinträchtigen.
Conversion-Impact nach Implementierungsqualität
| Implementierung | Frictionless-Rate | Conversion-Einbusse | Typisches Setup |
|---|---|---|---|
| Optimal | 75–85% | −1 bis −3% | PSP mit Smart Routing + Exemptions |
| Standard | 50–65% | −5 bis −8% | Standard 3DS2 ohne Optimierung |
| Schlecht | 20–35% | −10 bis −18% | Fehlende Datenfelder, kein Exemption-Handling |
| Ohne 3DS | – | 0% (aber Fraud-Risiko) | Keine 3DS-Integration |
Die Qualität der 3DS-Integration ist direkt abhängig davon, wie viele Datenpunkte an den Issuer gesendet werden. Je mehr kontextuelle Daten (Gerätefingerabdruck, Kaufhistorie, Lieferadresse), desto häufiger entscheidet der Issuer auf Frictionless.
Schweizer Issuer-Verhalten
| Issuer | 3DS2-Methode | Frictionless-Bereitschaft | Besonderheiten |
|---|---|---|---|
| UBS | App-basiert | Mittel-Hoch | Push-Benachrichtigung via UBS Key |
| PostFinance | App + SMS | Mittel | SMS-Fallback bei fehlender App |
| Raiffeisen | App-basiert | Mittel | Abhängig von Raiffeisen-Region |
| ZKB | App-basiert | Hoch | Gute Frictionless-Quoten |
| Swisscard | App-basiert | Mittel-Hoch | Issuer für viele Kreditkarten |
| Cembra | App + SMS | Mittel | Cumulus-Kreditkarten |
PSP-Vergleich für 3DS-Handling
| PSP | Exemption Engine | Smart Retry | Frictionless-Optimierung | Dashboard/Reporting |
|---|---|---|---|---|
| Stripe | Ja (Radar + Adaptive) | Ja | Automatisch | Detailliert |
| Adyen | Ja (RevenueProtect) | Ja | Regelbasiert + ML | Umfassend |
| Datatrans | Basis-Exemptions | Nein | Manuell konfigurierbar | Standard |
| Worldline/Saferpay | Ja | Teilweise | Regelbasiert | Standard |
| Payrexx | Basis | Nein | Eingeschränkt | Basis |
Best Practices Checkliste
Technische Optimierung
- [ ] Alle verfügbaren Datenfelder an den 3DS-Request senden (Browser-Daten, Lieferadresse, Telefonnummer, E-Mail)
- [ ] Geräte-Fingerprinting des PSPs aktivieren (erhöht Frictionless-Rate signifikant)
- [ ] Exemption-Strategie mit dem PSP abstimmen (TRA für Beträge unter CHF 250)
- [ ] Fallback-Logik implementieren: Wenn 3DS fehlschlägt, alternativen Flow anbieten
UX-Optimierung
- [ ] Ladezeiten minimieren – 3DS-Challenge in den bestehenden Checkout-Flow einbetten (kein Redirect)
- [ ] Fehlerbehandlung klar kommunizieren – «Ihre Bank benötigt eine zusätzliche Bestätigung»
- [ ] Mobile-First denken – In-App SDKs statt Browser-Redirects verwenden
- [ ] Retry nach Abbruch ermöglichen – Nicht sofort den gesamten Warenkorb leeren
Monitoring
- [ ] Frictionless-Rate wöchentlich überwachen (Ziel: >70%)
- [ ] Abbruchrate im Challenge Flow messen und mit PSP besprechen
- [ ] Issuer-spezifische Ablehnungsraten analysieren und gezielt optimieren
- [ ] Soft Decline Handling aktivieren: Bei Ablehnung automatisch mit 3DS erneut versuchen
Liability Shift: Wer haftet?
Mit erfolgreicher 3DS-Authentifizierung verschiebt sich die Haftung bei Betrug vom Händler zum Issuer. Das bedeutet:
- Mit 3DS: Issuer trägt das Betrugsrisiko → kein Chargeback beim Händler
- Ohne 3DS: Händler trägt das volle Betrugsrisiko
- Ausnahme: Bei Exemptions (z.B. TRA) ohne Challenge bleibt die Haftung beim Händler
Für Schweizer Händler mit internationalem Kundenstamm ist der Liability Shift ein wesentlicher Grund, 3DS2 konsequent einzusetzen.
Payment Setup optimieren?
Wir analysieren deinen Use Case und priorisieren passende Anbieter.
Weiterführende Inhalte
Passende Seiten basierend auf Thema, Entitäten und Kontext.
Payment Schweiz 2026: Anbieter, Kosten und Strategie
Inhaltlich eng verwandt
LesenBNPL in der Schweiz: Conversion-Booster mit Governance-Pflicht
Inhaltlich eng verwandt
LesenKartenzahlungen in der Schweiz: Basis für jedes Payment-Setup
Inhaltlich eng verwandt
LesenKauf auf Rechnung in der Schweiz: Vertrauen und Risikobalance
Inhaltlich eng verwandt
LesenTWINT im Checkout: Wirkung, Kosten, Umsetzung
Inhaltlich eng verwandt
LesenMarketplace Payments Schweiz: Split Payouts, Risiko und Skalierung
Inhaltlich eng verwandt
LesenRetail Payment Stack Schweiz: Conversion und Kosten im Gleichgewicht
Inhaltlich eng verwandt
LesenSaaS Payments Schweiz: Subscription-Setup mit geringem Churn-Risiko
Inhaltlich eng verwandt
LesenCustom Stack Payments Schweiz: Build vs Buy richtig entscheiden
Inhaltlich eng verwandt
LesenShopify Payments in der Schweiz: Providerwahl und Setup-Fallen
Inhaltlich eng verwandt
Lesen