3-D Secure

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

3-D Secure ist ein Verfahren, das für zusätzliche Sicherheit bei Online-Kreditkartentransaktionen eingesetzt wird. Es wurde von der Kreditkartenorganisation VISA entwickelt und wird für den Dienst Verified by Visa verwendet. Unter dem Namen SecureCode, J/Secure bzw. SafeKey bieten auch MasterCard, JCB bzw. American Express einen Dienst an. Mit 3-D Secure sollen das Betrugsrisiko und der Ausfall von Zahlungen durch Kartenmissbrauch reduziert werden. Zudem wird den Shop-Betreibern, die 3-D Secure einsetzen, der Zahlungseingang garantiert.

Funktion[Bearbeiten]

Der Käufer gibt zunächst seine VISA- oder MasterCard-Kreditkartennummer ein. Danach wird eine Verbindung zum Kartenherausgeber hergestellt, damit der Käufer seine Identität mittels eines Codes dort bestätigt. War die Authentisierung erfolgreich, wird die Kreditkartenzahlung ausgeführt.

Wie die Authentifizierung genau ausgeführt wird, ist nicht im Protokoll festgelegt und hängt vom kartenausgebenden Institut ab. Häufig werden statische Passwörter verwendet. Beispielsweise besteht der MasterCard SecureCode aus mindestens 6 und höchstens 10 Zeichen, mindestens ein Zeichen davon muss eine Ziffer und mindestens ein Zeichen muss ein Buchstabe sein.[1] Teils werden auch sicherere Verfahren wie mTANs verwendet. Bei der Postbank wird die 3-D-Secure-Authentisierung nur abgefragt, wenn eine Online-Bestellung „einem bekannten Betrugsmuster ähnelt“. In diesem Fall werden persönliche Merkmale abgefragt, die „in unmittelbarem Zusammenhang mit Ihrer Kundenbeziehung zur Postbank“ stehen und „daher nur vom tatsächlichen Kreditkarteninhaber korrekt eingegeben werden“ können.[2] Welche Merkmale das konkret sein könnten, wird von der Postbank nicht erläutert.

In jedem Fall ist der Code nicht auf der Karte selbst gespeichert oder vermerkt. Er ist nicht zu verwechseln mit der oftmals abgefragten 3-stelligen (manchmal auch 4-stelligen) Prüfziffer auf der Rückseite der Kreditkarte.

Vorteile für Banken sowie Händler und Haftung[Bearbeiten]

Als Vorteil für den Kunden nennt MasterCard, dass der missbräuchliche Einsatz abgegriffener Kartendaten im E-Commerce stark eingeschränkt wird, da das Passwort durch den Kunden bei der Registrierung selbst festgelegt wird und nur ihm bekannt ist.

Vorteil für den Händler sei, dass dieser durch die Überprüfung des Passworts einen Nachweis für einen autorisierten Einkauf erhält. Dadurch werde seine Haftung für etwaige Rückbelastungen durch den Kunden eingeschränkt. Ohne 3-D Secure haftet immer der Betreiber des Webshops für missbräuchlich eingesetzte Kreditkarten. Bietet ein Webshop das 3-D Secure-Verfahren an, kommt es zu einer Haftungsumkehr: nun haftet die kartenausgebende Bank für Schäden aus missbräuchlich eingesetzten Karten. Diese Haftungsumkehr bewahrt den Händler vor einem Zahlungsausfall.

Manche Bank verlagert die Haftung in Missbrauchsfällen auf die Kunden. Sie verlangt Zahlung ohne einen konkreten Nachweis für ein Verschulden.[3] Verbraucherschützer halten das für rechtswidrig. Visa, MasterCard sowie der deutsche Banken- und Sparkassenverband haben zugesichert, Teilnehmer an 3-D Secure-Verfahren bei Missbrauch ihrer Kreditkartendaten nicht schlechter zu stellen als Inhaber von herkömmlichen Kreditkarten.[4]

Verbreitung[Bearbeiten]

Als erste Kreditkarte in Deutschland bietet seit Januar 2008 die Lufthansa-Miles-&-More-Kreditkarte im Zuge der damaligen Umstellung von Visa zu MasterCard das SecureCode-Verfahren an.[5] Unter den Banken, die 3-D Secure anbieten, sind derzeit die Targobank[6], die DZ Bank (Volksbanken Raiffeisenbanken), die Deutsche Bank[7], die Commerzbank [8], die Norisbank [9], die Wüstenrot Bank[10], die Sparkassen-Finanzgruppe[11], HypoVereinsbank[12] sowie seit März 2010 die Sparda-Banken.[13] Auch die Deutsche Apotheker- und Ärztebank[14], die Landesbank Berlin und die Deutsche Kreditbank[15] nutzen diesen Service.

Mittlerweile wird von jedem deutschen Acquirer – den Unternehmen, die Händlern die Kartenakzeptanz vermitteln – die Implementierung von MasterCard SecureCode oder Verified by Visa verpflichtend auferlegt.

Kritik[Bearbeiten]

Kritiker bemängeln, dass der Kunde sich ein weiteres sicheres Passwort dauerhaft einzuprägen hat, um die Karte weiter wie gewohnt im Internet einsetzen zu können.[16][17]

Im Prinzip kann jeder, der die rudimentären Daten des Karteninhabers und der Kreditkarte kennt, jederzeit einen neuen 3-D Securecode erzeugen, um damit im Internet einzukaufen. Der Beweis, dass der Karteninhaber nicht selbst den 3-D Securecode angelegt hat, ist nirgendwo gegeben.

Das Verbrauchermagazin wiso berichtete in der Sendung am 21. Februar 2011 von einem konkreten Missbrauchsfall, bei dem die geschädigte Kreditkarteninhaberin einen Schaden von knapp 3000 Euro erlitt, den die Bank nicht ersetzen will. Annabel Oelmann von der Verbraucherzentrale in Düsseldorf erklärte dazu: „Wir können kein Anzeichen dafür erkennen, dass die Sicherheit für den Kunden erhöht wird. Ganz im Gegenteil: Der Kunde übernimmt zusätzlich das Risiko, dass er im Missbrauchsfalle dafür haften muss. Das heißt, ein Vorteil ist für den Kunden hier nicht ersichtlich.“[18] Auch der ARD-Ratgeber vom 26. Februar 2011 berichtete über einen deutschen Urlauber in Spanien, der bei Begleichung einer Rechnung dem Zahlungsempfänger sowohl seine Kreditkarte als auch seinen Personalausweis ausgehändigt hatte. Damit war, so hat es den Anschein, der Zahlungsempfänger in der Lage, selbständig und ohne Kenntnis des Karteninhabers eine 3-D-Secure-Registrierung durchzuführen und in weiterer Folge über das Kreditkartenkonto Verfügungen vorzunehmen.[19]

Die deutsche Kreditwirtschaft hat allerdings im Mai 2011 gegenüber der Stiftung Warentest zugesichert, dass bei Benutzung der neuen Verfahren keine Schlechterstellung deutscher Bankkunden zu befürchten sein soll. Stiftung Warentest meint daher seither, dass bei deutschen Karten keine Bedenken gegen Teilnahme an 3-D Secure bestehen. Bei Kreditkarten anderer Anbieter wird allerdings weiterhin empfohlen, genauer nachzufragen und sich nur dann für neue Sicherheitsverfahren anzumelden, „wenn das Unternehmen zusichert, sie bei Missbrauchsfällen nicht schlechter zu stellen als bei herkömmlicher Kartenzahlung.“[20]

Einzelnachweise[Bearbeiten]

  1. http://eurokartensysteme-karteninhaber.de/faq.php
  2. http://www.postbank.de/-snm-0184330283-1306380827-068c200000-0000000170-1306386537-enm-privatkunden/3d_secure_so_gehts.html;jsessionid=AA857C5F18088682FD716FA615261D0B7128.f086
  3. Stiftung Warentest: Vorsicht mit UniCredit-Karten test.de, 17. August 2011
  4. Stiftung Warentest: Mehr Sicherheit durch SecureCode und Verified by Visa test.de, 6. Mai 2011
  5. http://www.miles-and-more.com/online/portal/mam/de/program/information?nodeid=2544146&l=de&cid=18002
  6. https://www.targobank.de/de/service/sicherheit.html?flap=4
  7. http://www.deutsche-bank.de/pbc/pk-konto_karten-motivkarte.html?tab=4
  8. http://www.commerzbank.de/sicher-einkaufen
  9. http://www.norisbank.de
  10. https://secure5.arcot.com/vpas/pluscard_mc/enroll/index.jsp?locale=de_DE&bankid=4488
  11. http://presse.dsgv.de/owx_1_41_1_11_1_00000000000000.html?tabellenid=3&lim_start=30&id=1360&aktion=mehr#top
  12. http://www.hypovereinsbank.de/portal?view=/privatkunden/228789.jsp&hvbicid=hint0067
  13. http://www.sparda.de/3d-secure.php
  14. Apotheker und Ärztebank
  15. http://www.dkb.de/kundenservice/haeufige_fragen/cash/sicherheitsstandards_ihrer_dkb_kreditkarte/informationen_zu_verified_by_visa.html
  16. Forscher kritisieren Kreditkartentechnik 3-D Secure
  17. Steven J. Murdoch and Ross Anderson: Verified by Visa and MasterCard SecureCode: or, How Not to Design Authentication Financial Cryptography and Data Security '10, 25-28 January 2010 (PDF; 163 kB)
  18. Der Schwarze Peter liegt beim Kunden
  19. Rückschau: Kreditkarten-Schaden. Wie Betrüger Geld abheben (Internet Archive)
  20. Kreditkarten mit „MasterCard SecureCode“ und „Verified by Visa“: Mehr Sicherheit
Rechtshinweis Bitte den Hinweis zu Rechtsthemen beachten!