3-D Secure

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

3-D Secure ist ein Verfahren, das für zusätzliche Sicherheit bei Online-Kreditkartentransaktionen eingesetzt wird. Es wurde von der Kreditkartenorganisation VISA entwickelt und wird für den Dienst Verified by Visa verwendet. Unter dem Namen SecureCode, J/Secure bzw. SafeKey bieten auch Mastercard, JCB bzw. American Express einen Dienst an. Mit 3-D Secure sollen das Betrugsrisiko und der Ausfall von Zahlungen durch Kartenmissbrauch reduziert werden. Zudem wird den Shop-Betreibern, die 3-D Secure einsetzen, der Zahlungseingang garantiert.

Funktion[Bearbeiten | Quelltext bearbeiten]

Der Käufer gibt zunächst seine VISA- oder Mastercard-Kreditkartennummer ein. Danach wird eine Verbindung zum Kartenherausgeber hergestellt, damit der Käufer seine Identität mittels eines Codes dort bestätigt. War die Authentifizierung erfolgreich, wird die Kreditkartenzahlung ausgeführt.

Wie die Authentifizierung genau ausgeführt wird, ist nicht im Protokoll festgelegt und hängt vom kartenausgebenden Institut ab. Es kommen sowohl statische als auch dynamische Verfahren zum Einsatz. Beim statischen Verfahren gibt der Karteninhaber einen Sicherheitscode, vergleichbar mit einem Passwort, ein. So setzt Mastercard durch Verwendung des SecureCode ein statisches Verfahren ein.[1] Andere Kreditinstitute wie die Postbank fragen anstelle eines Passworts nach persönlichen Merkmalen des Karteninhabers, die nur diesem und keinen Dritten Personen bekannt sein sollten.[2]

Bei einem dynamischen Verfahren hingegen wird ein nur einmal verwendbarer Code generiert, der dem Kunden auf einem physisch getrennten Weg zugestellt wird – bei einer Bezahlung per Computer also beispielsweise über ein mobiles Endgerät über eine Mobile App oder per SMS auf das Mobiltelefon (mTAN).

In jedem Fall ist der Code nicht auf der Karte selbst gespeichert oder vermerkt. Er ist nicht zu verwechseln mit der oftmals abgefragten, drei- bis vierstelligen Prüfziffer (Card Validation Code) auf der Rückseite der Kreditkarte.

Nach der Registrierung eines Kunden wird nicht zwangsläufig jede Online-Transaktion über das 3-D-Secure-Verfahren abgewickelt, auch die klassische Abwicklung durch Angabe von Kreditkartennummer, Gültigkeitsdatum und Card Validation Code ist weiterhin möglich. Die Entscheidung, ob 3-D Secure zur Anwendung kommt, trifft aber nicht der Kunde. Es kann einerseits vom Webshop festgelegt werden, dass die Transaktionen ausschließlich über 3-D Secure ausgeführt werden, oder der Kartenherausgeber erfordert die Identifikation über das 3-D-Secure-Verfahren – bei der Postbank etwa bei „betrugsverdächtigen Merkmalen“.[2]

Damit ein Karteninhaber eine Online-Kreditkartentransaktion im Rahmen von 3-D Secure mit einem zusätzlichen Sicherheitsmerkmal bestätigen kann, müssen die IT-Systeme der beteiligten Web-Shops, Acquirer, kartenausgebenden Kreditinstitute und weiterer Dienstleister über standardisierte Schnittstellen miteinander verbunden sein.

Vorteile für Banken sowie Händler und Haftung[Bearbeiten | Quelltext bearbeiten]

Als Vorteil für den Kunden nennt Mastercard, dass der missbräuchliche Einsatz abgegriffener Kartendaten im E-Commerce stark eingeschränkt werde, da das Passwort auf der Karte nicht vermerkt und somit nur dem Kunden bekannt ist. Während es beim klassischen Verfahren einem Dritten möglich ist, allein durch den Besitz der Kreditkarte im Internet Transaktionen vorzunehmen, solange die Karte vom Karteninhaber nicht gesperrt wird, benötigen Dritte beim Einsatz von 3-D Secure grundsätzlich auch eine geheime Information, die nicht auf der Karte vermerkt ist.

Vorteil für den Händler sei, dass dieser durch die Überprüfung des Passworts einen Nachweis für einen autorisierten Einkauf erhält. Dadurch werde seine Haftung für etwaige Rückbelastungen durch den Kunden eingeschränkt. Ohne 3-D Secure haftet immer der Betreiber des Webshops für missbräuchlich eingesetzte Kreditkarten. Bietet ein Webshop das 3-D Secure-Verfahren an, kommt es zu einer Haftungsumkehr: Nun haftet die kartenausgebende Bank für Schäden aus missbräuchlich eingesetzten Karten. Diese Haftungsumkehr bewahrt den Händler vor einem Zahlungsausfall.

In der Anfangszeit von 3-D Secure versuchten einige Banken, im Falle eines Kreditkartenbetrugs das Verschulden pauschal auf den Kunden zu übertragen, solange dieser nicht in der Lage sei, sein eigenes Nichtverschulden nachzuweisen. Nach Kritik von Verbraucherschützern haben die meisten Banken ihre Bedingungen dahingehend jedoch angepasst, sodass sichergestellt wird, dass Kunden mit einem Einsatz von 3-D Secure grundsätzlich nicht schlechtergestellt werden als Kunden, die ausschließlich das klassische Verfahren nutzen.[3]

Verbreitung[Bearbeiten | Quelltext bearbeiten]

Die ersten kreditkartenausgebenden Institute im deutschsprachigen Raum boten im Jahr 2008 Kreditkarten mit 3-D-Secure-Verfahren an, beispielsweise die Miles-&-More-Kreditkarte der Lufthansa. Inzwischen bieten nahezu alle Kreditinstitute ein Verfahren gemäß 3-D Secure an. Mittlerweile wird von jedem deutschen Acquirer – den Unternehmen, die Händlern die Kartenakzeptanz vermitteln – die Implementierung von MasterCard SecureCode oder Verified by Visa verpflichtend auferlegt.

Kritik[Bearbeiten | Quelltext bearbeiten]

Kritiker bemängeln, dass der Kunde sich ein weiteres sicheres Passwort dauerhaft einzuprägen hat, um die Karte weiter wie gewohnt im Internet einsetzen zu können.[4][5]

Zur Einführung des Verfahrens war es bei vielen kartenherausgebenden Institutionen möglich, dass sich auch dritte einen neuen Sicherheitscode erzeugen, um damit im Internet einzukaufen. Die Verifikation, dass es sich dabei um den rechtmäßigen Karteninhaber handelt, wurde oftmals nicht in ausreichendem Umfang durchgeführt. Inszwischen kommen allerdings meist andere Verfahren zur Anwendung, sodass der Sicherheitscode nicht direkt im Registrierungsprozess online festgelegt wird. Stattdessen wird zunächst ein Verifikationscode erzeugt, der dem Karteninhaber auf einem sicheren Weg zugestellt wird – beispielsweise über den Verwendungszweck einer Banküberweisung oder per Brief auf dem Postweg.[6]

Das Verbrauchermagazin wiso berichtete in der Sendung am 21. Februar 2011 von einem konkreten Missbrauchsfall, bei dem die geschädigte Kreditkarteninhaberin einen Schaden von knapp 3000 Euro erlitt, den die Bank nicht ersetzen will. Annabel Oelmann von der Verbraucherzentrale in Düsseldorf erklärte dazu: „Wir können kein Anzeichen dafür erkennen, dass die Sicherheit für den Kunden erhöht wird. Ganz im Gegenteil: Der Kunde übernimmt zusätzlich das Risiko, dass er im Missbrauchsfalle dafür haften muss. Das heißt, ein Vorteil ist für den Kunden hier nicht ersichtlich.“[7] Auch der ARD-Ratgeber vom 26. Februar 2011 berichtete über einen deutschen Urlauber in Spanien, der bei Begleichung einer Rechnung dem Zahlungsempfänger sowohl seine Kreditkarte als auch seinen Personalausweis ausgehändigt hatte. Damit war, so hat es den Anschein, der Zahlungsempfänger in der Lage, selbständig und ohne Kenntnis des Karteninhabers eine 3-D-Secure-Registrierung durchzuführen und in weiterer Folge über das Kreditkartenkonto Verfügungen vorzunehmen.[8]

Die deutsche Kreditwirtschaft hat allerdings im Mai 2011 gegenüber der Stiftung Warentest zugesichert, dass bei Benutzung der neuen Verfahren keine Schlechterstellung deutscher Bankkunden zu befürchten sein soll. Stiftung Warentest meint daher seither, dass bei deutschen Karten keine Bedenken gegen Teilnahme an 3-D Secure bestehen. Bei Kreditkarten anderer Anbieter wird allerdings weiterhin empfohlen, genauer nachzufragen und sich nur dann für neue Sicherheitsverfahren anzumelden, „wenn das Unternehmen zusichert, sie bei Missbrauchsfällen nicht schlechter zu stellen als bei herkömmlicher Kartenzahlung.“[9]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. Mastercard SecureCode | Vorteile & Anmeldung. Mastercard, abgerufen am 19. April 2017.
  2. a b Fragen und Antworten: Kann ich zur Visa Card einen Secure Code einrichten? Postbank, abgerufen am 19. April 2017.
  3. Dr. Manuel Kayl, Josefine Lietzau: Passwort für die Kreditkarte beim Online-Kauf. In: Finanztip. 14. November 2016 (finanztip.de).
  4. Forscher kritisieren Kreditkartentechnik 3-D Secure. In: heise.de. heise online, abgerufen am 19. April 2017.
  5. Steven J. Murdoch and Ross Anderson: Verified by Visa and MasterCard SecureCode: or, How Not to Design Authentication Financial Cryptography and Data Security '10, 25-28 January 2010 (PDF; 163 kB)
  6. Verified by Visa – sicher im Internet bezahlen. Deutsche Kreditbank AG, abgerufen am 11. April 2017.
  7. Der Schwarze Peter liegt beim Kunden. In: zdf.de. WISO - Die Sendung für Service und Wirtschaft im ZDF, abgerufen am 19. April 2017.
  8. Rückschau: Kreditkarten-Schaden. Wie Betrüger Geld abheben (Memento vom 28. August 2011 im Internet Archive)
  9. Kreditkarten mit „Mastercard SecureCode“ und „Verified by Visa“ - Mehr Sicherheit. In: test.de. Stiftung Warentest, abgerufen am 19. April 2017.
Rechtshinweis Bitte den Hinweis zu Rechtsthemen beachten!