3-D Secure
3-D Secure ist ein Verfahren, das die Sicherheit bei Online-Kreditkarten-Bezahlungen erhöhen soll. Unter dem Namen Identity Check (SecureCode), J/Secure bzw. SafeKey bieten auch Mastercard, JCB bzw. American Express einen solchen Dienst an. Mit 3-D Secure sollen das Betrugsrisiko und der Ausfall von Zahlungen durch Kreditkartenbetrug reduziert werden. Zudem wird den Shop-Betreibern, die 3-D Secure einsetzen, der Zahlungseingang garantiert. Das Verfahren wurde von der Kreditkartenorganisation VISA für den Dienst Verified by Visa entwickelt und von EMVCo standardisiert.
Funktion
Nachdem der Käufer seine Kreditkartennummer eingibt, wird eine Verbindung zum Kartenherausgeber hergestellt, damit der Käufer seine Identität mit einem Code dort bestätigt (Zwei-Faktor-Authentisierung). Nach korrekter Authentifizierung wird die Kreditkartenzahlung ausgeführt.
Ob die Authentifizierung statisch oder dynamisch erfolgt, obliegt dem Kartenausgeber. Beim statischen Verfahren geben Käufer einen Sicherheitscode ähnlich einem Passwort ein. Mastercard nutzte mit dem Identity Check (SecureCode)[1] anfangs ein statisches Verfahren.[2] Seit Sommer/Herbst 2017 wechselten Sparkassen Mastercard Identity Check (SecureCode) auf ein dynamisches Verfahren, um aktuellen rechtlichen Anforderungen zu genügen.[3] Kreditinstitute wie die Postbank erfragen anstelle des Passworts persönliche Merkmale des Karteninhabers, die nur diesem und keinem Dritten bekannt sein sollen.[4]
Bei dynamischen Verfahren wird ein nur einmal verwendbarer Code erzeugt, den der Kunde auf physisch getrenntem Weg erhält – bei Bezahlung am Computer beispielsweise über ein mobiles Endgerät, über eine Mobile App oder per SMS auf das Mobiltelefon (mTAN). Der Code ist nicht auf der Karte gespeichert oder vermerkt. Er ist nicht die oft erfragte drei- bis vierstelligen Prüfziffer (Card Validation Code) auf der Kreditkarten-Rückseite. Die Nutzung des Codes muss innerhalb weniger Minuten erfolgen, andernfalls verfällt er. Das schränkt das Potenzial missbräuchlicher Aktivitäten mit abgefangenen Nachrichten weiter ein.[5]
Nach der Kunden-Registrierung bleibt die klassische Abwicklung durch Angabe von Kreditkartennummer, Gültigkeitsdatum und Card Validation Code bis zur Umsetzung der überarbeiteten Zahlungsdiensterichtlinie (PSD2) in nationales Recht EU-weit möglich.
Die Entscheidung, ob 3-D Secure zur Anwendung kommt, trifft nicht der Kunde. Es kann vom Webshop oder der Kartenausgeber festgelegt werden, dass die Bezahlung nur über 3-D Secure ausgeführt wird.
Damit Karteninhaber Online-Kreditkartenzahlungen im Rahmen von 3-D Secure mit einem zusätzlichen Sicherheitsmerkmal bestätigen können, müssen die IT-Systeme von Web-Shops, Acquirer, kartenausgebenden Kreditinstitute und weiterer Dienstleister über Schnittstellen kooperieren. Bis zum 14. September 2019 sollten die Regulierungsstandards im Rahmen der überarbeiteten Zahlungsdiensterichtlinie (PSD2) umgesetzt werden, allerdings gewährt die Bafin eine Übergangsfrist bis Ende 2020.[6][7]
Vorteile für Banken sowie Händler und Haftung
Als Vorteil für Kunden wirbt Mastercard, dass der missbräuchliche Einsatz abgegriffener Kartendaten im E-Commerce stark beschränkt werde, da das Passwort nicht auf der Karte vermerkt und somit nur dem Kunden bekannt ist. Beim klassischen Verfahren können Unbefugte allein durch den Besitz der Kreditkarte im Internet auf fremde Kosten einkaufen, solange die Karte nicht gesperrt wurde. Mit 3-D Secure benötigen Dritte auch eine geheime Information, die nicht auf der Karte vermerkt ist.
Vorteil für Händler sei, dass diese durch Überprüfung des Passworts einen Nachweis für einen autorisierten Einkauf haben. Damit werde deren Haftung für Rückbelastungen durch den Kunden eingeschränkt. Ohne 3-D Secure haften Webshop-Betreiber für missbräuchlich eingesetzte Kreditkarten. Bietet ein Webshop das 3-D Secure-Verfahren an, kommt es zur Haftungsumkehr: Nun haftet die kartenausgebende Bank für Schäden aus missbräuchlich eingesetzten Karten. Diese Haftungsumkehr bewahrt Händler vor Zahlungsausfällen.
In der Anfangszeit von 3-D Secure wälzten einige Banken bei einem Kreditkartenbetrug das Verschulden pauschal auf Kunden ab, wenn diese nicht ihr Nichtverschulden nachweisen konnten. Nach Kritik von Verbraucherschützern haben einige Banken ihre Bedingungen derart angepasst, dass Kunden durch 3-D Secure-Verfahren nicht schlechtergestellt sind als beim klassischen Verfahren.[8]
Verbreitung
Erste kreditkartenausgebende Institute im deutschsprachigen Raum boten Kreditkarten mit 3-D-Secure-Verfahren ab 2008 an, darunter die Lufthansa mit der Miles-&-More-Kreditkarte. Durch die Umsetzung der überarbeiteten Zahlungsdiensterichtlinie (PSD2) in nationales Recht führen Banken EU-weit 3-D-Secure ein.
Kritik
Kritiker bemängeln, dass der Kunde sich ein weiteres sicheres Passwort dauerhaft einzuprägen hat, um mit der Karte im Internet zu bezahlen.[9][10] (Die Passworteingabe wird mit der Umstellung auf das dynamische Verfahren 3-D Secure 2.0 umgangen. Hinter dem neuen Standard, welcher voraussichtlich Ende 2019[veraltet] verfügbar sein wird, stecken die Mitglieder des Branchenverbands EMVCO.[11])
Anfangs war es bei vielen kartenherausgebenden Institutionen möglich, dass sich auch Dritte einen neuen Sicherheitscode erzeugen, um damit im Internet einzukaufen. Der Nachweis, dass man der rechtmäßige Karteninhaber sei, war oftmals unzureichend. Seither kommen meist andere Verfahren zur Anwendung, sodass der Sicherheitscode nicht direkt im Registrierungsprozess online festgelegt wird. Nun wird ein Verifikationscode erzeugt, den Karteninhaber auf einem sicheren Weg erhalten – etwa als Verwendungszweck einer Banküberweisung oder per Brief.[12]
Das Verbrauchermagazin wiso erläuterte in der Sendung am 21. Februar 2011 einen Missbrauchsfall, bei dem die geschädigte Kreditkarteninhaberin einen Schaden von knapp 3000 Euro erlitt, den die Bank nicht ersetzen will. Annabel Oelmann von der Verbraucherzentrale in Düsseldorf erklärte:
„Wir können kein Anzeichen dafür erkennen, dass die Sicherheit für den Kunden erhöht wird. Ganz im Gegenteil: Der Kunde übernimmt zusätzlich das Risiko, dass er im Missbrauchsfalle dafür haften muss. Das heißt, ein Vorteil ist für den Kunden hier nicht ersichtlich.“[13]
Auch der ARD-Ratgeber vom 26. Februar 2011 berichtete über einen deutschen Urlauber in Spanien, der bei Begleichung einer Rechnung dem Zahlungsempfänger seine Kreditkarte und seinen Personalausweis ausgehändigt hatte. Damit nahm der Zahlungsempfänger anscheinend heimlich eine 3-D-Secure-Registrierung vor und belastete das Kreditkartenkonto mit weiteren Abhebungen.[14]
Die deutsche Kreditwirtschaft sicherte im Mai 2011 der Stiftung Warentest zu, dass das 3-D-Secure-Verfahren deutsche Bankkunden nicht schlechter stellen soll. Bei Kreditkarten anderer Anbieter sei eine 3-D-Secure-Registrierung erst ratsam, „wenn das Unternehmen zusichert, sie bei Missbrauchsfällen nicht schlechter zu stellen als bei herkömmlicher Kartenzahlung.“[15]
Auch im Jahr 2019 gibt es noch Konstellationen, in denen die Haftungsfrage zu Ungunsten des Kunden ausfällt und die Registrierung zu 3-D Secure ein im Vergleich zu anderen Zahlungswegen für den Kunden riskant sein kann: Neben vielen anderen Banken wechselte auch die DKB vom statischen Sicherheitscode auf einen dynamischen Code per App oder mTAN. In ihren Sonderbedingungen für 3-D Secure legt die DKB einen Haftungsausschluss, wenn „das mobile Endgerät verloren, gestohlen oder weitergegeben wird und dadurch Dritte ggf. Zugriff auf SMS erhalten und diese unberechtigt nutzen können“. Beim möglichen gleichzeitigen Verlust von Kreditkarte und Mobilfunkgerät kann ein Finder beliebige Zahlungen zu Lasten des Besitzers auslösen und verifizieren, wenn er Zugang zum Mobilgerät bekam (etwa durch eine einfache Tastensperre). Für diese missbräuchlichen Zahlungen haften Kunden vollständig bis zur Kartensperrung. Bei Zahlung ohne 3-D Secure haften Kunden dagegen nur bis maximal 50 €. Bei Verlust stellen weder die auf der Karte aufgedruckten Daten, noch das 3-D-Secure-Verfahren eine Hürde für den einfachen Missbrauch dar, sondern nur die PIN oder vergleichbare Sicherungsmechanismen des Mobilgeräts. Das Risiko für Kunden ist hiermit höher als ohne Registrierung zum 3-D-Secure-Verfahren, unabhängig davon, ob man 3-D Secure überhaupt benutzt. Zumindest beim DKB-Großkunden Lufthansa Miles & More Credit Card ist die Haftung bei nicht grob fahrlässigem oder vorsätzlichem Verlust des Mobiltelefones mit der TAN auf € 150,00 beschränkt.[16]
Kritisch ist ebenfalls zu sehen, dass die Abwicklung des Verfahrens den Besitz eines entsprechenden mobilen Endgerätes voraussetzt. Für Kunden ohne ein solches wird derzeit noch keine Alternative angeboten.
Siehe auch
Websites
- Offizielle Website des Standards auf www.emvco.com (en)
Einzelnachweise
- Mastercard Identity Check | Vorteile & Anmeldung. Abgerufen am 2. April 2018 (deutsch).
- Mastercard SecureCode | Vorteile & Anmeldung. Mastercard, abgerufen am 19. April 2017.
- Mastercard SecureCode / Verified by Visa. Abgerufen am 7. Dezember 2017.
- Fragen und Antworten: Kann ich zur Visa Card einen Secure Code einrichten? (Nicht mehr online verfügbar.) Postbank, archiviert vom Original am 8. Dezember 2017; abgerufen am 19. April 2017.
- Martin Fiedler: Was ist & wie funktioniert 3D-Secure? Abgerufen am 26. Mai 2021.
- Carsten Muerl: Biometrische Authentifizierung als Antwort auf Regulierung. In: der-bank-blog.de. 13. Dezember 2018, abgerufen am 28. Dezember 2018.
- INTERNET WORLD Business: Übergangsfrist für Online-Kartenzahlungen bis Ende 2020. Abgerufen am 6. Dezember 2019 (deutsch).
- Manuel Kayl, Josefine Lietzau: Passwort für die Kreditkarte beim Online-Kauf. In: Finanztip. 14. November 2016 (finanztip.de).
- Forscher kritisieren Kreditkartentechnik 3-D Secure. In: heise.de. heise online, abgerufen am 19. April 2017.
- Steven J. Murdoch, Ross Anderson: Verified by Visa and MasterCard SecureCode: or, How Not to Design Authentication. In: Radu Sion (Hrsg.): Financial Cryptography and Data Security. 14th International Conference, FC 2010, Tenerife, Canary Islands, January 25-28, 2010. Springer, Berlin/Heidelberg 2010, ISBN 978-3-642-14577-3, S. 336–342 (englisch, cam.ac.uk [PDF; 163 kB; abgerufen am 24. August 2019]).
- Jorgos Brouzos: Endlich verschwindet der nervige Kreditkarten-Code. In: tagesanzeiger.ch. 28. September 2018, abgerufen am 28. September 2018.
- Verified by Visa – sicher im Internet bezahlen. Deutsche Kreditbank AG, abgerufen am 11. April 2017.
- Der Schwarze Peter liegt beim Kunden. In: zdf.de. WISO – Die Sendung für Service und Wirtschaft im ZDF, abgerufen am 19. April 2017.
- Rückschau: Kreditkarten-Schaden. Wie Betrüger Geld abheben (Memento vom 28. August 2011 im Internet Archive)
- Kreditkarten mit „Mastercard SecureCode“ und „Verified by Visa“ – Mehr Sicherheit. In: test.de. Stiftung Warentest, abgerufen am 19. April 2017.
- Allgemeine Geschäftsbedingungen für die Lufthansa Miles & More Credit Card (Kreditkarte). (PDF) Abgerufen am 26. April 2019.