3D Secure ist ein zusätzlicher Sicherheitsmechanismus, der bei vielen Kreditkarten zur Anwendung kommt. Ziel ist es, Betrug zu erschweren, indem zur Verifizierung einer Zahlung ein TAN per SMS auf das eigene Smartphone des Karten-Besitzers wird.
Zusammengefasst
- Mit zunehmender Onlineshoppingfrequenz stieg die Anzahl der Betrugsfälle. Die Sicherheitsvorkehrungen der Anfänge des Internets reichten nicht mehr aus.
- VISA entwickelte als Vorreiter ein 3D Secure-Verfahren, genannt Verified by Visa. Die Zwei-Wege-Authentifizierung verhindert Missbrauch effizient und schnell.
- Zudem wurden von anderen Kreditkartenunternehmen und Banken Fingerprintscan, Gesichts- und Irisscan entwickelt.
- Seit 14.09.2019 ist die sogenannte starke Authentifizierung Grundlage ist die PSD2-Richtlinie der EU.
- 3D Secure ermöglicht sicheren Einkauf mit der Kreditkarte, erfordert jedoch die Beschäftigung mit dem Umgang durch Kunden und Handel.
Unkompliziert Shoppen mit Licht und Schatten
Längst hat der Online-Shopping-Virus die Kunden infiziert. Statt der aufwendigen Parkplatzsuche, dem anstrengenden Fußmarsch durch enge Einkaufspassagen und der erfolglosen Suche nach dem einen Schuhmodell, ist bequemes und grenzenloses Shoppen auf der Couch angesagt. Eine Kreditkartennummer, die Kartenprüfziffer und der Gültigkeitszeitraum reichen aus, um mithilfe der Kreditkarte in Bekleidungs-, Technik- oder Hobbyangeboten zu schwelgen.
Was für Kunden unkompliziert ist, ist es jedoch für einen Betrüger auch. Jeder, der die Kartendaten kannte, war bisher in der Lage, Onlineeinkäufe durchzuführen. Ganz legal und ohne Probleme mit dem Händler oder dem persönlichen PC. Dazu brauchte nur die Kreditkarte den Besitzer zu wechseln oder das Smartphone gehackt zu werden. Ein verbessertes Sicherheitsverfahren war daher dringend notwendig.
Das sah auch die EU so und verlangt in ihrer PSD2-Richtlinie seit dem 14.09.2019 eine sogenannte starke Authentifizierung. Bedingung ist seitdem, dass bei einem Online-Kauf zwei von drei Faktoren erfüllt sind. Unterschieden wird in Wissen, Besitz oder Inhärenz (Eigenschaften). Wenn also ein Smartphone (Besitz) mit einem Fingerprintscan (Inhärenz) oder einer PIN (Wissen) gekoppelt ist, sind die Voraussetzungen erfüllt, um den Zahlungsvorgang so sicher wie möglich abzuschließen.
VISA entwickelte 3D Secure
VISA erkannte die Notwendigkeit eines komplexeren Sicherheitsverfahrens und entwickelte 3D Secure, das die Kreditkartengesellschaft „Verified by VISA“ nannte. Damit sollte es mit der Gelegenheit, mit wenigen Daten des Karteninhabers „fremdzushoppen“, vorbei sein. Mithilfe eines Codes, den Du beim Einkauf zusätzlich angibst, wirst Du zweifelsfrei authentifiziert und kannst sicher im Netz auf Schnäppchenjagd gehen.
Auch die übrigen Kreditkartenunternehmen sahen die Notwendigkeit der zusätzlichen Sicherheitstechnik und boten Händlern wie Kreditkarteninhabern sukzessive die Chance, potenzielle Risiken zu minimieren. Das 3D Secure-Verfahren wird jedoch bei jedem Anbieter anders bezeichnet. Mastercard nennt das eingesetzte System Securecode, AMEX dagegen bezeichnet dasselbe System als SafeKey.
Zusätzlich wurden Authentifizierungstechnologien mit biometrischen Verfahren entwickelt, wie Fingerprintscan, Stimmerkennung, Gesichts- und Iriserkennung. Kein Zweifel, die Zukunft der Shoppingsicherheit hat begonnen.
Ein Ziel solcher Entwicklungen ist auch die Beschleunigung des Bezahlvorgangs. Mit schnellerer Identifikation wird der gesamte Kaufprozess komfortabler gestaltet und Abbrüche durch den Kunden weitgehend verhindert.
Dass bei dem neuen Verfahren jedoch erheblich mehr Daten zwischen Handel und Banken ausgetauscht werden, verursacht einen faden Beigeschmack. Dazu gehören Informationen über den Browser, den Standort, das Gerät, die Lieferadresse etc.
Registrierung und Authentifizierung
Um 3D-Secure zu nutzen, musst Du Dich für das Verfahren registrieren. Das ist entweder bei Deiner Bank möglich oder nebenbei während des Einkaufsprozesses. Dabei werden persönliche Daten, wie Adresse und Geburtsdatum abgefragt.
Wenn Du gerade beim Shoppen in einem 3D-Secureshop bist, kannst Du Dich im Rahmen des Bestellvorgangs bei der Bank registrieren, die Deine Kreditkarte emittiert hat. So kannst Du das Sicherheitsverfahren nutzen, ohne Dich gesondert bei Deiner Bank anmelden zu müssen. Dazu benötigst Du während des Bezahlvorgangs jedoch etwas mehr Zeit.
Schneller geht es, wenn Du Dich nach Erhalt der Kreditkarte direkt bei Deiner Bank für das Verfahren registrierst. Dann brauchst Du während des Shoppens keine Schleife mehr um das 3D-Secure-Verfahren zu drehen.
Es gibt verschiedene Varianten zur Authentifizierung:
Passwort
Dabei wählst Du nach den gängigen Passwortregeln ein sicheres Passwort, das nicht aus Deinem Vornamen oder „1234“ besteht. Mit maximal 20 Zeichen, Zahlen, Groß- und Kleinbuchstaben kreierst Du dabei ein Passwort, das Du bei jedem Einkaufsprozess auf einer speziell dafür angelegten Seite eingibst.
SMS-TAN
Bei diesem Verfahren vergibst nicht Du selbst ein Passwort oder einen Code, sondern die herausgebende Bank. Setzt Du die Karte im Bezahlvorgang ein, wird eine Trans-Aktions-Nummer (TAN) per SMS an Dein Smartphone geschickt. Diese TAN überträgst Du in das entsprechende Feld auf der Händlerwebsite und bestätigst je nach Kreditinstitut zusätzlich mit einem Captcha.
Smartphone-App
Was sich so einfach anhört, ist sicher das ausgeklügeltste und für den Kunden in der Vorbereitung schwierigste Verfahren. Du brauchst dafür gleich mehrere Dinge, die nach der Anmeldung zusammenspielen.
- Zuerst benötigst Du ein Smartphone mit Kamerafunktion. Denn die benötigte App wird oft über einen QR-Code von der Website der Bank heruntergeladen.
- Danach installierst Du die App und aktivierst sie. Das kann ebenfalls über einen per Post zugesandten QR-Code Deiner Bank funktionieren oder über eine frisch generierte TAN.
- Bei jedem Bezahlvorgang werden Daten an die App geschickt und warten dort auf Deine Prüfung.
- Du bekommst eine Nachricht, dass ein Vorgang auf Genehmigung wartet und kannst die Daten abgleichen.
- Ist alles korrekt, schließt Du den Kauf mit einer TAN ab.
Während in den Anfängen dieses Sicherheitsverfahrens eine statische PIN zur Freigabe genutzt wurde, wird inzwischen meist eine TAN mittels einer zweiten App Deiner Bank generiert. Dies setzt jedoch voraus, dass Du beide Apps korrekt installiert und aktiviert hast.
Ein doppelt abgesichertes Prozedere, das Betrügern Eingriffe weiter erschwert. Vielen Kunden fallen die Einrichtung der beiden Apps und das Zusammenspiel zu Beginn jedoch schwer. Was gerade bei älteren und unerfahrenen Anwendern zu großem Unterstützungsbedarf durch die Kreditinstitute führt.
Welche Variante der Absicherung (Passwort, SMS-TAN, Fingerprintscan etc.) Du nutzen musst und wie der Prozess aufgebaut ist, hängt vom jeweiligen Kreditinstitut ab, das die Karte herausgegeben hat. In 2016 wurden alle Banken von der Bundesanstalt für Finanzdienstleistungen (BaFin) aufgefordert, die Mindestanforderungen für Internetshopping einzuhalten. Daher ist für viele Kreditkartenemittenten die SMS-TAN das Verfahren der Wahl.
Tipp: Falls Deine Bank noch bevorzugt mit dem Passwortverfahren arbeitet, solltest Du die Umstellung auf die SMS-TAN oder alternative Verfahren beantragen.
Sicherheitsmerkmal persönliche Anrede
Auch die Abfrage zusätzlicher persönlicher Angaben zur Absicherung des Bezahlvorgangs ist möglich, wenn das System unplausible Angaben feststellt. Achte aufmerksam auf die Einhaltung weiterer Sicherheitsmerkmale, beispielsweise auf die persönliche Anrede.
Sobald Du im Bezahlvorgang die Kreditkarte angibst, wirst Du auf die Website der herausgebenden Bank oder des Kreditkartenunternehmens geleitet. Üblicherweise wirst Du hier mit Deinem Namen, meist mit dem vollen Vor- und Zunamen, begrüßt. Fehlt die Begrüßung oder wirst Du nur allgemein mit „Sehr geehrte Damen und Herren“ angesprochen, könnte die Website gehackt oder zumindest unsicher sein. In diesem Fall empfiehlt es sich, den Kaufvorgang abzubrechen und nach einem anderen Händler zu suchen, der einen sicheren Kauf gewährleistet.
Denn noch längst nicht jeder Händler und jede Bank arbeitet mit 3D-Secure. Es gibt jedoch alternative Methoden wie Fingerabdruck- oder Gesichtsscan, mit dem der Karteninhaber stattdessen autorisiert werden kann.
Vorteile und Chancen von 3D Secure
- kostenlos einzusetzen
Das Sicherheitsverfahren kostet den Karteninhaber nichts. Die Kosten für Entwicklung und Nutzung tragen Kreditinstitute und Kreditkartenunternehmen.
- automatisch und meist passwortfrei
Mußten bisher Passwörter umständlich generiert und notiert werden, verläuft das Verfahren nun wesentlich komfortabler. Da die meisten Banken und Sparkassen das SMS-TAN-Verfahren eingeführt haben, können keine Passwörter mehr von Betrügern kopiert oder abgeschrieben werden. Zwar ist es theoretisch möglich, die SMS-TAN abzufangen, jedoch ist diese zeitlich befristet und stets nur für wenige Minuten einsetzbar. Die Chance für betrügerische Aktivitäten sinkt daher deutlich.
Tipp: Sichere Dein Smartphone dennoch mit einem gängigen Antivirentool ab und führe den Prüfscan regelmäßig durch.
- weltweit einsetzbar
Ob in Europa. Asien oder USA das Sicherheitsverfahren per SMS-TAN kann jederzeit und überall eingesetzt werden. Der Karteninhaber ist weder an eine TAN-Liste noch an ein statisches Passwort gebunden. 3D Secure funktioniert an jedem Ort, an dem eine stabile Verbindung besteht.
- einfach und komfortabel
Das Sicherheitsverfahren ist leicht verständlich und kann mit etwas Anleitung auch von Ungeübten installiert und genutzt werden. Dazu brauchst Du keine zusätzliche Software und keinen Einführungslehrgang. Ein handelsübliches Smartphone mit Kamerafunktion reicht völlig aus. Die Anleitungen einiger Banken könnten jedoch anwenderfreundlicher und zeitgemäßer gestaltet sein.
- haftungsbefreit und bequem
Nicht nur Kunden, sondern auch Händler profitieren vom sicheren 3D Secure. Denn falls die Kreditkartendaten trotz korrekter Verwendung des Sicherheitsverfahrens betrügerisch genutzt werden, haften weder Händler noch Kunde, sondern die emittierende Bank oder das Kreditkartenunternehmen.
Risiken und Nachteile von 3D Secure
- nicht komplett sicher
Auch wenn die Branche mit dem 3D Secureverfahren enorme Fortschritte gegenüber früheren Absicherungen gemacht hat, ist es nicht vollständig sicher. Denn wird das Smartphone beispielsweise entwendet und hat der Inhaber es nicht geschützt, kann der Betrüger dennoch Fremdkäufe vornehmen.
- ohne Smartphone nicht nutzbar
Die doppelte Absicherung durch Smartphone setzt voraus, dass ein funktionstüchtiges und passend ausgestattetes Gerät eingesetzt ist. Wenn die Variante mit Apps genutzt wird, müssen diese darüber hinaus korrekt installiert und eingerichtet sein.
- nicht flächendeckend im Einsatz
Längst nicht alle Onlinehändler verfügen über das 3D Secure-Verfahren. Grund ist häufig, dass das erste Sicherheitsverfahren zwar in den Anfängen des Onlineshoppens für gut befunden wurde, aber für viele Kunden zu umständlich war. Das führte zu Kaufabbrüchen und Reklamationen. Das ist nun in der modifizierten Version von 3D Secure anders.
Die unterschiedliche Handhabung des Themas Sicherheit im Handel bedeutet für Dich, dass Du entweder gezielt nach den entsprechenden Verkäufern suchen oder bei den nach alten Verfahren arbeitenden Händlern ohne Zwei-Wege-Authentifizierung auskommen musst.
- intensiverer Datenaustausch
Die ständige Kopplung zwischen Kreditinstituten und Handel bringt einen erheblich intensiveren Datenaustausch mit sich. Ob die bis zu 100 theoretisch möglichen Informationen zu dem verwendeten Gerät, dem Browser, der Lieferadresse und vielem mehr tatsächlich erforderlich sind, bleibt fraglich.
Ziel ist, dass eine Bank gegenprüft, ob die Daten, die sie während des Bezahlens eingespielt bekommt, zu ihren eigenen Daten des Kunden passen. So sollen betrügerische Aktivitäten auch seitens der Bank oder Sparkasse sofort erkannt werden.
Ausnahmen von der Zwei-Wege-Identifizierung
Nicht immer wirst Du das komplette Prozedere durchlaufen. Aufgrund des beschleunigten Verfahrens über Fingerprintscan oder Gesichtserkennung fällt das womöglich gar nicht mehr auf. Denn die PSD2-Richtlinie lässt Abweichungen von der strengen Authentifizierungspflicht zu. Inwiefern Dein Kreditinstitut sich diesen Vereinfachungen anschließt, kann es selbst entscheiden. Nicht alle Banken möchten weitere Abweichungen vom mühsam einstudierten Prozedere. Viele Kunden werden es ihnen danken.
- Zahlungen unter 30 EUR oder mit geringem Risiko
Vereinfacht werden darf das 3D Secure unter bestimmten Bedingungen bei Zahlungen unter 30.-- EUR. Wurde bei fünf solcher Zahlungen auf die Zwei-Wege-Authentifizierung verzichtet oder wird eine Gesamtsumme dieser Kleinstbeträge von 100.-- EUR überschritten, ist die starke Authentifizierung wieder verpflichtend.
Darüber hinaus darf die Bank bei Einzelfällen von maximal 500.-- EUR bei geringen Risiken auf die doppelte Authentifizierung verzichten.
- Händler auf der Whitelist
Banken haben durch die Zahlungsdienstrichtlinie die Chance, eine Whitelist zu erstellen. Auf dieser können sie bevorzugte Händler definieren, bei denen sie auf 3D Secure verzichten wollen. Ob das Kreditinstitut diesen Freiraum nutzt und eine entsprechende Whitelist ausgibt, kann die Bank selbst entscheiden.
- Wiederkehrende Abbuchungen
Wenn Du am Lastschriftverfahren teilnimmst und beispielsweise Zahlungen für Telefonrechnung und Kabelfernsehen, Strom oder Abos abbuchen lässt, werden diese Umsätze direkt durch das jeweilige Unternehmen vorgenommen. Daher ist hier keine starke Authentifizierung notwendig. Sie sind von der PSD2-Richtlinie ausgeschlossen.
Ähnlich ist der Ablauf bei Daueraufträgen. Hier identifizierst Du Dich einmalig im Zwei-Wege-Verfahren. Danach laufen die Überweisungen von Deinem Konto ohne weitere Identifikation.
Wer haftet, wenn doch etwas passiert?
Das Sicherheitsverfahren sichert nicht nur Zahlungen ab, sondern auch die Beteiligten. Werden doch Kreditkartendaten im Netz von Betrügern abgefangen und zum Einkaufen genutzt, haftet das Kreditinstitut. Denn seitens der Bank werden die Risiken eingeschätzt und Maßnahmen vorgenommen. Reichen diese nicht aus, ist das Institut in der Haftung. Der Händler haftet nur dann, wenn er Versäumnisse begangen hat und beispielsweise die Kartenprüfziffer oder an der Kasse die Unterschrift nicht geprüft hat.
Kunden sind von jeglicher Verpflichtung zur Kostenübernahme freigestellt, wenn sie eine Zahlung nicht beauftragt haben. Das gilt jedoch nicht, wenn der Karteninhaber grob fahrlässig oder gar betrügerisch gehandelt hat. Dazu gehört es auch, wenn Kreditkarte und PIN zusammen aufbewahrt wurden.
Um Haftungsfragen zu vermeiden, sollte die Karte bei Unregelmäßigkeiten sofort gesperrt werden. Die Notfallnummer +49 116 116 ist rund um die Uhr besetzt. Die Haftung für den Kunden ist dabei gesetzlich auf 50 EUR beschränkt, die viele Kreditkartenunternehmen zusätzlich übernehmen.
Tipps:
- Kontrolliere nach einer betrügerischen Aktivität in den folgenden Wochen Deine Umsätze.
- Reklamiere Falschabbuchungen sofort.
- Auch sogenannte Testabbuchungen über 1 Ct solltest Du sofort melden. Denn so testen Betrüger, ob Abbuchungen mit den eroberten Kreditkartendaten möglich sind. War die Testbuchung erfolgreich und blieb sie ohne Reaktion, wird meist eine größere Abbuchung hinterhergeschickt.
- Daher solltest Du die Karte auch bei unberechtigter Abbuchung von Kleinstbeträgen sperren lassen.
Die Sperrung ist kostenfrei. Für die notwendige Ersatzkarte verlangen Banken meistens Gebühren, was jedoch der Bundesgerichtshof am 20.10.2015 als unzulässig beurteilt hat. In seinem Urteil unter Az XI ZR 166/14 hat sich das Gericht gegen diese Kostenerhebung ausgesprochen.