3-D Secure

3-D Secure ist ein Verfahren das für zusätzliche Sicherheit bei Online-Kreditkartentransaktionen eingesetzt wird. Es wurde von der Kreditkartenorganisation VISA entwickelt und wird unter dem Namen Verified by Visa angeboten. Unter dem Namen MasterCard SecureCode bietet auch MasterCard diesen Dienst an. Mit 3-D Secure sollen das Betrugsrisiko und der Ausfall von Zahlungen durch Kartenmissbrauch reduziert werden. Zudem wird den Shop-Betreibern, die 3-D Secure einsetzen, der Zahlungseingang garantiert.

Inhaltsverzeichnis

Funktion

Der Käufer gibt zunächst seine VISA- oder MasterCard-Kreditkartennummer ein. Danach wird eine Verbindung zum Kartenherausgeber hergestellt, damit der Käufer seine Identität mittels eines Codes dort bestätigt. War die Authentisierung erfolgreich, wird die Kreditkartenzahlung ausgeführt.

Wie die Authentifizierung genau ausgeführt wird, ist nicht im Protokoll festgelegt und hängt vom kartenausgebenden Institut ab. Häufig werden statische Passwörter verwendet. Beispielsweise besteht der MasterCard SecureCode aus mindestens 6 und höchstens 10 Zeichen, mindestens ein Zeichen davon muss eine Ziffer sein.[1] Teils werden auch sicherere Verfahren wie SMSTANs verwendet. Bei der Postbank wird die 3-D Secure Authentisierung nur abgefragt, wenn eine Online-Bestellung "einem bekannten Betrugsmuster ähnelt". In diesem Fall werden persönliche Merkmale abgefragt, die "in unmittelbarem Zusammenhang mit Ihrer Kundenbeziehung zur Postbank" stehen und "daher nur vom tatsächlichen Kreditkarteninhaber korrekt eingegeben werden" können.[2] Welche Merkmale das konkret sein könnten, wird von der Postbank nicht erläutert.

In jedem Fall ist der Code nicht auf der Karte selbst gespeichert oder vermerkt. Er ist nicht zu verwechseln mit der oftmals abgefragten 3-stelligen (manchmal auch 4-stelligen) Prüfziffer auf der Rückseite der Kreditkarte.

Vorteile für Banken sowie Händler und Haftung

Als Vorteil für den Kunden nennt MasterCard, dass der missbräuchliche Einsatz abgegriffener Kartendaten im E-Commerce stark eingeschränkt wird, da das Passwort durch den Kunden bei der Registrierung selbst festgelegt wird und nur ihm bekannt ist.

Vorteil für den Händler sei, dass dieser durch die Überprüfung des Passworts einen Nachweis für einen autorisierten Einkauf erhält. Dadurch werde seine Haftung für etwaige Rückbelastungen durch den Kunden eingeschränkt. Ohne 3-D Secure haftet immer der Betreiber des Webshops für missbräuchlich eingesetzte Kreditkarten. Bietet ein Webshop das 3-D Secure-Verfahren an, kommt es zu einer Haftungsumkehr: nun haftet die kartenausgebende Bank für Schäden aus missbräuchlich eingesetzten Karten. Diese Haftungsumkehr bewahrt den Händler vor einem Zahlungsausfall.

Manche Bank verlagert die Haftung in Missbrauchsfällen auf die Kunden. Sie verlangt Zahlung ohne einen konkreten Nachweis für ein Verschulden.[3] Verbraucherschützer halten das für rechtswidrig. Visa, MasterCard sowie der deutsche Banken- und Sparkassenverband haben zugesichert, Teilnehmer an 3-D Secure-Verfahren bei Missbrauch ihrer Kreditkartendaten nicht schlechter zu stellen als Inhaber von herkömmlichen Kreditkarten.[4]

Verbreitung

Als erste Kreditkarte in Deutschland bietet seit Januar 2008 die Lufthansa-Miles-&-More-Kreditkarte im Zuge der damaligen Umstellung von Visa zu MasterCard das SecureCode-Verfahren an.[5] Unter den Banken, die SecureCode anbieten, sind derzeit die DZ Bank (Volksbanken Raiffeisenbanken), die Deutsche Bank[6], die Commerzbank [7], die Norisbank [8], die Wüstenrot Bank[9], die Sparkassen-Finanzgruppe[10], HypoVereinsbank[11] sowie seit März 2010 die Sparda-Banken.[12]

Mittlerweile wird von jedem deutschen Acquirer – den Unternehmen, die Händlern die Kartenakzeptanz vermitteln – die Implementierung von MasterCard SecureCode oder Verified by Visa verpflichtend auferlegt.

Nachteile für den Karteninhaber

Kritiker bemängeln, dass das Verfahren für den Kunden fast nur Nachteile bietet: Weder sei der Datenschutz hinreichend gewahrt, noch sei das System für den Nutzer durchschaubar. Beim herkömmlichen Verfahren haftet im Missbrauchsfall im Internet in der Regel nicht der Kunde. Beim Kartendatenmissbrauch mit einem z.B. durch Phishing oder einen Trojaner erlangten Code wird der Kunde hingegen beweisen müssen, dass ihn kein grobes Verschulden trifft. Da dieser Beweis nahezu unmöglich ist, wird der Kunde für den Schaden haften müssen. Phishing-Angriffe würden beispielsweise durch die Notwendigkeit erleichtert, bei 3-D Secure ein Passwort auf einer Website einzugeben, die weder zum Händler noch zur Bank gehört. Außerdem hat sich der Kunde ein weiteres sicheres Passwort dauerhaft einzuprägen, um die Karte weiter wie gewohnt im Internet einsetzen zu können.[13][14] Problematisch ist zudem, dass sich 3-D Secure nur nutzen lässt, wenn man Pop-up-Blocker deaktiviert. [15] Im Prinzip kann jeder, der die rudimentären Daten des Karteninhabers und der Kreditkarte kennt, jederzeit einen neuen 3-D Securecode erzeugen, um damit im Internet einzukaufen. Der Beweis, dass der Karteninhaber nicht selbst den 3-D Securecode angelegt hat, ist nirgendwo gegeben und somit haftet der Inhaber erst recht.

Zwar berichtete das Verbrauchermagazin wiso in der Sendung am 21. Februar 2011 von einem konkreten Missbrauchsfall, bei dem die geschädigte Kreditkarteninhaberin einen Schaden von knapp 3000 Euro erlitt, den die Bank nicht ersetzen will. Annabel Oelmann von der Verbraucherzentrale in Düsseldorf erklärte dazu: "Wir können kein Anzeichen dafür erkennen, dass die Sicherheit für den Kunden erhöht wird. Ganz im Gegenteil: Der Kunde übernimmt zusätzlich das Risiko, dass er im Missbrauchsfalle dafür haften muss. Das heißt, ein Vorteil ist für den Kunden hier nicht ersichtlich." [16] Auch der ARD-Ratgeber vom 26. Februar 2011 berichtete über einen deutschen Urlauber in Spanien, der bei Begleichung einer Rechnung dem Zahlungsempfänger sowohl seine Kreditkarte als auch seinen Personalausweis ausgehändigt hatte. Damit war, so macht es den Anschein, der Zahlungsempfänger in der Lage, selbständig und ohne Kenntnis des Karteninhabers eine 3-D-Secure-Registrierung vorzunehmen und in weiterer Folge über das Kreditkartenkonto Verfügungen vorzunehmen.[17]

Die deutsche Kreditwirtschaft hat allerdings im Mai 2011 gegenüber der Stiftung Warentest zugesichert, dass bei Benutzung der neuen Verfahren keine Schlechterstellung deutscher Bankkunden zu befürchten sein soll. Stiftung Warentest meint daher seither, dass bei deutschen Karten keine Bedenken gegen Teilnahme an 3-D Secure bestehen. [18]

Einzelnachweise

  1. http://eurokartensysteme-securecode.de/faq.html
  2. http://www.postbank.de/-snm-0184330283-1306380827-068c200000-0000000170-1306386537-enm-privatkunden/3d_secure_so_gehts.html;jsessionid=AA857C5F18088682FD716FA615261D0B7128.f086
  3. Vorsicht mit UniCredit-Karten
  4. Stiftung Warentest: Mehr Sicherheit durch SecureCode und Verified by Visa
  5. http://www.miles-and-more.com/online/portal/mam/de/program/information?nodeid=2544146&l=de&cid=18002
  6. http://www.deutsche-bank.de/pbc/pk-konto_karten-motivkarte.html?tab=4
  7. http://www.commerzbank.de/sicher-einkaufen
  8. http://www.norisbank.de
  9. https://secure5.arcot.com/vpas/pluscard_mc/enroll/index.jsp?locale=de_DE&bankid=4488
  10. http://presse.dsgv.de/owx_1_41_1_11_1_00000000000000.html?tabellenid=3&lim_start=30&id=1360&aktion=mehr#top
  11. http://www.hypovereinsbank.de/portal?view=/privatkunden/228789.jsp&hvbicid=hint0067
  12. http://www.sparda.de/3d-secure.php
  13. Forscher kritisieren Kreditkartentechnik 3-D Secure
  14. Steven J. Murdoch and Ross Anderson: Verified by Visa and MasterCard SecureCode: or, How Not to Design Authentication Financial Cryptography and Data Security '10, 25-28 January 2010
  15. SecureCode FAQ
  16. Der Schwarze Peter liegt beim Kunden
  17. Rückschau: Kreditkarten-Schaden. Wie Betrüger Geld abheben
  18. Kreditkarten mit „MasterCard SecureCode“ und „Verified by Visa“: Mehr Sicherheit

Weblinks


Wikimedia Foundation.

Schlagen Sie auch in anderen Wörterbüchern nach:

  • 3-D Secure — is an XML based protocol designed to be an added layer of security for online credit and debit card transactions. It was developed by Visa with the intention of improving the security of Internet payments and offered to customers as the Verified… …   Wikipedia

  • 3-D Secure — est un protocole sécurisé de paiement sur Internet. Déployé sous les appellations commerciales Verified By Visa et MasterCard SecureCode, 3 D Secure a été développé par Visa et Mastercard pour permettre aux marchands de limiter les risques de… …   Wikipédia en Français

  • 3-D Secure — Логотип VbV Логотип MCC 3 D Secure является XML протоколом, который используется как дополнительный уровень безопасности для онлайн кредитных и дебитных карт, двухфакторной аутентификации пользователя. Он был разработан …   Википедия

  • Secure Electronic Transaction — Le SET (Secure Electronic Transaction) est un protocole destiné spécialement à sécuriser les transactions Internet de paiement par carte bancaire. Il a été développé à l origine par Visa International et MasterCard, en 1996, avec l aide des… …   Wikipédia en Français

  • Secure Electronic Transaction — (SET, Безопасные электронные транзакции)  это стандартизированный протокол для проведения операций по кредитной/банковской карте через небезопасные сети (например Интернет). SET это не сама платежная система, а набор правил и протоколов… …   Википедия

  • D-Noy Muzik — Founded 1999 (as DKD D Noy Muzik) Founder Daniel Desnoyers Genre House …   Wikipedia

  • Secure voice — (alternatively secure speech or ciphony) is a term in cryptography for the encryption of voice communication over a range of communication types such as radio, telephone or IP. Contents 1 History 2 Analog Secure Voice technologies 3 Di …   Wikipedia

  • Secure Shell — Fonction Session à distance sécurisée Sigle SSH Port 22 RFC …   Wikipédia en Français

  • Secure shell — Pile de protocoles 7 • Application 6 • Présentation 5 • Session 4 • Transport …   Wikipédia en Français

  • Secure Messaging — (englisch für „Sicheres Mailen“) bezeichnet ein serverbasiertes sicheres E Mail System. E Mails sind dabei bei der Übermittlung vor Einsichtnahme Dritter geschützt, Vertraulichkeit ist gewährleistet. Secure Messages haben eine hohe… …   Deutsch Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”