3-D Secure

3-D Secure ist ein Verfahren das für zusätzliche Sicherheit bei Online-Kreditkartentransaktionen eingesetzt wird. Es wurde von der Kreditkartenorganisation VISA entwickelt und wird unter dem Namen Verified by Visa angeboten. Unter dem Namen MasterCard SecureCode bietet auch MasterCard diesen Dienst an. Mit 3-D Secure sollen das Betrugsrisiko und der Ausfall von Zahlungen durch Kartenmissbrauch reduziert werden. Zudem wird den Shop-Betreibern, die 3-D Secure einsetzen, der Zahlungseingang garantiert.

Funktion

Der Käufer gibt zunächst seine VISA- oder MasterCard-Kreditkartennummer ein. Danach wird eine Verbindung zum Kartenherausgeber hergestellt, damit der Käufer seine Identität mittels eines Codes dort bestätigt. War die Authentisierung erfolgreich, wird die Kreditkartenzahlung ausgeführt.

Wie die Authentifizierung genau ausgeführt wird, ist nicht im Protokoll festgelegt und hängt vom kartenausgebenden Institut ab. Häufig werden statische Passwörter verwendet. Beispielsweise besteht der MasterCard SecureCode aus mindestens 6 und höchstens 10 Zeichen, mindestens ein Zeichen davon muss eine Ziffer sein.^[1] Teils werden auch sicherere Verfahren wie SMSTANs verwendet. Bei der Postbank wird die 3-D Secure Authentisierung nur abgefragt, wenn eine Online-Bestellung "einem bekannten Betrugsmuster ähnelt". In diesem Fall werden persönliche Merkmale abgefragt, die "in unmittelbarem Zusammenhang mit Ihrer Kundenbeziehung zur Postbank" stehen und "daher nur vom tatsächlichen Kreditkarteninhaber korrekt eingegeben werden" können.^[2] Welche Merkmale das konkret sein könnten, wird von der Postbank nicht erläutert.

In jedem Fall ist der Code nicht auf der Karte selbst gespeichert oder vermerkt. Er ist nicht zu verwechseln mit der oftmals abgefragten 3-stelligen (manchmal auch 4-stelligen) Prüfziffer auf der Rückseite der Kreditkarte.

Vorteile für Banken sowie Händler und Haftung

Als Vorteil für den Kunden nennt MasterCard, dass der missbräuchliche Einsatz abgegriffener Kartendaten im E-Commerce stark eingeschränkt wird, da das Passwort durch den Kunden bei der Registrierung selbst festgelegt wird und nur ihm bekannt ist.

Vorteil für den Händler sei, dass dieser durch die Überprüfung des Passworts einen Nachweis für einen autorisierten Einkauf erhält. Dadurch werde seine Haftung für etwaige Rückbelastungen durch den Kunden eingeschränkt. Ohne 3-D Secure haftet immer der Betreiber des Webshops für missbräuchlich eingesetzte Kreditkarten. Bietet ein Webshop das 3-D Secure-Verfahren an, kommt es zu einer Haftungsumkehr: nun haftet die kartenausgebende Bank für Schäden aus missbräuchlich eingesetzten Karten. Diese Haftungsumkehr bewahrt den Händler vor einem Zahlungsausfall.

Manche Bank verlagert die Haftung in Missbrauchsfällen auf die Kunden. Sie verlangt Zahlung ohne einen konkreten Nachweis für ein Verschulden.^[3] Verbraucherschützer halten das für rechtswidrig. Visa, MasterCard sowie der deutsche Banken- und Sparkassenverband haben zugesichert, Teilnehmer an 3-D Secure-Verfahren bei Missbrauch ihrer Kreditkartendaten nicht schlechter zu stellen als Inhaber von herkömmlichen Kreditkarten.^[4]

Verbreitung

Als erste Kreditkarte in Deutschland bietet seit Januar 2008 die Lufthansa-Miles-&-More-Kreditkarte im Zuge der damaligen Umstellung von Visa zu MasterCard das SecureCode-Verfahren an.^[5] Unter den Banken, die SecureCode anbieten, sind derzeit die DZ Bank (Volksbanken Raiffeisenbanken), die Deutsche Bank^[6], die Commerzbank ^[7], die Norisbank ^[8], die Wüstenrot Bank^[9], die Sparkassen-Finanzgruppe^[10], HypoVereinsbank^[11] sowie seit März 2010 die Sparda-Banken.^[12]

Mittlerweile wird von jedem deutschen Acquirer – den Unternehmen, die Händlern die Kartenakzeptanz vermitteln – die Implementierung von MasterCard SecureCode oder Verified by Visa verpflichtend auferlegt.

Nachteile für den Karteninhaber

Kritiker bemängeln, dass das Verfahren für den Kunden fast nur Nachteile bietet: Weder sei der Datenschutz hinreichend gewahrt, noch sei das System für den Nutzer durchschaubar. Beim herkömmlichen Verfahren haftet im Missbrauchsfall im Internet in der Regel nicht der Kunde. Beim Kartendatenmissbrauch mit einem z.B. durch Phishing oder einen Trojaner erlangten Code wird der Kunde hingegen beweisen müssen, dass ihn kein grobes Verschulden trifft. Da dieser Beweis nahezu unmöglich ist, wird der Kunde für den Schaden haften müssen. Phishing-Angriffe würden beispielsweise durch die Notwendigkeit erleichtert, bei 3-D Secure ein Passwort auf einer Website einzugeben, die weder zum Händler noch zur Bank gehört. Außerdem hat sich der Kunde ein weiteres sicheres Passwort dauerhaft einzuprägen, um die Karte weiter wie gewohnt im Internet einsetzen zu können.^[13][14] Problematisch ist zudem, dass sich 3-D Secure nur nutzen lässt, wenn man Pop-up-Blocker deaktiviert. ^[15] Im Prinzip kann jeder, der die rudimentären Daten des Karteninhabers und der Kreditkarte kennt, jederzeit einen neuen 3-D Securecode erzeugen, um damit im Internet einzukaufen. Der Beweis, dass der Karteninhaber nicht selbst den 3-D Securecode angelegt hat, ist nirgendwo gegeben und somit haftet der Inhaber erst recht.

Zwar berichtete das Verbrauchermagazin wiso in der Sendung am 21. Februar 2011 von einem konkreten Missbrauchsfall, bei dem die geschädigte Kreditkarteninhaberin einen Schaden von knapp 3000 Euro erlitt, den die Bank nicht ersetzen will. Annabel Oelmann von der Verbraucherzentrale in Düsseldorf erklärte dazu: "Wir können kein Anzeichen dafür erkennen, dass die Sicherheit für den Kunden erhöht wird. Ganz im Gegenteil: Der Kunde übernimmt zusätzlich das Risiko, dass er im Missbrauchsfalle dafür haften muss. Das heißt, ein Vorteil ist für den Kunden hier nicht ersichtlich." ^[16] Auch der ARD-Ratgeber vom 26. Februar 2011 berichtete über einen deutschen Urlauber in Spanien, der bei Begleichung einer Rechnung dem Zahlungsempfänger sowohl seine Kreditkarte als auch seinen Personalausweis ausgehändigt hatte. Damit war, so macht es den Anschein, der Zahlungsempfänger in der Lage, selbständig und ohne Kenntnis des Karteninhabers eine 3-D-Secure-Registrierung vorzunehmen und in weiterer Folge über das Kreditkartenkonto Verfügungen vorzunehmen.^[17]

Die deutsche Kreditwirtschaft hat allerdings im Mai 2011 gegenüber der Stiftung Warentest zugesichert, dass bei Benutzung der neuen Verfahren keine Schlechterstellung deutscher Bankkunden zu befürchten sein soll. Stiftung Warentest meint daher seither, dass bei deutschen Karten keine Bedenken gegen Teilnahme an 3-D Secure bestehen. ^[18]

Einzelnachweise

1. ↑ http://eurokartensysteme-securecode.de/faq.html
2. ↑ http://www.postbank.de/-snm-0184330283-1306380827-068c200000-0000000170-1306386537-enm-privatkunden/3d_secure_so_gehts.html;jsessionid=AA857C5F18088682FD716FA615261D0B7128.f086
3. ↑ Vorsicht mit UniCredit-Karten
4. ↑ Stiftung Warentest: Mehr Sicherheit durch SecureCode und Verified by Visa
5. ↑ http://www.miles-and-more.com/online/portal/mam/de/program/information?nodeid=2544146&l=de&cid=18002
6. ↑ http://www.deutsche-bank.de/pbc/pk-konto_karten-motivkarte.html?tab=4
7. ↑ http://www.commerzbank.de/sicher-einkaufen
8. ↑ http://www.norisbank.de
9. ↑ https://secure5.arcot.com/vpas/pluscard_mc/enroll/index.jsp?locale=de_DE&bankid=4488
10. ↑ http://presse.dsgv.de/owx_1_41_1_11_1_00000000000000.html?tabellenid=3&lim_start=30&id=1360&aktion=mehr#top
11. ↑ http://www.hypovereinsbank.de/portal?view=/privatkunden/228789.jsp&hvbicid=hint0067
12. ↑ http://www.sparda.de/3d-secure.php
13. ↑ Forscher kritisieren Kreditkartentechnik 3-D Secure
14. ↑ Steven J. Murdoch and Ross Anderson: Verified by Visa and MasterCard SecureCode: or, How Not to Design Authentication Financial Cryptography and Data Security '10, 25-28 January 2010
15. ↑ SecureCode FAQ
16. ↑ Der Schwarze Peter liegt beim Kunden
17. ↑ Rückschau: Kreditkarten-Schaden. Wie Betrüger Geld abheben
18. ↑ Kreditkarten mit „MasterCard SecureCode“ und „Verified by Visa“: Mehr Sicherheit

Weblinks

• Visa 3-D Secure Specifications
• Erklärung mit Bild auf Concardis.com