Was ist das 3D-Secure-Verfahren?
Es passiert immer wieder, dass Kriminelle an die Kreditkartendaten gelangen. Mal stehlen sie die Daten bei einem Hackerangriff, in anderen Fällen ist eine Sicherheitslücke beim Händler die Ursache. Genauso ist möglich, dass eine Schadsoftware auf dem Computer oder Smartphone des Kreditkartenbesitzers installiert ist.
Um Zahlungen im Internet mit der Kreditkarte einerseits sicherer zu machen und andererseits zu unterbinden, dass Kriminelle gestohlene Kreditkartendaten für eine virtuelle Shopping-Tour nutzen können, haben die Kreditkarten-Unternehmen das 3D-Secure-Verfahren erarbeitet.
Was es damit auf sich hat, erklären wir in diesem Beitrag:
Was ist das 3D-Secure-Verfahren?
3D-Secure ist ein Verfahren, das die Sicherheit bei Kreditkartenzahlungen im Internet erhöhen soll. Das geschieht, indem der Kunde den elektronischen Bezahlvorgang zusätzlich mit einem Passwort, einer TAN oder seinem Fingerabdruck bestätigt.
Bei Mastercard hieß das Sicherheitsverfahren früher Securecode, jetzt nennt es sich Mastercard Identity Check. Visa bezeichnet sein Verfahren als Verified by Visa.
Das 3D-Secure-Verfahren soll den Nachweis erleichtern, dass die Zahlung mit einer Kreditkarte tatsächlich vom Besitzer dieser Karte veranlasst wurde. Bislang ist die zusätzliche Sicherheitsmaßnahme noch freiwillig. Doch ab dem 31. Dezember 2020 wird sie Pflicht.
Hintergrund hierfür ist die zweite Zahlungsdienstrichtlinie der EU, kurz PSD2. Die Richtlinie gibt vor, dass Kunden bei elektronischen Zahlvorgängen in der ganzen EU künftig ihre Identität zweifach bestätigen müssen. Dieser zweifache Nachweis wird auch als starke Kundenauthentifizierung oder Zwei-Faktor-Authentifizierung bezeichnet.
Mit dem 3D-Secure-Verfahren können Händler und Banken den Vorgaben der Zahlungsrichtlinie gerecht werden. Dabei gibt es das Verfahren inzwischen in zwei verschiedenen Versionen. Dazu gleich mehr.
Inhalt
Was ist eine Zwei-Faktor-Authentifizierung?
Die neuen Standards gemäß der EU-Richtlinie erfordern bei elektronischen Bezahlvorgängen wie Überweisungen und Kreditkartenzahlungen eine starke Kundenauthentifizierung. Damit ist gemeint, dass der Kunde seine Identität durch zwei Faktoren nachweist. Deshalb wird auch von der Zwei-Faktor-Authentifizierung gesprochen.
Alle Faktoren, die für die Authentifizierung in Frage kommen, sind in drei verschiedene Kategorien eingeteilt.
Diese sind:
-
Wissen, zum Beispiel in Form von einem Passwort, einer PIN oder einer TAN
-
Besitz, beispielsweise die Kreditkarte, der Computer oder das Smartphone
-
Inhärenz, darunter fallen Eigenschaften oder Handlungen wie der Fingerabdruck oder eine bestimmte Bewegung
Um seine Identität nachzuweisen, muss der Kunde zwei Faktoren aus unterschiedlichen Kategorien verwenden. Möchte er im Internet mit der Kreditkarte bezahlen, reicht es deshalb in Zukunft nicht aus, wenn er nur die Kreditkartennummer und den Sicherheitscode auf der Rückseite der Karte eingibt.
Denn damit wäre nur ein Faktor (aus der Kategorie Besitz) abgedeckt. Stattdessen muss sich der Kunde zusätzlich mit einem Passwort, einer PIN oder einer TAN (Kategorie Wissen) oder seinem Fingerabdruck (Kategorie Inhärenz) identifizieren.
Dieses Prinzip gibt es im Online-Banking schon lange. Dort loggt sich der Kunde zuerst mit seinen persönlichen Zugangsdaten ein. Überweisungen, Daueraufträge und andere Vorgänge muss er dann aber zusätzlich noch einmal mit einer eigens dafür erzeugten TAN bestätigen.
Beim mobilen Bezahlen über Apps ist die doppelte Absicherung ebenfalls schon Standard. Hier fließen die Kreditkartendaten, die in der App gespeichert sind, der Besitz des mobilen Endgeräts und die PIN oder der Fingerabdruck, um das Smartphone zu öffnen, zusammen.
Wie funktioniert das 3D-Secure-Verfahren?
Für das 3D-Secure-Verfahren registriert sich der Kunde bei der Bank, die die Kreditkarte ausgegeben hat. Dabei kann die Registrierung entweder vorab im Online-Banking erfolgen. Oder der Kunde registriert sich im Zuge der ersten Online-Zahlung in einem Shop, der das Sicherheitsverfahren nutzt.
Es gibt aber auch Banken, bei denen gar keine Registrierung notwendig ist. Hier übermittelt die Bank dem Kunden den Code für das Bezahlen dann zum Beispiel telefonisch.
Die genaue Umsetzung des Verfahrens ist von Bank zu Bank verschieden. Bei einigen Banken hinterlegt der Kunde ein Passwort und eine persönliche Mitteilung, wenn er sich für das 3D-Secure-Verfahren registriert.
Bei Einkäufen im Internet wird er dann während der Bezahlvorgangs vom Online-Shop zur Webseite des Kreditkarten-Anbieters weitergeleitet. Auf dieser Seite gibt der Kunde sein Passwort ein, um so die Zahlung zu bestätigen.
Als Beleg dafür, dass sich der Kunde auf der echten und vertrauenswürdigen Internetseite befindet, wird zusätzlich die persönliche Mitteilung eingeblendet.
Bei anderen Banken wird dem Kunden bei jedem Online-Einkauf eine TAN aufs Smartphone geschickt. Oder der Kunde muss als Bestätigung seine PIN in eine App eingeben.
Das 3D-Secure-Verfahren zu umgehen, ist zwar schwierig, aber nicht unmöglich. Gelangen Kriminelle an die Kreditkartendaten und das Passwort für das Verfahren, können sie online Kreditkartenzahlungen tätigen.
Genauso könnten sich Betrüger mit den Kreditkartendaten und den persönlichen Daten des Kunden unbemerkt selbst für das 3D-Secure-Verfahren registrieren.
Hinzu kommt, dass bislang nicht alle Online-Händler das Sicherheitsverfahren nutzen oder es nicht bei jedem Bezahlvorgang einsetzen. Wichtig ist deshalb, die Kontobewegungen im Blick zu behalten, auch wenn die Kreditkarte schon für das 3D-Secure-Verfahren registriert ist.
Die neuere Version vom 3D-Secure-Verfahren
Seit April 2019 gibt es das Sicherheitsverfahren in einer neuen Variante. Die Kreditkarten-Unternehmen haben damit nicht nur auf die geänderte Gesetzeslage reagiert. Vielmehr soll das neue Verfahren auch das veränderte Kundenverhalten berücksichtigen.
Als die erste Version vom 3D-Secure-Verfahren entwickelt wurde, spielte zum Beispiel das mobile Bezahlen mit dem Smartphone noch keine große Rolle. Jetzt soll das 3D-Secure-Verfahren auch auf Smartphones sicher und unkompliziert funktionieren.
Und generell war die ursprüngliche Version recht umständlich. Weil viele Kunden den Einkauf deshalb abbrachen, wollten die Händler das Sicherheitsverfahren nicht unbedingt nutzen. Doch spätestens zum Jahresende 2020 müssen sie bei Kreditkartenzahlungen eine Zwei-Faktor-Authentifizierung bereitstellen. Deshalb musste eine Lösung her.
Auch die weiterentwickelte Variante vom 3D-Secure-Verfahren werden die Banken verschieden umsetzen. Eine Möglichkeit ist, dass der Kunde zuerst seine Kreditkartendaten eingibt und den Kauf dann zusätzlich mit einer TAN oder einem Einmal-Passwort bestätigt.
Eine andere Möglichkeit ist, dass der Kunde seinen Fingerabdruck nutzt, um sich über die Banking-App seiner Bank zu identifizieren.
Ein weiterer Unterschied besteht darin, dass beim neueren Verfahren weit mehr Informationen zwischen dem Händler und der Bank ausgetauscht werden. Bis zu 100 verschiedene Daten sind dabei möglich. Zu den Daten zählen zum Beispiel Angaben zum Browser und dem genutzten Gerät oder die Lieferadresse.
Durch den Datenabgleich kann die Bank prüfen, ob die Angaben, die der Händler übermittelt, mit den Daten übereinstimmen, die bei der Bank hinterlegt sind.
Das soll es einfacher machen, einen Missbrauch zu erkennen. Die ausgetauschten Daten werden bei der Bank, die die Kreditkarte ausgegeben hat, ein Jahr lang gespeichert und danach gelöscht.
Ist eine doppelte Authentifizierung immer notwendig?
Grundsätzlich sieht die EU-Richtlinie bei elektronischen Zahlvorgängen eine Zwei-Faktor-Authentifizierung vor.
Allerdings benennt die Richtlinie ein paar Ausnahmen:
- Bei Zahlungen unter 30 Euro ist kein doppelter Identitätsnachweis erforderlich. Erst wenn fünf solcher Zahlungen hintereinander durchgeführt wurden oder die Zahlungen in der Summe 100 Euro übersteigen, wird wieder eine Zwei-Faktor-Authentifizierung notwendig.
- Wiederkehrende Zahlungen wie beispielsweise die monatliche Stromrechnung, die Telefonrechnung oder ein Abo werden meist vom Anbieter in die Wege geleitet. Der Kunde muss sich bei einem erteilten Lastschriftmandat nicht doppelt identifizieren. Richtet er einen Dauerauftrag ein, muss er diesen nur bei der Einrichtung einmal mit der Zwei-Faktor-Authentifizierung bestätigen.
- Der Kunde kann Händler und andere Vertragspartner auf eine sogenannte Whitelist Kauft er dann dort ein, muss er die Zahlung nicht zusätzlich absichern. Wen der Kunde in die Liste aufnimmt, entscheidet er selbst. Die Händler müssen keine bestimmten Kriterien erfüllen. Allerdings ist die Bank nicht dazu verpflichtet, eine Whitelist anzubieten.
- Geht die Bank von einem geringen Betrugsrisiko aus, kann sie Kreditkartenzahlungen mit einer einfachen Authentifizierung freigeben. Der Höchstbetrag liegt dabei aber bei 500 Euro.
Die Richtlinie beschreibt zwar die Ausnahmen. Doch wann eine Ausnahme gilt und wann eine doppelte Authentifizierung verlangt wird, entscheidet die Bank. Deshalb kann es sein, dass sie zum Beispiel auch bei Zahlungen unter 30 Euro auf eine Zwei-Faktor-Authentifizierung besteht.
Wer haftet bei einem Missbrauch der Kreditkarte?
Nutzen Kriminelle gestohlene Kreditkartendaten für Zahlungen von Online-Einkäufen, haftet die Bank. Denn sie muss beurteilen, wie groß das Risiko ist, dass Betrüger am Werk sind.
In einigen wenigen Fällen muss der Händler einstehen. Das ist zum Beispiel dann so, wenn er die Prüfnummer der Kreditkarte nicht abgefragt hat.
Dem Kunden gegenüber setzen die Kreditkarten-Unternehmen auf die sogenannte Zero Liability Policy. Demnach muss der Kunde nicht für Zahlungen aufkommen, die er nicht autorisiert hat. Eine Ausnahme gilt nur dann, wenn der Kunde grob fahrlässig gehandelt hat.
Mehr Finanztipps, Anleitungen und Ratgeber:
- Geld einzahlen bei Direktbanken – wie geht das?
- Infos und Tipps zum Widerruf eines Kredits, Teil 2
- Infos und Tipps zum Widerruf eines Kredits, Teil 1
- 4 Fragen zum Firmenkredit
- Baufinanzierung für Selbstständige – 3 Tipps
- Die Änderungen beim Online-Banking ab September 2019
- Wenn das Geld mal knapp wird: 6 Alternativen zum Ratenkredit
- Infos und Tipps rund ums Tagesgeld, 2. Teil
Thema: Was ist das 3D-Secure-Verfahren?
Übersicht:
Fachartikel
Verzeichnis
Über uns
- Die Vorteile und Risiken bei einem Mietkauf, Teil 1 - 9. Oktober 2024
- Eine Kreditaufnahme richtig planen, Teil 2 - 11. September 2024
- Eine Kreditaufnahme richtig planen, Teil 1 - 9. August 2024
Bei „Wer haftet bei einem Missbrauch der Kreditkarte?“ schreiben sie ja: „der Kunde grob fahrlässig gehandelt hat“. Aber ab wann ist das den der Fall? Ab wann gilt meine Handlung in diesem Zusammenhang als grob fahrlässig?