3D-Secure: Securecode oder Verified by Visa Sicherer online einkaufen

Josefine Lietzau
Finanztip-Expertin für Bank und Kredit

Das Wichtigste in Kürze

  • Das 3D-Secure-Verfahren erhöht die Sicherheit beim Bezahlen mit der Kredit­karte im Internet.

  • Du musst bei einigen Zahlungen Deine Daten zweifach bestätigen. Bei diesem Verfahren bestätigen Kunden elektronische Zahlungen zusätzlich mit einem Passwort, einer Tan oder einem Fingerabdruck.

  • Banken und Händler müssen das Verfahren nutzen.

So gehst Du vor

  • Melde Dich beim Verfahren Deiner Bank an.
  • Falls die Bank Dir verschiedene Möglichkeiten anbietet, nutze das Verfahren, mit dem Du Dich am wohlsten fühlst.

Immer wieder kommt es vor, dass Kriminelle an Kredit­karten-Daten kommen, dank Hackerattacken, Sicherheitslücken oder Phishing-Mails. Damit sie Deine Daten nicht ohne Weiteres für eine Einkaufstour im Internet nutzen können, haben die Kredit­karten-Unternehmen das 3D-Secure-Verfahren entwickelt.

Was ist das 3D-Secure-Verfahren?

3D-Secure soll das Bezahlen mit Kredit­karten im Internet sicherer machen, indem Du den Bezahlvorgang noch einmal bestätigst, beispielweise mit einem Passwort oder einem Fingerabdruck. Mastercard nennt seine Variante des Sicherheitsverfahrens Mastercard Identity Check (früher: Securecode), bei Visa heißt sie Verified by Visa.

Das Verfahren soll dabei helfen, nachzuweisen, dass hinter der Zahlung mit einer Kredit­karte auch wirklich der Besitzer der Karte steckt. Dieser zusätzliche Sicherheitsschritt ist seit Dezember 2020 verpflichtend. Hintergrund ist die zweite Zahlungsdienstrichtlinie (Payment Service Directive 2, kurz PSD2). Sie sieht vor, dass Du bei allen elektronischen Zahlungen in der Europäischen Union Deine Identität zweifach nachweisen musst. Mit 3D-Secure können Händler und Banken diese Sicherheitsvorgaben der Zahlungsrichtlinie erfüllen.

Was ist eine starke Kundenauthentifizierung?

Die EU-Standards verlangen eine sogenannte starke Kundenauthentifizierung bei elektronischen Zahlungen in der Europäischen Union, zum Beispiel bei Kartenzahlungen oder Überweisungen. Dabei weist Du Deine Identität über zwei Faktoren nach.

Alle infrage kommenden Faktoren sind in Kategorien unterteilt. Die zwei Faktoren, die Du für die Identifizierung nutzt, müssen aus unterschiedlichen Kategorien stammen. Die Kategorien sind:

  • Wissen, zum Beispiel Passwörter oder eine Pin
  • Besitz, etwa die Kredit­karte oder das Smartphone
  • Inhärenz (Eigenschaften oder Verhalten), dazu gehören Fingerabdrücke oder Bewegungen

Um beim Online-Shopping mit der Kredit­karte zu zahlen, reichen künftig die Kartennummer und der Sicherheitscode auf der Rückseite der Karte also nicht mehr aus. Du musst Dich zusätzlich mit einem Passwort, einer Pin oder Tan oder Deinem Fingerabdruck identifizieren.

Das kennst Du auch vom Online-Banking. Dort loggst Du Dich mit Deinen persönlichen Zugangsdaten in Dein Bankkonto ein, musst Überweisungen oder Daueraufträge jedoch trotzdem noch einmal mit einer Tan bestätigen.

Auch beim mobilen Bezahlen über Apps wie Google Pay oder Apple Pay greift eine doppelte Absicherung. Hier kommen die in der App gespeicherten Kredit­karten-Daten, der Besitz des Handys sowie das notwendige Entsperren des Handys zum Bezahlen mittels Pin oder Fingerabdruck zusammen.

Wie funktioniert das 3D-Secure-Verfahren?

Du kannst Dich bei der Bank für das 3D-Secure-Verfahren registrieren, von der Du Deine Kredit­karte bekommen hast. Das machst Du entweder beim ersten Bezahlen in einem Onlineshop, der das Verfahren nutzt, oder Du erledigst es vorher in Deinem Online-Banking. 

Wie das Sicherheitsverfahren genau funktioniert, hängt von der jeweiligen Bank ab. Beispielsweise ist es möglich, dass Du zunächst Deine Kartendaten eingeben musst und den Kauf dann ein zweites Mal durch eine Tan, eine Pin, oder ein Einmal-Passwort bestätigst. Oder aber Du weist Deine Identität über die Banking-App mit einem Fingerabdruck nach. Andere Banken senden bei jedem Einkauf eine neue Tan an Dein Handy.

Bei 3D-Secure-Verfahres werden zwischen Händler und Bank zahlreiche Informationen ausgetauscht; über 100 Datenpunkte können dies sein. Zu den Daten gehören zum Beispiel Informationen zum Browser, dem genutzten Gerät (Handy, Tablet) sowie die Lieferadresse.

Die Bank kann so beispielsweise abgleichen, ob die vom Händler übertragenen Daten zu den Daten passen, die sie ohnehin schon vom eigenen Kunden vorzuliegen hat. So soll es einfacher werden, Missbrauch zu erkennen. Die Daten werden bei der kartenausgebenden Bank gespeichert, jedoch in der Regel nach einem Jahr gelöscht.

Wann gibt es Ausnahmen von der Sicherheitsregel?

Du musst Dich jedoch nicht immer zweifach identifizieren, egal ob es um Kredit­karten-Zahlungen oder andere elektronische Zahlungen wie Überweisungen geht. In der Zahlungsdienstrichtlinie sind unterschiedliche Ausnahmen festgelegt. Allerdings kann Deine Bank entscheiden, ob sie eine Ausnahme zulässt oder doch die doppelte Identifizierung fordert.

Zahlungen unter 30 Euro - Bei Zahlungen unter 30 Euro muss keine starke Kundenauthentifizierung stattfinden. Nach fünf hintereinander folgenden Zahlungen ohne eine solche Authentifizierung oder aber wenn die Summe der einzelnen Zahlungen 100 Euro übersteigt, muss wieder eine starke Authentifizierung erfolgen.

Wiederkehrende Zahlungen - Auch bei Abos oder Deiner Telefonrechnung musst Du Dich nicht immer wieder identifizieren. Solche Abbuchungen werden direkt vom Händler gestartet und sind von der Zahlungsrichtlinie ausgeschlossen. Bei Daueraufträgen authentifizierst Du Dich nur einmal doppelt, danach läuft das regelmäßige Abbuchen wie gewohnt weiter.

Erlaubte Händler - Sogenannte Whitelists sind ebenfalls erlaubt, also Listen, auf die Du Deine bevorzugten Händler setzen kannst. Für Zahlungen an die dort genannten Händler ist dann keine zweifache Identifizierung notwendig. Banken können solche Listen anbieten, sie sind jedoch nicht dazu verpflichtet. Die Händler müssen keine bestimmte Voraussetzung erfüllen, um sich für solche Whitelists zu qualifizieren.

Geringes Risiko - Auch Zahlungen, bei denen Deine kartenausgebende Bank mit einem geringen Betrugsrisiko rechnet, können mit einer einfachen Authentifizierung durchgehen. Dies gilt nur, wenn Du einen Betrag von weniger als 500 Euro zahlst. 

Wer haftet bei Kredit­karten-Betrug?

Falls Deine Kredit­karten-Daten im Internet von Betrügern zum Einkaufen genutzt werden, steht Deine Bank dafür gerade. Sie ist diejenige, die das Risiko einschätzen muss, dass Kriminelle am Werk sind. In wenigen Fällen haftet der Händler. Das gilt zum Beispiel, wenn er die Kredit­karten-Prüfnummer beim Bezahlen nicht abfragt.

Dir als Kunden gegenüber gilt seitens Mastercard und Visa eine sogenannte „Zero Liability Policy“. Wenn Du die Zahlung nicht autorisiert hast, musst Du nicht dafür aufkommen. Ausnahmen gelten nur bei grob fahrlässigem Verhalten.

Wie Du Dich vor Missbrauch schützen und wie Du Deine Kredit­karte sperren lassen kannst, liest Du in unserem Artikel zum Thema Kredit­karten-Betrug.

Mehr dazu im Ratgeber Kredit­karten

  • Es gibt kostenlose Kredit­karten, mit denen das Bezahlen und Geldabheben wenig kostet.
  • Unsere Anbieter-Empfehlung: Hanseatic Bank (auch als Awa7 oder Deutschland Kredit­karte Classic), Norwegian Bank Visa, Barclays Visa, C24 Smart

Zum Ratgeber

* Was der Stern bedeutet:

Finanztip gehört zu 100 Prozent der gemeinnützigen Finanztip Stiftung. Die hat den Auftrag, die Finanzbildung in Deutschland zu fördern. Alle Gewinne, die Finanztip ausschüttet, gehen an die Stiftung und werden dort für gemeinnützige Projekte verwendet – wie etwa unsere Bildungsinitiative Finanztip Schule.

Wir wollen mit unseren Emp­feh­lungen möglichst vielen Menschen helfen, ihre Finanzen selber zu machen. Daher sind unsere Inhalte kostenlos im Netz verfügbar. Wir finanzieren unsere aufwändige Arbeit mit sogenannten Affiliate Links. Diese Links kennzeichnen wir mit einem Sternchen (*).

Bei Finanztip handhaben wir Affiliate Links aber anders als andere Websites. Wir verlinken ausschließlich auf Produkte, die vorher von unserer unabhängigen Experten-Redaktion emp­foh­len wurden. Nur dann kann der entsprechende Anbieter einen Link zu diesem Angebot setzen lassen. Geld bekommen wir, wenn Du auf einen solchen Link klickst oder beim Anbieter einen Vertrag abschließt.

Ob und in welcher Höhe uns ein Anbieter vergütet, hat keinerlei Einfluss auf unsere Emp­feh­lungen. Was Dir unsere Experten empfehlen, hängt allein davon ab, ob ein Angebot gut für Verbraucher ist.

Mehr Informationen über unsere Arbeitsweise findest Du auf unserer Über-uns-Seite.

Mit Deinem Beitrag unterstützt Du uns bei der unabhängigen Recherche für unsere Ratgeber.

Fördere die finanzielle Bildung in Deutschland. Mit Deinem Beitrag hilfst Du uns, noch mehr Menschen zu erreichen.