3D-Secure: Securecode oder Verified by Visa

Sicherer online einkaufen

Josefine Lietzau Stand: 02. Januar 2020
Das Wichtigste in Kürze
  • Das 3D-Secure-Verfahren erhöht die Sicherheit beim Bezahlen mit der Kreditkarte im Internet.
  • Mit dem Verfahren bestätigen Kunden elektronische Zahlungen zusätzlich mit einem Passwort, einer TAN oder einem Fingerabdruck.
  • So können Diebe nicht mehr allein mit gestohlenen Kreditkarten-Daten wie Nummer und Prüfziffer auf Einkaufstour im Internet gehen.
  • Visa und Mastercard bieten das 3D-Secure-Verfahren unter den Namen Verified by Visa beziehungsweise Mastercard Identiy Check (früher Securecode) an.
  • Bisher setzen nicht alle Händler das 3D-Secure-Verfahren bei Zahlungen mit der Kreditkarte ein. Ab Dezember 2020 wird sich das aufgrund einer neuen EU-Richtlinie ändern. Künftig müssen sich Kunden bei allen elektronischen Zahlungen zweifach identifizieren.

Immer wieder kommt es vor, dass Kriminelle Kreditkarten-Daten stehlen. Mal passiert das durch einen Hackerangriff, mal gibt es eine Sicherheitslücke beim Händler. Oder aber Du hast Schadsoftware auf dem Computer oder dem Handy. Damit die Kriminellen Deine Daten nicht ohne Weiteres für eine Einkaufstour im Internet nutzen können, haben die Kreditkarten-Unternehmen das 3D-Secure-Verfahren entwickelt.

Was ist das 3D-Secure-Verfahren?

3D-Secure soll das Bezahlen mit Kreditkarten im Internet sicherer machen, indem Kunden den Bezahlvorgang noch einmal bestätigen, beispielweise mit einem Passwort oder einem Fingerabdruck. Mastercard nennt seine Variante des Sicherheitsverfahrens Mastercard Identity Check (früher: Securecode), bei Visa heißt sie Verified by Visa.

Das Verfahren soll dabei helfen, nachzuweisen, dass hinter der Zahlung mit einer Kreditkarte auch wirklich der Besitzer der Karte steckt. Bisher ist dieser zusätzliche Sicherheitsschritt freiwillig. Ab dem 31. Dezember 2020 wird er jedoch verpflichtend. Hintergrund ist die zweite Zahlungsdienstrichtlinie der Europäischen Union (Payment Service Directive 2, kurz PSD2). Sie sieht vor, dass Kunden künftig bei allen elektronischen Zahlungen in der Europäischen Union zweifach ihre Identität nachweisen müssen. Das nennt sich starke Kundenauthentifizierung oder Zwei-Faktor-Authentifizierung.

Mit 3D-Secure können Händler und Banken die Sicherheitsvorgaben der Zahlungsrichtlinie erfüllen. Das Verfahren existiert mittlerweile in zwei Varianten.

Die etwas in die Jahre gekommene erste Version kennen bereits viele Verbraucher. Sie gilt als unbequem für Kunden und brachte viele dazu, den Kauf abzubrechen. Kein Wunder also, dass bisher nicht alle Händler 3D-Secure nutzen. Zukünftig müssen sie jedoch eine Zwei-Faktor-Authentifizierung ermöglichen, falls ihr Kunde mit Kreditkarte zahlt.

Eine neue Variante des 3D-Secure ist seit April 2019 auf dem Markt. Sie soll einfacher für den Nutzer sein und so dafür sorgen, dass Kunden ihren Einkauf weniger oft abbrechen. In den nächsten Monaten wirst Du deshalb verstärkt auf die neue Version treffen. Außerdem sollen Banken künftig das Betrugsrisiko besser einschätzen können. Das liegt daran, dass mehr Daten zum Kunden zwischen Händler und Bank ausgetauscht werden als bisher.

Was ist eine starke Kundenauthentifizierung?

Die neuen EU-Standards verlangen eine sogenannte starke Kundenauthentifizierung bei elektronischen Zahlungen in der Europäischen Union, zum Beispiel bei Kartenzahlungen oder Überweisungen. Dabei weist Du Deine Identität über zwei Faktoren nach. Alle in Frage kommenden Faktoren sind in Kategorien unterteilt. Die zwei Faktoren, die Du für die Identifizierung nutzt, müssen aus unterschiedlichen Kategorien stammen. Die Kategorien sind:

  • Wissen, zum Beispiel Passwörter oder PIN;
  • Besitz, etwa die Kreditkarte oder das Smartphone;
  • Inhärenz (Eigenschaften oder Verhalten), dazu gehören Fingerabdrücke oder Bewegungen.

Das bedeutet, um beim Online-Shopping mit der Kreditkarte zu zahlen, reichen künftig die Kartennummer und der Sicherheitscode auf der Rückseite der Karte nicht mehr aus. Du musst Dich zusätzlich mit einem Passwort, einer PIN oder TAN oder Deinem Fingerabdruck identifizieren. Dieses Prinzip ist bereits vom Online-Banking bekannt. Dort loggst Du Dich mit Deinen persönlichen Zugangsdaten in Dein Bankkonto ein, musst Überweisungen oder Daueraufträge jedoch trotzdem noch einmal mit einer TAN bestätigen.

Auch beim mobilen Bezahlen über Apps wie Google Pay oder Apple Pay greift die doppelte Absicherung bereits jetzt. Hier kommen die in der App gespeicherten Kreditkarten-Daten, der Besitz des Handys sowie das notwendige Entsperren des Handys zum Bezahlen mittels PIN oder Fingerabdruck zusammen.

Wie funktioniert das 3D-Secure-Verfahren?

Du kannst Dich bei der Bank für das 3D-Secure-Verfahren registrieren, von der Du Deine Kreditkarte bekommen hast. Das machst Du entweder beim ersten Bezahlen in einem Online-Shop, der das Verfahren nutzt, oder Du erledigst es vorher in Deinem Online-Banking. Bei einigen Banken musst Du Dich überhaupt nicht registrieren. Du erhältst den Code für das Bezahlen dann zum Beispiel über die Telefonnummer, die Deine Bank gespeichert hat.

Wie das Sicherheitsverfahren genau funktioniert, hängt von der jeweiligen Bank ab. Bei einigen Banken hinterlegst Du als Karteninhaber beim Registrieren für 3D-Secure ein Passwort sowie eine persönliche Mitteilung. Wenn Du im Internet einkaufst, wirst Du während des Bezahlvorgangs von der Website des Händlers auf die Seite des Kreditkarten-Anbieters geleitet.

Dort gibst Du Dein Passwort ein und bestätigst damit die Rechtmäßigkeit der Zahlung. Damit Du erkennst, dass Du Dich tatsächlich auf einer vertrauenswürdigen Website befindest, wird Dir zusätzlich Deine persönliche Mitteilung angezeigt. Andere Banken senden bei jedem Einkauf eine neue TAN an Dein Handy oder lassen Dich den Kauf über eine App mit PIN-Eingabe bestätigen.

Das 3D-Secure-Verfahren lässt sich umgehen, das ist jedoch schwierig. Wenn jemand Dein 3D-Secure-Passwort und die Kreditkarten-Daten kennt, kann er ohne Dein Wissen im Internet auf Shoppingtour gehen. Es ist auch denkbar, dass jemand Deine persönlichen Daten – zum Beispiel Namen und Adresse – und Kreditkarten-Details kennt. Dann könnte er sich selbst für das 3D-Secure-Verfahren registrieren, ohne dass Du es erfährst.

Zudem setzen bisher nicht alle Händler das Verfahren ein oder sie nutzen es nicht bei jedem Bezahlvorgang. Auch wenn Du Deine Kreditkarte bereits für das Sicherheitsverfahren registriert hast, solltest Du deshalb Deine Kontobewegungen im Auge behalten.

Das neue 3D-Secure-Verfahren

Inzwischen haben die Kreditkarten-Unternehmen eine neuere Version von Identity Check (Securecode) und Verified by Visa entwickelt. Damit reagieren sie nicht nur auf die neue Gesetzeslage, sondern auch auf das geänderte Kundenverhalten. Beispielsweise war das Einkaufen mit dem Smartphone noch kein großes Thema, als die erste Version von 3D-Secure auf den Markt kam. Das neue 3D-Secure soll nun auch auf Smartphones unkomplizierter und sicherer funktionieren.

Auch die neue Version des Sicherheitsverfahrens werden die einzelnen Banken unterschiedlich umsetzen. Beispielsweise ist es möglich, dass Du zunächst Deine Kartendaten eingeben und den Kauf dann ein zweites Mal durch eine TAN oder ein Einmal-Passwort bestätigst. Ebenfalls denkbar wäre, dass Du Deine Identität über die Banking-App mit einem Fingerabdruck nachweist.

Bei der neuen Variante des 3D-Secure-Verfahrens werden zwischen Händler und Bank zudem mehr Informationen ausgetauscht als bisher; über 100 Datenpunkte können dies sein. Zu den Daten gehören zum Beispiel Informationen zum Browser, dem genutzten Gerät (Handy, Tablet) sowie die Lieferadresse.

Die Bank kann so beispielsweise abgleichen, ob die vom Händler übertragenen Daten zu den Daten passen, die sie ohnehin schon vom eigenen Kunden vorzuliegen hat. So soll es einfacher werden, Missbrauch zu erkennen. Die Daten werden bei der kartenausgebenden Bank gespeichert, jedoch in der Regel nach einem Jahr gelöscht.

Wann gibt es Ausnahmen von der neuen Sicherheitsregel?

Du wirst Dich jedoch nicht immer zweifach identifizieren müssen, egal ob es um Kreditkarten-Zahlungen oder andere elektronische Zahlungen wie Überweisungen geht. In der Zahlungsdienstrichtlinie sind unterschiedliche Ausnahmen festgelegt. Allerdings kann Deine Bank entscheiden, ob sie eine Ausnahme zulässt oder doch die doppelte Identifizierung fordert.

Zahlungen unter 30 Euro - Bei Zahlungen unter 30 Euro muss keine starke Kundenauthentifizierung stattfinden. Nach fünf hintereinander folgenden Zahlungen ohne eine solche Authentifizierung oder aber wenn die Summe der einzelnen Zahlungen 100 Euro übersteigt, muss wieder eine starke Authentifizierung erfolgen.

Wiederkehrende Zahlungen - Auch bei Abos oder Deiner Telefonrechnung musst Du Dich nicht immer wieder identifizieren. Solche Abbuchungen werden direkt vom Händler gestartet und sind von der Zahlungsrichtlinie ausgeschlossen. Bei Daueraufträgen authentifizierst Du Dich nur einmal doppelt, danach läuft das regelmäßige Abbuchen wie gewohnt weiter.

Erlaubte Händler - Es wird sogenannte Whitelists geben, also Listen, auf die Du Deine bevorzugten Händler setzen kannst. Für Zahlungen an die dort genannten Händler ist dann keine zweifache Identifizierung notwendig. Banken können solche Listen anbieten, sie sind jedoch nicht dazu verpflichtet. Die Händler müssen keine bestimmte Voraussetzung erfüllen, um sich für solche Whitelists zu qualifizieren.

Geringes Risiko - Auch Zahlungen, bei denen Deine kartenausgebende Bank mit einem geringen Betrugsrisiko rechnet, können mit einer einfachen Authentifizierung durchgehen. Dies gilt nur, wenn Du einen Betrag von weniger als 500 Euro zahlst. 

Wer haftet bei Kreditkarten-Betrug?

Falls Deine Kreditkarten-Daten im Internet von Betrügern zum Einkaufen genutzt werden, steht Deine Bank dafür gerade. Sie ist diejenige, die das Risiko einschätzen muss, dass Kriminelle am Werk sind. In wenigen Fällen haftet der Händler. Das gilt zum Beispiel, wenn er die Kreditkarten-Prüfnummer beim Bezahlen nicht abfragt.

Dem Kunden gegenüber gilt seitens Mastercard und Visa eine sogenannte „Zero Liability Policy“. Wenn Verbraucher die Zahlung nicht autorisiert haben, müssen sie nicht dafür aufkommen. Ausnahmen gelten nur bei grob fahrlässigem Verhalten.

Wie Du Dich vor Missbrauch schützen und wie Du Deine Kreditkarte sperren lassen kannst, liest Du in unserem Artikel zum Thema Kreditkarten-Betrug.

Mehr dazu im Ratgeber Kreditkarten

  • Es gibt kostenlose Kreditkarten, mit denen das Bezahlen und Geldabheben wenig kostet.
  • Unsere Anbieter-Empfehlung: DKB, Hanseatic Bank, Payback, Barclaycard, Consorsbank

Zum Ratgeber

Autor
Josefine Lietzau

Stand: 02. Januar 2020


* Was der Stern bedeutet:

Wir wollen mit unseren Empfehlungen möglichst vielen Menschen helfen, ihre Finanzen selber zu machen. Daher sind unsere Inhalte kostenlos im Netz verfügbar. Wir finanzieren unsere aufwändige Arbeit mit sogenannten Affiliate Links. Diese Links kennzeichnen wir mit einem Sternchen (*).

Bei Finanztip handhaben wir Affiliate Links aber anders als andere Websites. Wir verlinken ausschließlich auf Produkte, die vorher von unserer unabhängigen Experten-Redaktion empfohlen wurden. Nur dann kann der entsprechende Anbieter einen Link zu diesem Angebot setzen lassen. Geld bekommen wir, wenn Du auf einen solchen Link klickst oder beim Anbieter einen Vertrag abschließt.

Ob und in welcher Höhe uns ein Anbieter vergütet, hat keinerlei Einfluss auf unsere Empfehlungen. Was Dir unsere Experten empfehlen, hängt allein davon ab, ob ein Angebot gut für Verbraucher ist.

Mehr Informationen über unsere Arbeitsweise findest Du auf unserer Über-uns-Seite.