3D-Secure: Securecode oder Verified by Visa

Immer wieder kommt es vor, dass Kriminelle an Kreditkarten-Daten kommen, dank Hackerattacken, Sicherheitslücken oder Phishing-Mails. Damit sie Deine Daten nicht ohne Weiteres für eine Einkaufstour im Internet nutzen können, haben die Kreditkarten-Unternehmen das 3D-Secure-Verfahren entwickelt.

3D-Secure soll das Bezahlen mit Kreditkarten im Internet sicherer machen, indem Du den Bezahlvorgang noch einmal bestätigst, beispielweise mit einem Passwort oder einem Fingerabdruck. Mastercard nennt seine Variante des Sicherheitsverfahrens Mastercard Identity Check (früher: Securecode), bei Visa heißt sie Verified by Visa.

Das Verfahren soll dabei helfen, nachzuweisen, dass hinter der Zahlung mit einer Kreditkarte auch wirklich der Besitzer der Karte steckt. Dieser zusätzliche Sicherheitsschritt ist seit Dezember 2020 verpflichtend. Hintergrund ist die zweite Zahlungsdienstrichtlinie (Payment Service Directive 2, kurz PSD2). Sie sieht vor, dass Du bei allen elektronischen Zahlungen in der Europäischen Union Deine Identität zweifach nachweisen musst.

Mit 3D-Secure können Händler und Banken diese Sicherheitsvorgaben der Zahlungsrichtlinie erfüllen. Das Verfahren existiert mittlerweile in zwei Varianten.

Die etwas in die Jahre gekommene erste Version kennen bereits viele Verbraucher. Sie gilt als unbequem für Kunden und bringt viele dazu, den Kauf abzubrechen. Kein Wunder also, dass nicht alle Händler 3D-Secure nutzten, bis die Zahlungsdienstrichtlinie PSD2 sie dazu gezwungen hat. Die neuere Variante von 3D-Secure ist einfacher für den Nutzer und soll so dafür sorgen, dass Kunden ihren Einkauf seltener abbrechen.

Die neuen EU-Standards verlangen eine sogenannte starke Kundenauthentifizierung bei elektronischen Zahlungen in der Europäischen Union, zum Beispiel bei Kartenzahlungen oder Überweisungen. Dabei weist Du Deine Identität über zwei Faktoren nach.

Alle infrage kommenden Faktoren sind in Kategorien unterteilt. Die zwei Faktoren, die Du für die Identifizierung nutzt, müssen aus unterschiedlichen Kategorien stammen. Die Kategorien sind:

Um beim Online-Shopping mit der Kreditkarte zu zahlen, reichen künftig die Kartennummer und der Sicherheitscode auf der Rückseite der Karte also nicht mehr aus. Du musst Dich zusätzlich mit einem Passwort, einer Pin oder Tan oder Deinem Fingerabdruck identifizieren.

Das kennst Du auch vom Online-Banking. Dort loggst Du Dich mit Deinen persönlichen Zugangsdaten in Dein Bankkonto ein, musst Überweisungen oder Daueraufträge jedoch trotzdem noch einmal mit einer Tan bestätigen.

Auch beim mobilen Bezahlen über Apps wie Google Pay oder Apple Pay greift eine doppelte Absicherung. Hier kommen die in der App gespeicherten Kreditkarten-Daten, der Besitz des Handys sowie das notwendige Entsperren des Handys zum Bezahlen mittels Pin oder Fingerabdruck zusammen.

Du kannst Dich bei der Bank für das 3D-Secure-Verfahren registrieren, von der Du Deine Kreditkarte bekommen hast. Das machst Du entweder beim ersten Bezahlen in einem Onlineshop, der das Verfahren nutzt, oder Du erledigst es vorher in Deinem Online-Banking. Bei einigen Banken musst Du Dich überhaupt nicht registrieren. Du erhältst den Code für das Bezahlen dann zum Beispiel über die Telefonnummer, die Deine Bank gespeichert hat.

Wie das Sicherheitsverfahren genau funktioniert, hängt von der jeweiligen Bank ab. Bei einigen Banken hinterlegst Du als Karteninhaber beim Registrieren für 3D-Secure ein Passwort sowie eine persönliche Mitteilung. Wenn Du im Internet einkaufst, wirst Du während des Bezahlvorgangs von der Website des Händlers auf die Seite des Kreditkarten-Anbieters geleitet.

Dort gibst Du Dein Passwort ein und bestätigst damit die Zahlung. Damit Du erkennst, dass Du Dich tatsächlich auf einer vertrauenswürdigen Website befindest, wird Dir zusätzlich Deine persönliche Mitteilung angezeigt.

Andere Banken senden bei jedem Einkauf eine neue Tan an Dein Handy oder lassen Dich den Kauf über eine App mit Pin-Eingabe bestätigen.

Das 3D-Secure-Verfahren lässt sich umgehen, das ist jedoch schwierig. Wenn jemand Dein 3D-Secure-Passwort und die Kreditkarten-Daten kennt, kann er ohne Dein Wissen im Internet auf Shoppingtour gehen. Es ist auch denkbar, dass jemand Deine persönlichen Daten – zum Beispiel Namen und Adresse – und Kreditkarten-Details kennt. Dann könnte er sich selbst für das 3D-Secure-Verfahren registrieren, ohne dass Du es erfährst.

Mit der neueren Version von Identity Check und Verified by Visa reagieren die Kartenunternehmen nicht nur auf die PSD2, sondern auch auf das geänderte Kundenverhalten. Beispielsweise war das Einkaufen mit dem Smartphone noch kein großes Thema, als die erste Version von 3D-Secure auf den Markt kam. Das neue 3D-Secure soll nun auch auf Smartphones unkomplizierter und sicherer funktionieren.

Auch die neue Version des Sicherheitsverfahrens setzen die einzelnen Banken unterschiedlich um. Beispielsweise ist es möglich, dass Du zunächst Deine Kartendaten eingeben musst und den Kauf dann ein zweites Mal durch eine Tan oder ein Einmal-Passwort bestätigst. Oder aber Du weist Deine Identität über die Banking-App mit einem Fingerabdruck nach.

Bei der neuen Variante des 3D-Secure-Verfahrens werden zwischen Händler und Bank zudem mehr Informationen ausgetauscht als bisher; über 100 Datenpunkte können dies sein. Zu den Daten gehören zum Beispiel Informationen zum Browser, dem genutzten Gerät (Handy, Tablet) sowie die Lieferadresse.

Die Bank kann so beispielsweise abgleichen, ob die vom Händler übertragenen Daten zu den Daten passen, die sie ohnehin schon vom eigenen Kunden vorzuliegen hat. So soll es einfacher werden, Missbrauch zu erkennen. Die Daten werden bei der kartenausgebenden Bank gespeichert, jedoch in der Regel nach einem Jahr gelöscht.

Du musst Dich jedoch nicht immer zweifach identifizieren, egal ob es um Kreditkarten-Zahlungen oder andere elektronische Zahlungen wie Überweisungen geht. In der Zahlungsdienstrichtlinie sind unterschiedliche Ausnahmen festgelegt. Allerdings kann Deine Bank entscheiden, ob sie eine Ausnahme zulässt oder doch die doppelte Identifizierung fordert.

Zahlungen unter 30 Euro - Bei Zahlungen unter 30 Euro muss keine starke Kundenauthentifizierung stattfinden. Nach fünf hintereinander folgenden Zahlungen ohne eine solche Authentifizierung oder aber wenn die Summe der einzelnen Zahlungen 100 Euro übersteigt, muss wieder eine starke Authentifizierung erfolgen.

Wiederkehrende Zahlungen - Auch bei Abos oder Deiner Telefonrechnung musst Du Dich nicht immer wieder identifizieren. Solche Abbuchungen werden direkt vom Händler gestartet und sind von der Zahlungsrichtlinie ausgeschlossen. Bei Daueraufträgen authentifizierst Du Dich nur einmal doppelt, danach läuft das regelmäßige Abbuchen wie gewohnt weiter.

Erlaubte Händler - Sogenannte Whitelists sind ebenfalls erlaubt, also Listen, auf die Du Deine bevorzugten Händler setzen kannst. Für Zahlungen an die dort genannten Händler ist dann keine zweifache Identifizierung notwendig. Banken können solche Listen anbieten, sie sind jedoch nicht dazu verpflichtet. Die Händler müssen keine bestimmte Voraussetzung erfüllen, um sich für solche Whitelists zu qualifizieren.

Geringes Risiko - Auch Zahlungen, bei denen Deine kartenausgebende Bank mit einem geringen Betrugsrisiko rechnet, können mit einer einfachen Authentifizierung durchgehen. Dies gilt nur, wenn Du einen Betrag von weniger als 500 Euro zahlst. 

Falls Deine Kreditkarten-Daten im Internet von Betrügern zum Einkaufen genutzt werden, steht Deine Bank dafür gerade. Sie ist diejenige, die das Risiko einschätzen muss, dass Kriminelle am Werk sind. In wenigen Fällen haftet der Händler. Das gilt zum Beispiel, wenn er die Kreditkarten-Prüfnummer beim Bezahlen nicht abfragt.

Dir als Kunden gegenüber gilt seitens Mastercard und Visa eine sogenannte „Zero Liability Policy“. Wenn Du die Zahlung nicht autorisiert hast, musst Du nicht dafür aufkommen. Ausnahmen gelten nur bei grob fahrlässigem Verhalten.

Wie Du Dich vor Missbrauch schützen und wie Du Deine Kreditkarte sperren lassen kannst, liest Du in unserem Artikel zum Thema Kreditkarten-Betrug.