3D-Secure: Securecode oder Verified by Visa

Sicherer online einkaufen

Josefine Lietzau Stand: 16. April 2019
Das Wichtigste in Kürze
  • Das 3D-Secure-Verfahren erhöht die Sicherheit beim Bezahlen mit der Kreditkarte im Internet.
  • Mit dem Verfahren bestätigen Kunden elektronische Zahlungen zusätzlich mit einem Passwort, einer TAN oder einem Fingerabdruck.
  • So können Diebe nicht mehr allein mit gestohlenen Kreditkarten-Daten wie Nummer und Prüfziffer auf Einkaufstour im Internet gehen.
  • Visa und Mastercard bieten das 3D-Secure-Verfahren unter den Namen Verified by Visa beziehungsweise Mastercard Identiy Check (früher Securecode) an.
  • Bisher setzen nicht alle Händler das 3D-Secure-Verfahren bei Zahlungen mit der Kreditkarte ein. Ab September 2019 wird sich das aufgrund einer neuen EU-Richtlinie ändern. Künftig müssen sich Kunden bei allen elektronischen Zahlungen zweifach identifizieren.

Immer wieder kommt es vor, dass Kriminelle Kreditkarten-Daten stehlen. Mal passiert das durch einen Hackerangriff, mal gibt es eine Sicherheitslücke beim Händler. Oder aber Sie haben Schadsoftware auf dem Computer oder dem Handy. Damit die Kriminellen Ihre Daten nicht ohne Weiteres für eine Einkaufstour im Internet nutzen können, haben die Kreditkarten-Unternehmen das 3D-Secure-Verfahren entwickelt.

Was ist das 3D-Secure-Verfahren?

3D-Secure soll das Bezahlen mit Kreditkarten im Internet sicherer machen, indem Kunden den Bezahlvorgang noch einmal bestätigen, beispielweise mit einem Passwort oder einem Fingerabdruck. Mastercard nennt seine Variante des Sicherheitsverfahrens Mastercard Identity Check (früher: Securecode), bei Visa heißt sie Verified by Visa.

Das Verfahren soll dabei helfen, nachzuweisen, dass hinter der Zahlung mit einer Kreditkarte auch wirklich der Besitzer der Karte steckt. Bisher ist dieser zusätzliche Sicherheitsschritt freiwillig. Ab dem 14. September 2019 wird er jedoch verpflichtend. Hintergrund ist die zweite Zahlungsdienstrichtlinie der Europäischen Union (Payment Service Directive 2, kurz PSD2). Sie sieht vor, dass Kunden künftig bei allen elektronischen Zahlungen in der Europäischen Union zweifach ihre Identität nachweisen müssen. Das nennt sich starke Kundenauthentifizierung oder Zwei-Faktor-Authentifizierung.

Mit 3D-Secure können Händler und Banken die Sicherheitsvorgaben der Zahlungsrichtlinie erfüllen. Das Verfahren existiert mittlerweile in zwei Varianten.

Die etwas in die Jahre gekommene erste Version kennen bereits viele Verbraucher. Sie gilt als unbequem für Kunden und brachte viele dazu, den Kauf abzubrechen. Kein Wunder also, dass bisher nicht alle Händler 3D-Secure nutzen. Zukünftig müssen sie jedoch eine Zwei-Faktor-Authentifizierung ermöglichen, falls ihr Kunde mit Kreditkarte zahlt.

Eine neue Variante des 3D-Secure ist seit April 2019 auf dem Markt. Sie soll einfacher für den Nutzer sein und so dafür sorgen, dass Kunden ihren Einkauf weniger oft abbrechen. In den nächsten Monaten werden Sie deshalb verstärkt auf die neue Version treffen. Außerdem sollen Banken künftig das Betrugsrisiko besser einschätzen können. Das liegt daran, dass mehr Daten zum Kunden zwischen Händler und Bank ausgetauscht werden als bisher.

Was ist eine starke Kundenauthentifizierung?

Die neuen EU-Standards verlangen eine sogenannte starke Kundenauthentifizierung bei elektronischen Zahlungen in der Europäischen Union, zum Beispiel bei Kartenzahlungen oder Überweisungen. Dabei weisen Sie Ihre Identität über zwei Faktoren nach. Alle in Frage kommenden Faktoren sind in Kategorien unterteilt. Die zwei Faktoren, die Sie für die Identifizierung nutzen, müssen aus unterschiedlichen Kategorien stammen. Die Kategorien sind:

  • Wissen, zum Beispiel Passwörter oder PIN;
  • Besitz, etwa die Kreditkarte oder das Smartphone;
  • Inhärenz (Eigenschaften oder Verhalten), dazu gehören Fingerabdrücke oder Bewegungen.

Das bedeutet, um beim Online-Shopping mit der Kreditkarte zu zahlen, reichen künftig die Kartennummer und der Sicherheitscode auf der Rückseite der Karte nicht mehr aus. Sie müssen sich zusätzlich mit einem Passwort, einer PIN oder TAN oder Ihrem Fingerabdruck identifizieren. Dieses Prinzip ist bereits vom Online-Banking bekannt. Dort loggen Sie sich mit Ihren persönlichen Zugangsdaten in Ihr Bankkonto ein, müssen Überweisungen oder Daueraufträge jedoch trotzdem noch einmal mit einer TAN bestätigen.

Auch beim mobilen Bezahlen über Apps wie Google Pay oder Apple Pay greift die doppelte Absicherung bereits jetzt. Hier kommen die in der App gespeicherten Kreditkarten-Daten, der Besitz des Handys sowie das notwendige Entsperren des Handys zum Bezahlen mittels PIN oder Fingerabdruck zusammen.

Wie funktioniert das 3D-Secure-Verfahren?

Sie können sich bei der Bank für das 3D-Secure-Verfahren registrieren, von der Sie Ihre Kreditkarte bekommen haben. Das machen Sie entweder beim ersten Bezahlen in einem Online-Shop, der das Verfahren nutzt, oder Sie erledigen es vorher in Ihrem Online-Banking. Bei einigen Banken müssen Sie sich überhaupt nicht registrieren. Sie erhalten den Code für das Bezahlen dann zum Beispiel über die Telefonnummer, die Ihre Bank gespeichert hat.

Wie das Sicherheitsverfahren genau funktioniert, hängt von der jeweiligen Bank ab. Bei einigen Banken hinterlegen Sie als Karteninhaber beim Registrieren für 3D-Secure ein Passwort sowie eine persönliche Mitteilung. Wenn Sie im Internet einkaufen, werden Sie während des Bezahlvorgangs von der Website des Händlers auf die Seite des Kreditkarten-Anbieters geleitet.

Dort geben Sie Ihr Passwort ein und bestätigen damit die Rechtmäßigkeit der Zahlung. Damit Sie erkennen, dass Sie sich tatsächlich auf einer vertrauenswürdigen Website befinden, wird Ihnen zusätzlich Ihre persönliche Mitteilung angezeigt. Andere Banken senden bei jedem Einkauf eine neue TAN an Ihr Handy oder lassen Sie den Kauf über eine App mit PIN-Eingabe bestätigen.

Das 3D-Secure-Verfahren lässt sich umgehen, das ist jedoch schwierig. Wenn jemand Ihr 3D-Secure-Passwort und die Kreditkarten-Daten kennt, kann er ohne Ihr Wissen im Internet auf Shoppingtour gehen. Es ist auch denkbar, dass jemand Ihre persönlichen Daten – zum Beispiel Namen und Adresse – und Kreditkarten-Details kennt. Dann könnte er sich selbst für das 3D-Secure-Verfahren registrieren, ohne dass Sie es erfahren.

Zudem setzen bisher nicht alle Händler das Verfahren ein oder sie nutzen es nicht bei jedem Bezahlvorgang. Auch wenn Sie Ihre Kreditkarte bereits für das Sicherheitsverfahren registriert haben, sollten Sie deshalb Ihre Kontobewegungen im Auge behalten.

Das neue 3D-Secure-Verfahren

Inzwischen haben die Kreditkarten-Unternehmen eine neuere Version von Identity Check (Securecode) und Verified by Visa entwickelt. Damit reagieren sie nicht nur auf die neue Gesetzeslage, sondern auch auf das geänderte Kundenverhalten. Beispielsweise war das Einkaufen mit dem Smartphone noch kein großes Thema, als die erste Version von 3D-Secure auf den Markt kam. Das neue 3D-Secure soll nun auch auf Smartphones unkomplizierter und sicherer funktionieren.

Auch die neue Version des Sicherheitsverfahrens werden die einzelnen Banken unterschiedlich umsetzen. Beispielsweise ist es möglich, dass Sie zunächst Ihre Kartendaten eingeben und den Kauf dann ein zweites Mal durch eine TAN oder ein Einmal-Passwort bestätigen. Ebenfalls denkbar wäre, dass Sie Ihre Identität über die Banking-App mit einem Fingerabdruck nachweisen.

Bei der neuen Variante des 3D-Secure-Verfahrens werden zwischen Händler und Bank zudem mehr Informationen ausgetauscht als bisher; über 100 Datenpunkte können dies sein. Zu den Daten gehören zum Beispiel Informationen zum Browser, dem genutzten Gerät (Handy, Tablet) sowie die Lieferadresse.

Die Bank kann so beispielsweise abgleichen, ob die vom Händler übertragenen Daten zu den Daten passen, die sie ohnehin schon vom eigenen Kunden vorzuliegen hat. So soll es einfacher werden, Missbrauch zu erkennen. Die Daten werden bei der kartenausgebenden Bank gespeichert, jedoch in der Regel nach einem Jahr gelöscht.

Wann gibt es Ausnahmen von der neuen Sicherheitsregel?

Sie werden sich jedoch nicht immer zweifach identifizieren müssen, egal ob es um Kreditkarten-Zahlungen oder andere elektronische Zahlungen wie Überweisungen geht. In der Zahlungsdienstrichtlinie sind unterschiedliche Ausnahmen festgelegt. Allerdings kann Ihre Bank entscheiden, ob sie eine Ausnahme zulässt oder doch die doppelte Identifizierung fordert.

Zahlungen unter 30 Euro - Bei Zahlungen unter 30 Euro muss keine starke Kundenauthentifizierung stattfinden. Nach fünf hintereinander folgenden Zahlungen ohne eine solche Authentifizierung oder aber wenn die Summe der einzelnen Zahlungen 100 Euro übersteigt, muss wieder eine starke Authentifizierung erfolgen.

Wiederkehrende Zahlungen - Auch bei Abos oder Ihrer Telefonrechnung müssen Sie sich nicht immer wieder identifizieren. Solche Abbuchungen werden direkt vom Händler gestartet und sind von der Zahlungsrichtlinie ausgeschlossen. Bei Daueraufträgen authentifizieren Sie sich nur einmal doppelt, danach läuft das regelmäßige Abbuchen wie gewohnt weiter.

Erlaubte Händler - Es wird sogenannte Whitelists geben, also Listen, auf die Sie Ihre bevorzugten Händler setzen können. Für Zahlungen an die dort genannten Händler ist dann keine zweifache Identifizierung notwendig. Banken können solche Listen anbieten, sie sind jedoch nicht dazu verpflichtet. Die Händler müssen keine bestimmte Voraussetzung erfüllen, um sich für solche Whitelists zu qualifizieren.

Geringes Risiko - Auch Zahlungen, bei denen Ihre kartenausgebende Bank mit einem geringen Betrugsrisiko rechnet, können mit einer einfachen Authentifizierung durchgehen. Dies gilt nur, wenn Sie einen Betrag von weniger als 500 Euro zahlen. 

Wer haftet bei Kreditkarten-Betrug?

Falls Ihre Kreditkarten-Daten im Internet von Betrügern zum Einkaufen genutzt werden, steht Ihre Bank dafür gerade. Sie ist diejenige, die das Risiko einschätzen muss, dass Kriminelle am Werk sind. In wenigen Fällen haftet der Händler. Das gilt zum Beispiel, wenn er die Kreditkarten-Prüfnummer beim Bezahlen nicht abfragt.

Dem Kunden gegenüber gilt seitens Mastercard und Visa eine sogenannte „Zero Liability Policy“. Wenn Verbraucher die Zahlung nicht autorisiert haben, müssen sie nicht dafür aufkommen. Ausnahmen gelten nur bei grob fahrlässigem Verhalten.

Wie Sie sich vor Missbrauch schützen und wie Sie Ihre Kreditkarte sperren lassen können, lesen Sie in unserem Artikel zum Thema Kreditkarten-Betrug.

Mehr dazu im Ratgeber Kreditkarten

Zum Ratgeber

Autor
Josefine Lietzau

Stand: 16. April 2019


* Was der Stern bedeutet:

Wir wollen mit unseren unabhängig recherchierten Empfehlungen möglichst viele Menschen erreichen und ihnen mehr finanzielle Freiheit ermöglichen. Daher sind unsere Inhalte kostenlos und anzeigenfrei im Internet verfügbar. Unsere aufwendige redaktionelle Arbeit finanzieren wir so:

Unsere unabhängigen Experten untersuchen regelmäßig Produkte und Dienstleister. Nur wenn sie dann ein besonders verbraucherfreundliches Angebot empfehlen, kann der entsprechende Anbieter einen Link zu diesem Angebot setzen lassen. Solche Links kennzeichnen wir mit einem Sternchen (*). Geld erhalten wir, wenn Sie diesen Link z.B. klicken oder beim Anbieter dann einen Vertrag abschließen. Ob und in welcher Höhe uns ein Anbieter vergütet, hat keinerlei Einfluss auf unsere Empfehlungen. Was Ihnen unsere Experten empfehlen, hängt allein davon ab, ob ein Angebot gut für Sie als Verbraucher ist.

Mehr zu unserer Arbeitsweise lesen Sie hier.