Bei 3D Secure handelt es sich um einen Sicherheitsstandard für die Kreditkartenzahlung im Internet, der von Visa entwickelt wurde. Der Name 3D Secure leitet sich von der dritten zusätzlichen Sicherheitsmaßnahme ab, die Kreditkartenzahler bei diesem System vor Kartenmissbrauch schützen soll.
Hierbei müssen bei Zahlungen die Daten zweifach bestätigt werden. Kunden bestätigen dabei elektronische Zahlungen zusätzlich mit einem Passwort, einer Tan oder durch einen Fingerabdruck.
Eine Technik, verschiedene Bezeichnungen
3D Secure wurde von VISA entwickelt und trägt dort die Bezeichnung „Verified by VISA“. Andere Kreditkartenanbieter nutzen eine ähnliche Technik, bezeichnen ihr Verfahren aber anders. So heißt die Sicherheitstechnik beim Anbieter Mastercard zum Beispiel „Securecode“. Das 3D-Secure-Verfahren bei JCB wird J/Secure genannt. American Express nennt die gleiche Technik SafeKey. Wenn Sie zum Beispiel eine dieser Kreditkarten verwenden, steht Ihnen immer die gleiche Sicherheitsfunktion zur Verfügung, sie heißt lediglich anders.
Funktionsweise
Wenn Sie 3D Secure nutzen wollen, müssen Sie sich für das Verfahren registrieren. Hierfür gibt es zwei Möglichkeiten:
- Beim Bezahlen in einem Online-Shop, der 3D Secure anbietet, können Sie das Verfahren starten und sich darüber bei der kartenausgebenden Bank registrieren.
- Sie registrieren sich direkt bei der Bank, welche Ihre Kreditkarte herausgegeben hat.
Für die Registrierung werden je nach Kreditinstitut unterschiedliche persönliche Daten abgefragt, wie zum Beispiel die Adresse oder der Geburtstag. Manche Banken schicken Ihnen zuvor einen Code, den sie bei der Registrierung abfragen.
Die Authentifizierung bei späteren Online-Einkäufen kann auf verschiedene Arten erfolgen:
- Persönliches Passwort
- SMS-TAN
- Smartphone-App
Die genaue Ausgestaltung der Authentifizierung hängt vom Kreditinstitut ab, das die Kreditkarte ausgibt. So können zum Beispiel bei verdächtigen Transaktionen weitere persönliche Merkmale abgefragt werden. Hierbei kann es sich zum Beispiel um die aktuelle Adresse oder andere persönliche Daten handeln.
Persönliche Begrüßung
Um die Authentifizierung beim Online-Einkauf durchzuführen, werden Sie auf eine separate Website des Kreditkartenanbieters oder der kartenausgebenden Bank geführt. Dort erscheint in der Regel eine persönliche Begrüßung. Sie ist eine weitere Sicherheitsfunktion, anhand derer Sie erkennen können, dass Sie mit dem Server der Bank verbunden sind.
Begrüßung ein Indiz für sichere Verbindung
Sollte diese Begrüßung beim Bezahlprozess ausfallen, kann es sein, dass die Verbindung nicht gesichert oder gehackt wurde. In diesem Fall sollten Sie Ihre Kreditkarten-Bank informieren und den Kaufvorgang abbrechen.
3D Secure bei verschiedenen Banken
Nachdem im Jahr 2016 viele Banken neue Kreditkarten aufgrund einer Sicherheitslücke bei 3D Secure ausgegeben haben, bieten die Kreditinstitute überwiegend die Verifizierung per SMS-TAN an. Die Banken haben im Juni 2016 von der BaFin eine Aufforderung zur Einhaltung von Mindestanforderungen an die Sicherheit von Internetzahlungen erhalten.
Alternativen zu 3D Secure
Mögliche Alternativen zu 3D Secure gibt es bei der Kreditkartenzahlung bis dato noch nicht. Allerdings gibt es beim Mobile Payment Lösungen, die ebenfalls die Sicherheit erhöhen können. So kann bei manchen Anbietern wie Apple eine Transaktion mit dem Fingerabdruck bestätigt werden.
Authentifizierungsverfahren mit 3D Secure
Um sich eindeutig als Kreditkartenbesitzer zu identifizieren, stehen Ihnen folgende Verfahren zur Auswahl.
Statisches Passwort
In diesem Fall hinterlegen Sie einmalig ein festes Passwort bei der kartenausgebenden Bank. Dieses Passwort muss in der Regel aus mindestens sechs und maximal 20 Zeichen bestehen sowie Zahlen und Groß-/Kleinbuchstaben enthalten.
Dieses Passwort müssen Sie dann jedes Mal eingeben, wenn Sie einen Einkauf per Kreditkarte über 3D Secure autorisieren wollen. Hierfür werden Sie beim Bezahlen auf eine separate Seite geführt, um das Passwort einzutippen.
Umstellung ratsam
Wer bisher noch das alte Passwortverfahren mit 3D Secure verwendet, sollte zum smsTAN-Verfahren wechseln. Die Umstellung erfolgt direkt über die kartenausgebende Bank oder den Kreditkartenanbieter.
TAN-Verfahren
Das TAN-Verfahren wird auch beim Online-Banking eingesetzt. In diesem Fall hinterlegen Sie Ihre Handynummer bei der Registrierung. Bei einer Kartentransaktion im Netz wird eine TAN-Nummer (Transaktionsnummer) an Ihr Handy geschickt. In der SMS werden außerdem der Betrag sowie die Währung aufgeführt. Über die TAN wird der Kauf mit der Kreditkarte bestätigt.
Dieses Verfahren wird zum Beispiel von der Postbank sowie von den Volksbanken und den Sparkassen angeboten.
Smartphone App
Für dieses Verfahren müssen Sie sich zunächst eine spezielle Smartphone-App der kartenausgebenden Bank herunterladen und auf Ihrem Smartphone installieren. Bei den meisten Banken können Sie die App über einen QR-Code auf der Homepage der Bank herunterladen. Diese App heißt zum Beispiel bei der Sparkasse „S-ID-Check“.
Nachdem Sie sich für das 3D-Secure-Verfahren registriert haben, vergeben Sie eine PIN für die App auf Ihrem Handy und registrieren die App bei der kartenausgebenden Bank. Wenn Sie nun einen Online-Kauf über 3D Secure im Internet absichern wollen, werden die Zahlungsdaten beim Einkaufen direkt an die App geschickt. Sie erhalten dann eine Benachrichtigung. In der App wird Ihr Kauf genau aufgeführt und Sie können alle Daten abgleichen. Sind alle Daten korrekt, wird der Kauf mit der von Ihnen hinterlegten PIN bestätigt.
Kritik gegen Smartphone App
Dieses Verfahren wird häufig kritisiert, weil es die Sicherheit des gesamten Vorgangs aushebeln kann. Es reicht in diesem Fall, wenn ein Krimineller die PIN der App kennt, um Käufe durchführen zu können.
Die Registrierung im Detail
Die Registrierung für 3D Secure erfolgt über die kartenausgebende Bank oder über den jeweiligen Kreditkartenanbieter. Jede Kreditkarte muss hierfür einzeln angemeldet werden. Die Registrierung selbst wird online vorgenommen. Hierfür wird zunächst die Kreditkartennummer benötigt.
Danach erfolgt die Benutzeridentifikation über ein temporäres Passwort, das auf Ihr Handy geschickt wird oder das Sie per Telefon erhalten. Danach können Sie Ihre Karte registrieren.
Während der Registrierung können Sie sich für das gewünschte Authentifizierungsverfahren entscheiden und dann die Registrierung abschließen.
Welche Hotline rufe ich bei Problemen mit 3D Secure an?
Wenn Sie bei Zahlungen mit 3D Secure etwas Verdächtiges feststellen oder es ungewohnte Abfragen gibt, können Sie sich direkt an die Kreditkartenhotline Ihrer Bank wenden. Wollen Sie Ihre Karte sperren, können Sie direkt den zentralen Sperr-Notruf unter der 116 116 erreichen.
Vorteile von 3D Secure für Verbraucher
- Kostenlose Sicherheitsfunktion: Für diesen Service müssen Verbraucher nichts bezahlen. Die Kosten für die Sicherheit tragen die Banken sowie die Kreditkartenanbieter.
- Keine Installation von zusätzlicher Software nötig: Das Verfahren kann theoretisch nur mit Smartphone und direkt online genutzt werden. Die Installation einer Software ist hierfür nicht nötig.
- Sichere Datenverwahrung bei der Bank: Alle erforderlichen Registrierungsdaten werden bei der Bank sicher verwahrt.
- Sicherheitsfunktion über smsTAN jederzeit verfügbar: Einkäufe können mit 3D Secure weltweit getätigt werden. Der Nutzer ist nicht an einen bestimmten Ort gebunden.
- Passwörter müssen sich nicht gemerkt werden: Durch die nahezu flächendeckende Umstellung auf smsTAN müssen sich Verbraucher keine Passwörter merken. Die Gefahr, dass ein Passwort in falsche Hände gerät, sinkt dadurch erheblich.
3D-Secure-Verfahren für Händler vorteilhaft
Für Händler hat das 3D-Secure-Verfahren einen deutlichen Vorteil. Setzen sie es in ihrem Online-Shop ein, gilt beim Einkauf darüber Haftungsumkehr. Wird die Kreditkarte missbräuchlich verwendet, haftet nun die kartenausgebende Bank und nicht mehr der Händler. Durch diese Umkehr wird der Händler mit 3D Secure vor einem Zahlungsausfall durch Kreditkartenmissbrauch bewahrt.
Risiken: Wie sicher ist 3D Secure wirklich?
3D Secure wurde zunächst als sehr sicheres Verfahren für die Kreditkartenzahlung im Internet präsentiert. Allerdings gab es bald Zweifel an der Sicherheit. Diese Zweifel galten vor allem bei der Vergabe von statischen Passwörtern. Denn wenn ein Krimineller dieses Passwort kennt, hat auch eine weitere Absicherungsebene keinen Sinn mehr. Er benötigt dann lediglich die Kreditkartendaten und dieses Passwort, um Einkäufe durchzuführen.
Selbst die Umstellung auf das smsTAN-Verfahren bietet keine vollständige Sicherheit. Das ist vor allem dann der Fall, wenn das Smartphone und die Kreditkarte gleichzeitig gestohlen werden.
Vor Missbrauch können sich Verbraucher in der Regel nur schützen, wenn sie ihre Kreditkarte beim Bezahlen nicht unbeaufsichtigt herausgeben und sorgfältig mit ihren Kreditkartendaten umgehen. So sollten diese Daten niemals ungesichert per Mail oder SMS verschickt werden. Ebenso sollten Passwörter niemals mit der Kreditkarte zusammen aufbewahrt werden. Außerdem sollten die Daten nicht im Browser gespeichert werden.
Vorteile und Nachteile von 3D Secure
| Vorteile | Nachteile |
|---|---|
|
|
