Willkommen auf 3D-SECURE-CODE.COM

3d-secure-code.com bietet Ihnen weiterführende Links auf Webseiten zum Thema Sicherheit bei Online-Kreditkarten-Bezahlungen

Startseite > 3 D_Secure

'''3-D Secure''' ist ein Verfahren, das die Sicherheit bei Online-Kreditkarten-Bezahlungen erhöhen soll. Unter dem Namen '''Identity Check (SecureCode)''', ''' J/Secure''' bzw. '''SafeKey''' bieten auch , bzw. einen solchen Dienst an. Mit 3-D Secure sollen das Betrugsrisiko und der Ausfall von Zahlungen durch reduziert werden. Zudem wird den Shop-Betreibern, die 3-D Secure einsetzen, der Zahlungseingang garantiert. Das Verfahren wurde von der Kreditkartenorganisation für den Dienst '''Verified by Visa''' entwickelt und von standardisiert.

Funktion

Nachdem der Käufer seine Kreditkartennummer eingibt, wird eine Verbindung zum Kartenherausgeber hergestellt, damit der Käufer seine Identität mit einem Code dort bestätigt (). Nach korrekter Authentifizierung wird die Kreditkartenzahlung ausgeführt.

Ob die Authentifizierung statisch oder dynamisch erfolgt, obliegt dem Kartenausgeber. Beim statischen Verfahren geben Käufer einen Sicherheitscode ähnlich einem ein. Mastercard nutzte mit dem ''Identity Check (SecureCode)''

Bei dynamischen Verfahren wird ein nur einmal verwendbarer Code erzeugt, den der Kunde auf physisch getrenntem Weg erhält ? bei Bezahlung am Computer beispielsweise über ein mobiles Endgerät, über eine oder per auf das ().
Der Code ist nicht auf der Karte gespeichert oder vermerkt. Er ist nicht die oft erfragte drei- bis vierstelligen Prüfziffer () auf der Kreditkarten-Rückseite. Die Nutzung des Codes muss innerhalb weniger Minuten erfolgen, andernfalls verfällt er. Das schränkt das Potenzial missbräuchlicher Aktivitäten mit abgefangenen Nachrichten weiter ein.

Nach der Kunden-Registrierung bleibt die klassische Abwicklung durch Angabe von Kreditkartennummer, Gültigkeitsdatum und Card Validation Code bis zur Umsetzung der überarbeiteten (PSD2) in nationales Recht EU-weit möglich.

Die Entscheidung, ob 3-D Secure zur Anwendung kommt, trifft nicht der Kunde. Es kann vom Webshop oder dem Kartenausgeber festgelegt werden, dass die Bezahlung nur über 3-D Secure ausgeführt wird.

Damit Karteninhaber Online-Kreditkartenzahlungen im Rahmen von 3-D Secure mit einem zusätzlichen Sicherheitsmerkmal bestätigen können, müssen die IT-Systeme von Web-Shops, , kartenausgebenden Kreditinstitute und weiterer Dienstleister über Schnittstellen kooperieren. Bis zum 14. September 2019 sollten in der EU die Regulierungsstandards im Rahmen der umgesetzt werden, allerdings gewährt die eine Übergangsfrist bis Ende 2020.

Vorteile für Banken sowie Händler und Haftung

Als Vorteil für Kunden wirbt Mastercard, dass der missbräuchliche Einsatz abgegriffener Kartendaten im stark beschränkt werde, da das Passwort nicht auf der Karte vermerkt und somit nur dem Kunden bekannt ist. Beim klassischen Verfahren können Unbefugte allein durch den Besitz der Kreditkarte im Internet auf fremde Kosten einkaufen, solange die Karte nicht gesperrt wurde.
Mit 3-D Secure benötigen Dritte auch eine geheime Information, die nicht auf der Karte vermerkt ist.

Vorteil für Händler sei, dass diese durch Überprüfung des Passworts einen Nachweis für einen autorisierten Einkauf haben. Damit werde deren Haftung für Rückbelastungen durch den Kunden eingeschränkt. Ohne 3-D Secure haften Webshop-Betreiber für missbräuchlich eingesetzte Kreditkarten. Bietet ein Webshop das 3-D Secure-Verfahren an, kommt es zur Haftungsumkehr: Nun haftet die kartenausgebende Bank für Schäden aus missbräuchlich eingesetzten Karten. Diese Haftungsumkehr bewahrt Händler vor Zahlungsausfällen.

In der Anfangszeit von 3-D Secure wälzten einige Banken bei einem das Verschulden pauschal auf Kunden ab, wenn diese nicht ihr Nichtverschulden nachweisen konnten. Nach Kritik von haben einige Banken ihre Bedingungen derart angepasst, dass Kunden durch 3-D Secure-Verfahren nicht schlechtergestellt sind als beim klassischen Verfahren.

Verbreitung

Erste kreditkartenausgebende Institute im deutschsprachigen Raum boten Kreditkarten mit 3-D-Secure-Verfahren ab 2008 an, darunter die mit der . Durch die Umsetzung der überarbeiteten in nationales Recht führen Banken EU-weit 3-D-Secure ein.

Kritik

Kritiker bemängeln, dass der Kunde sich ein weiteres sicheres Passwort dauerhaft einzuprägen hat, um mit der Karte im Internet zu bezahlen.)

Anfangs war es bei vielen kartenherausgebenden Institutionen möglich, dass sich auch Dritte einen neuen Sicherheitscode erzeugen, um damit im Internet einzukaufen. Der Nachweis, dass man der rechtmäßige Karteninhaber sei, war oftmals unzureichend. Seither kommen meist andere Verfahren zur Anwendung, sodass der Sicherheitscode nicht direkt im Registrierungsprozess online festgelegt wird. Nun wird ein Verifikationscode erzeugt, den Karteninhaber auf einem sicheren Weg erhalten ? etwa als einer oder per Brief.

Das Verbrauchermagazin '''' erläuterte in der Sendung am 21. Februar 2011 einen Missbrauchsfall, bei dem die geschädigte Kreditkarteninhaberin einen Schaden von knapp 3000 Euro erlitt, den die Bank nicht ersetzen will. Annabel Oelmann von der Verbraucherzentrale in Düsseldorf erklärte:

{{Zitat

 |Text=Wir k�nnen kein Anzeichen daf�r erkennen, dass die Sicherheit f�r den Kunden erh�ht wird. Ganz im Gegenteil: Der Kunde �bernimmt zus�tzlich das Risiko, dass er im Missbrauchsfalle daf�r haften muss. Das hei�t, ein Vorteil ist f�r den Kunden hier nicht ersichtlich.
 |ref=<ref>

Auch der '''' vom 26. Februar 2011 berichtete über einen deutschen Urlauber in Spanien, der bei Begleichung einer Rechnung dem Zahlungsempfänger seine Kreditkarte und seinen Personalausweis ausgehändigt hatte. Damit nahm der Zahlungsempfänger anscheinend heimlich eine 3-D-Secure-Registrierung vor und belastete das Kreditkartenkonto mit weiteren Abhebungen.

Die deutsche Kreditwirtschaft sicherte im Mai 2011 der zu, dass das 3-D-Secure-Verfahren deutsche Bankkunden nicht
schlechter stellen soll. Bei Kreditkarten anderer Anbieter sei eine 3-D-Secure-Registrierung erst ratsam, </ref>

Auch im Jahr 2019 gibt es noch Konstellationen, in denen die Haftungsfrage zu Ungunsten des Kunden ausfällt und die Registrierung zu 3-D Secure ein im Vergleich zu anderen Zahlungswegen für den Kunden riskant sein kann: Neben vielen anderen Banken wechselte auch die DKB vom statischen Sicherheitscode auf einen dynamischen Code per App oder mTAN. In ihren Sonderbedingungen für 3-D Secure legt die DKB einen Haftungsausschluss, wenn . Beim möglichen gleichzeitigen Verlust von Kreditkarte und Mobilfunkgerät kann ein Finder beliebige Zahlungen zu Lasten des Besitzers auslösen und verifizieren, wenn er Zugang zum Mobilgerät bekam (etwa durch eine einfache Tastensperre). Für diese missbräuchlichen Zahlungen haften Kunden vollständig bis zur Kartensperrung. Bei Zahlung ohne 3-D Secure haften Kunden dagegen nur bis maximal 50 ?. Bei Verlust stellen weder die auf der Karte aufgedruckten Daten, noch das 3-D-Secure-Verfahren eine Hürde für den einfachen Missbrauch dar, sondern nur die PIN oder vergleichbare Sicherungsmechanismen des Mobilgeräts. Das Risiko für Kunden ist hiermit höher als ohne Registrierung zum 3-D-Secure-Verfahren, unabhängig davon, ob man 3-D Secure überhaupt benutzt.
Zumindest beim DKB-Großkunden Credit Card ist die Haftung bei nicht grob fahrlässigem oder vorsätzlichem Verlust des Mobiltelefones mit der TAN auf ? 150,00 beschränkt.

Kritisch ist ebenfalls zu sehen, dass die Abwicklung des Verfahrens den Besitz eines entsprechenden voraussetzt. Für Kunden ohne ein solches wird derzeit noch keine Alternative angeboten.

Siehe auch

Websites

  • des Standards auf www.emvco.com (en)

Einzelnachweise