Online-Shopping: 3D-Secure-Verfahren für Kreditkartenzahlung im Internet
Mit dem neuen und gleichermaßen verpflichtenden 3D-Secure-Verfahren für Kreditkartenzahlung soll das Bezahlen per Kreditkarte im Internet in Zukunft deutlich sicherer werden. Elektronische Zahlungen werden nun zusätzlich mit Passwort, Transaktionsnummer (TAN) oder Fingerabdruck bestätigt. Dadurch soll es Kriminellen erschwert werden, Kreditkartenbetrug mit gestohlenen Kreditkartendaten wie z. B. Nummer und Prüfziffer zu vollziehen. Was dahinter steckt und wie es funktioniert, erfahren Sie in diesem Beitrag.
Neue Richtlinie ab Januar 2021 schreibt sicheren Zahlungsverkehr vor
Seit dem ersten Januar 2021 gilt eine neue EU-Richtlinie, nach der sich Kunden, die mit Kreditkarte zahlen möchten, stets auf zwei Arten identifizieren müssen. Die Zwei-Faktor-Authentifizierung (2FA) war bis zum 31. Dezember 2020 noch freiwillig und wurde beispielsweise bei MasterCard im Rahmen des MasterCard Identity Check durchgeführt. Mit dem nun verpflichtenden 3D-Secure-Verfahren für Kreditkartenzahlung soll sichergestellt werden, dass hinter jeder Kreditkartenzahlung auch tatsächlich der Besitzer der Karte steckt. Das Verfahren basiert dabei auf der zweiten Zahlungsdienstrichtlinie der Europäischen Union PSD2 (Payment Service Directive 2).
Mit dem 3D-Secure-Verfahren für Kreditkartenzahlung können sowohl Händler als auch Banken sicherstellen, dass sie die Sicherheitsvorgaben der Richtlinie erfüllen. Das Verfahren gab es bereits in einer ersten, bei vielen Kunden jedoch eher unbeliebten Version. Nicht wenige Händler verzichteten infolge häufiger Kaufabbrüche auf die Zwei-Faktor-Authentifizierung (2FA). Die neuere Version, die seit April 2019 erhältlich ist, soll nun einfacher für Kunden sein und zu weniger Abbrüchen führen. Wichtiger als die Bedienung ist jedoch die starke Kundenauthentifizierung, die durch das Verfahren bei elektronischen Zahlungen ermöglicht wird.
Wie funktioniert die Zwei-Faktor-Authentifizierung (2FA)?
Grundsätzlich muss die Identität des Karteninhabers über zwei voneinander unabhängige Faktoren nachgewiesen werden. Diese Faktoren sind in drei Kategorien eingeteilt:
- Wissen: Zu dieser Kategorie gehören beispielsweise Passwörter und persönliche Identifikationsnummern (PIN).
- Besitz: Als Faktoren gelten hier der Besitz der Kreditkarte oder des Smartphones.
- Inhärenz: Diese Faktoren basieren auf Eigenschaften oder Verhalten des Inhabers. Zur Authentifizierung werden beispielsweise Fingerabdrücke und Bewegungen verwendet.
Was heißt das nun konkret? Beim Onlineshopping werden künftig Kartennummer und Sicherheitscode nicht mehr ausreichen, damit Sie eine Transaktion in die Wege leiten können. Die Regel wird es sein, dass sich Karteninhaber zusätzlich mittels PIN, TAN, Passwort oder Fingerabdruck identifizieren müssen. Ein Prinzip, dass den meisten Nutzern bereits vom Online-Banking her bekannt sein dürfte, denn dort ist es seit Jahren üblich, sich mittels eigener Zugangsdaten einzuloggen und Transaktionen wie z. B. Überweisungen und Daueraufträge mithilfe einer TAN zu bestätigen. Gleiches gilt für das mobile Bezahlen über Apps wie z. B. Apple Pay oder Google Pay, denn auch hier werden zur zweifelsfreien Identifikation des Nutzers mehrere Faktoren wie Fingerabdruck oder Entsperrung mittels PIN herangezogen.
So funktioniert das 3D-Secure-Verfahren?
Sie können sich bei der Bank, von der Sie Ihre Kreditkarte erhalten haben, für das 3D-Secure-Verfahren für Kreditkartenzahlung registrieren. Das geschieht entweder im Rahmen der ersten Transaktion oder bereits vorher. Bei einigen Banken ist die Registrierung nicht notwendig und der Code wird automatisch zugestellt. Die genaue Funktionsweise des 3D-Secure-Verfahrens hängt nun von der jeweiligen Bank ab. Viele Banken verlangen hier ein persönliches Passwort oder eine Mitteilung. Sobald Sie im Internet einkaufen und mit Ihrer Kreditkarten bezahlen möchten, werden Sie im Rahmen des Transaktionsvorganges auf die Webseite der Bank oder des Kreditkartenanbieters weitergeleitet, von wo aus dann die Identifikation erfolgt. Damit Sie gleich erkennen können, dass es sich um eine vertrauenswürdige Webseite handelt, wird die persönliche Mitteilung zur Bestätigung angezeigt. Das ist aber nicht die einzige Möglichkeit, denn andere Banken schicken beispielsweise eine Transaktionsnummer (TAN) auf Ihr Mobiltelefon oder lassen Sie den Einkauf mittels Eingabe einer PIN bestätigen.
Findet das 3D-Secure-Verfahren bei jeder Transaktion Anwendung?
Ganz klar: Nein, es gibt Ausnahmen von der neuen Sicherheitsregel, die wir Ihnen im Folgenden kurz erläutern möchten. Diese Ausnahmen sind für Banken jedoch nicht verbindlich. Das heißt, sie entscheiden selbst, ob sie das Verfahren mit doppelter Identifizierung in diesen Fällen einsetzen oder nicht.
Grundsätzlich ist bei Zahlungen unter 30 Euro keine Zwei-Faktor-Authentifizierung nötig. Erst wenn fünf aufeinander folgende Zahlungen auf diese Weise durchgeführt wurden oder die Summe der Einzelzahlungen den Betrag von 100 Euro überschreitet, ist wieder eine starke Authentifizierung zur Kontrolle nötig.
Auch bei regelmäßig wiederkehrenden Zahlungen muss nicht jedes Mal eine Zwei-Faktor-Authentifizierung durchgeführt werden. Dabei kann es sich um ein Abonnement, die Überweisung der Miete oder die Telefonrechnung handeln. Diese Abbuchungen werden meist vom Vermieter bzw. Händler veranlasst und bedürfen daher keiner gesonderten Authentifizierung. Bei der Einrichtung von Daueraufträgen erfolgt in der Regel nur einmal eine doppelte Authentifizierung.
Daneben können Sie bestimmte Empfänger auf eine Whitelist setzen, für die dann unabhängig vom Betrag keine zweifache Authentifizierung mehr nötig ist. Diese Option muss aber von der Bank nicht angeboten werden und die Händler selbst unterliegen keiner gesonderten Überprüfung.
Welche Vor- und Nachteile bietet diese 2-Faktor-Authentifizierung bei Online-Zahlung mit Kreditkarte?
Durch die Einführung der doppelten Sicherheit bei Kreditkartenzahlung gibt es natürlich sowohl Vor- und Nachteile:
| Vorteile | Nachteile |
|---|---|
| mehr Sicherheit | umständlich, da ein zusätzliches Handy benötigt wird |
| kostenlos | Haftungsrisiko geht auf den Kunden über, wenn die Kreditkarte und das Handy entwendet wurde |
| keine zusätzliche Software notwendig |
Ist das 3D-Secure-Verfahren für Kreditkartenzahlung absolut sicher?
Das 3D-Secure-Verfahren für Kreditkartenzahlung zu umgehen ist zwar schwierig, aber nicht unmöglich. Denn kennt eine unbefugte Person sowohl die Kreditkartendaten als auch das 3D-Secure-Passwort, kann ein Kartenmissbrauch nicht mehr ausgeschlossen werden. Besitzt jemand sämtliche dazu erforderlichen Daten wie Name, Adresse und alle Details zur Kreditkarte, wäre es dieser Person sogar möglich, sich selbst beim 3D-Secure-Verfahren für Kreditkartenzahlung anzumelden. Es bleibt also auch mit dem neuen 3D-Secure-Verfahren erforderlich, die eigenen Daten stets sicher zu verwahren.
Ich heiße Quang Lam und arbeite bei der Hegner & Möller GmbH als Marketing Director. Ich interessiere mich sehr stark für die Themen Finanzen und Sport. In meiner Freizeit gehe ich gerne laufen und betreibe auch einen Laufblog. Ich schreibe für den creditSUN Blog nur über die Themen, die mich auch wirklich interessieren.
