3D-Secure-Verfahren: Sicheres Online-Shopping europaweit

Kreditkartendaten sind bei Betrüger:innen besonders beliebt – eine lange Zeit reichte es aus, online Kreditkartennummer, Karteninhaber, Ablaufdatum und Kartenprüfnummer anzugeben, um Käufe durchzuführen.

Wer die Daten besaß, ganz gleich, ob rechtmäßig erworben oder nicht, konnte entsprechend Ausgaben tätigen. Mit dem 3D-Secure-Verfahren kommt eine neue Sicherheitsebene hinzu: die 2-Faktor-Authentifizierung.

Mit dem 3D-Secure-Verfahren erhalten Kreditkartenzahlungen eine dritte Sicherheitsebene. Sicherheitsebene 1 ist die Angabe der klassischen Kreditkartendaten: Kreditkartennummer, Name des Karteninhabers und das Ablaufdatum. Die zweite Sicherheitsebene ist die Angabe der sogenannten CVC-Nummer. Das 3D-Secure-Verfahren bildet die dritte Sicherheitsebene und erfordert eine zusätzliche Autorisierung.

An 3D Secure sind drei Parteien beteiligt: das Kreditkartenunternehmen, Händler:innen und die Karteninhaber:innen. Der Handel erhält die Zahlung und profitiert von dem geringeren Risiko einer späteren Rückbuchung im Falle eines Betrugs, die Käufer:innen schützen sich vor einer unrechtmäßigen Verwendung ihrer Kreditkarte und das Kreditkartenunternehmen reduziert seinen Aufwand für die Aufarbeitung von Schadensfällen.

Die Beteiligung dieser drei Parteien an dem Prozess der Kreditkartenzahlung mit 3D Secure ist namensgebend für das Verfahren.

Letztlich profitieren alle drei Parteien von der Minimierung des Betrugsrisikos. Durch das 3D-Secure-Verfahren kann der Kreditkartenmissbrauch beim Online-Shopping sogar bei Diebstahl der Karte erheblich reduziert werden.

Das 3D-Secure-Verfahren kommt beim Online-Shopping zum Einsatz: Dort fungiert es als dritte Sicherheitsebene neben der Angabe der Kreditkartendaten sowie der CVC-Nummer. Wer im Internet einen Kauf mit seiner Kreditkarte durchführt, gibt zunächst wie üblich seine Daten ein – und wird im Anschluss dazu aufgefordert, den Kauf zu autorisieren. Diese Autorisierung ist das 3D-Secure-Verfahren.

Es gibt dabei verschiedene Möglichkeiten einer Autorisierung:

• über ein individuell festgelegtes persönliches Passwort

• über eine einmalige SMS-TAN

• über eine Smartphone-App des Kreditkartenunternehmens

Wie die Autorisierung ausgestaltet ist, entscheidet letztlich das Kreditinstitut als Herausgeber der Kreditkarte. In manchen Fällen, wenn das Kreditkartenunternehmen verdächtige Transaktionen erkennt, kann es sein, dass zusätzlich gewisse persönliche Informationen wie z. B. die aktuelle Adresse abgefragt werden. Die Autorisierung findet dabei auf einer separaten Website des Kreditinstituts statt.

Hier wirst du in der Regel mit einer persönlichen Nachricht begrüßt – ist das nicht der Fall, kann das für dich ein Hinweis sein, dass die Verbindung nicht sicher ist. Brich den Kauf ab und melde dich beim Kreditinstitut.

Registrierung für das 3D-Secure-Verfahren

Voraussetzung für das Nutzen des 3D-Secure-Verfahrens ist die initiale Registrierung. Entweder registrierst du dich für 3D Secure direkt bei der Bank, die deine Kreditkarte herausgibt. Alternativ kannst du den Prozess starten, wenn du bei einem Online-Shop bezahlen möchtest, der das Verfahren anbietet.

Um dich zu registrieren, wird das Kreditkartenunternehmen persönliche Daten von dir abfragen und dir ggf. einen Code schicken, den du bei der Registrierung angeben musst. Es gibt aber genauso Banken, die keine Registrierung erfordern und dir stattdessen per SMS entsprechende Codes schicken.

Ablauf des 3D-Secure-Verfahrens

Damit besteht das 3D-Secure-Verfahren im Wesentlichen aus drei Schritten: Registrierung, Authentifizierung und Autorisierung. Zunächst ist eine Registrierung für das Verfahren beim Kreditinstitut nötig, danach identifizierst du dich als rechtmäßige:r Inhaber:in der Kreditkarte und autorisiert im letzten Schritt den Kauf.

So hilft das 3D-Secure-Verfahren, das Risiko eines Kreditkartenbetrugs deutlich zu reduzieren – neben den Kreditkartendaten ist so nämlich in der Regel das Smartphone der Karteninhaber:innen für die einmaligen SMS-TANs oder das Passwort zusätzlich nötig.

Das 3D-Secure-Verfahren bietet für alle drei beteiligten Parteien erhebliche Vorteile.

Die Karteninhaber:innen profitieren von der erhöhten Sicherheit und schützen sich vor Kreditkartenbetrug beim Online-Shopping. Zwar handelt es sich bei 3D Secure um eine weitere Sicherheitsebene und damit um mehr Aufwand beim Online-Kauf, dafür ist das Verfahren als solches vergleichsweise einfach und schnell. Außerdem entfällt der Prozess bei Einkäufen unter 30 €, bei wiederkehrenden Zahlungen und bei Händlern, die du speziell dafür freigibst.

Der Handel profitiert ebenfalls: Sein Risiko sinkt, dass ein Kauf aufgrund von Betrug storniert oder retourniert werden muss. Zudem vertrauen Nutzer:innen dem Handel mehr, wenn er das 3D-Secure-Verfahren anbietet und überhaupt die Sicherheit ernst nimmt. Und es gibt noch einen weiteren entscheidenden Vorteil: Im Betrugsfall haften bei Verwendung von 3D Secure nicht mehr die Händler:innen, sondern das beteiligte Kreditinstitut.

Das wiederum schützt seine Kund:innen und damit sich selbst vor Betrug. Es reduziert damit sein Risiko, Zahlungen stornieren und entsprechende Ausgaben wieder gutschreiben zu müssen.

Ursprünglich entwickelt hat 3D Secure VISA – dort wurde das Verfahren ursprünglich als „Verified by VISA“ bezeichnet, heute heißt es “Visa Secure”. Das inzwischen standardisierte Verfahren verwenden außerdem unter anderem Mastercard („Identity Check (Secure Code)“), JCB („J/Secure“), American Express („SafeKey“).

Inzwischen ist das Verfahren EU-weit bei Banken Standard, nachdem die überarbeitete Zahlungsdiensterichtlinie (PSD2) in nationales Recht überführt wurde.

Da das 3D-Secure-Verfahren beim Online-Shopping inzwischen verpflichtender Standard ist, empfiehlt es sich, sich von vornherein mit dem Thema auseinanderzusetzen. Wenn du eine neue Kreditkarte beantragst, kannst du dich direkt für 3D Secure registrieren – und sofort mit dem Einkaufen beginnen. Wenn du bereits eine Kreditkarte hast, informiere dich bei deinem Kreditinstitut über das Verfahren.

Oder aber du shoppst einfach los – wenn du deine Kreditkartendaten angibst, werden dich die Unternehmen, bei denen du einkaufst, automatisch in den Registrierungsprozess führen.

Die sichersten Methoden, 3D Secure durchzuführen, sind die Autorisierungen deiner Einkäufe mit einer SMS-TAN, mit einem Einmalpasswort oder einer Bestätigung innerhalb deiner Kreditkarten-App. Die ursprünglich mögliche Eingabe eines von dir festgelegten Passworts gibt es seit der Einführung von 3D Secure 2.0 nicht mehr – zu groß war das Risiko, dass das Passwort an die falschen Personen gerät oder aber vergessen wird.

Für die größtmögliche Sicherheit beim Online-Shopping solltest du darauf achten, dein Smartphone, mit dem du deine Käufe bestätigst, nicht aus der Hand zu geben. Schütze den Zugriff mit einem PIN, Touch oder Face ID und stelle sicher, dass nur du darauf zugreifen kannst.

3D Secure für Händler: Integration in die Online-Shops

Wie Händler 3D Secure in ihren Online-Shop integrieren können, ist abhängig von der zugrundeliegenden Shop-Software und dem angebundenen Zahlungsdienstleister. Bist du Händler:in, solltest du dich entsprechend bei dem Hersteller deiner Software nach Integrationsmöglichkeiten erkundigen.

Um von der Haftungsumkehr auf das Kreditinstitut zu profitieren, musst du als Händler das Logo von z. B. Visa Secure oder Mastercard Identity Check auf deiner Website zeigen.

Das 3D-Secure-Verfahren ist inzwischen europaweit für Banken und Online-Händler:innen verpflichtend. Mit Einführung von 3D Secure 2.0 konnte die Sicherheit durch die dynamischen Verfahren zur Autorisierung nochmals erhöht werden. Nachteilig ist das Verfahren allerdings für Menschen, die kein Smartphone besitzen – diese haben Stand heute keine Möglichkeit, 3D Secure zu nutzen und damit online mit ihrer Kreditkarte zu bezahlen.