Das 3-D-Authentifizierungsverfahren ist, vereinfacht ausgedrückt, ein Verschlüsselungssystem, das das Bezahlen mit Kreditkarte im Internet sicherer machen soll. 3-D steht dabei für 3 Domains. Das heißt, es wird eine dreistufige Sicherheitsabfrage angewandt, bevor die Kreditkartentransaktion veranlasst wird. Jeder Anbieter von Kreditkarten bietet dieses Verschlüsselungsverfahren an. Sie haben allerdings alle einen unterschiedlichen Namen. Bei Visa wird das System „Verified by Visa“ genannt. Bei MasterCard heißt es „SecureCode“, bei American Express „SafeKey“. Das Prinzip ist aber überall das gleiche.
Das bedeutet 3-D Secure
Für den Nutzer bedeutet 3-D Secure, dass er über drei Domains geleitet wird, bevor die Online-Zahlung per Kreditkarte tatsächlich ausgeführt wird. Der erste Teil des 3-D-Verfahrens beginnt in dem Moment, in dem man die Daten seiner Kreditkarte ins Bezahlfeld der Online-Shops eingibt. Daraufhin wird die Kommunikation des Shopservers mit dem des Kreditkarteninstitutes hergestellt.
Der zweite Schritt ist dann die Aufforderung, einen individuellen Code einzutippen. Dies passiert entweder in einem neuen Fenster oder in einem Pop-up-Window, auf deren Domain der User gerade weitergeleitet wurde. Stimmt der Sicherheitscode, wird der dritte Teil initiiert. Wurde die Identität positiv bewertet, gibt das Bankinstitut die Zahlung per Kreditkarte frei.
So funktioniert das 3-D-Secure-Verfahren
Es gibt zwei Varianten des 3-D-Secure-Verfahrens. Das statische Verfahren und das dynamische. Unter dem dynamischen 3-D Secure versteht man die Generierung eines einmalig gültigen Codes pro Transaktion. Das Prinzip wird für Einkäufe per Kreditkarte ebenso angewandt wie für Überweisungen im Online-Banking.
Beim dynamischen 3-D Secure erhalten Nutzer von Kreditkarte einen Code auf ihr Smartphone geschickt. Diesen müssen sie beim Bezahlvorgang eingeben, bevor sie den nächsten Schritt – das tatsächliche Ausführen der Transaktion – unternehmen können. Nur wenn der Code übereinstimmt, gibt das Finanzinstitut die Zahlung frei.
Das statische 3-D-Secure-Code ist ein individueller Passkey, der dem Inhaber der Kreditkarte zugewiesen wird. Ähnlich einer PIN zum Bezahlen oder Bargeldabheben per Kreditkarte. Dieser Code ist nirgendwo gespeichert und steht auch nicht wie etwa der dreistellige CVV auf der Rückseite der Kreditkarte. Er ist lediglich dem Karteninhaber bekannt und individuell zugewiesen.
Mehr Sicherheit bei Transaktionen mit Kreditkarte dank 3-D Secure?
Immer wieder werden kritische Stimmen laut, die die verbesserte Sicherheit durch 3-D Secure bezweifeln. So bemängeln etwa Verbraucherschützer, dass das Online-Shopping nur durch eine zusätzliche Hürde verkompliziert würde, die dem Karteninhaber aber keine wirklichen Vorteile biete. Als Beweis werden einzelne Fälle angeführt, in denen Betrüger die Kreditkartendaten abgegriffen haben und darüber dann beim Anbieter einen neuen 3-D-Secure-Code zu beantragen.
Die Anbieter von Kreditkarten hingegen verweisen auf die ständig verbesserten Verschlüsselungstechnologien für das 3-D-Secure-Verfahren. So müssen bei vergessenem 3-D-Secure-Code zuvor festgelegte, persönliche Fragen beantworte, bevor sie einen neuen Code zugewiesen bekommen. Das macht es Betrügern auch beim statischen Verfahren schwerer, unberechtigt an Ersatzcodes heranzukommen.
Dynamische Code-Vergaben werden durch End-to-End-Verschlüsselungen und begrenzte Gültigkeitsdauer ebenfalls immer sicherer gestaltet. Hinzu kommen intelligente Systeme, die unsichere Gateways erkennen und den Käufer warnen, den Bezahlvorgang per Kreditkarte fortzusetzen. Auch die zuvor viel kritisierte Haftungsumwälzung auf den Kunden, den die Einführung von 3-D Secure scheinbar mit sich brachte, wurde zugunsten der Nutzer geändert
Ein nicht per 3-D Secure autorisierter Bezahlvorgang mit einer Kreditkarte nimmt im Missbrauchsfall den Online-Händler in die Haftung. Eine Transaktion, bei der das 3-D-Secure-Verfahren zum Einsatz kam, wird von den Kreditkarteninstituten mittlerweile zugunsten des Kunden ausgelegt. Das bedeutet, dass die Haftung nicht automatisch beim Inhaber der Kreditkarte liegt. Auch dann nicht, wenn doch einmal ein missbräuchlicher Einsatz vorliegt.
3-D Secure oder nicht
Übrigens liegt die Entscheidung, ob man per 3-D Secure bezahlt oder nicht, nicht beim Kunden. Das dreistufige Sicherheitsverfahren wird von Kreditkarteninstitut und Online-Shop vereinbart und über mehrere Schnittstellen standardisiert. Mittlerweile ist 3-D Secure bei den meisten seriösen Anbietern und Händlern ohnehin Pflicht.Redakteur: Markus Gildemeister