3-D Secure

3-D Secure

3-D Secure ist ein Verfahren das für zusätzliche Sicherheit bei Online-Kreditkartentransaktionen eingesetzt wird. Es wurde von der Kreditkartenorganisation VISA entwickelt und wird unter dem Namen Verified by Visa angeboten. Unter dem Namen MasterCard SecureCode bietet auch MasterCard diesen Dienst an. Mit 3-D Secure sollen das Betrugsrisiko und der Ausfall von Zahlungen durch Kartenmissbrauch reduziert werden. Zudem wird den Shop-Betreibern, die 3-D Secure einsetzen, der Zahlungseingang garantiert.

Inhaltsverzeichnis

Funktion

Der Käufer gibt zunächst seine VISA- oder MasterCard-Kreditkartennummer ein. Danach wird eine Verbindung zum Kartenherausgeber hergestellt, damit der Käufer seine Identität mittels eines Codes dort bestätigt. War die Authentisierung erfolgreich, wird die Kreditkartenzahlung ausgeführt.

Wie die Authentifizierung genau ausgeführt wird, ist nicht im Protokoll festgelegt und hängt vom kartenausgebenden Institut ab. Häufig werden statische Passwörter verwendet. Beispielsweise besteht der MasterCard SecureCode aus mindestens 6 und höchstens 10 Zeichen, mindestens ein Zeichen davon muss eine Ziffer sein.[1] Teils werden auch sicherere Verfahren wie SMSTANs verwendet. Bei der Postbank wird die 3-D Secure Authentisierung nur abgefragt, wenn eine Online-Bestellung "einem bekannten Betrugsmuster ähnelt". In diesem Fall werden persönliche Merkmale abgefragt, die "in unmittelbarem Zusammenhang mit Ihrer Kundenbeziehung zur Postbank" stehen und "daher nur vom tatsächlichen Kreditkarteninhaber korrekt eingegeben werden" können.[2] Welche Merkmale das konkret sein könnten, wird von der Postbank nicht erläutert.

In jedem Fall ist der Code nicht auf der Karte selbst gespeichert oder vermerkt. Er ist nicht zu verwechseln mit der oftmals abgefragten 3-stelligen (manchmal auch 4-stelligen) Prüfziffer auf der Rückseite der Kreditkarte.

Vorteile für Banken sowie Händler und Haftung

Als Vorteil für den Kunden nennt MasterCard, dass der missbräuchliche Einsatz abgegriffener Kartendaten im E-Commerce stark eingeschränkt wird, da das Passwort durch den Kunden bei der Registrierung selbst festgelegt wird und nur ihm bekannt ist.

Vorteil für den Händler sei, dass dieser durch die Überprüfung des Passworts einen Nachweis für einen autorisierten Einkauf erhält. Dadurch werde seine Haftung für etwaige Rückbelastungen durch den Kunden eingeschränkt. Ohne 3-D Secure haftet immer der Betreiber des Webshops für missbräuchlich eingesetzte Kreditkarten. Bietet ein Webshop das 3-D Secure-Verfahren an, kommt es zu einer Haftungsumkehr: nun haftet die kartenausgebende Bank für Schäden aus missbräuchlich eingesetzten Karten. Diese Haftungsumkehr bewahrt den Händler vor einem Zahlungsausfall.

Manche Bank verlagert die Haftung in Missbrauchsfällen auf die Kunden. Sie verlangt Zahlung ohne einen konkreten Nachweis für ein Verschulden.[3] Verbraucherschützer halten das für rechtswidrig. Visa, MasterCard sowie der deutsche Banken- und Sparkassenverband haben zugesichert, Teilnehmer an 3-D Secure-Verfahren bei Missbrauch ihrer Kreditkartendaten nicht schlechter zu stellen als Inhaber von herkömmlichen Kreditkarten.[4]

Verbreitung

Als erste Kreditkarte in Deutschland bietet seit Januar 2008 die Lufthansa-Miles-&-More-Kreditkarte im Zuge der damaligen Umstellung von Visa zu MasterCard das SecureCode-Verfahren an.[5] Unter den Banken, die SecureCode anbieten, sind derzeit die DZ Bank (Volksbanken Raiffeisenbanken), die Deutsche Bank[6], die Commerzbank [7], die Norisbank [8], die Wüstenrot Bank[9], die Sparkassen-Finanzgruppe[10], HypoVereinsbank[11] sowie seit März 2010 die Sparda-Banken.[12]

Mittlerweile wird von jedem deutschen Acquirer – den Unternehmen, die Händlern die Kartenakzeptanz vermitteln – die Implementierung von MasterCard SecureCode oder Verified by Visa verpflichtend auferlegt.

Nachteile für den Karteninhaber

Kritiker bemängeln, dass das Verfahren für den Kunden fast nur Nachteile bietet: Weder sei der Datenschutz hinreichend gewahrt, noch sei das System für den Nutzer durchschaubar. Beim herkömmlichen Verfahren haftet im Missbrauchsfall im Internet in der Regel nicht der Kunde. Beim Kartendatenmissbrauch mit einem z.B. durch Phishing oder einen Trojaner erlangten Code wird der Kunde hingegen beweisen müssen, dass ihn kein grobes Verschulden trifft. Da dieser Beweis nahezu unmöglich ist, wird der Kunde für den Schaden haften müssen. Phishing-Angriffe würden beispielsweise durch die Notwendigkeit erleichtert, bei 3-D Secure ein Passwort auf einer Website einzugeben, die weder zum Händler noch zur Bank gehört. Außerdem hat sich der Kunde ein weiteres sicheres Passwort dauerhaft einzuprägen, um die Karte weiter wie gewohnt im Internet einsetzen zu können.[13][14] Problematisch ist zudem, dass sich 3-D Secure nur nutzen lässt, wenn man Pop-up-Blocker deaktiviert. [15] Im Prinzip kann jeder, der die rudimentären Daten des Karteninhabers und der Kreditkarte kennt, jederzeit einen neuen 3-D Securecode erzeugen, um damit im Internet einzukaufen. Der Beweis, dass der Karteninhaber nicht selbst den 3-D Securecode angelegt hat, ist nirgendwo gegeben und somit haftet der Inhaber erst recht.

Zwar berichtete das Verbrauchermagazin wiso in der Sendung am 21. Februar 2011 von einem konkreten Missbrauchsfall, bei dem die geschädigte Kreditkarteninhaberin einen Schaden von knapp 3000 Euro erlitt, den die Bank nicht ersetzen will. Annabel Oelmann von der Verbraucherzentrale in Düsseldorf erklärte dazu: "Wir können kein Anzeichen dafür erkennen, dass die Sicherheit für den Kunden erhöht wird. Ganz im Gegenteil: Der Kunde übernimmt zusätzlich das Risiko, dass er im Missbrauchsfalle dafür haften muss. Das heißt, ein Vorteil ist für den Kunden hier nicht ersichtlich." [16] Auch der ARD-Ratgeber vom 26. Februar 2011 berichtete über einen deutschen Urlauber in Spanien, der bei Begleichung einer Rechnung dem Zahlungsempfänger sowohl seine Kreditkarte als auch seinen Personalausweis ausgehändigt hatte. Damit war, so macht es den Anschein, der Zahlungsempfänger in der Lage, selbständig und ohne Kenntnis des Karteninhabers eine 3-D-Secure-Registrierung vorzunehmen und in weiterer Folge über das Kreditkartenkonto Verfügungen vorzunehmen.[17]

Die deutsche Kreditwirtschaft hat allerdings im Mai 2011 gegenüber der Stiftung Warentest zugesichert, dass bei Benutzung der neuen Verfahren keine Schlechterstellung deutscher Bankkunden zu befürchten sein soll. Stiftung Warentest meint daher seither, dass bei deutschen Karten keine Bedenken gegen Teilnahme an 3-D Secure bestehen. [18]

Einzelnachweise

  1. http://eurokartensysteme-securecode.de/faq.html
  2. http://www.postbank.de/-snm-0184330283-1306380827-068c200000-0000000170-1306386537-enm-privatkunden/3d_secure_so_gehts.html;jsessionid=AA857C5F18088682FD716FA615261D0B7128.f086
  3. Vorsicht mit UniCredit-Karten
  4. Stiftung Warentest: Mehr Sicherheit durch SecureCode und Verified by Visa
  5. http://www.miles-and-more.com/online/portal/mam/de/program/information?nodeid=2544146&l=de&cid=18002
  6. http://www.deutsche-bank.de/pbc/pk-konto_karten-motivkarte.html?tab=4
  7. http://www.commerzbank.de/sicher-einkaufen
  8. http://www.norisbank.de
  9. https://secure5.arcot.com/vpas/pluscard_mc/enroll/index.jsp?locale=de_DE&bankid=4488
  10. http://presse.dsgv.de/owx_1_41_1_11_1_00000000000000.html?tabellenid=3&lim_start=30&id=1360&aktion=mehr#top
  11. http://www.hypovereinsbank.de/portal?view=/privatkunden/228789.jsp&hvbicid=hint0067
  12. http://www.sparda.de/3d-secure.php
  13. Forscher kritisieren Kreditkartentechnik 3-D Secure
  14. Steven J. Murdoch and Ross Anderson: Verified by Visa and MasterCard SecureCode: or, How Not to Design Authentication Financial Cryptography and Data Security '10, 25-28 January 2010
  15. SecureCode FAQ
  16. Der Schwarze Peter liegt beim Kunden
  17. Rückschau: Kreditkarten-Schaden. Wie Betrüger Geld abheben
  18. Kreditkarten mit „MasterCard SecureCode“ und „Verified by Visa“: Mehr Sicherheit

Weblinks


Wikimedia Foundation.

Игры ⚽ Поможем написать реферат

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Secure messaging — is a server based approach to protect sensitive data when sent beyond the corporate borders and provides compliance with industry regulations such as HIPAA, GLBA and SOX. Advantages over classical secure e Mail are that confidential and… …   Wikipedia

  • Secure multi-party computation — (also known as secure computation or multi party computation (MPC)) is a sub field of cryptography. The goal of methods for secure multi party computation is to enable parties to jointly compute a function over their inputs, while at the same… …   Wikipedia

  • Secure communication — includes means by which people can share information with varying degrees of certainty that third parties cannot know what was said. Other than communication spoken face to face out of possibility of listening, it is probably safe to say that no… …   Wikipedia

  • Secure Messaging — (englisch für „Sicheres Mailen“) bezeichnet ein serverbasiertes sicheres E Mail System. E Mails sind dabei bei der Übermittlung vor Einsichtnahme Dritter geschützt, Vertraulichkeit ist gewährleistet. Secure Messages haben eine hohe… …   Deutsch Wikipedia

  • Secure voice — (alternatively secure speech or ciphony) is a term in cryptography for the encryption of voice communication over a range of communication types such as radio, telephone or IP. Contents 1 History 2 Analog Secure Voice technologies 3 Di …   Wikipedia

  • Secure messaging — (englisch für „Sicheres Mailen“) bezeichnet ein serverbasiertes sicheres E Mail System. E Mails sind dabei bei der Übermittlung vor Einsichtnahme Dritter geschützt, Vertraulichkeit ist gewährleistet. Secure Messages haben eine hohe… …   Deutsch Wikipedia

  • Secure Shell — or SSH is a network protocol that allows data to be exchanged using a secure channel between two networked devices. RFC 4252] Used primarily on Linux and Unix based systems to access shell accounts, SSH was designed as a replacement for TELNET… …   Wikipedia

  • Secure Computing — Corporation Rechtsform Corporation Gründung 1984 Auflösung …   Deutsch Wikipedia

  • Secure by default — Secure by default, in software , means that the default configuration settings are the most secure settings possible, which are not necessarily the most user friendly settings. In many cases, security and user friendliness is waged based on both… …   Wikipedia

  • Secure by design — Secure by design, in software engineering, means that the software has been designed from the ground up to be secure. Malicious practices are taken for granted and care is taken to minimize impact when a security vulnerability is discovered. For… …   Wikipedia

  • Secure Pack Rus — Тип защита информации, защита от НСД Разработчик CиЭйЭн Операционная система Microsoft Windows Server 2003 Enterprise Edition и Microsoft Windows XP Professional Языки интерфейса русский Последняя версия SPR 3.0 …   Википедия

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”