3-D Secure ist ein Verfahren, das die Sicherheit beim Online-Shopping erhöhen soll. Es wird angewandt bei Online-Zahlungen via Kreditkarte und stellt sicher, dass Nutzer ihre Identität beziehungsweise die rechtmäßige Verwendung der Kreditkarte mit zwei unterschiedlichen Methoden bestätigen. Wir fassen zusammen, wie 3-D Secure funktioniert, was das Verfahren so sicher macht und wie Unternehmen davon profitieren können.
3D-Secure-Verfahren im Überblick
Ursprünglich hat die Kreditkartenorganisation Visa das Verfahren für ihren Dienst Verified by Visa entwickelt. Mastercard, JCB oder American Express haben das Verfahren jeweils adaptiert und später in eigene Dienste integriert: Dort heißen sie Identity Check (SecureCode), J/Secure oder SafeKey. Die EMVCo hat dieses Verfahren inzwischen standardisiert – eine Organisation, die aus einer Zusammenarbeit zwischen Europay International (heute MasterCard Europe), Mastercard und Visa entstanden ist. Gemeinsam entwickeln sie dort Standardverfahren für Zahlungskarten.
Wer mit der Kreditkarte bezahlen möchte, wird im ersten Schritt dazu aufgefordert, seine Kreditkartendaten anzugeben: Kreditkartennummer, Vor- und Zuname, Ablaufdatum und den Sicherheitscode CVV. Mit dem 3-D-Secure-Verfahren folgt nach der Eingabe der Daten aber noch ein weiterer Schritt zur Verifikation: Das kann die Bestätigung mit Hilfe eines Passworts sein, die Eingabe einer SMS-TAN oder die Verwendung des Fingerabdrucks.
Entscheidend für das 3D-Secure-Verfahren ist nur, dass die Identität des Kreditkarteninhabers auf zwei unterschiedliche Arten bestätigt wird, wobei die erste in der Regel die Eingabe der Kreditkartendaten ist.
3D Secure mit Visa
Visa hat das 3D-Secure-Verfahren ursprünglich entwickelt – für ihren Dienst Verified by Visa. Inzwischen wurde Verified by Visa durch Visa Secure ersetzt, das zugrundeliegende Prinzip blieb aber bestehen.
3D Secure mit Mastercard
Bei Mastercard wird das 3D-Secure-Verfahren in den sogenannten Mastercard® Identitiy Check™ integriert. Hier kann die jeweilige Bank ausgewählt und von dort der Registrierungsprozess für das Verfahren abgeschlossen werden.
Sicherheit bei Online-Zahlungen
Um die Funktionsweise von 3D Secure im Detail erklären zu können, ist es entscheidend, die Grundlage des Verfahrens zu kennen: Seit Dezember 2020 ist eine zweifache Identifizierung bei der Kreditkartenzahlung nämlich verpflichtend. Die sogenannte Payment Service Directive 2, kurz PSD2, sieht vor, dass bei allen elektronischen Zahlungen in der Europäischen Union die Identität des Zahlenden zweifach bestätigt werden muss. Hintergrund der PSD2 ist der Wunsch, das Bezahlen im Internet sicherer zu machen und neue Möglichkeiten zu eröffnen.
Für die Identifikation des Karteninhabers sind zwei unterschiedliche Faktoren notwendig – ein Prozess, der als Zwei-Faktor-Authentifizierung oder als starke Kundenauthentifizierung bezeichnet wird. Diese Faktoren sind in drei unterschiedliche Kategorien unterteilt. Es ist bei der starken Kundenauthentifizierung nicht erlaubt, zwei Faktoren aus einer Kategorie zu verwenden – sie müssen aus unterschiedlichen kommen.
Die drei Kategorien der Faktoren für sichere elektronische Zahlungen:
- Wissen: Passwort oder Pin
- Besitz: Kreditkarte oder Smartphone
- Eigenschaften bzw. Verhalten: Fingerabdruck oder Bewegung
Üblicherweise ist der erste Schritt ein Faktor aus der Kategorie Besitz: Indem der Nutzer seiner Kreditkartendaten angibt, weist er nach, dass er im Besitz der Kreditkarte ist. Dazu ist nun noch Faktor aus der Kategorie Wissen oder aus der Kategorie Inhärenz (Eigenschaften bzw. Verhalten) notwendig: die Eingabe eines Passworts oder das Verwenden des Fingerabdrucks.
Das betrifft übrigens nicht nur das 3D-Secure-Verfahren und Kreditkartenzahlungen, sondern alle elektronischen Zahlungen in der EU: Bekannt ist das vor allem aus dem Online-Banking. Der Login findet über die persönlichen Zugangsdaten statt, eine Zahlung muss später nach durch die zusätzliche Eingabe einer Pin, Tan oder durch einen Fingerabdruck bestätigt werden.
Wie funktioniert 3D Secure?
Um 3D Secure verwenden zu können, ist häufig eine Registrierung für das Verfahren Voraussetzung. Die kann entweder direkt über das Online-Banking bei der Bank vorgenommen werden, die die Kreditkarte herausgegeben hat oder aber der Karteninhaber wird dazu bei seinem ersten Einkauf in einem Online-Shop aufgefordert, der das Verfahren verwendet. Nicht bei allen Banken ist eine Registrierung aber Voraussetzung: Bei manchen erhält der Nutzer den Code fürs Bezahlen einfach per SMS an die Telefonnummer, die bei der Bank hinterlegt ist.
Wie das 3D-Secure-Verfahren nun im Detail abläuft, wird von der jeweiligen Bank bestimmt. Sie kann beispielsweise nun bei jedem Einkauf eine neue Tan an den Nutzer schicken oder ihn immer zur Eingabe einer Pin auffordern. Oder aber bei der Registrierung für das Verfahren wird ein Passwort, sowie eine persönliche Mitteilung hinterlegt. Mit dem Passwort bestätigt der Käufer nun immer seine Identität – und der Online-Shop zeigt ihm die persönliche Mitteilung an. Damit weiß der Nutzer, dass es sich um einen vertrauenswürdigen Online-Shop handelt und er das sichere 3D-Secure-Verfahren verwendet.
Das neue 3D Secure reagiert auf das Smartphone
Als das ursprüngliche 3D-Secure-Verfahren entwickelt wurde, war das Bezahlen mit dem Smartphone noch Neuland. Mit dem heute modernen Verfahren reagieren die Banken und Kreditkartenorganisationen auf das veränderte Einkaufsverhalten – und damit auf die Dominanz des Smartphones. Faktoren wie die Verwendung des Fingerabdrucks wurden dadurch möglich.
Und: Mit der neuen Version des 3D-Secure-Verfahrens tauschen Bank und Händler mehr Informationen miteinander aus als bisher. Das dient in erster Linie der Prävention von Betrug. So gleicht die Bank beispielsweise ab, ob die vom Händler übertragenen Daten zu denen passen, die die Bank vom Nutzer vorliegen hat. Verwendet er den gleichen Browser wie sonst, das gleiche Smartphone und die gleiche Lieferadresse? Gibt es hier Abweichungen von der Norm, kann das auf einen Missbrauch der Daten hindeuten und die Bank zusätzliche Maßnahmen ergreifen lassen.
Wie sicher ist das 3D-Secure-Verfahren?
Mit dem 3D-Secure-Verfahren hat sich die Sicherheit bei elektronischen Zahlungen enorm erhöht. Dennoch gibt es Ausnahmen, bei denen das Verfahren mit Blick auf die Nutzerfreundlichkeit nicht zum Einsatz kommt. Schließlich gibt es in vielen Fällen keinen Anlass zur Sorge vor Betrug – oder aber der Schaden, der bei einem Betrug entstehen würde, wäre so gering, dass Bank und / oder Händler bereit sind, für einen möglicherweise entstehenden Schaden zu haften. In welchen Situationen das der Fall ist, haben wir in der folgenden Übersicht zusammengestellt.
Ausnahmen, in denen das 3D-Secure-Verfahren nicht eingesetzt werden muss:
- Zahlungen unter 30 Euro: Tätigt der Nutzer einen Kauf von unter 30 Euro, ist keine starke Kundenauthentifizierung aufgrund des geringen möglichen Schadens notwendig. Wird durch mehrere Käufe unter 30 Euro die Summe von 100 Euro aber überschritten, muss eine starke Kundenauthentifizierung erfolgen – oder nach fünf aufeinander folgenden Zahlungen.
- Whitelists für Händler: Banken können sogenannte Whitelists anbieten, auf die die Karteninhaber ihre bevorzugten Online-Shops setzen können – bei denen sie aus der Vergangenheit bereits wissen, dass sie seriös und vertrauenswürdig sind. Beim Einkauf bei diesen Händlern ist entsprechend keine starke Kundenauthentifizierung mehr nötig. Banken sind aber nicht zu solchen Listen verpflichtet.
- Wiederkehrende Zahlungen: Durch einen Wandel in unserer Gesellschaft sind Abo-Modelle heute immer beliebter. Wie bei der Mobilfunkrechnung werden die Kosten dafür einfach vom Händler eingezogen. In solchen Fällen ist eine starke Kundenauthentifizierung nicht notwendig. Bei Abschluss des Abos wird bereits sichergestellt, dass eine hohe Sicherheit vorhanden ist.
- Zahlungen unter 500 Euro mit geringem Risiko: Bei manchen Einkäufen rechnet die Bank mit nur einem geringen Betrugsrisiko. Das kann auf unterschiedlichen Annahmen basieren. Ist das der Fall, kann der Einkauf mit der klassischen, einfachen Authentifizierung abgeschlossen werden. Das gilt aber nur für Einkäufe unter 500 Euro.
Das heutige 3D-Secure-Verfahren ist wohl das sicherste Verfahren für elektronische Zahlungen aller Zeiten. Doch selbst ein solches Verfahren hat Lücken. Kennt beispielsweise jemand die Kreditkartendaten eines Nutzers, sowie das 3D-Secure-Passwort, kann er damit online einkaufen – selbst in solchen Fällen werden Banken aber hellhörig, wenn der Einkauf von einer neuen Adresse oder einem neuen Gerät durchgeführt wird. Oder aber er hat Kreditkartendaten, Namen und Adresse des Inhabers und kann sich selbständig für das 3D-Secure-Verfahren in seinem Namen anmelden – ohne, dass der Nutzer es merkt.
Falls es tatsächlich mal – trotz 3D-Secure-Verfahren – zum Betrug kommt, haftet die Bank oder in Ausnahmefällen der Händler. Die Bank ist es, die einschätzen muss, welches Risiko bei welcher Zahlung besteht. Visa und Mastercard haben dafür eine sogenannte „Zero Liability Policy“ eingeführt, die letztlich besagt, dass der Karteninhaber für nichts haften muss, was er nicht freigegeben hat. Ausnahmen gelten bei grob fahrlässigem Verhalten.
Moss: Firmenkarten mit 3D Secure für Unternehmen
Moss bietet Unternehmen Firmenkarten mit 3D Secure an – ganz gleich, ob als Kreditkarte mit bis zu 749.000,- EUR Kreditrahmen oder als Debitkarte mit einem schnellen Start ohne Risikoprüfung. Eingebunden in eine ganzheitliche Ausgabenlösung erleichtern unter anderem die Firmenkarten das Ausgabenmanagement im Unternehmen. Zusätzlich helfen hilft hier eine vereinfachte vorbereitende Buchhaltung durch automatisiertes Vorsortieren und Zuordnen zu Kostenstellen von Transaktionen – die digital erfasst und belegt werden können.
Das Unternehmen kann innerhalb weniger Sekunden neue Firmenkarten anlegen, mit festen Budgets versehen und bestimmten Mitarbeitern zuweisen – so behalten sie die Kontrolle und alle Ausgaben stets im Blick, während der Mitarbeiter keine Auslagen mehr tätigen muss. Durch den Belegupload via Web und Mobile App spart die Buchhaltung wiederum Zeit beim Sammeln von Belegen.
Firmenkarten von Moss mit 3D Secure bieten sicheren Schutz beim Online-Shopping – und sparen Unternehmen zugleich wertvolle Zeit bei ihrem Ausgabenmanagement, die sie schließlich in die Themen investieren können, auf die es ankommt.
FAQs
3-D Secure ist ein Verfahren, das das Online-Shopping mit Kreditkarte sicherer macht. Gängige Kreditkarten wie Visa und Mastercard setzen auf das Verfahren. Mit Hilfe dieses Verfahrens muss sich der Nutzer zweimal authentifizieren, um eine Zahlung tätigen zu können. Das reduziert das Risiko, dass Betrüger mit Kreditkarten zahlen, von denen sie nur die Daten kennen – ohne aber ihr Inhaber zu sein.
Organisationen, die Kreditkarten mit 3D Secure anbieten, vergeben häufig beim Aktivieren des 3D-Secure-Verfahrens ein Passwort. Mit Hilfe der Kreditkartendaten und mit Hilfe des Passworts können die Nutzer nun online mit der Kreditkarte zahlen. Durch diese beiden Methoden werden die Anforderungen an eine starke Kundenauthentifizierung erfüllt, sodass entsprechend eingekauft werden kann.
In der Regel müssen sich Nutzer für 3D Secure bei der Kreditkarte herausgebenden Organisation registrieren. Häufig wird dabei ein Passwort vergeben, das künftig bei Zahlungen mit angegeben werden muss, um zusätzlich zu den Kreditkartendaten so die Anforderungen einer Zwei-Faktor-Authentifizierung zu erfüllen.
Um mit 3D Secure sicher online bezahlen zu können, müssen sich Nutzer auf zwei unterschiedliche Arten identifizieren. Dabei müssen sie aus zwei von drei Kategorien wählen: Wissen (Passwort oder Pin), Besitz (Kreditkarte oder Smartphone) oder Inhärenz (Fingerabdruck oder Bewegungen). So wird eine starke Kundenauthentifizierung und damit ein hoher Schutz vor Betrug sichergestellt.
3D Secure gilt als das sicherste Verfahren für elektronische Zahlungen. Eine 100% Sicherheit gibt es aber nie. Falls jemand die Kreditkartendaten und das Passwort eines Nutzers kennt, kann er ihn beispielsweise betrügen. Oder aber, wenn die Bank ein Risiko als gering einschätzt und nur eine einfache Authentifizierung fordert. In diesem Fall sind die Beträge aber in der Regel sehr gering und der Schaden nicht hoch.
Wenn es trotz 3D Secure zu einem Betrug kommt, haftet die Bank oder in seltenen Fällen der Händler. Der Nutzer haftet nur bei grob fahrlässigem Verhalten. In der Regel ist aber die Bank in der Verantwortung: Sie muss das Risiko bei einer elektronischen Zahlung einschätzen und darauf basierend entscheiden, wie sich der Nutzer authentifizieren muss.