3D-Secure-Verfahren Onlineshopping mit mehr Sicherheit

Eine Frau tippt ihre Kreditkartennummer in einen Laptop ein.
© filadendron via Getty Images / iStockphoto

Kreditkartennummer, Name und Prüfnummer – mehr Daten waren lange Zeit nicht erforderlich, um mit einer Kreditkarte im Internet zu bezahlen. Was für Verbraucher äußerst komfortabel erschien, erwies sich als Einfallstor für Kriminelle. Denn auch sie benötigten lediglich diese drei Daten, um eine Kreditkarte missbräuchlich einzusetzen. Daher wurde das 3D-Secure-Verfahren entwickelt.

Was ist das 3D-Secure-Verfahren?

Beim sogenannten 3D-Secure-Verfahren handelt es sich um einen neuen Sicherheitsstandard für die Kreditkartenzahlung im Internet. Der Name 3D leitet sich von der dritten zusätzlichen Sicherheitsmaßnahme ab – beispielsweise einem Passwort oder einem Fingerabdruck. Mithilfe dieser zusätzlichen Maßnahme soll die missbräuchliche Verwendung von Kartendaten erschwert werden.

Bis zum 31.12.2020 konnten Händler noch selbst entscheiden, ob sie das 3D-Secure-Verfahren nutzen. Seit dem 01.01.2021 ist der zusätzliche Sicherheitsschritt verpflichtend. Grund dafür ist die zweite Zahlungsdienstrichtlinie der Europäischen Union (PSD2). Demnach ist eine starke Kundenauthentifizierung notwendig, die durch zwei voneinander unabhängige Faktoren (2-Faktor-Authentifizierung) geleistet wird. Mit dem 3D-Secure-Verfahren können Online-Händler und Banken die neuen Sicherheitsbestimmungen der Zahlungsrichtlinie PSD2 erfüllen.

Gut zu wissen: Auch wenn VISA das 3D-Secure-Verfahren maßgeblich entwickelte, unterscheiden sich andere Kreditkartenanbieter nicht wesentlich von der angewandten Technik. Lediglich die Bezeichnungen sind mitunter verschieden. So lautet das Verfahren bei VISA beispielsweise „Visa Secure“. Bei Mastercard ist das 3D-Secure-Verfahren hingegen als „Identity Check“ bekannt.

Was ist eine starke Kundenauthentifizierung?

Die festgelegten Standards der Europäischen Union erfordern bei Kartenzahlungen oder Überweisungen im Internet eine starke Kundenauthentifizierung bzw. Zwei-Faktor-Authentifizierung. Das bedeutet: Verbraucher müssen ihre Identität über zwei bestimmte Faktoren nachweisen. Dafür kommen verschiedene Faktoren infrage, die in folgende Kategorien unterteilt werden:

  • Geheimes Wissen (z. B. Passwort, PIN, TAN)
  • Privater Besitz (z. B. Kreditkarte, Smartphone)
  • Persönliche Merkmale (z. B. Fingerabdruck)

Die Kartennummer sowie der Sicherheitscode auf der Rückseite der Kreditkarte reichen also nicht mehr aus. Zusätzlich müssen Sie sich beispielsweise mit einem persönlichen Passwort oder Ihrem individuellen Fingerabdruck ausweisen können. Einigen Verbrauchern ist das Vorgehen möglicherweise bereits vom Online-Banking bekannt. Dort führen Sie Überweisungen und Daueraufträge in der Regel ebenfalls mit der starken Kundenauthentifizierung durch.

Infografik: Starke Kundenauthentifizierung durch das 3D-Secure-Verfahren
Die starke Kundenauthentifizierung des 3D-Secure-Verfahrens in drei Schritten.

Wie funktioniert das 3D-Secure-Verfahren?

Aufgrund der PSD2-Richtlinie müssen sich inzwischen alle Verbraucher, die mit ihrer Kreditkarte im Internet zahlen möchten, für das 3D-Secure-Verfahren registrieren. Die Registrierung erfolgt über Ihre Bank. Je nach Kreditinstitut werden durchaus unterschiedliche persönliche Daten, wie die Adresse oder das Geburtsdatum, abgefragt. Bei einigen Banken ist eine Registrierung nicht zwingend notwendig. In dem Fall erhalten Sie den 3D-Secure-Code für das Bezahlen beispielsweise über die von Ihnen hinterlegte Telefonnummer.

Bei späteren Online-Einkäufen kann die Authentifizierung auf verschiedene Arten erfolgen:

  • Passwort
  • SMS-Tan
  • Smartphone-App

Gut zu wissen: Grundsätzlich kann jedes unterstützte TAN-Verfahren zur Anwendung kommen. Je nach Verfahren sind dann bereits beide erforderlichen Faktoren abgedeckt oder es ist neben einer TAN noch ein weiterer Faktor erforderlich.

3D-Secure-Verfahren via Passwort

Bei einigen kartenausgebenden Banken kann bei der Registrierung für das Verfahren ein Passwort hinterlegt werden. Beim Einkauf im Internet wird der Kundewährend des Bezahlvorgangs von der Website des Händlers auf die Seite des Kreditkartenanbieters geleitet. Dadurch wird dem Käufer signalisiert, dass er sich auch wirklich auf einer vertrauenswürdigen Website befindet. Indem Kunden dort das ausgewählte Passwort eingeben, bestätigen sie die Rechtmäßigkeit der Zahlung.

3D-Secure-Verfahren via SMS-TAN oder photoTAN

Das SMS-TAN oder photoTAN sind als Zwei-Faktor-Authentifizierung für die Sicherheit im Online-Banking weit verbreitet und dienen mitunter auch als Maßnahme für Kreditkartenzahlungen. Für die SMS-TAN müssen Kunden beispielsweise bei der Registrierung zunächst ihre Handynummer angeben. Kommt es zu einer Online-Transaktion, wird eine sogenannte Transaktionsnummer (TAN-Nummer) an das Handy gesendet, mit der die Kunden den Kauf bestätigen. Neben der TAN-Nummer wird in der SMS zusätzlich auch der Betrag aufgeführt.

3D-Secure-Verfahren via Smartphone-App

Manche Banken bieten für das 3D-Secure-Verfahren auch spezielle Smartphone-Apps an, die eine Authentifizierung ermöglichen. Wer die Option nutzen möchte, muss zunächst die entsprechende App der kartenausgebenden Bank herunterladen und auf dem Smartphone installieren. Nun können Kunden die App mit einer PIN versehen und bei ihrer Bank registrieren. Bei einem Online-Einkauf werden anschließend die Zahlungsdaten direkt an die App weitergeleitet. Mit der hinterlegten PIN wird der Kauf schließlich finalisiert.

Wann gibt es Ausnahmen von dem 3D-Secure-Verfahren?

Die Zahlungsrichtlinie der Europäischen Union erlaubt einige Ausnahmen von der Sicherheitsregel. In diesem Fall müssen sich Verbraucher nicht unbedingt zweifach identifizieren. Das trifft unter anderem auf Zahlungen zu, die nicht mehr als 30 Euro betragen. Auch bei wiederkehrenden Zahlungen, wie Abonnements oder Rechnungen, findet in der Regel keine starke Kundenauthentifizierung statt. Bei Daueraufträgen müssen Sie sich nur zu Beginn zweifach ausweisen. Anschließend wird der Geldbetrag ohne Authentifizierung abgebucht.

Stuft die kartenausgebende Bank das Betrugsrisiko einer Online-Zahlung als gering ein, genügt ebenfalls die einfache Authentifizierung. Der Betrag darf in dem Fall allerdings nicht über 500 Euro liegen. Bei einigen Banken können Sie auch Listen mit bevorzugten Händlern anlegen. Zahlungen an die hinterlegten Adressen erfolgen dann ohne die 2-Faktor-Authentifizierung.

Gut zu wissen: Banken können frei entscheiden, ob und inwiefern die Ausnahmen bei ihnen Bestand haben. So kann es durchaus vorkommen, dass Ihre Bank Sie trotz der bestehenden Ausnahmeregelungen zu einer zweifachen Zwei-Faktor-Authentifizierung auffordert.

Vorteile und Nachteile des 3D-Secure-Verfahrens

Das 3D-Secure-Verfahren soll das Onlineshopping mit Kreditkarten sicherer machen – ein großer Vorteil für Banken, Verbraucher und Händler. Dennoch gibt es in dem Zusammenhang auch einige Nachteile. So bleibt trotz starker Kundenauthentifizierung beispielsweise ein gewisses Restrisiko bei der Online-Zahlung mit Kreditkarten bestehen.

3D Secure Verfahen Vorteile und Nachteile
Die Vor- und Nachteile des 3D-Secure-Verfahrens im Überblick.

Gut zu wissen: Setzen Händler das 3D-Secure-Verfahren in ihrem Online-Shop ein, gilt die sogenannte Haftungsumkehr. Das bedeutet, dass die kartenausgebende Bank bei Missbrauch haftet und nicht mehr der Händler. Er wird stattdessen vor einem möglichen Zahlungsausfall bewahrt.

Fazit zum 3D-Secure-Verfahren

Das 3D-Secure-Verfahren gilt als weitestgehend sichere Methode für die Kreditkartenzahlung im Internet. Zweifel an der Sicherheit schüren aber vor allem die statischen Passwörter. Denn wer neben den Kreditkartendaten auch das Passwort kennt, kann bereits das 3D-Secure-Verfahren überlisten und Online-Einkäufe tätigen. Und auch die Umstellung auf die Authentifizierung mittels einer TAN bietet keine vollständige Sicherheit. In dem Fall reicht es bereits aus, wenn ein Krimineller außer der Kreditkartennummer und Prüfnummer auch die PIN der Smartphone-App kennt und Zugriff auf das Smartphone hat.

Schon gewusst? In unserem comdirect magazin finden Sie weitere Informationen rund um Kreditkarten zum Girokonto und erfahren außerdem, wie Sie sich vor Datenraub am Geldautomaten und Abzocke im Internet schützen. Bei weiteren Fragen zu Ihrem Girokonto oder anderen Bankangelegenheiten können Sie uns jederzeit per Telefon, Kontaktformular oder Live-Chat kontaktieren.

Die steuerliche Behandlung hängt von den persönlichen Verhältnissen des jeweiligen Kunden ab. Die Rechtsgrundlagen für die Besteuerung von Kapitaleinkünften können sich ändern. Die comdirect bank AG übernimmt keine Gewähr für die Richtigkeit, Vollständigkeit und Aktualität der bereitgestellten Informationen auf dem Gebiet des Steuerrechtes. Die zur Verfügung gestellten Informationen ersetzen keine persönliche Steuer- oder Rechtsberatung.