3D Secure - Sicherheit für Webshops?
Geklaute Kreditkartendaten im Hunderter-Pack mit Funktionsgarantie der Hehler, ferner Händler, die angesichts von Zahlungsausfällen Kreditkarten gar nicht mehr oder nur mit saftigen Aufschlägen akzeptieren. Die Zunahme der Betrugsfälle zeigt, dass die klassische Kombination aus Name, Kreditkartennummer, Ablaufdatum und Kreditkartenprüfnummer (CVC2, CVV) beim Online-Shopping oft keine ausreichende Sicherheit mehr bietet.
Bezahlen per Passwort
Deshalb sahen sich die Kreditkartenorganisationen Visa und Mastercard gezwungen zu handeln, um nicht weiter an Akzeptanz im Online-Handel zu verlieren. Was heute unter den Markennamen "Verified by Visa" und "Mastercard SecureCode" zum Einsatz kommt, wurde von Visa als System 3D Secure entwickelt. Es soll bei Transaktionen zusätzliche Sicherheit gewährleisten.
Die Idee dahinter ist ebenso einfach wie auf den ersten Blick genial: Kauft ein Kunde mit Karte in einem Webshop ein, muss er sich beim Bezahlen gegenüber dem Händler als rechtmäßiger Kartenbesitzer authentifizieren. Hierzu sendet der Webshop eine Authentifizierungsanfrage an den Kreditkartenausgeber (meist eine Bank). Letzterer öffnet auf dem Rechner des Kunden ein eigenes Browser-Fenster, in welchem er den Kauf mit seinem selbst gewählten Passwort (Code aus sechs bis zehn Zeichen) bestätigt.
Während dieses Vorgangs sollte der Anwender darauf achten, ob die Site die richtige persönliche Begrüßungsformel anzeigt, die einmal vom User gewählt wurde. Dies soll vor Phishing-Versuchen schützen. Nach der Überprüfung schickt die Bank dem Händler eine Freigabe der Transaktion mit dem elektronischen Beleg.
Haftungsumkehr für Händler
Nach seiner Einführung wurde das neue Verfahren schnell von den Online-Shops angenommen. Das dürfte weniger daran gelegen haben, dass die Werbung mit 3D Secure bis zu 70 Prozent weniger Missbrauchsfälle versprach, sondern an der Einführung eines Liability Shift. Dank dieser Haftungsumkehr wird der Händler vor Zahlungsausfällen geschützt, und der Kartenherausgeber haftet bei Missbrauchsfällen. Ferner hält sich der Implementierungsaufwand in Grenzen.
Nach Angaben des auf Kartenumsätze spezialisierten IT-Dienstleisters Concardis benötigen Webshops ein von Mastercard und Visa zertifiziertes Merchant Plug-in (MPI). Ferner ist eine Registrierung bei den Kartenorganisationen sowie eine Erweiterung des Akzeptanzvertrags um 3D Secure erforderlich.
Großes Risiko für den Kunden?
Während die Kreditkartenfirmen 3D Secure als Sicherheitsgewinn feiern, kamen die Fernsehmagazine Wiso und ARD-Ratgeber im Februar 2011 zu einem anderen Ergebnis: Sie zeigten konkrete Betrugsfälle, in denen es Kriminellen gelungen war, trotz 3D Secure auf Kosten ihrer Opfer einzukaufen. Verbraucherzentralen kritisieren zwei Punkte: Ähnlich wie bei der PIN einer Scheckkarte gehen die Institute davon aus, dass Dritte nur dann in den Besitz des persönlichen Passworts gelangen können, wenn der Kunde fahrlässig handelt. Angesichts immer neuer Trojaner und Keylogger erscheint diese Argumentation fragwürdig. Erschwerend kommt hinzu, dass der Anmeldeprozess, bei dem der Kunde Begrüßungsformel und Passwort festlegt, nicht wirklich sicher ist. Es gibt nämlich keine Garantie, dass die Anmeldung zu 3D Secure beweiskräftig vom Karteninhaber selbst ausgeführt wurde.
Vor diesem Hintergrund veröffentlichte die Stiftung Warentest Anfang Mai 2011 auf ihrer Website die Empfehlung: "Lehnen Sie SecureCode und Verified by Visa unbedingt ab." Mittlerweile relativierten die Warentester ihre Aussage dahingehend, dass sich Kunden deutscher Banken und Sparkassen bedenkenlos anmelden könnten, denn diese hätten ihre Haltung in Sachen Verbraucherhaftung bei 3D Secure überdacht.