Das 3D-Secure-Verfahren sorgt für mehr Sicherheit bei Online-Zahlungen mit der Kreditkarte. Seit 2021 ist es in der EU für Online-Shops und Kreditkarteninhaber:innen verpflichtend. Je nach herausgebender Bank werden unterschiedliche Methoden angeboten. Hier erfährst du alles Wichtige über das Sicherheitssystem.
Das Wichtigste in Kürze
3D-Secure ist ein Sicherheitsstandard für Kreditkartenzahlungen im Internet, mit dem die Kreditkartenunternehmen die EU-Zahlungsdiensterichtlinie PSD2 umsetzen. Mit der Richtlinie wurden strengere Sicherheitsanforderungen für die Abwicklung elektronischer Zahlungen eingeführt. Die 3D-Secure-Technologie soll garantieren, dass Kartendaten geschützt werden und nur rechtmäßige Karteninhaber:innen Transaktionen durchführen können. Bei Visa heißt das Verfahren „Visa Secure“, bei Mastercard „Mastercard Identity Check“, und American Express nennt es „SafeKey“. Kartenbesitzer:innen bestätigen ihre Zahlungen üblicherweise mit einer Transaktionsnummer (TAN), einem Passwort oder mit einem biometrischen Sicherheitsmerkmal (Fingerabdruck oder Gesichtserkennung). Es gibt allerdings auch alternative Verfahren, bei denen etwa spezielle Token verwendet werden.
Die Kreditkarte muss für das 3D-Secure-Verfahren registriert sein. Bei neuen Kreditkarten ist dies häufig automatisch der Fall, ältere Karten müssen dafür von der Karteninhaber:in eigenständig registriert werden. Bei dem Verfahren wird zur Freigabe von Kartenzahlungen neben der Abfrage der Kreditkartendaten – Kreditkartennummer, Ablaufdatum, Kartenprüfnummer – ein weiterer Schritt, eine sogenannte starke Kundenauthentifizierung, verlangt. Dafür erfolgt eine Zwei-Faktor-Authentifizierung, für die 2 von 3 Faktoren benötigt werden.
Die Faktoren sind:
Das 3D-Sicherheitsverfahren kann je nach Bank variieren. Meistens können die Karteninhaber:innen zwischen verschiedene 3D-Secure-Varianten wählen. Die gängigsten Arten sind:
Für das App-Verfahren müssen Karteninhaber:innen eine spezielle Smartphone-App ihrer Bank downloaden und sich registrieren. Beim Einkaufen im Internet werden die Zahlungsdaten an die App geschickt. Für jede Transaktion melden sich die Besitzer:innen der Kreditkarte per Benutzername und Passwort, Fingerabdruck oder Gesichtserkennung an und bestätigen so die Rechtmäßigkeit der Kartenzahlung. Nach einem Online-Kauf erhalten sie eine Push-Nachricht mit einer Zahlungsbestätigung. Zahlungen lassen sich auf diese Weise schnell und einfach freigeben.
Bei der Registrierung zur SMS-Authentifizierung hinterlegen Karteninhaber:innen ihre Handynummer sowie eine Sicherheitsfrage. Bei jeder Online-Transaktion erhalten sie per SMS eine Einmal-TAN, auf ihr Handy – ein 6-stelliger Code, mit dem sie die Zahlung in Verbindung mit einem statischen Passwort freigeben. In der SMS werden außerdem der Zahlungsbetrag und die jeweilige Währung aufgeführt.
Die Authentifizierung per App ist etwas bequemer als die SMS-Variante, da es hierbei zur Bestätigung einer Online-Zahlung meist nur des eigenen Fingerabdrucks oder der Gesichtserkennung bedarf. Es ist jedoch ausschließlich mit einem Smartphone möglich. Verlieren Karteninhaber:innen ihr Smartphone, müssen sie ihr neues Gerät nochmals für das 3D-Secure-Verfahren registrieren. Die Authentifizierung via SMS ist hingegen auch mit alten Handys möglich, die nicht internetfähig sind. Wechseln Nutzer:innen das Telefon, kann das Verfahren weiterhin verwendet werden, vorausgesetzt, sie behalten die alte Telefonnummer.
Beide 3D-Secure-Vorgehensweisen sind bequem und leicht zu verwenden, zudem gelten sie gemeinhin als sicher. Verbraucherschützer:innen raten jedoch dazu, beim App-Verfahren die App und das Online-Banking auf 2 unterschiedlichen Geräten verwenden. So können Karteninhaber:innen eigenständig für noch mehr Kartensicherheit sorgen.
Nicht immer ist für Online-Transaktionen eine Identifizierung mit 3D-Secure nötig. Die EU-Zahlungsdiensterichtlinie lässt ein Abweichen von der starken Kundenauthentifizierung zu. Letztendlich entscheidet die Bank, ob sie eine Ausnahme zulässt.
Bei Beträgen unter 30 Euro ist das 3D-Secure-Verfahren nicht erforderlich, kann von der herausgebenden Bank aber dennoch durchgeführt werden. Nach 5 aufeinander folgenden Transaktionen oder einem Gesamtbetrag, der über 100 Euro liegt, ist eine Identifizierung mittels 3D-Secure jedoch wieder erforderlich.
Wiederkehrende Zahlungen, etwa Abos bei Streamingdiensten oder die Telefonrechnung, sind von der Zahlungsdiensterichtlinie ausgeschlossen. Hierbei authentifizieren sich Kartenbesitzer:innen nur einmal via 3D-Secure, anschließend werden die Beträge vom Händler automatisch abgebucht.
Geht die kartenherausgebende Bank von einer Transaktion mit einem geringen Betrugsrisiko aus, kann ebenfalls auf die Zwei-Faktor-Authentifizierung verzichtet werden. Dies trifft jedoch nur auf Beträge von weniger als 500 Euro zu.
Einige Banken führen sogenannte Whitelists. Kauft man häufig bei einem bestimmten Händler ein, kann dieser auf diese Whitelist gesetzt werden. Bei Online-Zahlungen ist eine starke Kundenauthentifizierung dann nicht unbedingt nötig. Aufgrund besonderer Risikofaktoren kann die Bank sie aber dennoch verlangen.
3D-Secure macht Online-Transaktionen ein Stückchen sicherer – die Technologie erschwert kriminelle Handlungen mit fremden Kreditkartendaten im Internet. Dennoch: Eine 100-prozentige Garantie gegen Kreditkartenbetrug bietet auch die 3D-Technologie nicht. Um sich gegen Angriffe von Kartenbetrüger:innen zu wehren, sollten auf dem Computer, der für Online-Transaktionen eingesetzt wird, Firewall, Betriebssystem und Virenscanner immer auf dem neuesten Stand sein. Zudem sind regelmäßige Updates von Software und Apps ratsam, insbesondere bei Zahlungen über offene WLAN-Netze und öffentliche Hotspots. Nutzer:innen von 3D-Secure-Smartphone-Apps schützen sich zusätzlich vor Betrügereien, indem sie für die App und das Online-Banking unterschiedliche Endgeräte verwenden.
Zwar dauern Transaktionen im Netz aufgrund von 3D-Secure etwas länger als früher, dafür profitieren Nutzer:innen, Online-Händler und die kartenausgebenden Banken von der erhöhten Kartensicherheit. Dennoch ist auch im Zeitalter der Zwei-Faktor-Authentifizierung ein sorgfältiger Umgang mit den eigenen Kreditkarten- und 3D-Secure-Zugangsdaten unerlässlich, um einen missbräuchlichen Einsatz der Kreditkartendaten zu verhindern.
Danke, dass du dir Zeit genommen hast, um deinen Kommentar zu schreiben. Du hilfst damit das Produkterlebnis zu verbessern und gibts anderen Nutzern die Möglichkeit weitere Informationen zu diesem Beitrag zu lesen.
Hier findest du Antworten auf die am häufigsten gestellten Fragen.
Ja, die Sicherheitssysteme von Visa, Mastercard und American Express haben zwar verschiedene Namen, es handelt sich hierbei jedoch um die weitestgehend gleichen Verfahren für mehr Sicherheit bei Online-Zahlungen mit Kreditkarten.
Ob das 3D-Secure-Verfahren jedes Mal durchgeführt wird, hängt von der jeweiligen kartenausgebenden Bank ab. Kauft man häufig bei dem gleichen Online-Händler ein, wird teilweise auf die Zwei-Faktor-Authentifizierung verzichtet. Auch bei Beträgen unter 30 Euro verzichten die Kartenherausgeber häufig auf das 3D-Secure-Verfahren.
Eine Zwei-Faktor-Authentifizierung ist der Identitätsnachweis mit zwei voneinander unabhängigen Sicherheitsmerkmalen. Bei der Zahlung mit Kreditkarten im Internet geschieht dies meist entweder per SMS-TAN in Kombination mit einem Passwort, oder über eine Smartphone-App, mit der eine Zahlungsfreigabe durchgeführt werden kann.
Beim 3D-Secure-Verfahren selbst wird die Kartenprüfnummer nicht abgefragt. Die Nummer wird allerdings einen Schritt früher, bei der Eingabe der Kreditkartendaten, verlangt.
Um das 3D-Secure-Verfahren zu aktivieren, forderst du von der kartenausgebenden Bank einen Aktivierungscode an. Bei neuen Kreditkarten wird der Aktivierungscode automatisch per Post mitversendet. Mit diesem Aktivierungscode kannst du online die Registrierung für das Verfahren durchführen und die gewünschte 3D-Secure-Variante, beispielsweise App oder SMS-TAN, auswählen.
Ein Blick ins Impressum kann hierbei helfen: Handelt es sich um einen Shop aus der EU, ist das 3D-Secure-Verfahren verpflichtend.
Geht dein Smartphone oder Handy verloren, musst du deine Kreditkarte online erneut für das 3D-Secure-Verfahren registrieren. Den Aktivierungscode dafür erhältst du von der herausgebenden Bank.