Verified by VISA / 3D Secure
3D Secure ist auch bekannt unter VbV, „Verified by VISA“. Von VISA entwickelt, handelt es sich um ein Sicherheitssystem für Kreditkarten, zusätzlich zur Kartennummer und zum üblichen CVV-Code. Das Risiko missbräuchlicher Verwendung soll dadurch minimiert werden. Nutzt der Karteninhaber seine Karte als bargeldloses Zahlungsmittel, so muss er einen Code eingeben, der nur ihm bekannt ist. Nach einer erfolgreichen Authentisierung kann die Kreditkartenzahlung ausgeführt werden.
Das System 3D Secure schützt jedoch nicht nur den Inhaber der Kreditkarte, sondern auch den Händler. Händler, die 3D Secure benutzen, erhalten eine Garantie auf Zahlungseingang von der jeweiligen Bank. Händler, die das System nicht nutzen, müssen hingegen für finanzielle Schäden bei einem Zahlungsausfall selbst haften, wenn die Karte missbräuchlich verwendet wurde.
So ambitioniert das System jedoch erscheint – es gibt auch kritische Stimmen. Bei Zahlungen im Internet muss das Passwort auf einer Seite eingegeben werden, die nicht von einer Bank, sondern vom Händler betrieben wird. Der Datenschutz sei dadurch nicht gewährleistet. Betrüger könnten versuchen, über gefälschte Seiten an die Daten der Nutzer zu kommen damit Missbrauch zu betreiben.
Registrierung für 3-D-Secure-Verfahren
Auch wenn die 3-D-Secure-Verfahren von Kreditkartengesellschaften entwickelt wurden, erfolgt die Anmeldung einer Kreditkarte zu einem der Verfahren durch den Karteninhaber bei der kontoführenden Bank. Bei der Auslieferung ist keine Karte für eines der Verfahren registriert. Die Registrierung erfolgt via Internet und erfordert keine weitere Identifikationsprüfung. Sie kann bei Bedarf innerhalb eines Bestellvorgangs vorgenommen werden.
Der Sicherheitsgewinn der Verfahren resultiert aus dem Umstand, dass die Passwörter bzw. Codes nicht auf der Karte vermerkt sind und der Besitz der Karte allein Betrügern keine Transaktionen im Internet ermöglicht – jedenfalls nicht soweit es Shops betrifft, die 3-D-Secure-Verfahren unterstützen und eine entwendete Karte bereits registriert wurde. Da sich zudem auch die Bank während des Bezahlvorgangs identifiziert, sinkt das Risiko für Betrugsmaschen.
Akzeptanzstellen sind nicht generell verpflichtet, 3-D-Secure-Verfahren in ihren Bezahlvorgang zu integrieren, auch wenn für Akquirer in Deutschland mittlerweile eine solche Verpflichtung gilt. Banken und Kartengesellschaften bieten Händlern allerdings konkrete Haftungsvorteile, wenn Transaktionen mit einem zusätzlichen Passwort bestätigt werden. Für missbräuchlich eingesetzte Kreditkarten haftet bei Anwendung der Verfahren die Bank – ohne Passwort muss der Verkäufer mit einer Rückbelastung rechnen, wenn der rechtmäßige Inhaber einer zu Unrecht belasteten Kreditkarte einen Umsatz reklamiert.
Risiken für Bankkunden: Kritik am 3-D-Secure-Verfahren
Seit im Januar 2008 die Lufthansa Miles&More-Kreditkarte mit einem 3-D-Secure-Verfahren ausgestattet wurde haben sich die Verfahren vor allem in Deutschland stark ausgebreitet. Die Verfahren sind aufgrund einer möglichen Benachteiligung der Kunden in die Kritik geraten.
Kommt es bei einer konventionellen Kartentransaktion im Internet zu einem Betrugsfall, muss dafür nur selten der Karteninhaber haften. Wird hingegen ein 3-D-Secure-Verfahren eingesetzt, liegt die Beweislast beim Karteninhaber: Dieser wird in der Regel nur schwer beweisen können, dass Betrüger das Passwort nicht durch Trojaner oder Phishing gestohlen und missbräuchlich eingesetzt haben.
Weiterhin problematisch: Die Registrierung für die 3-D-Secure-Verfahren erfordert lediglich den Besitz der Karte und keine weitere Identitätsprüfung. Somit kann grundsätzlich jede Person, die im Besitz der wichtigsten Karteninformationen (Kartennummer usw.) ist, eine Registrierung vornehmen und ein (ggf. neues) Passwort festlegen.
Im Jahr 2011 berichteten Medien (unter anderem ZDF Wiso und ARD Ratgeber) von konkreten Missbrauchsfällen im Zusammenhang mit den Verfahren. Die Deutsche Kreditwirtschaft sicherte im Frühjahr 2011 der Stiftung Warentest gegenüber zu, Bankkunden bei Missbrauchsfällen rechtlich nicht schlechter zu stellen als bei Transaktionen ohne die Verfahren. Die Verbraucherschützer vertreten seitdem den Standpunkt, dass gegen die Teilnahme an 3-D-Secure-Verfahren keine Bedenken bestehen, solange das Kreditkartenkonto bei einer deutschen Bank geführt wird.