3-D Secure bietet weniger Sicherheit als gedacht

Die Verifizierung via Passwort ist bei fast allen Internetdiensten mittlerweile Standard. Da liegt es nahe, ähnliche Verfahren auch beim Bezahlvorgang per Kreditkarte einzuführen. In diesem Zusammenhang wurde oftmals kritisiert, dass ein potentieller Angreifer lediglich Karten-Nr., Ablaufdatum und den CVV-Code benötigt, um auf Kosten anderer einzukaufen. Mit sog. 3-D Secure Verfahren wollen nun die großen Anbieter (Mastercard und Visa) die Sicherheit der Verbraucher erhöhen. Die Systeme nennen sich „Verified by Visa“ und „Mastercard securecode“. Die Vorgehensweise ist dabei recht simpel.

Der Kartenbesitzer wählt eine geheime Frage aus und gibt die entsprechende Antwort vor. Nun bekommt er bei jedem Einkauf, vorausgesetzt der Onlineshop unterstützt 3-D Secure, die Frage eingeblendet und muss die entsprechende Antwort eingeben. Damit wird sichergestellt, dass es sich tatsächlich um den Kreditkarteninhaber handelt. Auf den ersten Blick ein sinnvoller Sicherheitszusatz, könnte man meinen. Allerdings birgt das System mehr Nach- als Vorteile für den Kunden. Die Beweislast bei einer Fehlabbuchung, welche vorher bei der Bank bzw. dem Händler lag, geht nun auf den Kunden über. Dieser muss nun beweisen, dass er die Zahlung nicht veranlasst hat. Somit wird das Risiko des Missbrauchs auf den Endkunden abgewälzt. Da es heutzutage ein Leichtes ist, Passwörter auszuspähen, dürfte klar sein, dass es sich eher um ein Sicherheitsrisiko als um ein Instrument zum Schutz von Kundeninteressen handelt.

Aus diesem Grund warnte auch die Verbraucherzentrale Nordrhein-Westfalen am 11.08.2011 vor der Nutzung solcher Sicherheitssysteme. Die Banken versprachen zwar, die Beweislastumkehr nicht zum Nachteil des Kunden zu verwenden, allerdings gab es bereits Fälle, in welchen man sich nicht an diese Versprechungen hielt. Es bleibt nun abzuwarten wie Gerichte in solchen Fällen entscheiden werden.