3D Secure: VISA und Mastercard werden sicherer

Das Kreditkarteninstitut VISA hat bereits im Jahr 2000 ein Verfahren entwickelt, das die Verwendung von Kreditkarten im Internet sicherer machen sollte. Das Unternehmen selbst verwendet die Technik unter dem Namen „Verified by VISA“. Gleichzeitig haben auch andere Anbieter von Kreditkarten den Sicherheitsmechanismus bei sich implementiert. 3D Secure heißt bei Mastercard beispielsweise „SecureCode“ (inzwischen „Identity Check“), bei American Express „SafeKey“ und bei JCB „J/Secure“.

Zuvor lief eine Bezahlung per Kreditkarte im Internet sehr simpel ab: Man gab seine Kreditkarteninformationen in die entsprechenden Felder ein, bestätigte den Besitz der Karte mit dem Card Validation Code (CVC), der auf der Rückseite jeder Kreditkarte zu finden ist, und belastete die Karte mit einem Mausklick. Jeder, der im Besitz der Kreditkarte war, konnte somit Produkte – auch mit hochpreisige – aus dem Internet kaufen. Dass diese Methode nicht sonderlich sicher ist, war offensichtlich.

Da sich der E-Commerce-Bereich immer weiter ausweitet und immer mehr Menschen online mit der Kreditkarte zahlen, nimmt auch das Interesse von Kriminellen an den Karteninformationen zu. Besonders durch Phishing und Social Engineering kommen Kriminelle vielfach an Daten. Um diese Entwicklung einzudämmen, wurde 3D Secure entwickelt.

Zusätzlich zu den Informationen, die sich auf der Karte befinden (und damit deren Besitz bestätigen), muss bei diesem Verfahren eine weitere Information angegeben werden, etwa ein Passwort, das nur der rechtmäßige Besitzer der Kreditkarte wissen kann. Es handelt sich also um eine Zwei-Faktor-Authentisierung: Es werden zwei unterschiedliche Merkmale benötigt, um die Belastung der Kreditkarte zu veranlassen.

Dafür wird der Verbraucher auf die Seite des Kreditkarteninstituts weitergeleitet und gibt dort das zusätzliche Sicherheitsmerkmal ein. Den zweiten Faktor teilen Nutzer somit nur der Bank bzw. dem Kreditkarteninstitut mit. Der Betreiber des Onlineshops erhält anschließend nur die Bestätigung, dass die Verwendung der Karte rechtmäßig ist. Doch auch diese Methode hat sich nicht als sehr sicher herausgestellt. Bis zum Jahr 2016 ist die Betrugssumme im SEPA-Raum laut europäischer Zentralbank auf 1,32 Milliarden Euro angewachsen.

Der Umgang mit statischen Passwörtern ist sicherheitstechnisch ungeeignet. Ist dieses nämlich erst einmal Dritten bekannt, ist der angestrebte Schutz hinfällig. Besser geeignet sind daher dynamische Verfahren, die sich bei jedem Vorgang anpassen. Eine SMS beispielsweise mit einem nach kryptischen Verfahren generierten Secure-Code kann nur für diese eine Zahlung genutzt werden.

Sowohl Kunden als auch Onlinehändler waren zudem mit der ersten Version von 3D Secure mehr als unzufrieden. Die Website zur Eingabe des zusätzlichen Sicherheitsfaktors war äußerst unschön gestaltet, Beantragung und Verwendung des benötigten Passworts waren unübersichtlich und das Verfahren ließ sich nicht zufriedenstellend in Mobile Apps einbauen. Kunden waren immer wieder genervt und brachen Bestellvorgänge ab, was wiederum Conversions vermieste und Onlinehändler erboste.

Die zweite Version von 3D Secure – auch als 3DS2 bekannt – geht diese Probleme an und baut zudem die Sicherheit aus. Die Neuerungen entsprechen damit auch den neuen Zahlungsdiensterichtlinien der EU. Außerdem reagieren die Kreditkarteninstitute mit der neuen Version auf technische Entwicklungen. Inzwischen bieten vor allem moderne Geräte (z. B. Smartphones) Authentisierung mithilfe von biometrischen Daten an: per Fingerabdruck oder durch Analyse der Gesichtszüge.

3D Secure 2.0 ist so gestaltet, dass Onlinehändler das Verfahren in den Bezahlvorgang einbauen können. Damit ergibt sich für den Kunden ein angenehmeres Kauferlebnis. Außerdem soll es sich um ein intelligentes System handeln. Die Authentisierungsmethode passt sich demnach dem Risiko an. Das heißt: Für kleine Beträge gelten geringere Sicherheitsanforderungen als für große Summen. Zudem ist 3DS2 auch bei mobilen Zahlungen einsetzbar und arbeitet mit Apps von Banken zusammen.