Sicherheit geht vor! Was Banken bereits seit einiger Zeit beim Online-Banking mit der Zwei-Faktor-Authentifizierung umsetzen, gilt jetzt auch für das Online-Bezahlen mit der Kreditkarte. Da die Identifizierung mit Kreditkartennummer, Ablaufdatum und Prüfziffer anfällig für Missbrauch ist, schreibt die PSD2-Richtlinie zusätzliche Sicherheitsmaßnahmen vor. Was es mit dem Verfahren 3D Secure wie „Mastercard Identity Check“ und „Verified by Visa“ auf sich hat? Das erklären wir Ihnen hier.
30.03.2021
Neue Regeln für Online-Shopping per Kreditkarte
Online-Einkauf per Kreditkarte wird sicherer
Online-Shopping ist extrem praktisch und erfreut sich immer größerer Beliebtheit. Allein im Jahr 2020 belief sich der Bruttoumsatz mit Waren im E-Commerce auf 83,3 Milliarden Euro – zu diesem Ergebnis kam der Bundesverband E-Commerce und Versandhandel e.V. (behv). Dabei hat die Corona-Pandemie mit den Schließungen des stationären Handels während der Lockdowns den Boom zusätzlich befeuert. Neben den Zahlungsarten per Rechnung, PayPal (sowie ähnlichen Anbietern) spielt das Zahlen per Kreditkarte laut Umfrageergebnissen der VuMA Arbeitsgemeinschaft beim Onlinehandel eine wesentliche Rolle: Immerhin stellt die Kreditkarte mit 28 Prozent die zweitbeliebteste Bezahlmethode dar.
Doch die Eingabe der sensiblen Kreditkartendaten stellt auf unverschlüsselten Webseiten ein großes Sicherheitsrisiko dar. Zudem können Diebe theoretisch mit einer gestohlenen und nicht gesperrten Kreditkarte unbehelligt auf Shopping-Tour gehen. Bis ein Bankkunde den Raub bemerkt, ist im schlimmsten Fall schon ein großer Schaden entstanden. Genau deshalb ist das Bezahlen im Internet mit der Kreditkarte jetzt sicherer – allerdings auch ein wenig aufwendiger. Dafür gibt es die EU-Richtline PSD2 (Payment Services Directive 2). Sie schreibt eine starke oder doppelte Kundenauthentifizierung vor – heißt, dass Sie sich als Kreditkartenbesitzer im Netz mit einem weiteren Sicherheitsmerkmal ausweisen müssen. Je nach Anbieter unterscheiden sich die Verifizierungsmethoden ein wenig. Durch die EU-Richtlinie geregelt sind allerdings die Höchstbeträge, bei denen das Sicherheitssystem greift.
Dabei erfolgte die Umstellung stufenweise: Ab dem 15. Januar 2021 galten die Sicherheitsregeln erst ab einer Kaufsumme von über 250 Euro, ab dem 15. Februar lag die Grenze bei 150 Euro. Seit Mitte März greift die Zwei-Faktor-Authentifizierung nun in vollem Umfang – also auch bei Beiträgen unterhalb von 150 Euro. Ausnahmen hiervon sind unter Umständen nacheinander getätigte Zahlungen von Kleinbeträgen von weniger als 30 Euro, die in Summe 150 Euro nicht übersteigen.
Kunden der Postbank geben bei einem Online-Einkauf nur noch das Passwort zur Postbank-ID ein und bestätigen den Zahlbetrag anschließend mit dem Sicherheitsverfahren Postbank BestSign. Das BestSign-Verfahren funktioniert sowohl über eine App auf dem Smartphone als auch mit einem Zusatzgerät von Seal-One®.
So funktioniert 3D Secure bzw. die Zwei-Faktor-Authentifizierung
Mit dem 3D Secure-Verfahren ist das Online-Bezahlen per Kreditkarte doppelt abgesichert: Die Zwei-Faktor-Authentifizierung fordert einen zusätzlichen Sicherheitsschritt ein, um die Zahlung freizugeben. Langfinger können somit künftig allein mit einer gestohlenen Kreditkarte oder im Netz veröffentlichten Kreditkartendaten nichts mehr anfangen.
Als Marktführer auf dem Kreditkartensektor gelten die US-amerikanischen Unternehmen Visa Inc. und Mastercard Incorporated: Beide Unternehmen bieten weltweit bargeldloses Bezahlen an. Mit mehr als 44 Millionen Akzeptanzstellen in über 200 Ländern sind diese Kreditkarten verlässliche Begleiter im Urlaub oder auf einer Geschäftsreise. Bei Mastercard nennt sich das 3D Secure-Verfahren „Mastercard Identity Check“ (früher „Mastercard Securecode“), Visa nutzt mit „Verified by Visa“ einen ganz ähnlichen Prozess.
Tipp
Die einzelnen Schritte, wie der Extra-Sicherheitscheck bei Kreditkarten funktioniert, finden Sie hier . Ebenso, was es bei der Zusatzkarte zu beachten gilt.
„Mastercard Identity Check“ – so gehen Sie vor
Nachdem Sie in einem Webshop Ihre Kreditkartendaten eingegeben haben, folgt ein weiterer Identifizierungsschritt über ein mobiles Endgerät. Das kann ein Smartphone oder ein SIM-Karten-Tablet mit Android- oder iOS-Betriebssystem sein. Sie bekommen dann entweder eine individuelle mobileTAN (Transaktionsnummer) via SMS auf das Gerät geschickt oder Sie identifizieren sich in der App mit einem biometrischen Merkmal – wie etwa Ihrem Fingerabdruck oder per Gesichtserkennung. Wie die Zwei-Faktor-Authentifizierung genau abläuft, hängt von Ihrer Bank ab. Erst nachdem Sie die zwei Sicherheitsfaktoren bestätigt haben, wird die Transaktion im Onlineshop durchgeführt – und Geld von Ihrer Kreditkarte abgebucht.
Vorgehensweise beim „Verified by Visa“-Verfahren
Bei „Verified by Visa“ wird die Online-Transaktion ebenfalls erst durchgeführt, wenn Sie sich mit einem weiteren Sicherheitsmerkmal als rechtmäßiger Besitzer Ihrer Kreditkarte ausweisen. Die zusätzliche Sicherheitsebene besteht beim Einsatz einer Visa Card ebenfalls aus einer TAN, die auf Ihr mobiles Endgerät gesendet wird bzw. der Abfrage von biometrischen Daten.
Tipp
Die Abfrage von biometrischen Daten ist sowohl bei Visa als auch bei Mastercard nur mit einem mobilen Endgerät möglich, das über einen Fingerabdruckscanner bzw. über Face ID (Gesichtserkennung) verfügt.
Wichtige Fragen & Antworten zum Online-Shopping per Kreditkarte
Was muss ich als Postbank-Kunde unternehmen, um künftig noch sicherer mit meiner Kreditkarte im Internet zu bezahlen?
Um den „Mastercard Identity Check“ oder „Verified by Visa“ nutzen zu können, müssen Sie sich in bestimmten Fällen bei Ihrer kartenausgebenden Bank zunächst für das Sicherheitsverfahren registrieren. Bei der Postbank können Sie die Sicherheitsprüfung über die BestSign App oder per mobileTAN vornehmen. Sie nutzen diese Verfahren bislang nicht? Dann melden Sie sich für eines der Sicherheitsverfahren einfach über Ihr Online-Banking an. Es besteht zudem die Möglichkeit, mehrere Verfahren parallel zu verwenden.
Was tun, wenn das Bezahlen mit dem 3D Secure-Verfahren nicht funktioniert?
Beim Bezahlen im Onlineshop kann es passieren, dass Sie eine Fehlermeldung erhalten. Prüfen Sie folgende zwei Punkte:
- Haben Sie Ihre Daten korrekt eingegeben oder gibt es vielleicht einen Zahlendreher?
- Kaufen Sie auf einer sicheren Webseite ein? (https:// bzw. Schloss-Symbol in Browerleiste)
Wenn der Händler Ihre Zahlung trotzdem nicht annehmen kann, kontaktieren Sie Ihren Kreditkartenherausgeber.
Muss ich jede Online-Zahlung durch die 2-Faktor-Authentifizierung freigeben?
Das 3D Secure-Verfahren wird ggfs. nicht bei jeder Zahlung abgefragt – wann eine Zwei-Faktor-Authenfizierung erfolgt, richtet sich nach den Bestimmungen Ihrer Bank. Wenn es sich beispielsweise nur um geringe Beträge von weniger als 30 Euro handelt, ist das zweite Sicherheitsmerkmal unter Umständen nicht erforderlich. Das Zentrum für Europäischen Verbraucherschutz e. V. (ZEV) erklärt, dass Zahlungen unter 30 Euro bis zu fünfmal ohne Zwei-Faktor-Authentifizierung möglich sind, solange die Summe der nacheinander durchgeführten Zahlungen 150 Euro nicht übersteigt. Der Kreditkartenherausgeber kann zudem auf den Sicherheits-Check verzichten, wenn Sie häufiger bei demselben Händler bestellen.
