Schwindel und Diebstahl im Zusammenhang mit Kreditkarten und besonders bei Online-Transaktionen haben Geschichte. Aber was hilft wirklich dagegen?
Wem ein paar Mal seine Kreditkarten-Credentials wie Nummer und Passwort abhandengekommen, sprich irgendwo und irgendwie gestohlen worden sind, der kehrt vielleicht doch wieder zum Bezahlen mit Bargeld zurück. Das mag vielleicht letzten Endes sicherer sein, aber bequemer ist es mitnichten.
Dabei könnte sicheres Bezahlen mit Kreditkarte so einfach und so (fast oder quasi) sicher sein. Da gibt es eine persönlich zugewiesene Kartennummer (steht aber auf der Karte drauf), einen Sicherheits-Code (steht in der Regel ebenfalls auf der Karte drauf) sowie schlussendlich einen persönlichen und geheimen Code, den nur der Karteninhaber und seine Bank kennen. Zur Identfifizierung muss dieser Geheim-Code aber im Internet oder am Terminal eingegeben werden. Bei Amazon und bei anderen großen Online-Händlern geschieht letzteres aber nur einmal und ist dann irgendwo auf seinen Servern oder denen seines Dienstleisters versteckt. Selbst wenn bei ganz modernen Kreditkarten beim physikalischen Retailer nichts mehr eingegeben wird, sondern die Karte nur kurz am Terminal vorbeigeschwenkt wird, gibt es immer noch eine Datenübertragung von A nach B.
Konsequenz: Alles noch sicherer machen. Und das verspricht 3-D Secure. Dieses Verfahren wurde ursprünglich von Arcot Systems (jetzt als CA Advanced Authentification Teil von CA Technologies) für Kredit- und Debit-Karten entwickelt. Die Kreditkartenorganisation Visa hat das System als erstes Unternehmen unter dem Namen „Verified by Visa“eingesetzt. Andere Anbieter wie MasterCard, JCB International oder American Express sind mit eigenen Varianten gefolgt. Shop-Betreiber, die 3-D Secure bei sich einsetzen, erhalten in der Regel eine Garantie für den Zahlungseingang.
Bei 3-D wird ein zusätzlicher Schritt bei der Authentifizierung eines Kartenbesitzers eingeführt. Man unterscheidet hier drei Domains (daher „3-D“), die in den Verifizierungsprozess einbezogen sind: Die Acquirer Domain steht für die Bank oder Organisation, die die Zahlung entgegennimmt, die Issuer Domain für die Bank, die die benützte Karte ausgegeben hat, und die Interoperability Domain bezieht sich auf die benützte Infrastruktur. Außerdem wird SSL-Technologie zur sicheren Datenübertragung über das Internet eingesetzt.
3-D läuft im Hintergrund, ohne dass der Kunde es bemerkt, der nach wie vor bei Internet-Zahlungen Kreditkartennummer, Gültigkeitsdatum und eine Prüfziffer (Card Validation Code) eingibt. Webshops oder die beteiligten Banken können von Fall zu Fall oder generell die weitere Prüfung mit 3D-Secure anordnen. Die Art der zusätzlichen Authentifizierung ist bei 3-D nicht festgelegt, sondern hängt von den beteiligten Institutionen ab.
Die EMVCo, gegründet 1999 von Europay, MasterCard und Visa, ist heute im gemeinsamen Besitz von American Express, China UnionPay, Doscover, JCB, MasterCard und Visa. Sie hat u.a. die Standards für chip-basierte Kreditkarten entwickelt und kümmert sich um die Weiterentwicklung von 3-D Secure 2.0.
Weiterführende Informationen zu 3-D Secure gibt es hier: https://www.emvco.com/emv-technologies/3d-secure/