Zwei-Faktor-Authentifizierung kommt

Onlineshopping mit Kreditkarte: Neue Sicherheitsbestimmungen

© iStockphoto

23. August 2019 - 15:16 Uhr

Regelung ab dem 14. September gültig

Wer online mit der Kreditkarte shoppt, muss sich ab dem 14. September auf Änderungen gefasst machen. Damit der Bezahlvorgang ausgeführt werden kann, muss nämlich eine Zwei-Faktor-Authentifizierung durchgeführt werden. Wie genau das funktioniert, erklären wir hier.

Mehr Aufwand für mehr Sicherheit

Wer eine der 33 Millionen in Deutschland im Umlauf befindlichen Kreditkarten für den Online-Einkauf benutzen möchte, muss sich zukünftig durch einen zusätzlichen Schritt identifizieren: die Zwei-Faktor-Authentifizierung (2FA). Damit kommen Banken den Vorgaben der neuen EU-Zahlungsrichtlinie (PSD 2) nach. Die fordert mehr Sicherheit bei Online-Bankgeschäften, bringt aber auch mehr Aufwand mit sich, wie Finanztest berichtet.

Bisher war beim Einkauf oder einer Reisebuchung im Netz noch nicht einmal die Kreditkarte selbst erforderlich. Wer die Karten­nummer, die Prüf­nummer und das Ablaufdatum parat hatte, konnte auch so loslegen. Doch da die ­Daten beispielsweise durch einen Hackerangriff oder Sicherheitslücken ­­beim Onlinehändler in falsche Hände geraten können, wird nun die Sicherheit erhöht - durch die Zwei-Faktor-Authentifizierung. Etwaige Betrugs­- und Miss­brauchsrisiken sollen so reduziert werden.

SMS-Tan-Verfahren wird am häufigsten verwendet

Analog zum Online-Banking kommen ab dem 14. September sogenannte 3D-Secure-Verfahren zum Zuge: ­

  • Visa: "Verified by Visa"
  • Mastercard: "Mastercard Identity Check",
  • American Express: "Safekey"

In der Regel müssen Kunden Zahlungen mit einer einmal gültigen Trans­aktions­nummer (Tan) freigeben. ­Die Geldinstitute bieten verschiedene Verfahren an, die meist über das Mobiltelefon laufen. Am häufigsten gaben die von Finanztest befragten Banken an, das SMS-Tan-Verfahren zu nutzen. Dieses funk­tioniert auch auf älteren Geräten, ein Smartphone ist also nicht immer erforderlich.

Andere Banken bietet die Erstellung der Tan über einen ChipTan-Generator an, den die Kunden vorab erwerben und frei­schalten lassen müssen. Nutzer von American Express Karten können sich die Tan auch per Mail zukommen lassen. Bei der Berliner Volks­bank, der Deutschen Bank, der DKB und der Frank­furter Volks­bank wird keine Tan erstellt. Es genügt, wenn Kunden ihre App mit Finger­abdruck oder Pass­wort öffnen und die Zahlung bestätigen.

Registrierung zwingend erforderlich

Wie auch immer, damit auch ab dem Stichtag der Umstellung das Shoppen im Netz reibungslos funktioniert, müssen Kreditkartennutzer aktiv werden. Hierfür müssen sie sich für die 3D-Secure-Verfahren auf den Websites der Banken registrieren. Dann wird ein Identifikationscode angefordert, der den Kunden innerhalb einer Cent-Überweisung, per Umsatzanzeige in der Kreditkartenrechnung oder per Post mitgeteilt wird.

Wer sich für das Tan-Verfahren per Smartphone entscheidet, muss nun noch die passende App der jeweiligen Bank installieren. Doch egal welches Verfahren gewählt wird, um die Registrierung abzuschließen, muss der Code auf der Registrierungs-Website der Bank eingegeben werden. Läuft alles korrekt, wird das gewählte Verfahren freigeschaltet.

Karte weg? Sofort sperren lassen!

Wird nun im Netz mit dem neuen Verfahren eingekauft, leitet der Shop den Kunden auf eine Internetseite mit 3D-Secure-Verfahren weiter, die mit der Bank des Kunden in Verbindung steht. Bei dem Kunden öffnet sich im Browser ein Eingabefenster, das informiert, auf welchem Weg die Zahlung freigegeben werden muss. Läuft die Identifikation korrekt, bestätigt die Bank, dass er der recht­mäßige Karten­inhaber ist. Damit ist der Kauf dann abge­schlossen. Die Bank­daten werden nur zwischen der Bank und der 3D-Secure-Website übermittelt. Der Händler hat währenddessen keinen Zugriff auf die Daten.

Doch trotz der erweiterten Sicherheitsmaßnahmen dürfen Kreditkartennutzer ihre Kundendaten nur auf verschlüsselten Internet­seiten eingeben. Kommt die Karte abhanden, muss diese nach wie vor umgehend zwingend gesperrt werden. Ansonsten kann eine Haftung der Bank für Schäden, die durch Betrug oder Missbrauch entstehen, entfallen. Finanztest empfiehlt dies auch, wenn das Legimitations­medium, also zum Beispiel Smartphone, Handy, Photo- oder ChipTan, verloren geht.​