Zum Schutz vor Betrug

Zahlen mit Kreditkarte: Zwei-Faktor-Authentifizierung jetzt Pflicht

Bei der Online-Bezahlung per Kreditkarte soll ein Schritt mehr für mehr Sicherheit sorgen.
Bei der Online-Bezahlung per Kreditkarte soll ein Schritt mehr für mehr Sicherheit sorgen.
© iStockphoto

02. Januar 2021 - 18:25 Uhr

500.000 Euro weg: Pietro Lombardi macht Kreditkartenbetrug öffentlich

Es ist eine unglaubliche Summe: Sänger Pietro Lombardi erklärte seinen Fans gerade, einem Kreditkarten-Betrug zum Opfer gefallen zu sein. "Mir wurde eine halbe Million Euro geklaut", machte er auf Instagram bekannt.

Zu den Hintergründen der Tat äußerte der 28-Jährige sich nicht näher. Doch Fakt ist: Wer online mit der Kreditkarte shoppt, muss besonders auf Sicherheit achten. Helfen soll dabei die sogenannte Zwei-Faktor-Authentifizierung – seit diesem Jahr ist sie gesetzlich verpflichtend. Wie genau das funktioniert, erklären wir hier.

Mehr Aufwand für mehr Sicherheit

Wer eine der 33 Millionen in Deutschland im Umlauf befindlichen Kreditkarten für den Online-Einkauf benutzen möchte, muss sich durch einen zusätzlichen Schritt identifizieren: die Zwei-Faktor-Authentifizierung (2FA). Damit kommen Banken den Vorgaben der EU-Zahlungsrichtlinie (PSD 2) nach. Diese trat zwar bereits 2019 in Kraft, viele Onlinehändler waren laut Finanztest auf die Umstellung jedoch nicht ausreichend vorbereitet. Die Bundes­anstalt für Finanz­dienst­leistungs­aufsicht hatte ihnen deshalb einen Aufschub bis Ende 2020 gewährt.

Früher war beim Einkauf oder einer Reisebuchung im Netz noch nicht einmal die Kreditkarte selbst erforderlich. Wer die Karten­nummer, die Prüf­nummer und das Ablaufdatum parat hatte, konnte auch so loslegen. Doch da die ­Daten beispielsweise durch einen Hackerangriff oder Sicherheitslücken ­­beim Onlinehändler in falsche Hände geraten können, wird nun die Sicherheit erhöht - durch die Zwei-Faktor-Authentifizierung. Etwaige Betrugs­- und Miss­brauchsrisiken sollen so reduziert werden.

SMS-Tan-Verfahren wird am häufigsten verwendet

Je nach Kreditkarten-Anbieter hat das sogenannte 3D-Secure-Verfahren verschiedene Namen, zum Beispiel: ­

RTL NEWS empfiehlt

Anzeigen:
  • Visa: "Verified by Visa"
  • Mastercard: "Mastercard Identity Check",
  • American Express: "Safekey"

In der Regel müssen Kunden Zahlungen mit einer einmal gültigen Trans­aktions­nummer (Tan) freigeben. ­Die Geldinstitute bieten verschiedene Verfahren an, die meist über das Mobiltelefon laufen. Am häufigsten gaben die von Finanztest befragten Banken an, das SMS-Tan-Verfahren zu nutzen. Dieses funk­tioniert auch auf älteren Geräten, ein Smartphone ist also nicht immer erforderlich.

Andere Banken bietet die Erstellung der Tan über einen ChipTan-Generator an, den die Kunden vorab erwerben und frei­schalten lassen müssen. Nutzer von American Express Karten können sich die Tan auch per Mail zukommen lassen. Bei der Berliner Volks­bank, der Deutschen Bank, der DKB und der Frank­furter Volks­bank wird keine Tan erstellt. Es genügt, wenn Kunden ihre App mit Finger­abdruck oder Pass­wort öffnen und die Zahlung bestätigen.

Registrierung zwingend erforderlich

Kreditkartennutzer müssen selbst aktiv werden und sich für die 3D-Secure-Verfahren auf den Websites der Banken registrieren. Dann wird ein Identifikationscode angefordert, der den Kunden innerhalb einer Cent-Überweisung, per Umsatzanzeige in der Kreditkartenrechnung oder per Post mitgeteilt wird.

Wer sich für das Tan-Verfahren per Smartphone entscheidet, muss nun noch die passende App der jeweiligen Bank installieren. Doch egal welches Verfahren gewählt wird: Um die Registrierung abzuschließen, muss der Code auf der Registrierungs-Website der Bank eingegeben werden. Läuft alles korrekt, wird das gewählte Verfahren freigeschaltet.

Karte weg? Sofort sperren lassen!

Wird nun im Netz mit dem neuen Verfahren eingekauft, leitet der Shop den Kunden auf eine Internetseite mit 3D-Secure-Verfahren weiter, die mit der Bank des Kunden in Verbindung steht. Bei dem Kunden öffnet sich im Browser ein Eingabefenster, das informiert, auf welchem Weg die Zahlung freigegeben werden muss. Läuft die Identifikation korrekt, bestätigt die Bank, dass er der recht­mäßige Karten­inhaber ist. Damit ist der Kauf dann abge­schlossen. Die Bank­daten werden nur zwischen der Bank und der 3D-Secure-Website übermittelt. Der Händler hat währenddessen keinen Zugriff auf die Daten.

Doch trotz der erweiterten Sicherheitsmaßnahmen dürfen Kreditkartennutzer ihre Kundendaten nur auf verschlüsselten Internet­seiten eingeben. Kommt die Karte abhanden, muss diese nach wie vor umgehend zwingend gesperrt werden. Ansonsten kann eine Haftung der Bank für Schäden, die durch Betrug oder Missbrauch entstehen, entfallen. Finanztest empfiehlt dies auch, wenn das Legitimations­medium, also zum Beispiel Smartphone, Handy, Photo- oder ChipTan, verloren geht.​