Zum Inhalt springen

Kartenzahlung mit 3-D Secure Onlineshopping: Nicht immer mit zweiter Authentifizierung

3-D Secure ist ein Sicherheitscheck für Zahlungen im Onlineshop. Nicht immer wird dies verlangt.

Ob Pullover, Flugticket oder Druckerpatrone: Vieles kann man bequem online einkaufen und mit Kredit- oder Debitkarte bezahlen. Oft muss man eine solche Transaktion noch einmal bestätigen, zum Beispiel mittels Fingerabdruck oder SMS-Code, den man zugeschickt bekommt.

Diese zweite Authentifizierung ist ein Sicherheitscheck und nennt sich 3-D Secure. Einige Kreditkarten sind standardmässig so eingestellt, bei anderen muss man dies selber aktivieren.

Erstaunlich: Selbst wenn man 3-D Secure aktiviert hat, muss man nicht jede Zahlung ein zweites Mal bestätigen. Weshalb?

Onlineshops und Kartenherausgeber entscheiden über 3-D Secure

Ein Onlineshop entscheidet bei jeder einzelnen Transaktion, ob er dafür 3-D Secure anbietet oder nicht. Wenn nicht, erfolgt keine zweite Authentifizierung. Dies gilt für alle Webshops, in denen man mit einer Schweizer Karte zahlt. Als Nächstes liegt der Ball bei der Bank und/oder der Kartenherausgeberin.

«Espresso» ist an Ihrer Meinung interessiert

Box aufklappen Box zuklappen

«Starke Authentifizierung» versus «Frictionless Flow»

Entscheidet sich der Shop für 3-D Secure, liegt es an der Bank oder der Kartenherausgeberin, wie sie 3-D Secure umsetzt. Sie hat grundsätzlich zwei Möglichkeiten:

Bei der «starken Authentifizierung» muss man eine Zahlung noch einmal bestätigen.

Beim «Frictionless Flow» geht die Zahlung ohne zweite Authentifizierung durch den Kunden oder die Kundin durch. Die Zahlung wird aber dennoch geprüft.

Sicherheit beim Onlineshopping

Box aufklappen Box zuklappen
  • Zweifach-Authentifizierung aktiveren: Onlineshops wie Amazon oder Digitec Galaxus bieten dies auf ihren Websites an. Wenn man sich einloggt, bekommt einen Code, den man eingeben muss, um zu bestätigen, dass man wirklich die Person ist, die etwas bestellen möchte. So kann verhindert werden, dass jemand auf einen falschen Namen Produkte an eine falsche Adresse bestellt. Die Zweifach-Authentifizierung ist nicht dasselbe wie 3-D Secure.
  • Starkes Passwort benutzen.
  • Push-Nachricht bei Transaktionen: Verschiedene Banken und Kreditkartenfirmen bieten einen Service an, bei dem man bei jeder Transaktion eine Pushnachricht, eine Mail oder eine SMS bekommt.

Eigene Sicherheitssysteme

Visa, Mastercard und American Express setzen die Rahmenbedingungen für 3-D Secure. Innerhalb dieses Rahmens haben Banken und Kartenherausgeber ihr eigenes Sicherheitssystem, das für jede Zahlung das Risiko eines möglichen Betrugs einstuft. Je nachdem erfolgt eine Zahlung mit «Frictionless Flow» oder es wird eine «starke Authentifizierung» verlangt.

Unter welchen Bedingungen eine Zahlung «frictionless» durchgewinkt wird, wollen die Banken aus Sicherheitsgründen nicht genau sagen, aber so viel ist klar: Dies passiert nur im Falle eines tiefen Betrags, oder wenn man häufig bei einem bekannten Shop etwas bestellt hat und schon einmal eine Zahlung bestätigen musste. Im Zweifelsfall kommt die «starke Authentifizierung» zur Anwendung.

Bei Kreditkarten von Viseca erfolgt bei jeder Transaktion die «starke Authentifizierung». Karten von Viseca haben die Migros Bank, die Kantonalbanken und die Raiffeisenbanken.

Wer wann haftet

Für den Kunden oder die Kundin bestehe auch bei «Frictionless Flow» kein höheres Risiko, sagen Banken und Kartenherausgeber. Deshalb sei es als Kundin auch nicht möglich, auf der «starken Authentifizierung» zu bestehen. Beim «Frictionless Flow» haftet die Bank, sofern die Kundin die Sorgfaltspflicht nicht verletzt hat.

Bei der «starken Authentifizierung» haftet der Kunde selber, wenn er aus Versehen eine Zahlung bestätigt, die er nicht getätigt hat.

Und wenn ein Onlineshop 3-D Secure nicht anbietet, haftet der Shop bei einem Kartenmissbrauch.

Bankenombudsmann: Mehr Fälle wegen «starker Authentifizierung»

Der Bankenombudsmann hatte bisher nur einen Missbrauchsfall mit «Frictionless Flow», das Problem liege eher bei der «starken Authentifizierung», weil viele Kundinnen und Kunden zu schnell eine Zahlung bestätigen, die sie gar nicht getätigt haben.

Espresso, 7.2.24, 8:10 Uhr

Meistgelesene Artikel