Das Grundprinzip bei beiden 3D-Secure-Verfahren: Nach der Eingabe der üblichen Daten auf der Händler-Website öffnet sich zum Schluss des Bezahlvorgangs noch ein Extra-Fenster im Browser – eine direkte, verschlüsselte Verbindung mit der kreditkartenausgebenden Bank. Mit einem zusätzlichen, nur ihm bekannten Code bestätigt und autorisiert der Kunde die Transaktion, und die Bank signalisiert dem Händler anschließend: "grünes Licht". Bei den Verbraucherschützern von der Stiftung Warentest gingen hier allerdings zunächst die Ampeln auf Rot – Stefanie Pallasch:
"Da das Konstrukt hier sehr stark an die Zahlung mit der alten EC-Karte, der Bankcard und der PIN-Nummer erinnert, bestand hier die Gefahr, dass die Banken auch die gleiche Beweiserleichterung für sich in Anspruch nehmen. Das heißt, in dem Moment, wo es zu einem Missbrauch durch Dritte kommt, dass erst einmal davon ausgegangen wird, dass der Kunde Schuld hat und er damit auf seinem Schaden sitzen bleibt."
Aus der Luft gegriffen waren solche Befürchtungen keineswegs – im Februar wurde der Fall einer Lehrerin bekannt, deren Kartenkonto unverhofft mit 3000 Euro in der Kreide stand – für Einkäufe, die sie gar nicht veranlasst hatte. Dann aber weigerte sich die Advanzia-Bank mit Sitz in Luxemburg, die Buchungen rückgängig zu machen - schließlich sei doch bei den fraglichen Transaktionen der richtige "Secure Code" eingegeben worden. Des Rätsels Lösung: Die Lehrerin hatte sich einen Trojaner auf ihrem PC eingefangen.
Das allerdings kann heutzutage leicht passieren - die rechtliche Schlussfolgerung von Stiftung Warentest lautete also: es besteht ein "Haftungsrisiko bei Missbrauch":
"Und aufgrund dieser rechtlichen Einschätzung haben wir erst einmal von der Verwendung dieses Sicherheitsverfahrens abgeraten."
Nach der Veröffentlichung herrschte bei Banken und Kreditkartenfirmen helle Aufregung – die Warnung vor "3D- Secure" sei unberechtigt; zumindest deutsche Institute beabsichtigten keineswegs, die Haftung- oder Beweislast umzukehren. Michaela Roth vom Deutschen Sparkassen– und Giroverband:
"An der Haftungssituation hat sich nichts geändert durch die Einführung dieses 3D-Secure-Codes. Konkret heißt das, dass es für den Kunden keinen Unterschied macht, ob er bei einem Händler im Internet einkauft, der das zusätzliche Sicherheitsverfahren nutzt, oder der es nicht nutzt: Ich habe in beiden Fällen die gleichen Sorgfaltspflichten - aber wenn es dann zu unberechtigten Abbuchungen kommt, auch die gleichen Regelungen für die Haftung."
Keine Haftungsumkehr und keine Beweislastumkehr also – nach dieser ausdrücklichen Zusicherung der deutschen Bankenverbände und Kreditkartenorganisationen befürwortet die Stiftung Warentest nunmehr die Anmeldung für "Verified by Visa" und "SecureCode" – zumindest für Kreditkartenkunden von deutschen Instituten.
Markus Feck von der Verbraucherzentrale NRW ist dagegen noch nicht ganz überzeugt – ihn stört vor allem die Art und Weise, wie simpel das 3D-Secure-Verfahren bei sehr vielen Banken und Sparkassen umgesetzt wird. Hier ist nämlich der zusätzliche Code, den man bei einer Online-Transaktion eingeben muss, ein selbstgewähltes Passwort – und für die Anmeldung zum Verfahren, zur Passworteinrichtung oder auch zur Passwortänderung werden lediglich Name, Geburtsdatum, Kreditkartennummer und die Nummer des Abrechnungskontos benötigt. Tatsächlich sind Markus Feck Fälle bekannt, bei denen Betrüger zunächst die Secure-Code-Anmeldung und die Passwort-Einrichtung selbst vorgenommen hatten und anschließend "sicher" auf Einkaufstour gingen. Auch hier musste sich der rechtmäßige Karteninhaber zunächst vorhalten lassen, er habe doch die Zahlungen eindeutig autorisiert.
Feck:
"Solange noch nicht einmal gewährleistet ist, dass nur der Berechtigte das Sicherheitsmerkmal erhält, kann ich doch schlussendlich nicht sagen: Dieses System ist sicher."
Angesichts solcher Umstände hält es auch der IT-Rechtsexperte und Vorstandssprecher der Arbeitsgruppe "Identitätsschutz im Internet", Professor Georg Borges von der Ruhr-Universität Bochum, für nahezu ausgeschlossen, dass ein Kreditinstitut im Falle einer strittigen Transaktion juristisch damit argumentieren könnte, das Authentifizierungsverfahren sei sicher. Nur dann nämlich ist der Kunde "dem Anschein nach" verantwortlich und in der Beweispflicht.
Das alles ist im Grunde auch den Kreditinstituten klar – auch wenn sie in ihren AGBs und Kreditkartenbedingungen ihren Kunden selbstverständlich keinen Freifahrtschein zum fahrlässigen Umgang mit Karten- und 3D-Secure-Passwort geben wollen. Stefan Orlob, zuständig für die Bekämpfung von Kreditkartenmissbrauch bei der Commerzbank:
"Die Bedingungen sollen dem Kunden klarmachen, dass er mit diesem Passwort sehr sorgfältig umgehen muss. Aber wenn es zu einem Schaden gekommen ist, tun sich beide Seiten, sowohl die Bank als auch der Kunde, schwer zu beweisen, dass die Sorgfaltspflichten eingehalten wurden. In der Praxis führt das dazu, dass wenn ein Kunde uns glaubhaft erklärt, er hat diese Umsätze nicht getätigt, dass die Bank den Schaden trägt."
"Da das Konstrukt hier sehr stark an die Zahlung mit der alten EC-Karte, der Bankcard und der PIN-Nummer erinnert, bestand hier die Gefahr, dass die Banken auch die gleiche Beweiserleichterung für sich in Anspruch nehmen. Das heißt, in dem Moment, wo es zu einem Missbrauch durch Dritte kommt, dass erst einmal davon ausgegangen wird, dass der Kunde Schuld hat und er damit auf seinem Schaden sitzen bleibt."
Aus der Luft gegriffen waren solche Befürchtungen keineswegs – im Februar wurde der Fall einer Lehrerin bekannt, deren Kartenkonto unverhofft mit 3000 Euro in der Kreide stand – für Einkäufe, die sie gar nicht veranlasst hatte. Dann aber weigerte sich die Advanzia-Bank mit Sitz in Luxemburg, die Buchungen rückgängig zu machen - schließlich sei doch bei den fraglichen Transaktionen der richtige "Secure Code" eingegeben worden. Des Rätsels Lösung: Die Lehrerin hatte sich einen Trojaner auf ihrem PC eingefangen.
Das allerdings kann heutzutage leicht passieren - die rechtliche Schlussfolgerung von Stiftung Warentest lautete also: es besteht ein "Haftungsrisiko bei Missbrauch":
"Und aufgrund dieser rechtlichen Einschätzung haben wir erst einmal von der Verwendung dieses Sicherheitsverfahrens abgeraten."
Nach der Veröffentlichung herrschte bei Banken und Kreditkartenfirmen helle Aufregung – die Warnung vor "3D- Secure" sei unberechtigt; zumindest deutsche Institute beabsichtigten keineswegs, die Haftung- oder Beweislast umzukehren. Michaela Roth vom Deutschen Sparkassen– und Giroverband:
"An der Haftungssituation hat sich nichts geändert durch die Einführung dieses 3D-Secure-Codes. Konkret heißt das, dass es für den Kunden keinen Unterschied macht, ob er bei einem Händler im Internet einkauft, der das zusätzliche Sicherheitsverfahren nutzt, oder der es nicht nutzt: Ich habe in beiden Fällen die gleichen Sorgfaltspflichten - aber wenn es dann zu unberechtigten Abbuchungen kommt, auch die gleichen Regelungen für die Haftung."
Keine Haftungsumkehr und keine Beweislastumkehr also – nach dieser ausdrücklichen Zusicherung der deutschen Bankenverbände und Kreditkartenorganisationen befürwortet die Stiftung Warentest nunmehr die Anmeldung für "Verified by Visa" und "SecureCode" – zumindest für Kreditkartenkunden von deutschen Instituten.
Markus Feck von der Verbraucherzentrale NRW ist dagegen noch nicht ganz überzeugt – ihn stört vor allem die Art und Weise, wie simpel das 3D-Secure-Verfahren bei sehr vielen Banken und Sparkassen umgesetzt wird. Hier ist nämlich der zusätzliche Code, den man bei einer Online-Transaktion eingeben muss, ein selbstgewähltes Passwort – und für die Anmeldung zum Verfahren, zur Passworteinrichtung oder auch zur Passwortänderung werden lediglich Name, Geburtsdatum, Kreditkartennummer und die Nummer des Abrechnungskontos benötigt. Tatsächlich sind Markus Feck Fälle bekannt, bei denen Betrüger zunächst die Secure-Code-Anmeldung und die Passwort-Einrichtung selbst vorgenommen hatten und anschließend "sicher" auf Einkaufstour gingen. Auch hier musste sich der rechtmäßige Karteninhaber zunächst vorhalten lassen, er habe doch die Zahlungen eindeutig autorisiert.
Feck:
"Solange noch nicht einmal gewährleistet ist, dass nur der Berechtigte das Sicherheitsmerkmal erhält, kann ich doch schlussendlich nicht sagen: Dieses System ist sicher."
Angesichts solcher Umstände hält es auch der IT-Rechtsexperte und Vorstandssprecher der Arbeitsgruppe "Identitätsschutz im Internet", Professor Georg Borges von der Ruhr-Universität Bochum, für nahezu ausgeschlossen, dass ein Kreditinstitut im Falle einer strittigen Transaktion juristisch damit argumentieren könnte, das Authentifizierungsverfahren sei sicher. Nur dann nämlich ist der Kunde "dem Anschein nach" verantwortlich und in der Beweispflicht.
Das alles ist im Grunde auch den Kreditinstituten klar – auch wenn sie in ihren AGBs und Kreditkartenbedingungen ihren Kunden selbstverständlich keinen Freifahrtschein zum fahrlässigen Umgang mit Karten- und 3D-Secure-Passwort geben wollen. Stefan Orlob, zuständig für die Bekämpfung von Kreditkartenmissbrauch bei der Commerzbank:
"Die Bedingungen sollen dem Kunden klarmachen, dass er mit diesem Passwort sehr sorgfältig umgehen muss. Aber wenn es zu einem Schaden gekommen ist, tun sich beide Seiten, sowohl die Bank als auch der Kunde, schwer zu beweisen, dass die Sorgfaltspflichten eingehalten wurden. In der Praxis führt das dazu, dass wenn ein Kunde uns glaubhaft erklärt, er hat diese Umsätze nicht getätigt, dass die Bank den Schaden trägt."