3D Secure, nicht überzeugend

Vor einigen Tagen erhielt ich einen Prospekt meiner Bank zum Thema Kreditkartensicherheit. Darin hat mir meine Bank ihre „neuesten“ Sicherheitsergänzungen, das 3D Secure Verfahren und einen SMS-Benachrichtigungsservice bei Kreditkartentransaktionen, angepriesen. Ich habe grade versucht mich darüber zu informieren, was hinter diesen Verfahren steckt und bin auf Kritik gestoßen. Es wundert mich, dass der Prospekt meiner Bank sie nicht schon im Ansatz entkräftet.

Wenn ich mir den Wikipedia-Artikel zum Thema 3D Secure oder eine etwas ältere, aber bei Google prominente Meldung, von heise Security anschaue, dann fällt mir unmittelbar die Kritik an dem Verfahren auf. Ich finde das heutzutage oft nicht weiter verwunderlich. Bei vielen „neuen“ Sicherheitsverfahren von denen heute im Onlinebereich berichtet wird, wird auch von den Möglichkeiten gesprochen wie diese zu überwinden sind. Es scheint also, dass sie oft gar nicht so sicher sind wie es den Anschein macht. Gerade bei manchen der in den letzten Jahren vorgestellten Sicherheitsverfahren im Online-Banking hatte ich diesen Eindruck gewonnen. Ich habe mich zum Beispiel darüber gewundert, dass Banken zur gleichen Zeit sicherere und weniger sicherere Online-Banking-Verfahren anbieten. Wie kann man beides als sicher bezeichnen?

Aber zurück zu 3D Secure. Bei Wikipedia wird berichtet, dass das Verfahren die Sicherheit erhöhen kann. Bei Zahlungen wird der Karteninhaber mit einer selbst formulierten Begrüßung begrüßt und aufgefordert einen zusätzlichen, nur ihm bekannten Code, einzugeben. Das ist erst mal sicherer als ohne. Allerdings gibt es auch eine andere Seite der Medaille: Das Verfahren bietet wohl Angriffspunkte, über die Hacker den Geheimcode des Karteninhabers erlangen könnten. In der Folge könnten sie dann dessen Kreditkarte online nutzen.
Bisher war es bei Missbrauchsfällen mit der Kreditkarte so, dass dem Kunden dies nicht angelastet wurde, wenn er mit den Kreditkartendaten nicht nachweislich nachlässig umgegangen ist. Durch das 3D Secure Verfahren bestand dagegen die Möglichkeit die Haftung im Missbrauchsfall umzukehren. Da nur der Kunde den Geheimcode kennen kann, ist im Missbrauchsfall auch nur er zur Verantwortung zu ziehen, so wurde zumindest einige Zeit von den Banken argumentiert. Dabei wurde ignoriert, dass der Code auch durch Hackerangriffe und Trojaner gestohlen werden kann. Wie im Wikipedia-Artikel weiter zu lesen ist hat die Kreditwirtschaft im Mai 2011 darauf reagiert und die zugesichert, dass Kunden, die 3D Secure nutzen nicht schlechter gestellt werden als Kreditkartenbesitzer, die das nicht nutzen.

Was mich am Prospekt meiner Bank wundert, ist, dass sie die über 2 Jahre existierende Kritik in ihrem Prospekt nicht aufgreift und deutlich macht, dass heute durchaus eine Haftung besteht. Wieso sichert man die Gleichbehandlung im Haftungsfall nur gegenüber der Stiftung Warentest zu und weist nicht in den eigenen Prospekten darauf hin? Ich finde das merkwürdig und frage mich, ob überhaupt was an der Zusage dran ist (auf die harte Tour möchte ich es nicht herausfinden). Das Verfahren 3D Secure werde ich deswegen vorerst nicht nutzen. Ich sehe keinen wirklichen Vorteil gegenüber dem bisherigen Verfahren. Zur zusätzlichen Absicherung werde ich die SMS-Benachrichtigung bei Kreditkartenzahlungen „abonnieren“, dann kann ich im Missbrauchsfall immer noch reagieren. Und die beste Absicherung ist sowieso, auf Kreditkartenzahlungen im Internet soweit es geht zu verzichten.

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.