So aktivieren Sie 3-D Secure

Das größte Problem bei entmaterialisierten Transaktionen ist natürlich die Sicherheit: die Zahlungssicherheit für den Verkäufer und die Gewissheit, dass der Käufer seine Legitimation benutzt, denn er will sicher nicht am Ende für Dienstleistungen bezahlen, die er nicht angefordert hat, oder, noch schlimmer, von der Person beraubt werden, die seine Kreditkartennummer gestohlen hat. Dieses Problem wurde in der Tat vor allem mit dem Internet und der Verbreitung des E-Commerce geboren, denn vorher war es viel weniger aktuell. Im Gegenteil, wenn Sie sehr populäre Filme wie „Flügel der Freiheit“ oder „Gespenst“ gesehen haben, die zu Beginn bzw. am Ende des 20. Jahrhunderts spielen, werden Sie bemerkt haben, dass einige Figuren unter falschem Namen bei der Bank auftauchen und sogar Schecks unterschreiben oder die Bankkonten anderer Leute verwalten: Dies könnte jenseits der filmischen Fiktion geschehen, weil die Kreditinstitute weniger Instrumente hatten, um die Identität der Personen festzustellen, die am Schalter auftauchten; noch heute jedoch kann der Leiter einer Filiale bestimmte Operationen verweigern, wie z.B. die „Bank“ einer Bank. die Liquidation eines Schecks zugunsten von Personen, die er nicht persönlich kennt, oder alternativ dazu, die nicht durch das normale, für die Kunden der Bank vorgesehene Verfahren streng identifiziert wurden.

1950 vergaß ein vielbeschäftigter Geschäftsmann zu Hause das Geld, das er für sein Mittagessen brauchte, und kam auf die Idee, einen Kreditkreislauf zu schaffen, der auf der bloßen Vorlage eines Dokuments basierte: Er hieß Frank McNamara, und an diesem Tag konzipierte er die erste Kreditkarte mit dem Namen Diners Club, d.h. „Gesellschaft von Gästen“, wie diejenigen, die damit – ursprünglich – im Restaurant bezahlt hätten. Kreditkarten haben daher die Probleme der finanziellen Sicherheit vervielfacht, denn in Wirklichkeit reicht es aus, die Nummer zu kennen, um jeden Einkauf zu tätigen, auch online. Banken und Finanzdienstleistungsunternehmen haben sich mit einer Reihe von mehr oder weniger effizienten Lösungen abgesichert, aber erst in den letzten Jahren wurde mit der 3-D Secure (3DS)-Technologie ein De-facto-Standard erreicht. Und in diesem Tutorial werde ich Ihnen erklären, wie Sie 3-D Secure aktivieren können, um Ihre digitalen Transaktionen zu schützen.

So aktivieren Sie 3-D Secure

In diesem Leitfaden zeige ich Ihnen die Hauptmerkmale von 3-D Secure und zeige Ihnen auch, wie es physikalisch funktioniert. Darüber hinaus werde ich, soweit möglich, versuchen zu analysieren, wie die wichtigsten italienischen Kreditinstitute das Problem angegangen sind.

Die Informationen, die ich Ihnen geben werde, sind jedoch rein informativ, haben keine Garantie für die Richtigkeit und ergänzen oder ersetzen nicht die Informationen, die Ihnen von Ihrem Kreditinstitut oder dem Unternehmen, das Ihre Kredit-/Debitkarte ausgestellt hat, zur Verfügung gestellt werden und die Sie im Zweifelsfall ständig verwenden müssen. Ich erinnere Sie daran, dass Sie in erster Linie für die Sicherheit Ihrer Vermögenswerte verantwortlich sind, und Sie sollten diese Art von Fragen nicht auf die leichte Schulter nehmen.

Stichwortverzeichnis

Was 3-D Secure-Technologie ist und wie sie funktioniert

Um zu verstehen, wie 3DS funktioniert, müssen wir einen schnellen Schritt zurück zu vor einigen Jahren machen, als das meistgenutzte Sicherheitssystem für Online-Transaktionen in der Verwendung eines Tokens bestand, einem Gerät in der Größe eines Schlüsselanhängers mit mindestens einer Taste und einem kleinen Flüssigkristallbildschirm.

Dieses Gerät enthielt eine Batterie und eine Karte, wobei letztere so programmiert war, dass sie nur zwei Dinge tat: ein bestimmtes Zeitmaß während der gesamten Batterielebensdauer beizubehalten und eine Pseudozufallszahl zu erzeugen, die auf einem geheimen Algorithmus basiert und direkt mit der von der internen Uhr markierten Zeit verbunden ist.

Bei der Freigabe des Token, der zusammen mit der Karte und einer PIN an den Kunden ausgeliefert wurde, synchronisierte die Bank diesen mit ihren eigenen Systemen, so dass die interne Uhr des Token unabhängig die gleiche Zeit des Referenzservers „schlägt“.

Wenn der Kunde dann mit der Karte Operationen auf seinem virtuellen Konto durchführen wollte, würde er seine Anmeldedaten, seine PIN und den temporären Code, der von dem Token auf der Website generiert wird, durch Drücken der einzigen Taste eingeben; gleichzeitig würde der Server der Bank dieselbe Operation durchführen, die Zufallszahl generieren und mit der vom Kunden eingegebenen Zahl vergleichen.

Da die Token- und die Server-Uhr synchronisiert waren, wurden zwei identische Ziffern erstellt, die beide OTP (One-Time-Password) genannt wurden. Da sie zeitlich begrenzt sind, können sie von einem Angreifer praktisch nicht (theoretisch gesprochen) geklont/kalkuliert werden.

Dieses System erlaubte es Ihnen jedoch nicht, sichere Einkäufe zu tätigen, sondern nur, sicher auf Ihr Konto auf dem Server der Bank zuzugreifen. Aus diesem Grund wurde das 3DS-System implementiert, das es Ihnen ermöglicht, Geld direkt auf das Konto des Händlers einzuzahlen, und das dieselben Instrumente der direkten Passwortkontrolle, d.h. OTP, verwendet (oder verwenden kann).

Da die ersten Unternehmen, die diese Technologie entwickelt haben, Visa und bald darauf MasterCard waren, finden Sie den Namen dieser beiden Unternehmen aus kommerziellen Gründen im Zusammenhang mit dem Protokoll. Das heute verwendete 3DS-Protokoll wurde jedoch vom EMVCo-Konsortium (das ebenfalls von Visa, MasterCard, JCB, American Express, China UnionPay und Discover kontrolliert wird) entwickelt und ermöglicht eine sichere Authentifizierung auch bei kartenlosen Transaktionen (CNP).

Wie die EMV 3-D Secure-Technologie funktioniert

Das Akronym EMV 3-D Secure Three-Domain Secure steht für 3 sichere Domänen, da das Verfahren – das die Eigenschaften der Sprache XML nutzt zum Zeitpunkt der Abfassung dieses Artikels auf der Interaktion von drei Servern basiert:

  • Acquirer – der Server der Person, die die Zahlung anfordert, wie ein Online-Shop;
  • Herausgeber – der Server des Unternehmens, das die Karte ausgestellt hat (es kann eine Bank, PosteItaliane oder ein Finanzdienstleistungsunternehmen sein);
  • Intermediate Domain (auch Directory Server genannt) – ist das Herzstück des Protokolls, das die zwischen Acquirer und Issuer ausgetauschten Daten „sortiert“, als Filter fungiert und die Gültigkeit der Transaktion überprüft.

Gewöhnlich wird der Benutzer zu irgendeinem Zeitpunkt des Verfahrens – wie wir sehen werden – aufgefordert, ein OTP einzugeben, insbesondere wenn die Transaktion als hohes Risiko eingestuft wird. Dies bietet das 3-D Secure 2.0-System.

Um die Zeit zu optimieren und die auferlegten Kosten für die Verbreitung von Tokens zu reduzieren (Objekte, die zudem auch umweltschädlich sind, da sie mit Batterien und elektrogeschweißten Schaltkreisen ausgestattet sind, die nicht wiederhergestellt werden können), werden diese temporären Codes in unserer Zeit in der Regel digital erhalten. In diesem Fall wird das Smartphone über eine spezielle App (vom Kartenaussteller oder der Bank entwickelt) sowie über den SMS-Dienst zur Berechnung des OTP verwendet.

Die Anwendungen können wiederum durch ein biometrisches Authentifizierungssystem (Gesichtserkennung oder Fingerabdruck) sowie durch komplexe alphanumerische Passwörter geschützt werden.

Was ist der Zweck der Aktivierung von 3-D Secure

Die Aktivierung des 3DS-Dienstes ist heute unerlässlich, um Online-Einkäufe zu tätigen, da viele Kredit-/Debitkartenfirmen ihren Kunden diesen Dienst aufzwingen, ohne eine Alternative anzubieten.

Diese Wahl, die das Ergebnis der synergetischen Studie vieler Cyber-Sicherheitsfachleute ist, schränkt natürlich nicht die Freiheit der Karteninhaber ein, sondern dient dem erheblichen Schutz des gesamten E-Commerce-Systems, das sich nur so weit verbreiten kann, dass sich die Kunden auch in finanzieller Hinsicht geschützt fühlen. Und es ist zu bedenken, dass es unter den Kreditkartenkunden nicht nur Nutzer gibt, die online einkaufen, sondern auch Ladenbesitzer, die offensichtlich nicht wissen können, wer kauft, und garantiert sein wollen, wenn letztere einige Zeit später herausfinden, dass sie die Transaktion nicht persönlich durchgeführt haben (z.B. ein Kreditkarteninhaber, der kein Kreditkarteninhaber ist). In diesem Fall kommt das 3DS-Protokoll zur Hilfe, da – je nach den abgeschlossenen Verträgen – der Händler die gesamte Verantwortung auf den Aussteller (Card Issuer) abwälzt, der über das OTP oder andere Systeme als einziger seinen Kunden identifizieren kann.

Auf diese Weise wird also der gesamte E-Commerce als sozioökonomisches Organ geschützt: Die Emittenten verkaufen weiterhin Finanzdienstleistungen, die Ladenbesitzer sind vor jeglicher Untersagung von Ausgaben geschützt, und der Verbraucher weiß, dass er sich auf ein zuverlässiges Instrument verlassen kann, das nur sehr schwer zu klonen und/oder zu hacken ist. Ich verzichte bewusst auf den Diskurs über die NFC-Technologie, die eine eingehende Untersuchung verdient.

Schließlich ist anzumerken, dass dieses Sicherheitsprotokoll auch für andere risikoreiche digitale Transaktionen im Zusammenhang mit Dienstleistungen verschiedener Art verwendet werden kann. Ein Beispiel hierfür sind Online-Rechnungszahlungen, die die Eingabe sensibler Daten, wie z.B. Kartennummern, erfordern können.

3-D Secure-kompatible Bankschaltungen

Sie können direkt überprüfen, ob Ihre Bank diese Technologie aktiviert hat und sie bei den von ihr ausgegebenen Kredit- oder Prepaid-Karten unterstützt.

Gegenwärtig ist der Dienst direkt oder über Software und Technologien Dritter für die folgenden italienischen Kreditinstitute verfügbar:

  • PosteItaliane;
  • UbiBanca;
  • Monte dei Paschi di Siena;
  • Intesa San Paolo;
  • BPM-Bank;
  • Unicredit.

Der Dienst ist auch bei ausländischen Bankinstituten, wie der Schweizerischen Bankgesellschaft (UBS), tätig. Sie kann auch durch kartenausgebende Unternehmen ermöglicht werden, die mit Visa- und Mastercard-Schaltkreisen verbunden sind und zu den ersten gehören, die die 3DS-Technologie verwenden, sowie durch Anbieter mit eigenen Schaltkreisen, wie American Express (AMEX). Nicht zu vergessen ist Nexi, ein Unternehmen, das aus der Fusion zwischen ICBPI und CartaSi hervorgegangen ist und verschiedenen italienischen Banken digitale Zahlungsinfrastrukturen anbietet.

Um sicherzugehen, dass Sie ein 3-D Secure-kompatibles Zahlungssystem finden, schlage ich vor, dass Sie sich beraten lassen:

Aktivierung der 3DS-Technologie

Gegenwärtig haben fast alle Unternehmen, die ich oben aufgeführt habe, automatisch die Aktivierung dieser Technologie vorgesehen.

In der Regel geht der Einführung der Karte für Kunden, die sie noch nicht aktiviert haben, ein Schreiben des ausstellenden Instituts voraus, in dem das anzuwendende Verfahren im Einzelnen erläutert wird. In einigen Fällen kann es erforderlich sein, dass sie sich physisch zu einem Schalter einer Zweigstelle begeben müssen, um die mit der Karte zu verknüpfende Mobilfunknummer mitzuteilen.

Wenn dies nie geschehen ist, müssen Sie sich direkt an den Aussteller wenden, um alle notwendigen Informationen zu erhalten. In diesem Fall ist es nicht möglich, ein praktisches Beispiel zu nennen.

Wie Sie mit 3-D Secure online bezahlen

Das Verfahren für die Online-Nutzung von 3DS kann je nach Wahl des Emittenten variieren. In der Regel funktioniert es jedoch auf diese Weise:

  1. Auf der Website des Online-Verkäufers finden Sie zum Zeitpunkt der Zahlung ein Formular, in das Sie es eintragen müssen:
    1. Vor- und Nachname des Karteninhabers;
    2. Kartennummer;
    3. Verifizierungscode (CVC/CVV), normalerweise – aber nicht immer – auf der Rückseite der Karte angebracht (es ist eine alte Methode, um sicherzustellen, dass Sie ihn bei sich haben und nicht z.B. ein Foto der Karte verwenden, das jemandem gestohlen wurde);
    4. Ablaufdatum der Karte;
    5. Gegebenenfalls eine Rechnungsadresse (in einigen Fällen kann dies nicht erforderlich sein).
  2. Nachdem Sie die Daten eingegeben haben, müssen Sie Ihre Eingabe bestätigen, indem Sie eine spezielle Autorisierungs-Schaltfläche wählen, die Sie (in den meisten Fällen) zu einem Übersichtsbildschirm führt, wo Sie an den Endbetrag des zu zahlenden Preises erinnert werden;
  3. In einigen Fällen kann es aus bankgeschäftlichen Gründen (z.B. wenn Sie eine Karte verwenden, die von einem Partner des Anbieters ausgestellt wurde, aber nicht direkt mit ihm verbunden ist) zu einer geringen Zusatzgebühr kommen;
  4. Wenn Sie die Erlaubnis zum Fortfahren erteilt haben, werden Sie (je nach Fall) auf den Server des Herausgebers umgeleitet, der Sie zur Eingabe des OTP auffordert. Wenn der Herausgeber SMS verwendet, erhalten Sie die Nachricht mit der einzugebenden PIN innerhalb weniger Sekunden. Wenn der Herausgeber eine Smartphone-App (die das Token ersetzt) verwendet, werden Sie unter Umständen aufgefordert, eine Bestätigungstaste direkt auf dem Token zu drücken. In diesem Fall muss Ihr Smartphone natürlich mit dem Internet verbunden sein;
  5. Wenn die Identitätsprüfung wie oben beschrieben durchgeführt wurde, gibt der Server die positive Meldung über die erfolgreiche Zahlung zurück, oder – möglicherweise – eine Fehlermeldung, die Sie umgehend an Ihren Finanzdienstleister weiterleiten sollten. In einigen Fällen kann der Aussteller Ihnen auch eine zusätzliche Dienstleistung anbieten, die aus einer SMS zur Bestätigung der Transaktion besteht.

Stornieren Sie die Aktivierung von 3-D Secure

Es gibt keine triftigen Gründe, die Nutzung des 3DS-Systems allein zu deaktivieren, und in vielen Fällen ist dies keine Option: Wenn Sie Ihre Karte oder Ihr Mobiltelefon verloren haben oder Ihre Nummer ändern möchten, müssen Sie sich direkt an den Kartenaussteller wenden, um die notwendigen Wiederherstellungsvorgänge durchzuführen.

Wenn Sie sich fragen, wie Sie den Dienst deaktivieren können, weil Sie nicht in der Lage sind, Online-Zahlungen zu tätigen, schlage ich vor, dass Sie das Kontaktzentrum des Kartenausstellers, das möglicherweise nicht das Kontaktzentrum Ihrer Bank ist (z.B. das Kontaktzentrum von MasterCard oder Visa), um Informationen bitten.

Alternative Technologien zu 3-D Secure

Das 3DS ist offensichtlich nicht das einzige Protokoll, das zur Gewährleistung der Online-Sicherheit verwendet wird. Ein alternatives, aber zumindest in Italien nicht sehr weit verbreitetes System ist das Dynamic CVV, das konzeptionell dem alten, auf OTP via Token basierenden System sehr ähnlich sieht: Die Kreditkarte hat in der Tat einen E-Ink-Bildschirm auf der Rückseite (wie viele E-Book-Lesegeräte), der den statischen CVC/CVVV-Code ersetzt und sich bei jeder Transaktion ändert, wodurch – zumindest bis zum Verlust der Karte – eine größere Kontrolle über die Identität des Benutzers gewährleistet wird.

Völlig losgelöst von diesen Technologien – und konzeptionell unabhängig von ihnen – ist dann der von PayPal angebotene Service, der keine Vermittler einsetzt, den Schutz des Kontos und der Einkäufe garantiert und auch die Zahlungen des Käufers durch Authentifizierung verwaltet.


Lorenzo Renzetti ist ein Experte für die Verbreitung von Computern, spezialisiert auf Instant Messaging und soziale Netzwerkdienste. Er hat mit mehreren erfolgreichen italienischen Zeitungen zusammengearbeitet und an der Veröffentlichung von Technologieführern mitgewirkt. Er gibt seine Ratschläge in seinem Blog WordSmart.it weiter, in dem er Benutzern hilft, computerbezogene Probleme zu lösen.