Mit „Mastercard SecureCode“ oder „Verified by Visa“ zu zahlen, konnte für Kreditkarteninhaber teuer werden: Manche Bank verlangte nach Hackerangriffen Schadenersatz von schuldlosen Kunden. Nachdem test.de Kreditkartenbesitzer gewarnt hatte, sichern jetzt Visa, Mastercard, Banken- und Sparkassen-Verbände verbindlich zu: Kunden stehen mit den neuen Sicherheitsverfahren nicht schlechter als früher. test.de empfiehlt jetzt: Machen Sie mit!
Extra-Prüfung
So funktionieren Mastercard SecureCode und Verified by Visa: Wenn die Inhaber mit ihrer Kreditkarte online bezahlen wollen, erscheint ein Extra-Fenster für die Eingabe einer speziellen Geheimnummer oder eines Passwortes. Noch sicherer: Manche Bank arbeitet mit Sicherheitsabfragen nach Daten, die nur der Karteninhaber weiß oder für jede Buchung neu errechneter Geheimzahl, die sie per SMS an den Karteninhaber verschickt. Die Geheimdaten für die Autorisierung der Zahlung werden verschlüsselt direkt zum Kreditkartenunternehmen übertragen. Der Händler erfährt sie nicht. Er erhält am Ende bloß das Signal: „Alles in Ordnung, Zahlung ist verifiziert“. Das Verfahren ist in Großbritannien schon länger im Einsatz. Die Erfahrungen dort zeigt: Die Sicherheit nimmt zu. Die Zahl der Missbrauchsfälle sank deutlich.
Missbrauchsgefahr
Der Haken an der Sache: Missbrauch bleibt möglich. Hackern gelingt es oft, Spionageprogramme auf Computer zu schmuggeln, mit denen sie Kartendaten und Geheimzahlen unbemerkt abfangen und später missbrauchen können. Selbst aktueller Virenschutz und korrekt konfigurierte Firewall bieten keine absolute Sicherheit. Schlimmer noch: test.de-Leser berichteten, dass sich die Kreditkarten-Geheimzahl bei einzelnen Banken mit Kartennummer und leicht zu ermittelnden Daten wie dem Geburtsdatum ändern lässt.
Banken wollten Zahlung ohne Beweise
Die Alarmglocken schrillten bei test.de, als Banken Kunden bei Kreditkartenmissbrauch zur Kasse baten, ohne einen Hinweis für deren Verschulden zu haben: Die Geldinstitute gingen bei Eingabe der richtigen Geheimzahl einfach davon aus, dass der Kunde grob fahrlässig gegen seine Geheimhaltungspflicht verstoßen und sie auf der Karte notiert oder gemeinsam mit ihr aufbewahrt hat. Ähnlich verfahren die Banken beim Abheben von Bargeld mit EC-Karte und Geheimzahl. Allerdings: Die Geheimzahl bei EC-Karten lässt sich soweit bekannt nur durch Beobachtung der Eingabe am Geldautomaten auskundschaften. Bei „Mastercard SecureCode“ und „Verified by Visa“ steht fest: Hacker können die Geheimzahl auch ferngesteuert von überall auf der Welt aus erbeuten.
Kartenanbieter und Verbände bessern nach
test.de riet deshalb zunächst: Meiden Sie die neuen Verfahren, so lange Ihre Bank glaubt, ihr stehe bei Missbrauch eine Beweiserleichterung zu. Inzwischen haben alle Banken- und Sparkassenverbände test.de gegenüber zugesichert: Kunden können Zahlungen, die sie nicht veranlasst haben, wie bisher melden und müssen nicht zahlen, wenn ihnen kein Verschulden nachzuweisen ist. Visa und Mastercard als Lizenzgeber machen sich ebenfalls für die Einhaltung dieser Regel stark. Damit gilt jetzt: Bei Kreditkarten deutscher Banken und Sparkassen können Sie sich bedenkenlos für „Mastercard SecureCode“ oder „Verified by Visa“ anmelden. Bei Kreditkarten anderer Anbieter allerdings sollten Sie unbedingt nachfragen und sich nur für neue Sicherheitsverfahren anmelden, wenn das Unternehmen zusichert, sie bei Missbrauchsfällen nicht schlechter zu stellen als bei herkömmlicher Kartenzahlung.
Bitte um Unterstützung
test.de und Finanztest bleiben am Ball und wollen überprüfen, ob die Banken und Sparkassen sich an die Zusagen ihrer Verbände halten. Deshalb die Bitte: Wenn Ihr Kreditkartenanbieter sich weigert, Buchungen zu stornieren, die sie nicht veranlasst haben, schreiben Sie unbedingt an:
kreditkartenmissbrauch@stiftung-warentest.de.
test.de und Finanztest werden dann sofort nachhaken.
-
Mahnbescheid, Gerichtsvollzieher – wie Sie am besten reagieren
- Wer Rechnungen nicht zahlt, dem droht die Überschuldung. Wir erklären, wie Sie auf einen Mahnbescheid reagieren sollten und wie eine Privatinsolvenz funktioniert.
-
So sperren Sie die Karte schnell und sicher
- In den ersten zehn Monaten des Jahres 2019 fanden knapp 13 Prozent der gemeldeten Diebstähle von Girocards (früher Ec-Karte) in Kaufhäusern und Geschäften statt, so eine...
-
Günstige und Gratiskonten für Kids
- Der Kinderkonten-Vergleich der Stiftung Warentest informiert, ob und zu welchen Bedingungen Kinder, Schüler, Auszubildende und Studenten ein Konto eröffnen können.
Diskutieren Sie mit
Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.
Nutzerkommentare können sich auf einen früheren Stand oder einen älteren Test beziehen.
Kommentar vom Autor gelöscht.
Die von tina_74 übermittelte Reaktion der Diba ist ein Schritt in die richtige Richtung. Es verwundert allerdings, dass von anderen Banken, die lt. test "verbindliche" (!?) Erklärungen abgegeben haben, keinerlei klarstellende Aussagen kommen. Hier bitte das Nachfassen nicht vergessen.
Auch ist zu bedenken, dass die Diba Formulierung durchaus noch mißverständlich ist. Es heißt dort laut Tina_74: "Falls Dritte Ihre Zugangsdaten zum Internetbanking missbrauchen, ersetzen wir den finanziellen Schaden, der Ihnen entsteht".
Die Frage der Beweislast für einen evtl. Mißbrauch bleibt auch bei dieser Formulierung weiterhin offen. Muss der Kunde im Streitfall beweisen, dass er Opfer eines Hackerangriffs wurde (z.B.durch ein selbst zu bezahlendes forensisches Computergutachten)? Oder muss die Bank auf eigene Kosten das Gegenteil beweisen?
Die DIBA reagiert und verschickte folgende Kundenmitteilung: "... damit das Internetbanking + Brokerage der ING-DiBa für Sie weiter einfach bleibt und Sie die Diskussion um Sicherheitsverfahren entspannt verfolgen können, geben wir Ihnen unser ING-DiBa Versprechen: Falls Dritte Ihre Zugangsdaten zum Internetbanking missbrauchen, ersetzen wir den finanziellen Schaden, der Ihnen entsteht – versprochen..." - Ich hoffe andere Banken mögen diesem guten Beispiel folgen, am besten durch eindeutige AGBs.
Ist diese "verbindliche Zusage" lediglich eine Kulanzlösung, oder wurden die Nutzungsbedingungen tatsächlich geändert? Wenn es hart auf hart geht, gelten vor Gericht immer noch die Nutzungsbedingungen!
Mittlerweile verlangen die Unternehmen, die deutschen Onlineanbietern die Kreditkartenakzeptanz ermöglichen, den Einsatz von Mastercard SecureCode und Verfified by Visa. In der Praxis bedeutet das, daß es immer weniger Onlineshops gibt, bei denen man an diesen Systemen vorbeikommt - sofern man mit Kreditkarte zahlt. Ein Beispiel, wo es noch ohne diese zusätzlichen Hürden geht, ist Amazon und Paypal. Allerdings hat Amazon seinen europäischen Sitz auch in Luxemburg und nicht in Deutschland. Dasselbe gilt für Paypal. Bei deutschen Onlineshops mit Live-Billing, also der Bestätigung der Kreditkartenzahlung in Echtzeit - meistens über einen Zahlungsdienstleister - konnte ich bereits mehrmals nur bei Teilnahme an den genannten Systemen per Kreditkarte bezahlen. Beispiele hierfür sind der Schlecker Onlineshop und Voelkner. Beide Händler bieten aber auch andere Zahlungsmethoden (Paypal oder Kauf auf Rechnung/per Lastschrift u. a. m.) an.