Kreditkarten mit „SecureCode“ und „Verified by Visa“ Haftungsrisiko bei Missbrauch

12
Kreditkarten mit „SecureCode“ und „Verified by Visa“ - Haftungsrisiko bei Missbrauch

„SecureCode“ oder „Verified by Visa“ bringen bei Kreditkartenzahlung im Internet mehr Sicherheit. Aber: Es profitieren in erster Linie Online-Shops und Kreditkarten-Banken. Kunden laufen Gefahr, nach Hacker-Angriffen für Missbrauch zahlen zu müssen. test.de empfiehlt deshalb: Lehnen Sie „SecureCode“ und „Verified by Visa“ unbedingt ab.

[Update 06.05.2011] Inzwischen haben alle deutschen Kreditkartenanbieter, Banken- und Sparkassenverbände reagiert und zugesichert: Kunden sind auch mit den neuen Sicherheitsverfahren sicher vor Schadenersatzforderungen, wenn ihnen kein Verschulden nachweisbar ist. Bei deutschen Banken und Sparkassen können sich Kunden jetzt bedenkenlos für die neuen Sicherheitsverfahren anmelden. Hier die aktuelle test.de-Meldung zum Thema.[/Update]

Vertrauen

Bisher gilt: Kreditkartenzahlung im lnternet ist Vertrauenssache. Kunden geben ihre Kartennummer, das Ablaufdatum und die Prüfziffer von der Kartenrückseite ein und der Internet-Händler oder -Dienstleister bucht den Rechnungsbetrag von der Kreditkarte ab. Taschendiebe oder Hacker, die Kreditkartendaten erbeuten, können so auf Kosten des Karteninhabers einkaufen, so lange die Karte noch nicht gesperrt ist. Wer seinen Kreditkartenauszug sorgfältig kontrolliert, muss aber keinen Schaden befürchten. Auf die Reklamation des Karteninhabers hin hat nämlich die Bank das Geld zu erstatten, wenn dem Karteninhaber kein Verschulden oder sonst ein Versäumnis nachzuweisen ist.

Kontrolle

Kreditkarten mit „SecureCode“ und „Verified by Visa“ - Haftungsrisiko bei Missbrauch

So funktionieren SecureCode und Verified by Visa: Kreditkarteninhaber bekommen für diese Verfahren eine Geheimnummer. Wenn sie nun mit ihrer Kreditkarte online bezahlen wollen, erscheint ein Extra-Fenster für die Eingabe der Geheimnummer. Die Geheimnummer wird verschlüsselt direkt zum Kreditkartenunternehmen übertragen. Der Händler erfährt sie nicht. Er erhält am Ende bloß das Signal: „Alles in Ordnung, Zahlung ist verifiziert“. Das Verfahren ist in Großbritannien schon länger im Einsatz. Die Erfahrungen dort zeigt: Die Geheimnummer bringt tatsächlich zusätzliche Sicherheit. Die Zahl der Missbrauchsfälle sank deutlich.

Missbrauch weiter möglich

Allerdings: Missbrauch bleibt möglich. Hackern gelingt es oft, Spionageprogramme auf Computer zu schmuggeln, mit denen sie Kartendaten und Geheimzahlen unbemerkt abfangen und später missbrauchen können. Selbst aktueller Virenschutz und korrekt konfigurierte Firewall bieten keine absolute Sicherheit.

Banken und Anbieter im Vorteil

Die zusätzliche Sicherheit durch „SecureCode“ oder „Verified by Visa“-Geheimzahl hat einen Haken: Sie nützt vor allem Online-Anbietern und Banken. Kunden laufen Gefahr, den ganzen Schaden zahlen zu müssen, wenn Hacker ihre Daten erbeuten und missbrauchen. Die Banken glauben nämlich, dass bei Eingabe der korrekten Geheimzahl durch Fremde von einem grob fahrlässigen Verstoß gegen die Geheimhaltungspflicht auszugehen ist und der Kreditkarteninhaber Schadenersatz zu leisten hat. Nur wenn der Kunde darlegen und gegebenenfalls beweisen kann, dass Hacker ohne sein Verschulden an die Kartendaten gekommen sind, ist die Bank in der Pflicht, den Betrag zu erstatten.

Beispiel EC-Karten

Genau so sehen Gerichte bisher die Rechtslage bei EC-Karten: Wird mit der richtigen Geheimnummer Geld abgehoben, steht der Karteninhaber dafür gerade, wenn er nicht ausreichend Anhaltspunkte dafür liefert, dass Gauner – etwa durch das so genannte „Skimming“ mit Funkkameras und Magnetstreifenlesern - ohne sein Verschulden an die Kartendaten gekommen sind. Unterschied bei „SecureCode“ und „Verified by Visa“: Die Geheimnummer ist durch geschickt programmierte Spionageprogramme aus der Ferne, automatisch und in einer unabsehbaren Zahl von Fällen zu erbeuten. Dabei lassen sich die Spionageprogramme so programmieren, dass sie nach getaner Arbeit wieder verschwinden und der Betroffene keine Chance hat, den Geheimnummern-Diebstahl zu beweisen.

Noch keine Urteile

test.de ist daher der Auffassung: Banken steht bei Missbrauch von „SecureCode“ und „Verified by Visa“-Geheimzahlen keine Beweiserleichterung zu. Verbraucher sollten sich allerdings nicht auf diese Sicht der Rechtslage verlassen. Gerichtsurteile zu der Frage gibts noch nicht. So lange Banken glauben, Ihnen steht bei Missbrauch von Kreditkarten mit „SecureCode“ und „Verified by Visa“ eine Beweiserleichterung zu, sollten Kreditkarteninhaber beide Verfahren meiden.

12

Mehr zum Thema

12 Kommentare Diskutieren Sie mit

Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.

Nutzer­kommentare können sich auf einen früheren Stand oder einen älteren Test beziehen.

j-m.s am 30.11.2012 um 15:24 Uhr
Verified by VISA ist Unsinn

Verified by VISA bringt überhaupt nichts, denn es gibt genügend Internet-Shops, die das nicht unterstützen.
Hat ein Krimineller die Daten einer fremden Karte, kann er nach Belieben einkaufen in den Shops, die Verified by VISA nicht unterstützen.

Profilbild Stiftung_Warentest am 09.05.2011 um 19:37 Uhr
Haftungsfragen vor Gericht

@nightline: Das Problem der Verbraucher ist nicht, dass die Bedingungen der Banken eine extra Haftung für die Folgen des Missbrauchs mit gestohlenen Secure-Code-Daten vorsehen. Das Problem stellt sich erst vor dem Hintergrund der aktuellen Rechtsprechung. Können Bankinstitute nachweisen, dass ihr System vor Missbrauch geschützt ist, kehrt sich die Beweislast um. Geht das Gericht von einem geeigneten Missbrauchsschutz aus, kippt die Beweislast zu Ungunsten der Verbraucher. Sie müssen dann beweisen, dass sie mit den Daten nicht grob fahrlässig umgegangen sind. Die Erfahrungen mit der missbräuchlichen Verwendung von EC- und Kreditkarten zeigen, dass sich die Bankinstitute im Gerichtsprozess auf die Sicherheit der Geheimzahl berufen. Zwar gibt es zu den neuen Sicherungssystemen noch keine höchstrichterliche Rechsprechung, aber es ist gut möglich, dass Verbraucher vor Gericht in Beweisnot gelangen, wenn die Bank ihnen einen fahrlässigen Umgang mit den Zugangs-Daten vorwirft.

Ala am 06.05.2011 um 13:52 Uhr
Ich hab eine Prepaid

Ich hab seit kurzem eine Prepaid Kreditkarte, ich denke, ich bin damit auf der sicheren Seite, wenn ich das so sagen darf. Auf jeden Fall kann mir nix passieren, ich lade mir mein Geld drauf und gebe nur das aus, was drauf ist. Außerdem hat meine Yuna die Mastercard Lizenz, was bedeutet, dass ich praktisch überall damit bezahlen kann. Was besseres kann ich mir nicht vorstellen, aber jeder wie es mag :-).

klanger am 04.05.2011 um 17:51 Uhr
Sicherheit bei der Sparkasse

Nach der grossen Umstellung bei der Sparkasse kann ich mit meinem normalen Zugang auf das Bankportal auf meine TAN-Liste zugreifen!! Erschreckend!
Was haben die sich dabei gedacht?
klanger

nightline am 04.05.2011 um 13:35 Uhr
Keine Haftungsübernahme!!!

Wer sich für das 3D-Secure Verfahren von MasterCard oder Visa registriert, übernimmt, wenn er Kunde einer deutschen Sparkasse oder eines deutschen Finanzinstituts ist, KEINE Haftung! Anders ist das bei ausländischen Internetbanken, diese können andere Kundenbedingungen haben (Bsp. Advanzia Bank aus Luxemburg).
Im Übrigen wird es Betrügern mittlerweile sehr leicht gemacht, an persönliche Daten zu kommen. Über Facebook, XING, etc. sind leicht Anschrift und Geburtsdatum zu entnehmen.
Zu KEINER Zeit übernimmt der Kunde wegen einer Registrierung für 3D-Secure eine Haftung!!! Dieser Artikel zeigt deutlich, dass nicht gut durch Stiftung Warentest recherchiert wurde. Das ist sehr schade, denn seriösen Journalismus hatte ich gerade hier erwartet und auch vorausgesetzt. Ich kann nur jedem raten, sich bei seiner Bank meiner Worte noch einmal zu versichern und nicht einfach der Herde hinterher zu laufen. Übrigens... Amazon.de verwendet nicht das 3D-Secure Verfahren, Bugelhupf!