Verified by VISA bzw. das MasterCard-Äquivalent SecureCode sind übelste Grütze. Hinter den nichtssagenden Marketingnamen verbirgt sich 3-D Secure, ein von VISA entwickeltes Verfahren, bei dem man sich bei Kreditkartentransaktionen im Netz gegenüber der kartenausgebenden Bank authentifiziert.
Dahinter steckt natürlich einzig der Versuch von VISA und MasterCard, die Haftung für Kreditkartenmissbrauch loszuwerden. Üblicherweise bekommt man, wenn irgendwelcher Schindluder mit der eigenen Kreditkarte getrieben wird, anstandslos das verlorene Geld zurück. Da mit der Verbreitung der Kreditkarte und des Internets aber auch der Missbrauch zugenommen hat, suchten die Kreditkartenanbieter natürlich nach Wegen, diese lästige Sache zu minimieren, um mehr Profit zu scheffelnum die Sicherheit und den Komfort für den Kunden zu erhöhen.
In der Umsetzung gibt es allerdings einige dicke Probleme, neben dem Umstand, dass das Verfahren den Kunden in Haftungsfragen schlechter stellt.
Zum einen sehen die Zwischenschaltseiten aus wie übelst billige Phishing-Versuche (außer, dass die echten Phisher mittlerweile deutlich bessere Seiten bauen, Ironie des Schicksals). Die vorherrschende Lösung ist, dass der Kunde ein zusätzliches Passwort eingeben muss – sich also ein weiteres Passwort merken. Angelegt wird das Passwort bei der ersten Benutzung von 3-D Secure – jeder, der die Daten der Karte hat, kann also ein Passwort anlegen und nutzen.
Zum anderen werden sie gerne mal in IFRAMEs eingebettet, womit auch die letzte Illusion von Sicherheit dahin ist. Die übergeordnete Seite kann zwar mittlerweile nicht mehr beliebig auf den Inhalt des IFRAMEs zugreifen, aber die meisten Nutzer haben nicht das Wissen oder schlicht nicht die Muße, zu prüfen, ob das wirklich der erwartete IFRAME ist. Die üblichen Indikatoren wie die URL-Leiste oder der SSL-Marker sind nicht sichtbar. Die Alternativen zur IFRAME-Einbettung wären übrigens Pop-ups (häufig mit reduziertem Browser-Interface) oder Zwischenschaltseiten (ungern genutzt, weil sie den Käufer komplett aus der kontrollierten und designten Shopumgebung herausreißen).
Zumindest bei den Sparkassen und der Deutschen Bank war es übrigens auch bisher so, dass man 3-D Secure nicht ablehnen konnte, auch wenn die Formulierung im Anmeldefenster anderes suggerierte. Wer nicht mit 3-D Secure spielen wollte, wurde dann einfach kommentarlos zurück in den Shop geschmissen, mit einer nichtssagenden Fehlermeldung.
Wenn man dann in der Wikipedia liest:
Mittlerweile wird von jedem deutschen Acquirer – den Unternehmen, die Händlern die Kartenakzeptanz vermitteln – die Implementierung von MasterCard SecureCode oder Verified by Visa verpflichtend auferlegt.
Tröstet einen auch das nicht (selber Ort):
Die deutsche Kreditwirtschaft hat allerdings im Mai 2011 gegenüber der Stiftung Warentest zugesichert, dass bei Benutzung der neuen Verfahren keine Schlechterstellung deutscher Bankkunden zu befürchten sein soll.
Alles nerviger und schlechter für alle, aber immerhin sichern die Banken gegenüber der Stiftung Warentest zu, dass schon alles okay sei. Dazu bedurfte aus nur dreier Jahre und mehreren medienwirksamen Missbrauchsfällen.
This is the future. Future is now.