Hallo an alle,

vor einiger Zeit habe ich aus Sicherheitsgründen meine Mastercard für das Programm "Mastercard Secure Code" registriert.
Ich finde das Konzept recht überzeugend, wenn man bedenkt,dass ohne ein solches eigentlich jeder, der meine Kartennummer und den CVC2 Code kennt, erstmal munter im Netz zu meinen Lasten einkaufen könnte.

Was geschieht aber in folgendem Szenario...

Ich möchte online eine Zahlung leisten und gebe meine Kreditkartennummer ein.
Das System erkennt, dass meine Karte für den "Secure Code" registriert ist und leitet mich an den entsprechenden Dienstleister weiter.
(Firma Arcot/Kalifornien/USA)
Die präsentiert mir den selbst gewählten "Begrüßungstext" und legitimiert sich somit mir gegenüber.
Nun gebe ich den Secure Code ein - Das Geschäft kann abgeschlossen werden.
Wenn nun aber ein Trojaner, der unerkannt auf meinem Rechner sitzt, sowohl die Kreditkartennummer als auch den Secure Code stiehlt und beides später im Netz mißbraucht wird - wer haftet dann?
Allem Anschein nach war ich es ja selbst - wer sonst hat den richtigen Secure Code...
Habe ich durch die Wahl des Secure Code Verfahrens nicht meine eigene Rechtsposition geschwächt und eine Beweislastumkehr zu meinen Lasten ausgelöst?

Ich habe die Frage ebenfalls vor kurzem an den E-Banking Support meiner Sparkasse gestellt.
Eine Antwort steht hier allerdings noch aus.
Die Meinung des Forums würde mich schon interessieren...


kragenbär

Moin,

die Einführung des 3DS (MasterCard Secure Code und Verified by Visa) regelt die Haftung zwischen kartenherausgebener Bank und Händler-Bank neu. Deine Haftungssituation ist unverändert. Wenn Du es nicht warst, bekommst Du Dein Geld wieder - Punkt. Welche der beteiligten Banken dann letztendlich den Schaden trägt, ist abhängig vom Einzelfall. Der Karteninhaber aber nicht. Beim Trojaner zumindest. Bei einer Phishing-Attacke sieht das wieder anders aus... da hier für den Datenabgriff der Karteninhaber tätig wird... Dann greifen aber Haftungshöchstgrenzen.

Od

Hallo Odin,

danke für Deine Ausführungen.Das klingt ja recht beruhigend...
Meine weitere Recherche im Netz bestätigt Deine Angaben.
Ich bin jetzt auch der Meinung, dass Mastercard Secure Code auch aus Sicht des Karteninhabers uneingeschränkt zu empfehlen ist.
Eigentlich verwunderlich,dass das Verfahren offenbar noch nicht zu 100% und weltweit durchgesetzt werden konnte.
Beste Grüße von
kragenbär

Hmmm, ich war bisher der Meinung, dass die 3DS-Verfahren für den Kunden eher nicht sinnvoll sind. Leider finde ich die Seite nicht mehr, die für meine Meinungsbildung hilfreich war, aber im Prinzip trifft es der Artikel aus der wikipedia schon recht gut:


Vorteile für den Kunden sehe ich jedenfalls nicht wirklich... CMIIW

Moin,

aus reiner Kundensicht ist 3DS nur Aufwand, da es keinen Mehrwert bietet.
Vielleicht abgesehen von etwas mehr an gefühlter Sicherheit. Das mögliche Abgreifen von Kartendaten wird auch nicht verhindert, sondern lediglich erschwert. Und falls dem Kunden wirklich eine (Teil-)Schuld treffen sollte, greift die Haftungshöchstgrenze von 150,- EUR. Die PSD greift auch hier... Das war vor 3DS auch schon so und hat sich mit 3DS nicht verändert. Von daher ist die Nutzung von 3DS auch Kundensicht soweit völlig schmerzfrei.

Od

Aus irgendeinem Grund haben wir einige Suchanfragen zu 3D Secure und einer vermeintlichen Amazon-Mail.

Also in Kürze:
Amazon verwendet zur Zeit eh kein 3DS und weder Mastercard noch Visa noch Amazon noch irgendein Kreditkartenunternehmen versendet seriöse Mails, die zur Erfassung auffordern.
Das ist also ein klassischer Pishing-Versucht!

Wenn ihr also dort bereits Daten eingegeben habt, sperrt bitte sofort euren Zugang und/oder eure Karte.

Gruß
Raimund