{"id":2028,"date":"2018-05-01T10:40:14","date_gmt":"2018-05-01T09:40:14","guid":{"rendered":"https:\/\/www.my-it-brain.de\/wordpress\/?p=2028"},"modified":"2018-05-01T10:40:14","modified_gmt":"2018-05-01T09:40:14","slug":"3-d-secure-alias-verified-by-visa-alias-securecode","status":"publish","type":"post","link":"https:\/\/www.my-it-brain.de\/wordpress\/3-d-secure-alias-verified-by-visa-alias-securecode\/","title":{"rendered":"3-D Secure alias Verified by Visa alias SecureCode"},"content":{"rendered":"

W\u00e4hlt man bei Online-H\u00e4ndlern die Zahlungsweise Kreditkartenzahlung aus, wird man heute in den meisten F\u00e4llen mit dem Verfahren 3-D Secure [1]<\/a> konfrontiert. Je nachdem welche Kreditkarte man verwendet, hei\u00dft das Verfahren Verified by Visa<\/em> oder bei einer Mastercard SecureCode<\/em>.<\/p>\n

Durch das Verfahren sollen Zahlungsausf\u00e4lle durch Kreditkartenmissbrauch reduziert werden. Teilnehmenden Online-H\u00e4ndlern wird zudem der Zahlungseingang garantiert, wenn sie 3-D Secure einsetzen.<\/p>\n

Doch welche Vorteile bietet dieses Verfahren f\u00fcr den Kunden? Auf den ersten Blick gar keine. Statt eines Passwortes muss der Kunde sich nun eine PIN f\u00fcr die Banking-App bzw. f\u00fcr sein mobiles Endger\u00e4t merken.<\/p>\n

Im Wikipedia-Artikel zu 3-D Secure [1]<\/a> wird zudem ausgef\u00fchrt:<\/p>\n

Auch im Jahr 2018 gibt es jedoch noch Konstellationen, in denen die Haftungsfrage eindeutig zu Lasten des Kunden ausf\u00e4llt und die Registrierung zu 3-D Secure ein im Vergleich zu anderen Zahlungswegen f\u00fcr den Kunden au\u00dfergew\u00f6hnlich riskantes Verfahren sein kann, wie folgender Fall verdeutlicht: Die DKB hat vom statischen Sicherheitscode auf einen dynamischen Code per App oder mTAN umgestellt. In ihren Sonderbedingungen f\u00fcr 3-D Secure legt die DKB aktuell einen Haftungsausschluss f\u00fcr den Fall fest, \u201edass das mobile Endger\u00e4t verloren, gestohlen oder weitergegeben wird und dadurch Dritte ggf. Zugriff auf SMS erhalten und diese unberechtigt nutzen k\u00f6nnen\u201c. Bei einem m\u00f6glichen gleichzeitigen Verlust von Kreditkarte und Mobilfunkger\u00e4t kann ein Finder also beliebige Zahlungen zu Lasten des Besitzers ausl\u00f6sen und verifizieren, vorausgesetzt er bekommt Zugang zum Mobilger\u00e4t (etwa durch eine einfache Tastensperre). F\u00fcr diese missbr\u00e4uchlichen Zahlungen haftet der Kunde vollst\u00e4ndig bis zur Sperrung der Karte, bei einer Zahlung ohne 3-D Secure haftet er dagegen nur bis maximal 50 \u20ac. Bei Verlust stellen weder die auf der Karte aufgedruckten Daten, noch das 3-D-Secure-Verfahren eine H\u00fcrde f\u00fcr den einfachen Missbrauch dar, sondern lediglich die PIN oder vergleichbare Sicherungsmechanismen des Mobilger\u00e4ts. Das Risiko f\u00fcr den Kunden ist in dieser Konstellation h\u00f6her, als ohne Registrierung zum 3-D-Secure-Verfahren, unabh\u00e4ngig davon, ob der Kunde 3-D Secure \u00fcberhaupt benutzt.<\/p><\/blockquote>\n

Diese Aussage lie\u00df mich zun\u00e4chst zweifeln, ob ich mich \u00fcberhaupt noch zum dynamischen 3-D Secure Verfahren anmelden sollte. Ich beschloss daher, die Sonderbedingungen f\u00fcr das 3D Secure Verfahren bei Internet-Zahlungen mit der DKB-Kreditkarte [2]<\/a> genau zu lesen und im Zweifel bei meiner Bank nachzufragen, wie es sich mit der Haftung verh\u00e4lt.<\/p>\n

Aus den Sonderbedingungen f\u00fcr das 3D Secure Verfahren bei Internet-Zahlungen mit der DKB-Kreditkarte<\/h2>\n

Im Folgenden zitiere ich aus den oben genannten Sonderbedingungen [2]<\/a> und liste die Fragen auf, welche durch die genannten Punkte aufgeworfen wurden.<\/p>\n

Sorgfaltspflichten des Karteninhabers<\/h3>\n

Hier Punkt 1:<\/p>\n

1) Der Karteninhaber
\na) hat das Risiko eines unberechtigten Zugriffs auf sein mobiles Endger\u00e4t u. a. durch geeignete Schutzma\u00dfnahmen zu minimieren (z.B. PIN auf mobiles Endger\u00e4t).
\nb) hat das Betriebssystem des von ihm verwendeten Endger\u00e4tes auf dem neuesten Stand zu halten.
\nc) hat die App nur aus offiziellen App-Stores (iTunes, Google Playstore, Windows Store) herunterzuladen und daf\u00fcr vorgesehene Updates regelm\u00e4\u00dfig durchzuf\u00fchren.<\/p><\/blockquote>\n

W\u00e4hrend Punkt a) noch einleuchtet, wirft Punkt b) bereits erste Fragen auf. Was mache ich, wenn mein Endger\u00e4t schon \u00e4lter ist und der Hersteller keine Updates mehr f\u00fcr das Betriebssystem ver\u00f6ffentlicht? Was ist, wenn ich mir im Handel ein neues Android-Ger\u00e4t kaufe, welches mit einer \u00e4lteren Android-Version ausgeliefert wird und vom Hersteller ebenfalls keine Updates mehr f\u00fcr das Betriebssystem erh\u00e4lt? Darf ich in oben genannten F\u00e4llen \u00fcberhaupt noch am 3-D Secure Verfahren teilnehmen? Oder darf die DKB in diesen F\u00e4llen bereits die Haftung im Missbrauchsfall ablehnen?<\/p>\n

Zu Punkt 3:<\/p>\n

Die DKB AG haftet nicht f\u00fcr den Fall, dass das mobile Endger\u00e4t verloren, gestohlen oder weitergegeben wird und dadurch Dritte ggf. Zugriff auf SMS erhalten und diese unberechtigt nutzen k\u00f6nnen.<\/p><\/blockquote>\n

Dies ist der Punkt, welcher bereits im Wikipedia-Artikel [1]<\/a> kritisiert wurde. Hier stellt sich die Frage, ob ich mich mit einer Teilnahme an 3-D Secure nicht schlechter stelle.<\/p>\n

Verantwortlichkeit und Haftung<\/h3>\n

Punkt 7 der Sonderbedingungen [2]<\/a> widmet sich dann konkret der Haftung:<\/p>\n

[…] Die DKB AG \u00fcbernimmt au\u00dferdem keine Haftung bei Manipulation des mobilen Endger\u00e4ts (z.B. Jailbreaking, Rooting).<\/p><\/blockquote>\n

Bedeutet dies, dass Nutzer freier bzw. alternativer Betriebssysteme das Verfahren nicht nutzen k\u00f6nnen? Schlie\u00dflich sind Jailbreaks und Rooting oftmals Voraussetzung, um ein Custom-ROM auf ein Endger\u00e4t aufspielen zu k\u00f6nnen.<\/p>\n

Mit obigen Fragen habe ich mich per E-Mail an die DKB gewendet und um schriftliche Antwort gebeten.<\/p>\n

Die Antwort der DKB<\/h3>\n

Eine Antwort lie\u00df nicht lange auf sich warten. Man bat darum, die Sache zun\u00e4chst am Telefon zu er\u00f6rtern. Auf Wunsch best\u00e4tigte man mir die wesentlichen Inhalte dann auch schriftlich.<\/p>\n

Nach Aussage eines Mitarbeiters aus der Technik wurde die DKB Secure App so entworfen, dass sie den Patchlevel des mobilen Betriebssystems pr\u00fcfen und erkennen kann, ob das Ger\u00e4t gerootet bzw. gejailbreakt wurde. Ist letzteres der Fall oder ist der Patchlevel des Endger\u00e4tes zu alt, verweigert die App den Start.<\/p>\n

Mir wurde best\u00e4tigt, dass dies im Umkehrschluss bedeutet, dass wenn die App startet, die Sorgfaltspflicht aus Punkt 1.b) als erf\u00fcllt angesehen werden kann.<\/p>\n

Die schlechte Nachricht f\u00fcr die Freunde freier Betriebssysteme ist, dass die DKB jegliche Haftung ablehnt, wenn die App nicht aus den offiziellen App Stores bezogen wurde und\/oder unter einem Custom-ROM betrieben wird. Der Haftungsausschluss gilt in diesem Fall \u00fcbrigens auch, wenn man statt der App das mTAN-Verfahren via SMS nutzen m\u00f6chte.<\/p>\n

Steht noch die Antwort zu Punkt 3 aus. Hierzu teilte mir eine Mitarbeiterin aus der Fachabteilung Privatkundenservice mit, dass die Haftung bei Diebstahl des mobilen Endger\u00e4ts nur dann ausgeschlossen ist, wenn der Kunde grob fahrl\u00e4ssig gehandelt hat. Unter grobe Fahrl\u00e4ssigkeit f\u00e4llt dabei zum Beispiel, dass:<\/p>\n