ACHTUNG: Es gibt ein aktuelles Update zu diesem Artikel vom 24.11.2020!

Am Samstag, den 14. September 2019 ist es soweit! Beim Online-Shoppen mit der Kreditkarte gelten bei allen europäischen Internet-Händlern strengere Regeln in Sachen Identitätsprüfung. Das Verfahren ist nicht neu, eine frühere Version wurde bereits 2016 vorgestellt. Ziel solcher technologischen Anpassungen war und ist es, die Sicherheit zu erhöhen und die Kunden noch besser vor Missbrauch und Cyberkriminalität zu schützen. Grundsätzlich also eine sehr gute Sache, über die wir auch schon einen Blogartikel verfasst haben. Theorie und Praxis sind aber oft zwei verschiedene Dinge. Gerade bei Neueinführungen und Umstellungen kann es für unsere Kunden zu Problemen kommen. Alles Neue ist auch immer ungewohnt! Deshalb habe ich mich dazu entschlossen, meine persönlichen Erfahrungen rund um das 3D-Secure Verfahren mit den Lesern in einem informativen Blogbeitrag zu teilen. Ich wünsche viel Spaß beim Lesen und viele hilfreiche Erkenntnisse.

Im Jahr 2016 hatte ich meine Mastercard Gold Kreditkarte registriert, die S-ID Check App aus dem Apple Store heruntergeladen und auch einmal benutzt. Doch dann wurde es still um das Thema. Tatsächlich hat mich in den letzten drei Jahren kein einziger Online-Händler um eine Verifikation gebeten. Die Sache geriet bei mir in Vergessenheit, es funktionierte ja auch ohne. Vor ein paar Tagen lag dann meine frisch verlängerte Kreditkarte in der Post. Zusammen mit einem Schreiben, das mich freundlich auf die bald verschärften Kontrollen und die Wichtigkeit meiner Kreditkarten-PIN hinwies. Nach einem kurzen Gespräch mit gut informierten Sparkassen-Kollegen wird mir schnell klar, dass hier im Zuge der sogenannten PSD2 Richtlinie nicht nur auf mich, sondern auch auf alle anderen Kreditkartenkunden etwas Neues zukommt. 

WO IST DIE VERFLIXTE PIN?

Ein kleiner Schreck gilt zunächst meiner Kreditkarten PIN (Personal Identification Number). Dazu muss man wissen, dass ich schon länger nicht mehr verreist bin und mit der Kreditkarte bis dato auch noch kein Geld abgehoben habe. Schließlich kann ich ja mit meiner Sparkassen Girocard (Debitkarte) überall in Deutschland kostenlos Bargeld ziehen. Wo ist also diese verflixte Nummer? Zum Glück bewahre ich alle wichtigen Papierdokumente in Ordnern auf. Und tatsächlich, nach ein paar Minuten Suche habe ich den alten Brief der Sparkasse Regensburg auch schon gefunden. Das kleine Plastikfeld, hinter der sich die schon etwas verblichene Nummer verbirgt, ist nicht mal freigerubbelt. Eigentlich sollte man diese Nummer immer sofort nach Erhalt des Briefes freilegen und den Zettel dann vernichten. Aber in diesem Fall ist es vielleicht gar nicht so schlecht, denke ich, doch etwas schuldbewusst. Denn wahrscheinlich hätte ich die PIN bis heute wegen Nichtbenutzen schon längst wieder vergessen. Zur Not, so erfahre ich später, hätte ich allerdings auch eine Ersatz-PIN bei meiner Sparkassen-Kundenberaterein bestellen können. Das ist doch schon mal  gut zu wissen!

WUNSCH-PIN MUSS HER

Aber stimmt die vierstellige Zahlenreihenfolge? Da in dem Schreiben erwähnt wird, dass ich mir jederzeit eine persönliche Wunsch PIN über einen Geldautomaten einstellen kann, will ich es jetzt ganz genau wissen. Denn es wäre ja schon ziemlich doof, wenn ich ab dem 14. September irgendwann online oder offline danach gefragt werde. Ich gehe deshalb gleich am nächsten Tag zu einem der Automaten in unserer Zentrale. Und tatsächlich: die freigerubbelte PIN stimmt, das Einrichten der Wunsch-PIN am Automaten ist total einfach und kostet auch nichts. Wunderbar. Denn seit Juli 2017 muss man die PIN auch in Deutschland beim Einkaufen mit der Kreditkarte an der Ladentheke oder im Hotel eingeben. Das soll Missbrauch vorbeugen. Beim kontaktlosen Bezahlen geht es bei Beträgen bis 25 Euro in den meisten Fällen aber auch ohne. Das auf der Vorderseite meiner verlängerten Karte um 90 Grad nach rechts gedrehte WLAN-Symbol zeigt mir an, dass dies (im Gegensatz zur Vorgängerkarte) nun sehr wohl möglich ist. Zum Schluss zerschneide ich den Chip meiner abgelaufenen Kreditkarte und schicke die ursprüngliche PIN durch den Reißwolf. Vorbildlich!  

3D-SECURE MACHT IMMER SINN

Eigentlich hatte ich meine abgelaufene Kreditkarte ja bereits registriert. Allerdings muss der Kunde jede Karte auch neu für das 3-D Secure anmelden. Dazu sollte man wissen, dass es in der Vergangenheit bereits einige Vorläufer des Secure-Verfahrens gab. Mit jeder neuen Version ist die Sicherheit weiter verbessert worden. Da viele Kunden bezüglich ihrer Kreditkarte noch unterschiedliche Versionen aktiviert haben, macht es auf alle Fälle auch für alle Sinn, sich bei Erhalt einer neuen Karte, egal ob nun verlängert oder ganz neu, dem Registrierungsprozess zu widmen. Klingt erst einmal nervig, dauert aber im Idealfall nur ein paar Minuten.       

Also ab zur Registrierung unter:  https://www.sparkassen-kreditkarten.de/sicherheit.html Auf dieser Webseite muss ich als erstes mitteilen, ob ich eine Master- oder VisaCard Mastercard oder Visa besitze. Für letztere Kunden gibt es ein eigenes Registrierungsverfahren, genannt Visasecure. Es entspricht exakt dem gleichen Prozess, den ich gerade durchlaufe, ist also identisch. Ich klicke aber auf Mastercard ID Check. Dort kommt dann gleich der Hinweis, den weiteren Schritten nur zu folgen, wenn ich: 1.) Eine Neuregistrierung zum 3D-Secure Verfahren durchführen möchte 2.) Ein neues Smartphone oder eine neue Telefonnummer habe 3.) Bereits registriert bin und ein anderes 3D-Secure Verfahren nutzen möchten (mTAN, App via PIN-Nutzung oder Fingerabdruck) Ich entscheide mich für Punkt eins und gebe meine 16-stellige Kreditkartennummer ein. Ich setze nach Querlesen auch den Haken bei den zusätzlichen Verfahrenshinweisen. Prompt vibriert mein Smartphone, auf dem ich vor Jahren die App „S-ID-Check“ installiert und auch regelmäßig geupdatet habe. Die Registrierungsseite am PC-Desktop zeigt ein Ladezeichensymbol, sie wartet also auf meine Identifizierung. In der Smartphone-App wird nach einem Fingertipp schon wieder eine PIN abgefragt.

PIN? WELCHE PIN?

Ich frage mich jetzt, welche PIN das sein soll. Die PIN meiner verlängerten Mastercard kann es ja nicht sein. Zur Sicherheit konsultiere ich unsere Produktmanagerin für die Kreditkarten. Ihre Antwort ist klar. Es ist die PIN, die ich bei Installation der S-ID –CHECK APP vor vielen Jahren vergeben und mangels Gelegenheit nie benutzt habe. Die Karte ist bereits registriert und eine neue, verlängerte Karte verlangt eigentlich keine neue Registrierung. Nur wenn ich z.B. meine Karte verloren habe oder ein neues Handy benutze, muss ich auch den Registrierungsprozess zwingend neu starten. Trotzdem schadet es in keinem Fall mich neu zu registrieren, denn im Grunde funktioniert es wie eine Art Sicherheits-Upgrade. Eine neue Registrierung heißt auch immer: Maximaler Schutz für den Kreditkartenbesitzer. Aus Spaß teste ich aber zunächst ein paar meiner Lieblingszahlenkombis aus, von denen ich denke, dass ich sie irgendwann mal für 3D-SECURE vergeben haben könnte. Aber Pustekuchen! Beim dritten Fehlversuch werde ich aufgefordert, den ganzen Registrierungsprozess neu zu starten. Jetzt werde ich doch ein wenig nervös. Das Spiel kennt man ja vom Geldautomaten. Ist nun wegen meiner Falscheingabe irgendetwas gesperrt worden?

(NEU-) REGISTRIERUNGSPROZESS OPTIMIERT

Ich rufe lieber noch einmal die Produktmanagerin an. Zum Glück beruhigt sie mich. Das 3D-SECURE Verfahren wurde in der Zwischenzeit optimiert. Ich brauche für einen neuen Identifikations-Code nur die Registrierung neu starten. Den Code bekomme ich dann in Echtzeit auf den digitalen Kontoauszug meines Kreditkartenkontos geschickt. Das klingt doch super. Gehört, getan! Ich lasse mir den Code über die Site an mein Konto schicken, logge mich mit dem Smartphone über meine S-App ins Online-Banking und siehe da, der Code ist tatsächlich schon da. Das ging ja schnell! Der Rest ist dann denkbar einfach. Ich gebe die Nummer ein und scanne mit der Handykamera den auf dem Bildschirm angezeigten QR-Code. Er wird auch sofort erkannt. Im Anschluss vergebe ich eine neue PIN (die ich mir auch garantiert gut merken kann) und wähle zusätzlich auch noch das Fingerabdruckverfahren aus, um den Prozess beim Kreditkarten-Online-Shopping noch intuitiver zu gestalten. Jetzt erscheint auf der Webseite folgender Satz: „Geschafft! Sie haben sich erfolgreich mit Ihrer Kreditkarte für das neue Online-Legitimationsverfahren Mastercard® SecureCode® registriert.“

DEN ERNSTFALL TESTEN?

Puh! War doch alles gar nicht so schwer. Nachdem ich meine verlängerte und sicherheitstechnisch verbesserte Kreditkarte nun erfolgreich (neu-)registriert und meine Smartphone App „S-ID-Check“ sauber zum Laufen gebracht habe, fehlt eigentlich nur noch eine Sache. Ich würde das Verfahren nun sehr gerne gleich beim Shoppen testen! Doch leider gibt es für das Online-Legitimationsverfahren kein teilnehmendes Online-Händler-Verzeichnis. Außerdem werden dies Fälle per Zufallsgenerator nach streng geheimen Kriterien ausgewählt, wahrscheinlich, um Kriminellen das Leben extra schwer zu machen. Erst ab dem 14. September 2019 wird sich die Frequenz der Checks flächendeckend erhöhen. Bis dahin muss ich nun wohl einfach abwarten, weitershoppen und insgeheim hoffen, dass ich bald mal an der Sicherheitsprüfungs-Reihe bin. Wenn es dann passiert, bin ich auf alle Fälle bestens gerüstet. Meine neu eingestellte Kreditkarten PIN habe ich übrigens bereits gebraucht. Bei einem Hotelbesuch in München, alles ganz analog.

MEIN FAZIT

Ich empfehle allen unseren Lesern und Kunden es mir möglichst bald gleich zu tun. Meldet euch, wenn noch nicht geschehen, am besten gleich beim Online Banking an. Dann könnt ihr euch entweder über den Webbrowser mit dem Rechner oder eben über die praktische S-App über euer Smartphone einloggen und den Prozess wie beschrieben starten und nutzen. Viele Erfolg! Ich hoffe, dass mein kleiner Bericht euch Lust auf mehr Sicherheit gemacht hat. Denn gut Vorsorgen ist bekanntlich besser, als in Zukunft aus dem allerschönsten Kaufrausch gerissen zu werden. Und wenn ihr noch Fragen oder Probleme habt, zögert nicht lange. Meldet euch einfach direkt bei eurem persönlichen Berater oder bei unserem Kundenservice, der euch telefonisch, per Mail oder im Textchat gerne weiterhilft!