Forscher kritisieren Kreditkartentechnik 3-D Secure

Ziel des von den Mastercard und Visa eingeführten Verfahrens 3-D Secure sollte es sein, Betrugsfälle beim Bezahlen mit Kreditkarten im Internet zu reduzieren. Dazu dient ein weiteres Passwort, das nur dem Kunden und seiner Bank bekannt ist. Er gibt es beim Kauf in einem Popup-Fenster oder einem eingebetteten iFrame auf der Webseite des Shops ein. Das Fenster beziehungsweise der iFrame kommen direkt von der Kreditkartengesellschaft, sodass der Händler das Passwort nicht erfahren kann.

Einer Untersuchung (PDF-Datei) von Steven J. Murdoch and Ross Anderson von der britischen University of Cambridge zufolge erfülle die Technik jedoch elementare Sicherheitsanforderungen nicht. So sei es für Kunden wegen der fehlenden URL-Zeile nicht unmittelbar zu erkennen, von wem der iFrame oder das Popup stammen. Deshalb hätten Kunden keine Möglichkeit, die Authentizität der Abfrage zu erkennen, Phishern werde die Arbeit erleichtert. Da die Festlegung des Passworts während des ersten Einkaufs erfolge, interessiere der Kunde sich eher für dessen Abschluss als für die Wahl einer sicheren Kennung. Einzelne Banken setzten unsichere Verfahren zum Identifizieren des Kunden und zum Zurücksetzen des Passworts bei Fehleingaben ein.

Nicht nur hinsichtlich der Sicherheit äußern die beiden Forscher Kritik, sondern auch bezüglich der ausgetauschten Datenmengen. So müsse die Bank bei 3-D Secure eine Aufstellung der gekauften Produkte erhalten, damit sie diese dem Käufer in der Passwort-Abfrage anzeigen könne.

Als kurzfristige Alternative zu 3-D Secure schlagen Murdoch und Anderson die Autorisierung jeder einzelnen Transaktion mit einem Einmalpasswort vor, das etwa per SMS versendet wird. Langfristig jedoch müssten die Banken sichere Bezahlsysteme anbieten, etwa durch den Einsatz sicherer Kartenleser. (ck)