Allgemeines 22.004 Themen, 148.973 Beiträge

Tipp: Allgemeines

Online-Zahlung mit Kreditkarte - neues Ärgernis "Secure Code"

Michael Nickles / 12 Antworten / Baumansicht Nickles
Sparkassen-Infoseite zu 3D Secure Code: Kundenverwirrung durch falsche veraltete Informationen.

Die Banken haben für Kreditkartenzahlungen im Internet eine neue Schikane ausgeheckt. Das modernisierte "Secure Code"-Verfahren bringt zwar mehr Sicherheit beim Online-Shopping, ist aber durchaus mit Ärgernissen behaftet. Und die fangen in einer ungewöhnlichen Ecke an...

Ein entsperrtes (gerootetes) Android-Gerät bringt viele Vorteile, Addblocker funktionieren beispielsweise effektiv (siehe auch Tipp Android-Smartphones perfektionieren - entsperren und rooten). Auch sind Tricksereien möglich, die bei einem "gesperrten" Gerät nicht gehen. Rooten bedeutet nun mal direkten Zugriff auf den "Linux-Unterbau" von Android, kompletten Zugang zum System. Leider können Apps/Hersteller feststellen ob ein Gerät entriegelt ist und darauf reagieren.

Das kann dann "unangenehm" werden. Ein Paradebeispiel ist Pokémon. Das VR-Spiel läuft nicht mit gerooteten Geräten, der Hersteller will damit gegen Schummler vorgehen. Erkennt die Pokémon App ein Gerät mit "Root" oder "Jailbreak" weigert sie sich. Wem Pokémon schnuppe ist, den kann es auch anderweitig erwischen. Und zwar bei der Nutzung einer Kreditkarte.

Kürzlich haben die Kreditkartenanbieter auf ein neues Sicherheitssystem umgestellt. Bei Online-Zahlungen kann es passieren, dass das neue 3-D Secure Verfahren zum Einsatz kommt. Zusätzlich zur gewohnten Zahlungsabwicklung gibt es dann eine weitere Sicherheitsüberprüfung. Die kann wie gesagt erfolgen, muss aber nicht! Kreditkartennutzer die sich nicht für 3-D Secure anmelden, hocken gewissermaßen auf einer Zeitbombe. Beispiel: im Ausland soll via Internet ein Flug gebucht werden, aber die Kreditkartenzahlung ist mangels 3-D Secure nicht möglich. Wer eine Kreditkarte und kein 3-D Secure hat, sollte sich also bei seiner Bank schlau machen.

Im Fall der Sparkasse ist beispielsweise diese Webseite die Anlaufstelle. Der Text auf der Seite ist leider veraltet und damit falsch und verwirrend! Die alte "Beweismethode" per Passwort wird nicht mehr akzeptiert. Es geht nur noch mit einem mobilen Gerät beziehungsweise Smartphone.

Randnotiz: Ich kriegte das neue Verfahren nur überraschend mit, als ich kürzlich online per Kreditkarte zahlen wollte und das nicht mehr ging. Der Sparkassen-Service teilte mit telefonisch mit, dass im August auf die neue Methode umgestellt wurde und Kunden diesbezüglich informiert wurden. Ich kann mich nicht daran entsinnen irgendein Schreiben oder einen Hinweis von der Bank erhalten zu haben und vermute, dass ich da nicht der einzige bin - drum dieser Beitrag hier.

Die Anmeldung  beim neuen 3D-Secure-Verfahren ist theoretisch einfach, praktisch nicht, weil sie nicht sofort geht. Es muss zunächst bei der Bank ein Code angefordert werden, der mit einer Abbuchung vom Konto mitgeteilt wird, einen Cent kostet. Das passiert in der Regel erst am nächsten Geschäftstag. Eine eventuell laufende Online-Bestellung muss dann mangels Zahlungsmöglichkeit also eventuell erneut abgewickelt werden - ärgerlich.

Kreditkarten App der Sparkasse verweigert bei gerootetem Gerät ihren Dienst.

Bei der Registrierung für 3D-Secure wird dann klar, dass es ein mobiles Gerät braucht und es nur zwei Möglichkeiten gibt, die beide nicht brauchbar durchdacht sind:

Zahlungsbestätigung per SMS: Hier kriegt man bei Online-Zahlungen mit der Kreditkarte per SMS eine Zahlungscode (TAN) zugeschickt, mit dem die Zahlung bestätigt wird. Nachteil dieser Lösung: die Kreditkarte ist exakt an diese Telefonnummer gebunden und Zahlungen sind nur bei Erreichbarkeit dieser Telefonnummer möglich. Befindet man sich außerhalb Europas kann das teuer und knifflig werden.

Zahlungsbestätigung per App: Die Alternative heißt im "App" installieren. Das bringt schon mal das Ärgernis, dass es allein für Kreditkartenzahlungen eine eigene App braucht. Und wer ein gerootetes Gerät hat, der darf sich drüber ärgern, dass die App ihren Dienst verweigert.

Beide Lösungen haben also Nachteile. SMS erfordert "heimisches" Mobilfunknetz, App geht weltweit mit WIFI aber ist eben eine App und läuft nicht auf entsperrten Geräten.

Seit Kurzem gibt es eine Lösung für solche Fälle: Magisk. Das ist eine vielfältige Systemmodifikation, die unter anderem beliebigen Apps ein "gesperrtes" System vorgaukelt, sie kriegen dann nicht mehr mit, dass es gerootet ist. Das Problem mit Magisk: die Methode ist recht neu und auch äußerst kompliziert, nur sehr erfahrenen Android-Nutzern zuzumuten. Ich rate aktuell noch dazu darauf zu verzichten.

SuperSU App. Die Option "Vollständiges Un-Root" beseitigt die Entsperrung des Geräts und seinen Root-Zugriff.

Das simple ernüchternde Fazit: wer das neue Secure Code für Kreditkarten per App haben oder Pokémon spielen will, der sollte auf Root besser verzichten (und halt leider auch die damit verbundenen Vorteile)

Ist ein Gerät gerootet, kann das in der Regel auch recht einfach rückgängig gemacht werden. Im Fall von Android-Geräten ist Rooten typischerweise mit der App "SuperSU" verbunden. Und in dieser App (siehe Bild) wird auch direkt die Option zum Entfernen von "Root" angeboten (siehe Bildbeschreibung).

bei Antwort benachrichtigen
cbt81 Michael Nickles „Online-Zahlung mit Kreditkarte - neues Ärgernis "Secure Code"“
Optionen

Eine Kreditkarte, mit der man gar nicht mehr zahlen kann.... sicherer geht es wirklich nicht mehr Zwinkernd

Ich bin mir allerdings nicht ganz sicher, ob das Problem mit einem einfachen Un-Root gelöst werden kann. Letztes Endes lässt sich ein Root auch nach einem Un-Root feststellen und da weiß ich nicht inwiefern die Abfrage der Sparkasse in der Lage sind das Gerät zu untersuchen. Die Gerätehersteller können in vielen fällen einen Root nach einem Un-Root feststellen, aber kann das auch die Sparkasse mit ihrem Programm (ich sage bewusst nicht App, weil ich diesen Begriff ablehne. Kann mich damit bis heute nicht anfreunden)? Ich bin in der Sache kein Experte, aber ich mache mir nun mal meine Gedanken.

Im Abschnitt Zahlungsbestätigung per SMS hat sich übrigens ein Fehler eingeschlichen. Zumindest wurde mir noch keine TAN zugeschickt, mit der eine "Zahlzung" bestätigt wird Zwinkernd


LG Chris

bei Antwort benachrichtigen
Michael Nickles cbt81 „Eine Kreditkarte, mit der man gar nicht mehr zahlen kann.... sicherer geht es wirklich nicht mehr Ich bin mir allerdings ...“
Optionen
"Zahlzung"

Danke für den Hinweis, Tippfehler wurde korrigiert.

Grüße,
Mike

bei Antwort benachrichtigen
Alibaba cbt81 „Eine Kreditkarte, mit der man gar nicht mehr zahlen kann.... sicherer geht es wirklich nicht mehr Ich bin mir allerdings ...“
Optionen
Eine Kreditkarte, mit der man gar nicht mehr zahlen kann.... sicherer geht es wirklich nicht mehr Zwinkernd

Der war gut !!!

Alibaba

Win11 pro 64, Ryzen 5 5600G, Gigabyte B550 X V2, DDR4 16GB RAM, SSD Crucial 500 GB, MSI Geforce GTX 1050 2GT OC und 2xSATA3-HD + 1xeSATA-HD mit insges. 7,5 TB, NT Cooler Master Silent Pro Gold 1000W, Monitor Samsung Syncmaster 24"
bei Antwort benachrichtigen
user_322305 cbt81 „Eine Kreditkarte, mit der man gar nicht mehr zahlen kann.... sicherer geht es wirklich nicht mehr Ich bin mir allerdings ...“
Optionen

Eine Kreditkarte, mit der man gar nicht mehr zahlen kann.... sicherer geht es wirklich nicht mehr Zwinkernd

Hi,
dem kann ich mich nur anschließen! Als "Verified by Visa" eingeführt wurde, konnte man ein Passwort mit Ziffern, Buchstaben und Sonderzeichen wählen. Das war ok, und weltweit nutzbar. Und dann kam die Schikane mit der TAN-Nummer. Jetzt sollte ich plötzlich die TAN-Nummer 21 eingeben. Dumm nur, wenn ich nicht zu Hause bin. Als Rentner bin ich viel unterwegs. Die TAN-Liste mit auf Reisen nehmen? Idiotischer geht es wohl nicht. Das Problem bei der Bank (ING-DiBa) vortragen? Die können oder wollen das Problem nicht erkennen. Erzählen was von Sicherheit. Das verwenden von e-TAN ist, wie bereits geschildert, auch nur innerhalb von Deutschland eine bescheidene Alternative, ist mir allerdings auch zu stressig. Ein Super- Sonderangebot ist mir dadurch entgangen, ich war in Polen, wollte den Artikel bestellen, leider ging weder "Verified by Visa" noch PayPal. Bei PayPal konnte ich alle Länder der Welt auswählen, nur nicht Deutschland oder Germany.
Zum Glück kann ich mit der VISA-Karte noch tanken und Geld abheben, bin mal gespannt, wann ich auf den Terminal lese: "Bitte geben Sie ihre TAN-Nummer 43 ein!"

bei Antwort benachrichtigen
Max Payne Michael Nickles „Online-Zahlung mit Kreditkarte - neues Ärgernis "Secure Code"“
Optionen

Zum Maskieren des Root-Zustands gibt's noch andere Apps, z.B. RootCloak. Das benötigte Xposed-Framework ist generell ein praktisches Tool. Da lassen sind noch andere Module installieren und laden.

The trouble with computers is that they do what you told them – not necessarily what you wanted them to do.
bei Antwort benachrichtigen
Andreas42 Michael Nickles „Online-Zahlung mit Kreditkarte - neues Ärgernis "Secure Code"“
Optionen

Hi!

Nur als Hinweis: 3-D Secure ist meiner Meinung nach gar nicht so neu. Es mag sein, dass die Sparkassen erst jetzt flächendeckend umgestellt haben. Im verlinkten Wikipedia-Eintrag ist von Problemen aus 2011 die Rede.

Ich nutze das bei meinem Kreditkarten schon seit ein paar Jahren. ich kann mich daran erinnern, dass ich damals extra eine selten verwendete Kreditkarte für eine Bestellung nutzen musste, weil das 3-D Secure-Verfahren gefordert war. Die Amazon-Kreditkarte, die ich damals hauptsächlich nutzte, zog dann ein paar Monate später nach.

Ich hab mal in meinen Unterlagen nachgesehen: auf einer Abrechnung von Juli 2009 steht "Ab September neu (..): 3D Secure".
im Juli 2010 hab ich das dann erstmals verwendet (ich kann mich ziemlich genau daran erinnern, weil es eben das erste Mal war).

Bei der Amazon Kreditkarte taucht dann im August 2010 der Hinweis auf die SMS-Tan von "Verified by Visa" auf, was IMHO 3D Secure unter anderem Namen ist.

Bis dann
Andreas

Hier steht was ueber mein altes Hard- und Softwaregedoens.
bei Antwort benachrichtigen
Michael Nickles Andreas42 „Hi! Nur als Hinweis: 3-D Secure ist meiner Meinung nach gar nicht so neu. Es mag sein, dass die Sparkassen erst jetzt ...“
Optionen
3-D Secure ist meiner Meinung nach gar nicht so neu.

Richtig, das Verfahren gibt es schon länger. Einst wurde dafür nur ein Passwort verwendet, jetzt geht es nur noch per SMS oder APP.

Grüße,
Mike

bei Antwort benachrichtigen
Andreas42 Michael Nickles „Richtig, das Verfahren gibt es schon länger. Einst wurde dafür nur ein Passwort verwendet, jetzt geht es nur noch per ...“
Optionen

Hi!

Das mag sein, wobei ich mich leider nicht mehr daran erinnern kann, ob ich damals beim ersten Einsatz ein Passwort eingegeben habe oder gleich eine SMS bekam. Ich denke, dass es ein Passwort gewesen ist, aber die Autorisierung der Zahlung per SMS-TAN ist das, woran ich mich in den letzten Jahren erinnern kann.

Als Sicherheitsfunktion für die Onlinezahlung ist da ja durchaus effektiv, wobei ich nachvollziehen kann, dass das beim Online-Einkauf im Ausland "stört". Eine problemlos nutzbare Alternative dazu fällt mir aber auch nicht ein.

Die Sache ist aber ein guter punkt, an dem man denken sollte. Mir war dieses Problem bei meinen Auslandsreisen gar nicht bewusst. Wobei ich da auch nicht geplant hatte irgendetwas über Internet zu bestellen. Aber das wird bei längeren (im Detail) ungeplanten Reisen immer wieder vorkommen.

Wäre ein PayPal-Account da eine mögliche (aber teurere?) Alternative?

Bis dann
Andreas

Hier steht was ueber mein altes Hard- und Softwaregedoens.
bei Antwort benachrichtigen
OlliLage Michael Nickles „Richtig, das Verfahren gibt es schon länger. Einst wurde dafür nur ein Passwort verwendet, jetzt geht es nur noch per ...“
Optionen

Ich kann das grundsätzlich schon nachvollziehen, die Variante mit dem Passwort war aus meiner Sicht nur ein zusätzlicher Schutz für die Bank, nicht für den Kartennutzer.

Ich kann mich erinnern, dass ich mich damals dafür registrieren sollte als ich bei einem bekannten Technikportal einkaufen wollte - ich sollte eine vordefinierte Frage auswählen und die Antwort darauf wäre mein Passwort gewesen - unsicherer geht's nicht, also hab ich woanders gekauft.

Die möglichen Antworten waren dann auch wie erwartet leichter zu recherchieren als meine Kartennummer, Geburtsnamen, Haustiernamen, das alles bekommen ich doch von fast jedem raus.

Von daher ein Schritt in die richtige Richtung. Das SMS-TAN Verfahren gefällt mir eigentlich ganz gut, solange die SMS von der Bank nicht zu teuer gemacht werden.

Grüße,

Oliver

bei Antwort benachrichtigen
gerhard38 Michael Nickles „Online-Zahlung mit Kreditkarte - neues Ärgernis "Secure Code"“
Optionen

Wegen der Roaminggebühren für die SMS im (besonders außereuropäischen) Ausland habe ich mich bei meiner Bank erkundigt, ob man mir den Code nicht auch per Email schicken könnte. "Geht nicht".

Gruß, Gerhard

bei Antwort benachrichtigen
pumpendoktor Michael Nickles „Online-Zahlung mit Kreditkarte - neues Ärgernis "Secure Code"“
Optionen

Das ganze ist ja auch eine Frage der Haftung. Ich habe seit Jahren eine Kreditkarte meiner Hausbank und eine Kreditkarte der Advanziabank für den Notfall. Die Advanziabank hat wohl schon dieses Verfahren in anderer Form seit einigen Jahren in Gebrauch, mittels eines Codes.

Was  die wenigsten wissen: Ich kann , wenn der Code benutzt wurde, keine Kreditkartenzahlungen  reklamieren. Die Beweislast wurde einfach umgekehrt.

Was mache ich, wenn die Karte missbräuchlich mit Code eingesetzt wird. Die Kohle sehe ich doch niemals wieder ?

Also, beisse ich in den sauren  Apfel und zahle im Ausland mit meinen Paypal- Account.

bei Antwort benachrichtigen
agtino Michael Nickles „Online-Zahlung mit Kreditkarte - neues Ärgernis "Secure Code"“
Optionen

Das man alles online bezahlen möchte ist manchmal praktisch und manchmal auch preiswerter,

fördert aber die Faulheit und das Sklaventum.

Ich befinde mich in Südamerika und genau dieser Fall ist mir passiert, gleich bei zwei online Flugskanner.

Na ja, bitterböse bin ich dann in einem Reisebüro gegangen und habe schon mit erhöhtem Preis mich abgefunden gehabt.

Aber.... zu meiner Überraschung war der Preis gleich mit dem online, geringfügig höher.

Ich habe mit Geld bezahlt, also tatsächlich cash. Das halte ich auch für die optimalste Art aus verschiedenen Gründen. Einer davon ist, da alles online und per RFID passieren soll, das Geld aus dem Umlauf zu nehmen was fatale Folgen für unser minimales freies Leben haben wird.

Beim bezahlen mit einer Kreditkarte online werden dann Gebühren in höhe 70...80€ fällig wenn es nicht der von dem Anbieter gewünschte Karte entspricht.

Und man gibt bei bezahlung mit der KK alles von sich preis, aber wirklich alles.

Wer also noch einen Restwert auf Privatsphäre und persönlicher Freiheit legt und ich hoffe es sind viele, sollte wirklich die KK im allerletzten Fall nutzen.

Das man mit der KK sicherer unterwegs ist, ist Augenwischerei.

Freundlichst

bei Antwort benachrichtigen