Eine Online-Zahlung, die ohne SMS-Code oder Bestätigung in Ihrer Bankanwendung akzeptiert wird, bedeutet das, dass der Händler Ihre Sicherheit vernachlässigt? Seit der Verbreitung des Protokolls 3D Secure 2.x und der Anwendung der DSP2 in Europa verdient die Antwort eine differenzierte Betrachtung, die über den einfachen Reflex “kein 3D Secure = Gefahr” hinausgeht. Dieser Artikel vergleicht die verschiedenen Szenarien von Zahlungen ohne sichtbare Authentifizierung, um das tatsächliche Risiko für den Käufer zu messen.
Zahlung ohne sichtbare Authentifizierung: Was die DSP2-Vorschriften sagen
Die europäische Richtlinie über Zahlungsdienste (DSP2) verlangt von den Banken eine starke Authentifizierung für Online-Zahlungen. Diese Verpflichtung gilt für die überwiegende Mehrheit der Kartentransaktionen auf europäischen E-Commerce-Websites.
Weiterlesen : Die unverzichtbaren Ressourcen für Gesundheitsprofis online heute
Die DSP2 sieht auch spezifische Ausnahmen vor. Eine Zahlung kann in mehreren regulierten Fällen ohne sichtbare Authentifizierung akzeptiert werden, ohne dass dies einen Verstoß oder ein Zeichen von Betrug darstellt.
- Transaktionen mit geringem Betrag, unterhalb eines durch die regulatorischen Texte (RTS) definierten Schwellenwerts, können von der ausstellenden Bank ausgenommen werden.
- Wiederkehrende Abonnements mit festem Betrag lösen die starke Authentifizierung nur bei der ersten Fälligkeit aus, nicht bei den folgenden.
- Vertrauenswürdige Begünstigte, die der Karteninhaber zuvor bei seiner Bank registriert hat, sind von zusätzlicher Überprüfung befreit.
- Die Verhaltensanalyse (risikobasierte Authentifizierung) ermöglicht es der Bank oder dem Acquirer, das Risiko in Echtzeit zu bewerten und den sichtbaren Schritt zu entfernen, wenn die Transaktion als sicher eingestuft wird.
Das Verständnis von Websites ohne 3D Secure im Jahr 2025 erfordert die Unterscheidung dieser legitimen Ausnahmen von einem vollständigen Fehlen eines Sicherheitsprotokolls auf der Händlerseite.
Ergänzende Lektüre : Alles über das Parken auf gelben Linien: Regeln und Sanktionen, die man kennen sollte
3D Secure 2.x und frictionless Authentifizierung: Vergleichstabelle der Szenarien
Seit der Migration zu 3D Secure 2.2+ ermöglichen die Netzwerke Visa und Mastercard sogenannte “frictionless” Abläufe: Der Kunde wird im Hintergrund authentifiziert, ohne einen SMS-Code oder eine Bankbenachrichtigung zu sehen. Das visuelle Kriterium ist daher nicht mehr zuverlässig, um das Schutzniveau einer Website zu beurteilen.
| Zahlungsszenario | Echte Authentifizierung | Sichtbarer Schritt für den Kunden | Risiko für den Käufer |
|---|---|---|---|
| 3D Secure 2.x mit Challenge (SMS, App) | Stark (DSP2) | Ja | Niedrig |
| 3D Secure 2.x frictionless | Stark (Hintergrundanalyse) | Nein | Niedrig |
| DSP2-Ausnahme (geringer Betrag, vertrauenswürdiger Begünstigter) | Teilweise oder verzögert | Nein | Niedrig bis moderat |
| Website außerhalb des EWR ohne 3DS-Protokoll | Keine auf Händlerseite | Nein | Hoch |
| Betrügerische oder nicht konforme Website | Keine | Nein | Sehr hoch |
Die Tabelle hebt eine wesentliche Diskrepanz hervor: das Fehlen eines sichtbaren Schrittes entspricht nicht immer einem Fehlen von Schutz. Das frictionless-Szenario und die DSP2-Ausnahmen bieten ein Sicherheitsniveau, das mit der klassischen Challenge vergleichbar ist, vorausgesetzt, die Bank oder der Zahlungsdienstleister wendet das Protokoll korrekt an.
Bankverantwortung im Falle von Betrug bei nicht authentifizierten Zahlungen
Wenn eine Zahlung ohne starke Authentifizierung erfolgt und ein Betrug auftritt, verschiebt sich die Verantwortung auf den Akteur, der die Ausnahme ausgelöst hat. In der Praxis ändert sich dies für einen europäischen Käufer.
Wenn die ausstellende Bank oder der Acquirer eine Ausnahme genehmigt hat und eine betrügerische Transaktion festgestellt wird, übernimmt die Bank die finanzielle Verantwortung für die Rückerstattung. Der Karteninhaber profitiert von dem durch die DSP2 vorgesehenen Schutz und kann die Transaktion bei seiner Bank anfechten.
Im Gegensatz dazu gilt dieser regulatorische Schutz nicht in gleicher Weise für eine Website außerhalb des Europäischen Wirtschaftsraums, die kein Authentifizierungsprotokoll implementiert. Der Rechtsweg im Falle von Betrug hängt dann von den Allgemeinen Geschäftsbedingungen des Kartennetzwerks (Visa, Mastercard) und dem Vertrag mit Ihrer Bank ab.
Der spezifische Fall von Websites außerhalb Europas
Japan hat 3D Secure 2.0 seit März 2025 für alle E-Commerce-Unternehmen verpflichtend gemacht. Andere Märkte bewegen sich in die gleiche Richtung. Aber viele Händler-Websites, insbesondere in den USA, unterliegen keiner Verpflichtung, die der DSP2 entspricht.
Der Kauf auf einer amerikanischen Website ohne sichtbare Authentifizierung ist nach wie vor üblich. Das Risiko hängt dann vom Zahlungsdienstleister ab, den der Händler verwendet, und von der Rückerstattungspolitik Ihrer eigenen Bank, nicht von der Website selbst.
Konkrete Signale zur Bewertung der Zuverlässigkeit einer Website ohne 3D Secure
Anstatt systematisch jede Website zu meiden, bei der die Authentifizierung nicht sichtbar ist, ermöglichen einige Überprüfungen eine realistische Risikoeinschätzung.
- Überprüfen Sie, ob die URL mit HTTPS beginnt und das SSL-Zertifikat gültig ist (Schloss in der Adresszeile). Eine Website ohne Datenverschlüsselung ist ein viel zuverlässigeres Warnsignal als das Fehlen von 3D Secure.
- Identifizieren Sie den Zahlungsdienstleister: Stripe, Adyen, PayPal oder einen anderen anerkannten Anbieter integrieren ihre eigenen Sicherheits- und Betrugserkennungsschichten, auch ohne sichtbare Challenge.
- Überprüfen Sie die rechtlichen Hinweise und die Allgemeinen Geschäftsbedingungen. Eine konforme Website zeigt ihre SIRET-Nummer (in Frankreich), ihre physischen Kontaktdaten und ihre Rückerstattungspolitik an.
Eine Website, die einen anerkannten Zahlungsdienstleister verwendet, ohne 3D Secure sichtbar anzuzeigen, kann ebenso sicher sein wie eine Website mit SMS-Challenge. Das frictionless Authentifizierungsprotokoll arbeitet im Hintergrund, ohne dass der Käufer es bemerkt.
Wann Vorsicht geboten ist
Eine unbekannte Händler-Website, die außerhalb Europas gehostet wird, ohne rechtliche Hinweise, mit einem fragwürdigen SSL-Zertifikat und einem Zahlungsformular, das nach Ihrer PIN fragt, vereint Signale, die nichts mit 3D Secure zu tun haben. In diesem Fall kommt das Fehlen einer sichtbaren Authentifizierung zu einem Bündel von Hinweisen hinzu, ohne die Hauptursache zu sein.
Der zuverlässigste Ansatz im Jahr 2025 besteht darin, die gesamte Sicherheitskette der Website (Verschlüsselung, Zahlungsdienstleister, rechtliche Konformität) zu bewerten, anstatt sich ausschließlich auf das Vorhandensein oder Fehlen eines sichtbaren Bankvalidierungsschrittes zu verlassen. Die massive Migration zu 3D Secure 2.x frictionless macht dieses isolierte Kriterium zunehmend irrelevant für die Beurteilung der Zuverlässigkeit eines Online-Kaufs.