Lange war die "Knackbarkeit" der PIN ein immer wieder aufgegriffenes Thema. Dessen Platz scheint nun 3-D-Secure einzunehmen. So hat etwa die Verbraucherzentrale Nordrhein-Westfalen Verbraucher davor gewarnt, für ihre Kreditkarten einen 3-D-Secure-Sicherheitscode zu beantragen, um sich so vor möglichen Schadensfällen zu schützen. Der Grund: Es wird befürchtet, dass Kriminelle, die nur Kartennummer und Namen des Karteninhabers kennen, für dessen Karte einen Sicherheitscode beantragen und damit auf Einkaufstour gehen. Auch von einem möglichen Abfangen wirklich vom Karteninhaber beantragter Sicherheitscodes wird ausgegangen. Dann aber würde der Anscheinsbeweis gegen den Kunden sprechen, die emittierende Bank könnte sich im Missbrauchsfall weigern, den Schaden zu ersetzen.
Ganz von der Hand zu weisen sind die Sorgen der Verbraucherschützer sicher nicht. Natürlich ist es denkbar, dass Hacker einen solchen Code abfangen oder für gestohlene Kartendaten einen beantragen. Deshalb aber auf ein Sicherheitsverfahren, das keine hundertprozentige Sicherheit versprechen kann, ganz zu verzichten und der kriminellen Szene damit Tür und Tor weit zu öffnen, kann auch nicht der richtige Weg sein. Dass die genannte Sorge in letzter Zeit immer wieder einmal durch die Schlagzeilen geistert, ist insofern mehr als bedenklich.
Wirklich widerlegen lässt sich der Vorwurf, dass es auch bei 3-D-Secure zu missbräuchlichen Transaktionen durch die kriminelle Szene kommen kann, vermutlich nicht. Und doch zeigen allein schon die Zahlen zur Fraud-Entwicklung, dass das Sicherheitskonzept nicht so löchrig sein kann wie befürchtet. Auch der gesunde Menschenverstand spricht dagegen: Denn je verbreiteter 3-D-Secure bereits ist, desto unrentabler wird der Versuch, für missbräuchlich erlangte Kartendaten Sicherheitscodes zu beantragen. Denn der Hacker beziehungsweise Käufer der Daten kann damit nur dann erfolgreich sein, wenn der Karteninhaber nicht bereits über einen Code verfügt, kann also nicht voraussagen, wie viele Kartendaten er benötigt, um damit erfolgreich zu sein.
Die Sorge der Verbraucher aber bleibt. Und sie wächst, je häufiger sie entsprechende Warnungen vor 3-D-Secure hören. Den Emittenten bleibt also vermutlich nur eines: aktiv zu kommunizieren, dass auch bei Transaktionen, bei denen ein entsprechender Sicherheitscode abgefragt wurde, der Schaden von der Bank ersetzt wird, wenn es doch einmal zu Missbrauchsfällen kommen sollte. Damit dürfte die Schadensbilanz immer noch bedeutend günstiger ausfallen als bei einer wachsenden Zahl von Karteninhabern, die sich 3-D-Secure verweigern. Red.