Verified by Visa – Unsicherheit mit System
Früher konnte man mit einer Kreditkarte einfach online zahlen, indem man Kreditkartennummer und Gültigkeitsdatum (und später noch CVV2) eingegeben hat. Das hatte den Nachteil, dass ein Betrüger, der diese Angaben erfahren hat, auch mit der Karte einkaufen konnte. Besonders einfach ist es natürlich, wenn ein Händler selbst der Betrüger ist oder mit Betrügern zusammenarbeitet.
Deswegen haben sich die Kartenherausgeber ein System ausgedacht, was dieses Problem lösen sollte: Der Händler leitet einen auf die Seite der Bank um, dort meldet man sich mit einem Kennwort an, was nur dem Karteninhaber und der Bank bekannt ist, und die Bank bestätigt, dass der Karteninhaber sich angemeldet hat. Visa nennt das „Verified by Visa“, Mastercard nennt es „Mastercard SecureCode“, und allgemein werden diese Verfahren als 3-D-Secure-Verfahren bezeichnet. Da das Passwort im Gegensatz zu den Kreditkartendaten immer nur zwischen Kunde und Bank (verschlüsselt) ausgetauscht wird, ist es für Betrüger deutlich schwerer, an dieses Passwort zu gelangen. Eigentlich genial.
Eigentlich. Wenn der Nutzer auch tatsächlich das Passwort nur auf der Bankseite eingibt. Dafür muss er wissen, wie er die Bankseite erkennt, und auch darauf achten. Idealerweise, indem die Verifikationsseite, auf der der Kunde sein Verified-by-Visa-Passwort eingibt, auf der dem Kunden bekannten Domain seiner Bank betrieben wird. Aus unerklärlichen Gründen passiert genau das leider oft nicht, und ein Kunde kann nicht wissen, ob die Seite wirklich zu seiner Bank gehört oder nicht. Auch dafür gibt es eine Lösung: Mit EV-Zertifikaten wird der Name des Webseitenbetreibers neben der Adresszeile angezeigt (Beispiel). Darauf könnte man die Kunden trainieren, und Kunden mit Ahnung von IT-Sicherheit hätten etwas, worauf sie sich verlassen könnten.
Das setzt aber voraus, dass die Kunden wirklich auf die Bankseite umgeleitet werden, und somit sehen können, auf welcher Seite sie sind. Immer mehr Händler binden die Bankwebsite aber per IFrame in ihre eigene Website ein, statt den Kunden auf die Bankwebsite umzuleiten. Ohne den Quelltext der Seite auseinanderzunehmen, kann der Kunde nicht sehen, ob das Eingabeformular wirklich von seiner Bank stammt, oder einfach das Passwort einem betrügerischen Onlineshop (oder einem Hacker, der einen echten Onlineshop manipuliert hat) ausliefert. Was eigentlich ein untrügliches Zeichen für Phishing ist (Eingabeformular für Bankpasswort auf Nicht-Bank-Website), ist bei Verified-by-Visa/3D-Secure nicht nur völlig normal, sondern sogar die ausdrücklich empfohlene Art, das 3D Secure-Verfahren umzusetzen.
Um dem Kunden die Echtheit der Seite zu bestätigen, gibt es daher eine „persönliche Begrüßung“, die nach der Eingabe der Kreditkartennummer, aber vor der Eingabe des Passworts, angezeigt wird. Dieses auch auf anderen Seiten beliebte Verfahren ist völlig wirkungslose Scheinsicherheit: Eine bösartige Website, die das Passwort abgreifen will, kann per Software die Website der Bank besuchen, die Kreditkartennummer des Kunden dort eingeben, und bekommt daraufhin die persönliche Begrüßung mitgeteilt. Diese kann sie nun dem Kunden anzeigen und sich so als besonders echt ausweisen. Theoretisch könnte das gegen „dumme“ Phishingseiten schützen, die sich diese Mühe nicht machen wollen, praktisch wird dort das Fehlen der Begrüßung aber den meisten Kunden nicht auffallen.
Das Verfahren mit Kreditkartennummer, Gültigkeitsdatum und später CVV2 war auch notorisch unsicher, führte zu Missbrauch, aber es war bequem. Die Kartenherausgeber nahmen das bewusst in Kauf und übernahmen die Schäden, weil die Kreditkarten gerade durch ihre Bequemlichkeit attraktiv waren – den Kunden konnte die Unsicherheit egal sein, da die Kreditkartenherausgeber die Schäden übernahmen. Mit der Einführung von Verified by Visa/3-D Secure könnte sich das ändern. Mit dem Argument, das Verfahren sei sicher und jeder Missbrauch sei auf Fahrlässigkeit des Kunden zurückzuführen, könnten Banken nun versuchen, die Schäden auf Kunden abzuwälzen. Insbesondere das sinnlose Verfahren mit der persönlichen Begrüßung stinkt förmlich danach, dass das System als deutlich sicherer dargestellt werden soll, als es ist.
Deswegen schreibe ich diesen Beitrag: Das Verfahren ist unsicherer Murks, aber der Kunde hat keine andere Wahl, als es zu benutzen, wenn er seine Kreditkarte nutzen will. Solange die Bank dafür haftet, ist das auch völlig OK. Sollte eine Bank aber versuchen, die Folgen ihrer eigenen Fahrlässigkeit auf die Kunden abzuwälzen, ist dies inakzeptabel. Ich hoffe, dieses Posting trägt dazu bei, dass die Unsicherheit von Verified-by-Visa/3-D Secure besser bekannt wird, und es Banken dadurch schwerer wird, die Schäden unrechtmäßig auf ihre Kunden abzuwälzen.
Das Problem ist übrigens nicht neu und es haben schon zig Leute darüber geschrieben – siehe z. B. das Paper von Steven J. Murdoch und Ross Anderson, die regelmäßig vermurkste Bank-Sicherheitssysteme auseinandernehmen. Von Ross Anderson ist auch dieser herrliche offene Brief (Leseempfehlung!) an einen Kartenherausgeber-Verband, der die Publikation unangenehmer Forschungsergebnisse mit rechtlichen Drohungen verhindern wollte. Anderson findet in seinem vor Sarkasmus triefenden Meisterwerk sehr deutliche Worte für das Abwälzen von Schäden durch unsichere Systeme auf die Kunden, indem behauptet wird, die Systeme seien sicher.
Es gibt noch einen weiteren, viel banaleren Grund, warum ich Verified by Visa hasse: Es ist lästig. Da man in Deutschland Kreditkarten online meist ca. einmal im Jahr braucht, kann ich mir das Passwort nie merken (speichern/aufschreiben darf man es natürlich auch nicht, und die sinnlosen Beschränkungen auf 8-10 Zeichen, die die Comdirect einem aufzwingt, tun ihr übriges). So besteht eine Kreditkartenzahlung für mich immer daraus, dass ich mich bei meiner Bank einloggen und dort mittls PIN+iTAN ein neues Kennwort setzen muss. Sehr komfortabel. Insbesondere, wenn die Bank wie gerade eben Wartungsarbeiten hat, und ich meine Kreditkarte deswegen nicht nutzen kann, oder wenn man dringend unterwegs ein Zugticket per Kreditkarte online bezahlen muss, aber die TAN-Liste zu Hause liegt. Die Kreditkarte ist so vom bequemsten Online-Zahlungsverfahren zum Umständlichsten geworden, ohne auch nur ansatzweise vergleichbare Sicherheit zu bieten. Herzlichen Glückwunsch.
Jan Schejbal 
Absolute Zustimmung meinerseits :).
Meine „persönliche Begrüßung“ besteht übrigens aus einem Rant über die absurden Passwort-Richtlinien…
Oh, da werd ich Schwierigkeiten haben deine von meiner zu unterscheiden ;-)
Dabei könnte Visa mit einfachen Cookies oder Client Zertifikaten/WebId schon einiges machen (zumindest für den Home User).
MasterCard versendet übrigens Transaktionspins per SMS, ist aber auch gegen MITM anfällig,
Transaktionspins mit irgendwelchen Zusatzdaten ala mTAN (also „Um 12,34 EUR an FedEx zu zahlen…“) oder einfach „für die nächste Transaktion XY eingeben“? Ersteres wäre ja fast schon wieder sinnvoll…
Nachtrag: Cookies bringens nicht wirklich (werden zu oft gelöscht), und auch Zertifikate gehen nicht wirklich, weil man sowas auch mal von anderen Rechnern nutzt. Insbesondere das Zugticket in meinem Fall war von einem fremden Laptop.
Ich verstehe auch nicht, warum eine so DRASTISCHE VERSCHLECHTERUNG überhaupt keinen Wirbel verursacht!
Selbst die Stiftung Warentest jubelt. Na ja, die werden aus Steuergeldern bezahlt…
Wollen die Kunden eventuellen Schaden bezahlen? Wollen die Kunden es möglichst schwer haben? Scheint so.
Neulich im online-shop: gesucht, gefunden, in den Warenkorb und ab dafür. Dann hatte ich die Wahl zwische Paypal, Sofortüberweisung, Nachnahme oder Kreditkarte. Letzteres schien das kleinere Übel zu sein. Weiterleitung zu einem Dienstleister namens WorldPay – der mich nach Eingabe aller üblichen Kreditkartendaten mit der im Beitrag erwähnten „Sicherheitsfunktion“ überrascht. Mach ich aber nicht so im Vorbeigehen, also ‚abbrechen‘. Konsequenz: Zahlung verweigert. Anruf beim online-Händler: geballtes Nichtwissen. Anruf bei der kartenausgebenden Bank: Ja, diese zwischengeschaltete Seite sei tatsächlich von der Bank, sei also unbedenklich. Will ich aber trotzdem nicht. Ist das denn freiwillig? Ja, aber der Händler entscheidet, ob er eine Zahlung ohne das zulässt. Wenn aber der Händler gar nicht weiß, was da vor sich geht?
Fazit: einzige Möglichkeit, die mir bleibt, ist den Händler links liegen zu lassen.
Ich mach bei dem Unsinn halt gewzungenermaßen mit. Ist doch nicht mein Problem, wenn der Bank durch ihren eigenen Murks Schäden entstehen. Sollte die Bank versuchen, durch ihr vermurkstes System entstandene Schäden auf mich abzuwälzen, kann sie gerne einen öffentlichen Gerichtsprozess haben, in welchem das im Artikel gesagte vor Richter und Öffentlichkeit ausführlich breitgetreten wird.
Sehr schöner Artikel. Aus der Sicht eines Onlinehändlers kann ich dem nur beipflichten. Man muss sich wirklich überlegen ob man diese 3-D Verfahren in seinem Onlineshop überhaupt anbietet. Denn es kommt schon öfters vor, dass ein Kunde an dieser zusätzlichen Passworteingabe scheitert und den Kauf abbricht.
hab grad daruf gesch…. – und mit eps olineüberweisung gezahlt, um überhaupt zu dem Teil zu kommen. Dieses System ist der grösste anzunehmende Unsinn, den sich jemand hat einfallen lassen – funktioniert überhaupt nicht, hab noch nichts damit gekauft, meine Frau auch nicht, einfach, weils nicht geht und zu kompliziert ist. Frag mich, wozu ich die Karte überhaupt noch hab.
Sehr verwirrend finde ich, wenn der Online-Händler das Verfahren anbietet es dann aber nicht anwendet. Gerade erlebt bei einem Reiseanbieter. Der Shop bietet „Verfied By Visa“ an, wenn ich bezahle, werden die Kreditkartendaten abgefragt und die Buchung bestätigt. Zu einer PW-Abfrage kommt es gar nicht.
in wirklichkeit geht es darum, dass nach eingabe einer pin die zahlung verbindlich wird und vom kunden nicht mehr einfach storniert werden kann…
Leider kann ich nicht erkennen, warum es sicher sein soll, eine zusätzliche Übertragungsstrecke einzuschalten (Mobilfunk!).
Abgesehen davon ist das 3D Security“ Verfahren geradezu schikanös umständlich. Ich bin schon x-mal bei der „Registrierung“ der Karte für dieses Verfahren gescheitert. Weil ich angeblich irgendwas nicht korrekt eingegeben hätte oder weil der Zugang gesperrt sei… warum auch immer. Und wenn ich es mal geschafft hatte, weiß ich beim nächsten mal die Daten nicht mehr komplett auswendig, und alles geht von vorne los.
Die betreffenden Einkäufe habe ich entweder per Überweisung bezahlt – oder (meistens) das Ganze abgebrochen und ggf. woanders gekauft. Niemand kann mich zwingen, beim Einkaufen irgendwelche Schikanen auszuhalten.
Deshalb komme ich wieder mehr und mehr zum guten alten Vor-Ort-Einkaufen zurück. Macht sowieso mehr Spaß und mehr Sinn. Ich kann alles betrachten, anfassen, anprobieren, bezahlen womit ich will und vor allem gleich mitnehmen. Kein Warten auf den Paketboten, kein Forschen nach verschollenen Paketen, kein Schlangestehen in Postfilialen oder Paketshops. Was zu groß ist zum Mitnehmen, wird von den meisten Händlern auch geliefert. Nebst Ratenzahlung.