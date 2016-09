Sparkassen-Infoseite zu 3D Secure Code: Kundenverwirrung durch falsche veraltete Informationen.

Die Banken haben für Kreditkartenzahlungen im Internet eine neue Schikane ausgeheckt. Das modernisierte "Secure Code"-Verfahren bringt zwar mehr Sicherheit beim Online-Shopping, ist aber durchaus mit Ärgernissen behaftet. Und die fangen in einer ungewöhnlichen Ecke an...

Ein entsperrtes (gerootetes) Android-Gerät bringt viele Vorteile, Addblocker funktionieren beispielsweise effektiv (siehe auch Tipp Android-Smartphones perfektionieren - entsperren und rooten). Auch sind Tricksereien möglich, die bei einem "gesperrten" Gerät nicht gehen. Rooten bedeutet nun mal direkten Zugriff auf den "Linux-Unterbau" von Android, kompletten Zugang zum System. Leider können Apps/Hersteller feststellen ob ein Gerät entriegelt ist und darauf reagieren.

Das kann dann "unangenehm" werden. Ein Paradebeispiel ist Pokémon. Das VR-Spiel läuft nicht mit gerooteten Geräten, der Hersteller will damit gegen Schummler vorgehen. Erkennt die Pokémon App ein Gerät mit "Root" oder "Jailbreak" weigert sie sich. Wem Pokémon schnuppe ist, den kann es auch anderweitig erwischen. Und zwar bei der Nutzung einer Kreditkarte.

Kürzlich haben die Kreditkartenanbieter auf ein neues Sicherheitssystem umgestellt. Bei Online-Zahlungen kann es passieren, dass das neue 3-D Secure Verfahren zum Einsatz kommt. Zusätzlich zur gewohnten Zahlungsabwicklung gibt es dann eine weitere Sicherheitsüberprüfung. Die kann wie gesagt erfolgen, muss aber nicht! Kreditkartennutzer die sich nicht für 3-D Secure anmelden, hocken gewissermaßen auf einer Zeitbombe. Beispiel: im Ausland soll via Internet ein Flug gebucht werden, aber die Kreditkartenzahlung ist mangels 3-D Secure nicht möglich. Wer eine Kreditkarte und kein 3-D Secure hat, sollte sich also bei seiner Bank schlau machen.

Im Fall der Sparkasse ist beispielsweise diese Webseite die Anlaufstelle. Der Text auf der Seite ist leider veraltet und damit falsch und verwirrend! Die alte "Beweismethode" per Passwort wird nicht mehr akzeptiert. Es geht nur noch mit einem mobilen Gerät beziehungsweise Smartphone.

Randnotiz: Ich kriegte das neue Verfahren nur überraschend mit, als ich kürzlich online per Kreditkarte zahlen wollte und das nicht mehr ging. Der Sparkassen-Service teilte mit telefonisch mit, dass im August auf die neue Methode umgestellt wurde und Kunden diesbezüglich informiert wurden. Ich kann mich nicht daran entsinnen irgendein Schreiben oder einen Hinweis von der Bank erhalten zu haben und vermute, dass ich da nicht der einzige bin - drum dieser Beitrag hier.

Die Anmeldung beim neuen 3D-Secure-Verfahren ist theoretisch einfach, praktisch nicht, weil sie nicht sofort geht. Es muss zunächst bei der Bank ein Code angefordert werden, der mit einer Abbuchung vom Konto mitgeteilt wird, einen Cent kostet. Das passiert in der Regel erst am nächsten Geschäftstag. Eine eventuell laufende Online-Bestellung muss dann mangels Zahlungsmöglichkeit also eventuell erneut abgewickelt werden - ärgerlich.

Kreditkarten App der Sparkasse verweigert bei gerootetem Gerät ihren Dienst.

Bei der Registrierung für 3D-Secure wird dann klar, dass es ein mobiles Gerät braucht und es nur zwei Möglichkeiten gibt, die beide nicht brauchbar durchdacht sind:

Zahlungsbestätigung per SMS: Hier kriegt man bei Online-Zahlungen mit der Kreditkarte per SMS eine Zahlungscode (TAN) zugeschickt, mit dem die Zahlung bestätigt wird. Nachteil dieser Lösung: die Kreditkarte ist exakt an diese Telefonnummer gebunden und Zahlungen sind nur bei Erreichbarkeit dieser Telefonnummer möglich. Befindet man sich außerhalb Europas kann das teuer und knifflig werden.

Zahlungsbestätigung per App: Die Alternative heißt im "App" installieren. Das bringt schon mal das Ärgernis, dass es allein für Kreditkartenzahlungen eine eigene App braucht. Und wer ein gerootetes Gerät hat, der darf sich drüber ärgern, dass die App ihren Dienst verweigert.

Beide Lösungen haben also Nachteile. SMS erfordert "heimisches" Mobilfunknetz, App geht weltweit mit WIFI aber ist eben eine App und läuft nicht auf entsperrten Geräten.

Seit Kurzem gibt es eine Lösung für solche Fälle: Magisk. Das ist eine vielfältige Systemmodifikation, die unter anderem beliebigen Apps ein "gesperrtes" System vorgaukelt, sie kriegen dann nicht mehr mit, dass es gerootet ist. Das Problem mit Magisk: die Methode ist recht neu und auch äußerst kompliziert, nur sehr erfahrenen Android-Nutzern zuzumuten. Ich rate aktuell noch dazu darauf zu verzichten.

SuperSU App. Die Option "Vollständiges Un-Root" beseitigt die Entsperrung des Geräts und seinen Root-Zugriff.

Das simple ernüchternde Fazit: wer das neue Secure Code für Kreditkarten per App haben oder Pokémon spielen will, der sollte auf Root besser verzichten (und halt leider auch die damit verbundenen Vorteile)

Ist ein Gerät gerootet, kann das in der Regel auch recht einfach rückgängig gemacht werden. Im Fall von Android-Geräten ist Rooten typischerweise mit der App "SuperSU" verbunden. Und in dieser App (siehe Bild) wird auch direkt die Option zum Entfernen von "Root" angeboten (siehe Bildbeschreibung).