Man bestellt bei Amazon, klickt auf “kaufen” und die Zahlung wird genehmigt, ohne dass ein SMS-Code oder eine Bankbenachrichtigung angezeigt wird. Für diejenigen, die es gewohnt sind, jeden Online-Kauf über ein Pop-up ihrer Bank zu bestätigen, erscheint die Situation abnormal. Der Mechanismus hinter dieser scheinbaren Abwesenheit von 3D Secure beruht auf einem Spiel von regulatorischen Ausnahmen und technischen Entscheidungen, die Amazon besser beherrscht als die meisten E-Commerce-Händler.
SCA-Ausnahmen und DSP2-Richtlinie: Was hinter den Kulissen bei einer Amazon-Zahlung passiert
Wenn man von 3D Secure spricht, spricht man tatsächlich von einem Protokoll, das von der ausstellenden Bank der Karte ausgelöst wird, nicht vom Händler. Die europäische DSP2-Richtlinie verlangt eine starke Kundenauthentifizierung (SCA) für Online-Zahlungen, sieht jedoch auch eine Reihe von Ausnahmen vor. Hier spielt sich alles ab.
Ebenfalls empfehlenswert : Warum ist es wichtig, die Ursachen einer erhöhten Ketämie im Blut zu überwachen?
Amazon stützt sich auf diese Ausnahmen, um zu vermeiden, dass bei jeder Transaktion die 3D Secure-Prüfung ausgelöst wird. Die am häufigsten verwendete ist die “Transaction Risk Analysis” (TRA): Wenn der Händler eine ausreichend niedrige Betrugsrate nachweisen kann, kann die Bank die Zahlung ohne sichtbare Authentifizierung genehmigen. Mit erheblichen Transaktionsvolumina und sehr fortschrittlichen Verhaltensanalysen erfüllt Amazon die Kriterien, um diese Ausnahmen zu beantragen.
Um die doppelte Authentifizierung 3D Secure bei Amazon zu vertiefen, muss man verstehen, dass die endgültige Entscheidung bei der ausstellenden Bank liegt. Amazon sendet einen Antrag auf Ausnahme, aber es ist die Bank, die akzeptiert oder ablehnt. Wenn die Bank der Ansicht ist, dass das Risiko gering ist, genehmigt sie ohne zusätzliche Überprüfung.
Auch lesenswert : Woche Nummer einfach Schritt für Schritt in Google Kalender hinzufügen
Zu den weiteren gängigen Ausnahmen gehören niedrige Beträge und wiederkehrende Zahlungen. Ein jeden Monat erneuertes Amazon Prime-Abonnement oder ein kleiner Einkauf löst so gut wie nie 3D Secure aus, da die Regulierung diese Fälle selbst vorsieht.
Verhaltensanalyse Amazon: Warum Sicherheit nicht über einen SMS-Code läuft
Die Sicherheit einer Online-Zahlung wird oft auf den per SMS erhaltenen Code reduziert. Das ist eine Fehleinschätzung. Amazon hat ein Betrugserkennungssystem aufgebaut, das funktioniert, bevor die Transaktion überhaupt der Bank vorgelegt wird.
Konkret analysiert Amazon bei jedem Kauf Dutzende von Signalen: das verwendete Gerät, die IP-Adresse, die Bestellhistorie, die Lieferadresse, das Surfverhalten, die Klickgeschwindigkeit. Wenn all diese Signale dem gewohnten Profil des Käufers entsprechen, wird das Risiko als minimal eingeschätzt und keine zusätzliche Überprüfung angefordert.
Dieses Scoring-System ersetzt in der Praxis die Rolle von 3D Secure für die Mehrheit der Transaktionen. 3D Secure wird nur ausgelöst, wenn ein Warnsignal erscheint: neue Karte, ungewöhnliche Lieferadresse, hoher Betrag auf einem neuen Konto, Verbindung von einem unbekannten Gerät.
Für den Benutzer entsteht der Eindruck, dass Amazon die Sicherheit “umgeht”. Die Realität ist umgekehrt: Die Überprüfung findet statt, ist aber unsichtbar. Dieses Modell wird übrigens in den Konferenzen zwischen Regulierungsbehörden und Banken als Anwendungsfall der von der DSP2 vorgesehenen TRA-Ausnahmen zitiert.
Konkrete Folgen für den Käufer im Falle von Betrug bei Amazon
Wenn ein Händler eine SCA-Ausnahme nutzt und ein Betrug auftritt, liegt die finanzielle Verantwortung beim Händler, nicht beim Kunden. Das ist ein Punkt, den viele ignorieren. Amazon übernimmt dieses Risiko, weil seine Betrugsrate ausreichend niedrig bleibt, sodass die Gesamtkosten geringer sind als die durch 3D Secure verursachten Warenkorbabbrüche.
Denn 3D Secure hat echte Geschäftskosten. Bei jeder zusätzlichen Authentifizierung brechen eine bestimmte Anzahl von Käufern ihren Warenkorb ab: Probleme beim Empfang der SMS, Bank-App, die nicht reagiert, Timeout. Große E-Commerce-Händler messen genau diese Abbruchrate und wägen zwischen Reibung und Sicherheit ab.
Was tun, wenn man einen verdächtigen Abzug feststellt
- Überprüfen Sie die Bestellhistorie im Amazon-Konto, einschließlich archivierter Bestellungen und gespeicherter sekundärer Zahlungsmethoden
- Den Kundenservice von Amazon kontaktieren, um die Transaktion zu melden, da der Händler im Falle einer akzeptierten SCA-Ausnahme verantwortlich ist
- Die Bank informieren, um Widerspruch einzulegen, wenn ein unbefugter Zugriff auf das Konto vermutet wird, und eine Rückerstattung über das Chargeback-Verfahren beantragen
Das Zeugnis eines Reddit-Nutzers veranschaulicht gut die Falle: eine vergessene sekundäre Zahlungsmethode, die nie gelöscht wurde und die es ermöglicht, einen Kauf ohne jegliches Eingreifen zu validieren. Unnötige Karten aus dem Amazon-Konto zu löschen bleibt der effektivste Reflex.
Tokenisierung und gespeicherte Karte: die Rolle der Bank bei der Zahlung ohne 3D Secure
Ein weiterer technischer Mechanismus erklärt die Abwesenheit von sichtbarem 3D Secure: die Tokenisierung. Wenn man eine Kreditkarte bei Amazon speichert, wird die echte Nummer nicht gespeichert. Amazon behält ein Token, das vom Kartennetzwerk oder der ausstellenden Bank bereitgestellt wird.
Dieses Token ist an das Gerät, das Konto und den Händler gebunden. Die ausstellende Bank erkennt dieses Trio als vertrauenswürdig und behandelt tokenisierte Zahlungen als Transaktionen mit reduziertem Risiko. Ergebnis: Keine 3D Secure-Prüfung wird ausgelöst.
Die Rückmeldungen zu diesem Punkt variieren je nach Bank. Einige lösen dennoch eine Überprüfung beim anfänglichen Hinzufügen der Karte oder nach einem Gerätewechsel aus. Andere wenden die Tokenisierung von Anfang an transparent an. Das genaue Verhalten hängt von der Politik des Emittenten ab, nicht von Amazon.
Überprüfung beim Hinzufügen einer neuen Karte
Amazon kann einen Mikrodurchlauf oder einen Bestätigungscode anfordern, wenn man eine Karte hinzufügt. Dieser einmalige Schritt dient als anfängliche SCA. Nach der Genehmigung erfolgen die folgenden Käufe ohne sichtbare Authentifizierung, solange das Risikoprofil stabil bleibt.
Die Abwesenheit von 3D Secure bei Amazon ist also kein Sicherheitsloch. Es ist das Ergebnis einer Kombination aus regulatorischen DSP2-Ausnahmen, Echtzeitanalysen des Verhaltens und Banktokenisierung. Das System funktioniert, weil Amazon die finanzielle Verantwortung für nicht authentifizierte Betrügereien trägt, ein Risiko, das sich nur wenige kleinere Händler leisten können.