Man registriert seine Kreditkarte bei Amazon, bestätigt eine Bestellung und die Zahlung erfolgt, ohne dass man die Sicherheitsnummer erneut eingeben oder irgendetwas in der Bank-App bestätigen muss. Beim ersten Mal ist das überraschend.
Auf den meisten Handelsseiten muss man die drei Ziffern auf der Rückseite der Karte eingeben und dann über einen SMS-Code oder eine Bankbenachrichtigung bestätigen. Amazon umgeht diese beiden sichtbaren Schritte, was berechtigte Fragen zur Sicherheit der Transaktion aufwirft.
Auch interessant : Installation von Gipsplatten an der Decke: Techniken und Tipps
Warum Amazon die Sicherheitsnummer bei jedem Kauf nicht erneut anfordert
Wenn man eine Karte zu seinem Amazon-Konto hinzufügt, wird die Sicherheitsnummer (CVV oder CVC) nur einmal beim Registrieren abgefragt. Danach stützt sich Amazon auf andere Elemente, um die Legitimität der Zahlung zu überprüfen: Rechnungsadresse, Konsistenz der Kartendaten und Kontohistorie.
Konkreter gesagt, das System speichert die Sicherheitsnummer nicht (die PCI DSS-Normen verbieten dies), benötigt sie aber für zukünftige Käufe nicht mehr. Amazon übermittelt der ausstellenden Bank einen Datensatz, der ausreicht, damit diese die Transaktion genehmigt, ohne erneut das CVV zu verlangen.
Weiterlesen : Die rechtlichen und ethischen Nuancen der Verwendung von Bildern im digitalen Journalismus
Dieses Verfahren findet man auch bei anderen Anbietern, die die Karte tokenisieren: Die echte Nummer wird durch ein einzigartiges Token ersetzt, und dieses Token wird bei jeder Zahlung verwendet. Um besser zu verstehen, warum Amazon keine 3D Secure anfordert, muss man sich die Verantwortungsteilung zwischen dem Händler und der Bank ansehen, nicht nur die Benutzeroberfläche.
Starke Authentifizierung und 3D Secure: was im Hintergrund passiert
Die europäische Richtlinie DSP2 verlangt eine starke Authentifizierung für Online-Zahlungen. In der Praxis erfolgt dies über das 3D Secure-Protokoll, das eine zusätzliche Überprüfung auslöst (Benachrichtigung in der Bank-App, SMS-Code, Biometrie).
Amazon scheint jedoch diesen Schritt zu umgehen. In Wirklichkeit bedeutet das Fehlen von sichtbarem 3D Secure nicht, dass keine Authentifizierung stattfindet. Mehrere Mechanismen können erklären, warum eine Zahlung ohne Eingreifen des Kunden durchgeht:
- Die ausstellende Bank kann eine Ausnahme gewähren, wenn sie das Risiko als gering einschätzt, basierend auf ihrer eigenen Analyse-Engine (geringer Betrag, Historie der Karte, übliches Verhalten des Karteninhabers).
- Der Händler kann eine Ausnahme im Rahmen der Transaktionsrisikoanalyse (TRA) beantragen, vorausgesetzt, seine Betrugsquote bleibt unter einem regulatorischen Schwellenwert.
- Einige Karten sind nicht im 3D Secure-System registriert, was bedeutet, dass die Überprüfung technisch nicht ausgelöst werden kann, selbst wenn der Händler sie als obligatorisch konfiguriert.
Die technische Dokumentation von IXOPAY bestätigt diesen Punkt: Eine als 3DS “mandatory” konfigurierte Zahlung kann dennoch als nicht authentifiziert durchgehen, wenn die Karte nicht registriert ist. 3D Secure ist kein binärer Schalter.
Betrugsquote bei Amazon: Warum die Bank das Risiko akzeptiert
<pDamit ein Händler regelmäßig Ausnahmen von der starken Authentifizierung erhält, muss seine Betrugsquote sehr niedrig bleiben. Amazon investiert massiv in die Erkennung verdächtiger Verhaltensweisen in Echtzeit. Jede Bestellung wird von einer Risiko-Engine geprüft, die Dutzende von Signalen kombiniert: verwendetes Gerät, IP-Adresse, Kaufhistorie, Lieferadresse, Surfgeschwindigkeit.
Dieses System ermöglicht es Amazon, die finanzielle Verantwortung im Falle von Betrug zu übernehmen (der “Liability Shift” geht auf den Händler über, wenn kein 3D Secure vorhanden ist). Amazon akzeptiert diesen Verantwortungsübergang, weil seine Algorithmen nahezu alle betrügerischen Transaktionen filtern, bevor sie abgeschlossen werden.
Für die ausstellende Bank ist das eine einfache Rechnung: Wenn Amazon den Verlust im Falle von Betrug übernimmt und die Meldungen selten bleiben, gibt es keinen Grund, die Transaktion mit einer zusätzlichen Authentifizierung zu blockieren.
Sicherheit des Amazon-Kundenkontos: Der Schutz verlagert sich
Amazon hat sich entschieden, einen signifikanten Teil der Sicherheit auf den Zugang zum Konto selbst zu verlagern, anstatt auf jede einzelne Transaktion. Die Plattform bietet eine zwei-Faktor-Authentifizierung (2FA) für das Kundenkonto an: Passwort plus temporärer Code über eine App oder SMS.
Diese architektonische Entscheidung hat eine logische Grundlage. Ein Betrüger, der keinen Zugang zum Amazon-Konto hat, kann die registrierte Karte nicht ausnutzen, selbst wenn er die Nummer und die Sicherheitsnummer kennt. Die Barriere liegt im Vorfeld, nicht zum Zeitpunkt der Zahlung.
Andere Anbieter verfolgen einen ähnlichen Ansatz. Revolut beispielsweise bietet inzwischen Kreditkarten ohne sichtbare Nummer an, mit der Annahme, dass sensible Daten nicht mehr physisch exponiert werden sollten. Der allgemeine Trend in der Branche besteht darin, die Angriffsfläche zu reduzieren, anstatt die Validierungsschritte für den Benutzer zu vervielfachen.
Was tun, wenn eine Amazon-Zahlung ohne Banküberprüfung durchgeht
Eine Zahlung, die ohne 3D Secure und ohne Sicherheitsnummer genehmigt wurde, bedeutet nicht, dass die Transaktion verwundbar ist. Die Rückmeldungen zu diesem Punkt variieren je nach Bank und Karteneinstellungen, aber in den meisten Fällen deckt die Kombination aus der Amazon-Risiko-Engine und den regulatorischen Ausnahmen die Situation ab.
Einige konkrete Reflexe zur Stärkung der eigenen Sicherheit:
- Die Zwei-Faktor-Authentifizierung für das Amazon-Konto aktivieren (Kontoeinstellungen, Abschnitt “Anmeldung und Sicherheit”).
- Überprüfen, dass die Zahlungsbenachrichtigungen auf Bankseite aktiviert sind, um sofort jede nicht erkannte Transaktion zu bemerken.
- Die Karte niemals auf einem gemeinsamen Gerät oder einem öffentlichen WLAN-Netzwerk ohne VPN speichern.
- Regelmäßig die Bestellhistorie und die mit dem Konto verbundenen Geräte überprüfen.
Das Modell von Amazon basiert auf einer kalkulierten Abwägung: weniger Reibung bei der Zahlung, mehr Kontrolle im Hintergrund. Solange die Betrugsquote im Griff bleibt und die finanzielle Verantwortung vom Händler übernommen wird, haben Banken kein Interesse daran, die starke Authentifizierung systematisch durchzusetzen. Dieses Vorgehen ist weder ein Versehen noch eine Schwachstelle, es ist eine Sicherheitsarchitektur, die ihre Schlösser woanders platziert, als man sie erwartet.