Aktualisiert am 02.06.2026

Wie funktioniert 3D-Secure bei Kreditkarten?

Wer mit der Kreditkarte online bezahlt, kennt den Moment: Nach der Eingabe der Kartendaten folgt ein zweiter Schritt: eine Bestätigung per App, SMS-Code oder Fingerabdruck. Hinter diesem Schritt steckt das 3D-Secure-Verfahren, das heute zum Standard für sichere Online-Kartenzahlungen in Europa gehört. Doch was genau passiert dabei? Was unterscheidet Visa Secure von Mastercard Identity Check und was ist zu tun, wenn die Bestätigung nicht funktioniert?

Geschrieben von Leonard Haaker

Geschrieben vonLeonard HaakerSEO Manager

Leonard Haaker ist als SEO Manager im Bereich Marketing tätig und seit August 2024 im Unternehmen. Er entwickelt und schärft die SEO-Strategie, plant Keyword-Sets und Suchintents und sorgt dafür, dass Landingpages sowohl technisch als auch inhaltlich auf Suchanfragen und Nutzerbedürfnisse ausgerichtet sind. Dazu gehören die Optimierung bestehender Seiten, der Aufbau neuer Content-Hubs sowie regelmäßige Performance-Analysen, auf deren Basis Inhalte und Strukturen weiterentwickelt werden.

Geprüft von Jasmin Hartwig

Geprüft vonJasmin HartwigOnline Marketing Manager

Jasmin Hartwig ist seit 2021 als Online Marketing Manager im Marketing-Team von smava tätig. Sie verantwortet die Entwicklung und Weiterentwicklung der SEO-Strategie, die Optimierung bestehender und neuer Landingpages sowie die Auswertung ihrer Performance. Ein weiterer Schwerpunkt liegt auf der Steuerung interner und externer Content-Prozesse, um Suchanfragen von Interessenten möglichst passgenau mit verständlichen Informationen rund um Kreditangebote und -prozesse zu beantworten.

Das Wichtigste zu 3D-Secure bei Kreditkarten

3D-Secure ist ein zusätzliches Sicherheitsverfahren, das Kreditkarten vor Missbrauch bei Online-Zahlungen schützt.
Am 3D-Secure-Verfahren sind drei Parteien beteiligt: der Karteninhaber, die kartenausgebende Bank und der Händler beziehungsweise dessen Zahlungsdienstleister.
Für Online-Kartenzahlungen gilt die PSD2-Richtlinie mit starker Kundenauthentifizierung als aktueller Sicherheitsstandard.
3D-Secure wird von Banken und Kreditkartenanbietern in der Regel kostenlos zur Verfügung gestellt.
Vergleichen Sie verschiedene Kreditkartenanbieter, um eine Kreditkarte mit Sicherheitsfunktionen zu finden, die optimal zu Ihren Anforderungen passt.

Visa Secure und Mastercard Identity Check: Was steckt dahinter?

3D-Secure ist kein einzelnes Produkt, sondern ein technisches Protokoll, das von den Kartennetzwerken unter verschiedenen Markennamen angeboten wird. Visa nennt es Visa Secure, Mastercard bezeichnet es als Mastercard Identity Check. American Express hat ein äquivalentes System namens SafeKey. Alle basieren auf demselben Grundprinzip und funktionieren nach derselben Logik.

Die Idee hinter dem Namen

Der Name 3D-Secure steht für Three-Domain Secure: drei Bereiche, die an einer gesicherten Online-Zahlung beteiligt sind:

Issuer Domain: Die Bank oder der Kartenanbieter, der Ihre Kreditkarte ausgegeben hat und Ihre Identität kennt.
Acquirer Domain: Die Bank oder der Zahlungsdienstleister auf der Seite des Händlers, über den die Zahlung abgewickelt wird.
Interoperability Domain: Das Kartennetzwerk selbst, also Visa oder Mastercard, das als Vermittler zwischen beiden Banken fungiert und die Kommunikation standardisiert.

Gut zu wissen

Durch die Einbindung aller drei Bereiche in die Authentifizierung entsteht eine Lösung, die sicherstellt, dass nur der legitime Karteninhaber eine Online-Zahlung bestätigen kann, selbst wenn jemand anderes die Kartendaten kennt.

Von 3D-Secure 1.0 zu 3D-Secure 2.0

Die ältere Version des Verfahrens war benutzerunfreundlich: Kunden mussten ein statisches Passwort wählen und bei jeder Zahlung eingeben. Viele nutzten das Verfahren deshalb nicht, und Händler schalteten die Abfrage teilweise bewusst ab, weil sie den Kaufabbruch förderte.

Die aktuelle Version ist erheblich intelligenter und benutzerfreundlicher. Sie überträgt im Hintergrund eine Vielzahl von Kontextinformationen an Ihren Kartenanbieter, der daraus eine Risikobewertung erstellt.

Bei niedriger Risikoeinschätzung läuft die Zahlung ohne weitere Eingabe durch, während bei höherem Risiko eine aktive Bestätigung angefordert wird.

Seit September 2019 ist 3D-Secure für die meisten Online-Kartentransaktionen in Europa durch die EU-Zahlungsdienstleisterrichtlinie PSD2 (Starke Kundenauthentifizierung, kurz SCA) gesetzlich vorgeschrieben. Händler, die 3D-Secure nicht unterstützen, können verpflichtet sein, die Haftung bei Betrugsfällen selbst zu übernehmen

Passende Kreditkarten entdecken

Das Sicherheitsverfahren: Wie 3D-Secure technisch funktioniert

Ein Blick hinter die Kulissen zeigt, warum 3D-Secure so effektiv ist und warum gestohlene Kartendaten allein für eine Online-Zahlung bei 3D-Secure-geschützten Shops nicht mehr ausreichen.

Der Ablauf einer gesicherten Online-Zahlung

Wenn Sie in einem Shop, der 3D-Secure unterstützt, mit Ihrer Kreditkarte bezahlen, läuft im Hintergrund folgender Prozess ab:

Sie geben Ihre Kartendaten ein: Kartennummer, Ablaufdatum und den dreistelligen Sicherheitscode (CVV).
Die Zahlung wird vom Shop an das Kartennetzwerk weitergeleitet. Gleichzeitig werden Kontextdaten übermittelt: das verwendete Gerät, der Browser, der Standort, die IP-Adresse und das bisherige Transaktionsverhalten.
Ihr Kartenanbieter empfängt diese Daten und führt im Bruchteil einer Sekunde eine Risikobewertung durch. Bei niedrigem Risiko (Frictionless Flow) wird die Zahlung direkt freigegeben. Bei erhöhtem Risiko (Challenge Flow) wird eine zusätzliche Bestätigung angefordert.
Sie bestätigen die Zahlung per SMS-Code, Banking-App, biometrischer Authentifizierung oder PIN. Erst danach wird die Transaktion abgeschlossen.

Frictionless Flow: Zahlung ohne sichtbare Unterbrechung

Im Frictionless Flow, also der reibungslosen Variante, läuft die gesamte Authentifizierung unsichtbar im Hintergrund ab. Sie merken nichts davon, weil Ihr Kartenanbieter die Transaktion als sicher einstuft: Das Gerät ist bekannt, die Höhe des Betrags ist unauffällig, der Händler ist vertraut. Die Zahlung wird freigegeben, ohne dass Sie aktiv eingreifen müssen.
Dieser Modus macht 3D-Secure 2.0 erheblich bequemer als die ältere Version und erklärt, warum viele Nutzer das Verfahren gar nicht bewusst wahrnehmen, obwohl es aktiv ist.

Challenge Flow: Aktive Bestätigung erforderlich

Wenn die Risikobewertung erhöht ausfällt, weil die Zahlung ungewohnt hoch ist, das Gerät unbekannt ist oder der Händler erstmals genutzt wird, aktiviert das System den Challenge Flow.

Sie werden zur Eingabe eines zusätzlichen Bestätigungsfaktors aufgefordert, typischerweise:

Per Banking-App: Sie öffnen die App Ihres Kartenanbieters und tippen auf „Zahlung bestätigen“, häufig mit biometrischer Bestätigung (Fingerabdruck oder Face ID).
Per SMS-TAN: Sie erhalten eine sechsstellige Zahl per SMS, die Sie im Browser-Fenster eingeben.
Per App-Push: Eine Push-Benachrichtigung erscheint auf Ihrem Smartphone, die Sie direkt bestätigen können.

Erst nach erfolgreicher Bestätigung wird die Transaktion abgeschlossen. Ohne diesen zweiten Faktor ist keine Zahlung möglich.

Achtung

Bestätigen Sie eine 3D-Secure-Anfrage nur, wenn Sie gerade selbst eine Online-Zahlung ausgelöst haben. Wenn Sie eine Aufforderung erhalten, ohne gerade einen Kauf zu tätigen, handelt es sich um einen Betrugsversuch. Lehnen Sie die Anfrage ab und informieren Sie sofort Ihren Kartenanbieter.

Aktivierung: Muss ich 3D-Secure einrichten?

Viele Nutzer fragen sich, ob sie 3D-Secure aktiv aktivieren müssen oder ob das Verfahren automatisch verfügbar ist. Die Antwort hängt von Ihrem Kartenanbieter ab.

Automatische Aktivierung bei den meisten Anbietern

Bei den meisten deutschen Banken und Kartenanbietern ist 3D-Secure heute standardmäßig für alle Kreditkarten aktiviert. Sie müssen nichts einrichten; das Verfahren läuft automatisch, sobald Sie in einem Shop bezahlen, der es unterstützt. Die einzige Voraussetzung: Ihre Handynummer muss beim Kartenanbieter hinterlegt sein, damit ein SMS-TAN zugestellt werden kann.

Banking-App als bevorzugter Authentifizierungsweg

Viele Anbieter haben den SMS-TAN inzwischen durch die eigene Banking-App als primären Authentifizierungsweg ersetzt. Die App ist sicherer als SMS und benutzerfreundlicher, weil Bestätigungen per Biometrie in Sekunden erfolgen. Falls Sie die Banking-App Ihres Anbieters noch nicht installiert haben, empfiehlt sich das dringend. Überprüfen Sie anschließend in den App-Einstellungen, ob 3D-Secure-Zahlungen korrekt über die App geleitet werden.

Was tun, wenn die Handynummer nicht hinterlegt ist?

Ohne hinterlegte Handynummer können keine SMS-TANs zugestellt werden. Manche Anbieter verweigern in diesem Fall 3D-Secure-Zahlungen komplett; andere leiten alternativ über die App oder ein statisches Verfahren um. Stellen Sie sicher, dass Ihre aktuelle Handynummer bei Ihrem Kartenanbieter korrekt hinterlegt ist, besonders dann, wenn Sie die Nummer gewechselt haben.

Kann man 3D-Secure deaktivieren?

In der Praxis ist eine vollständige Deaktivierung für Privatnutzer kaum möglich und auch nicht empfehlenswert, denn seit der PSD2-Richtlinie ist starke Kundenauthentifizierung für die meisten Online-Zahlungen in Europa gesetzlich vorgeschrieben. Bestimmte Ausnahmen gelten für Kleinstbeträge, vertrauenswürdige Händler oder wiederkehrende Zahlungen gleicher Höhe, bei denen die Challenge-Abfrage entfallen kann.

Probleme beim Bezahlen: Was tun, wenn 3D-Secure nicht funktioniert?

Manchmal klappt die 3D-Secure-Bestätigung nicht so reibungslos wie erhofft. Die häufigsten Ursachen und Lösungen im Überblick.

Kein SMS-Code erhalten

Wenn der SMS-TAN nicht ankommt, kann das verschiedene Ursachen haben:

Die beim Anbieter hinterlegte Handynummer ist veraltet oder falsch.
Das Mobilfunknetz hat eine temporäre Störung oder Sie befinden sich in einem Bereich mit schlechtem Empfang.
Die SMS wurde als Spam gefiltert.
Die Zeitspanne für die Eingabe ist abgelaufen; starten Sie den Zahlungsvorgang erneut und handeln Sie zügig.

Gut zu wissen

Als Alternative können Sie bei den meisten Anbietern direkt in der Banking-App bestätigen, falls diese als Authentifizierungsmöglichkeit eingerichtet ist.

Die Banking-App öffnet sich nicht oder zeigt keinen Bestätigungsdialog

Wenn die App nicht reagiert oder keine Push-Benachrichtigung erscheint, überprüfen Sie:

Sind Push-Benachrichtigungen für die Banking-App in Ihren Smartphone-Einstellungen aktiviert?
Ist die App auf dem aktuellen Stand? Ältere Versionen können Kompatibilitätsprobleme verursachen.
Ist das Smartphone mit dem Internet verbunden?
Wurde die App möglicherweise im Hintergrund vom Betriebssystem beendet?

Starten Sie die App manuell und prüfen Sie, ob im Bereich Ausstehende Transaktionen oder ähnlichem ein offener Bestätigungsauftrag angezeigt wird.

Die Zahlung wird trotz korrekter Bestätigung abgelehnt

Wenn Sie die Bestätigung erfolgreich abgeschlossen haben, die Zahlung aber trotzdem scheitert, können folgende Ursachen vorliegen:

Das Kreditlimit ist ausgeschöpft oder die Karte ist aus einem anderen Grund gesperrt.
Die Verbindung zwischen Browser und Kartenanbieter wurde während der Bestätigung unterbrochen, der Händler hat keine Erfolgsmeldung erhalten.
Der Händler unterstützt die verwendete Kartenart nicht.

Prüfen Sie den Kartenstatus in Ihrer App und versuchen Sie die Zahlung nach einer kurzen Wartezeit erneut. Wenn das Problem anhält, kontaktieren Sie den Kundenservice Ihres Kartenanbieters.

3D-Secure-Abfrage erscheint auf einer verdächtigen Seite

Vorsicht

Wenn die Bestätigungsseite anders aussieht als gewohnt, eine unbekannte Domain in der Adresszeile anzeigt oder nach ungewöhnlichen Daten fragt, brechen Sie den Vorgang sofort ab. Es könnte sich um einen sogenannten Man-in-the-Middle-Angriff handeln, bei dem eine gefälschte Seite die echte 3D-Secure-Seite imitiert. Kontaktieren Sie anschließend Ihren Kartenanbieter und ändern Sie Ihre Zugangsdaten.

Häufige Fragen zu 3D-Secure

Ist 3D-Secure verpflichtend?

Für die meisten Online-Kartenzahlungen in Europa ja. Seit Einführung der PSD2-Richtlinie müssen Banken bei vielen Online-Zahlungen eine starke Kundenauthentifizierung durchführen. 3D-Secure ist das Verfahren, mit dem diese zusätzliche Sicherheitsprüfung meist umgesetzt wird. Ausnahmen gelten unter anderem für Kleinbeträge, wiederkehrende Zahlungen oder als vertrauenswürdig eingestufte Händler.

Warum muss ich meine Zahlung zusätzlich bestätigen?

Die zusätzliche Bestätigung schützt vor Kreditkartenmissbrauch. Selbst wenn Betrüger Ihre Kartennummer kennen, können sie eine Zahlung in der Regel nicht abschließen, da ein weiterer Sicherheitsnachweis erforderlich ist. Je nach Kartenanbieter erfolgt die Bestätigung per Banking-App, Push-Nachricht, SMS-TAN oder biometrischer Authentifizierung.

Muss ich für 3D-Secure extra bezahlen?

Nein. Die Nutzung von 3D-Secure ist für Karteninhaber kostenlos. Das Verfahren gehört zu den Sicherheitsstandards moderner Kreditkarten und wird von Banken und Kartenanbietern ohne zusätzliche Gebühren bereitgestellt.

Was tun, wenn die 3D-Secure-Bestätigung nicht funktioniert?

Prüfen Sie zunächst, ob Ihre Banking-App aktuell ist und eine stabile Internetverbindung besteht. Falls Sie einen SMS-Code erwarten, sollte zudem die richtige Mobilfunknummer bei Ihrem Kartenanbieter hinterlegt sein. Hilft das nicht, kann der Kundenservice Ihres Kartenanbieters die Ursache prüfen und gegebenenfalls die Authentifizierung zurücksetzen.

Kann ich 3D-Secure deaktivieren?

Eine vollständige Deaktivierung ist bei den meisten Kreditkarten nicht möglich. Da die starke Kundenauthentifizierung gesetzlich vorgeschrieben ist, nutzen Banken 3D-Secure als wichtigen Sicherheitsmechanismus für Online-Zahlungen. Eine Abschaltung würde den Schutz vor Missbrauch deutlich reduzieren.

Was passiert, wenn ein Shop kein 3D-Secure unterstützt?

Dann wird die Zahlung ohne zusätzliche Authentifizierung durchgeführt. Für Karteninhaber bedeutet das grundsätzlich ein höheres Betrugsrisiko. In vielen Fällen liegt die Haftung bei unberechtigten Transaktionen jedoch beim Händler oder dessen Zahlungsdienstleister, wenn auf die zusätzliche Sicherheitsprüfung verzichtet wurde.

Ist 3D-Secure auch bei Apple Pay oder Google Pay aktiv?

Bei Apple Pay und Google Pay erfolgt die Authentifizierung direkt über das Smartphone. Die Freigabe per Fingerabdruck, Gesichtserkennung oder Gerätecode erfüllt bereits die Anforderungen der starken Kundenauthentifizierung nach PSD2. Deshalb ist meist kein zusätzlicher 3D-Secure-Schritt erforderlich.

Ist 3D-Secure sicher?

Ja. 3D-Secure gilt als einer der wichtigsten Sicherheitsstandards für Online-Kreditkartenzahlungen. Durch die zusätzliche Identitätsprüfung wird das Risiko von Kartenmissbrauch deutlich reduziert. Gleichzeitig sorgt die moderne Version 3D-Secure 2.0 dafür, dass viele sichere Zahlungen im Hintergrund geprüft werden und keine zusätzliche Bestätigung benötigen.

Kreditkarte mit modernen Sicherheitsstandards finden

Ob Visa Secure, Mastercard Identity Check oder biometrische Freigabe per App: Die Sicherheitsfunktionen von Kreditkarten unterscheiden sich je nach Anbieter. Vergleichen Sie jetzt passende Kreditkarten und finden Sie das Angebot, das zu Ihren Anforderungen passt.

Passende Kreditkarte entdecken

Weitere Kredit- & Kreditkartenangebote bei smava

Hier finden Sie weitere Angebote, Vergleiche und Rechner, mit denen Sie Konditionen einordnen und passende Optionen entdecken können.