Sicherheit bei VISA Wetten: Visa Secure, PSD2 und Card-Not-Present im Klartext

Redaktion «Visa Wetten» April 29, 2026 Lesezeit: 18 Min

Drei unterschiedliche Risiken und drei unterschiedliche Schutzmechanismen

„Ist VISA bei Sportwetten sicher?“ ist eine der Fragen, die ich am häufigsten gestellt bekomme — und eine der am schlechtesten gestellten. Sie setzt voraus, dass „Sicherheit“ eine einzige Eigenschaft wäre, die eine Zahlungsmethode entweder hat oder nicht. In Wahrheit liegen bei jeder VISA-Wette drei verschiedene Angriffsvektoren übereinander, und jeder davon hat eine eigene Gegenmaßnahme.

Vektor eins ist der Abfluss der Kartendaten — also der Fall, dass ein Dritter PAN, Ablaufdatum und CVC in die Finger bekommt. Vektor zwei ist die Transaktionsmanipulation, bei der ein Angreifer eine legitime Autorisierung abfängt oder in seine Richtung umlenkt. Vektor drei ist der Zugriffsmissbrauch, bei dem jemand anderes als der rechtmäßige Karteninhaber Zugang zum Wettkonto und damit zum VISA-Zahlungsprofil erlangt. Jeder dieser drei Angriffsvektoren hat unter heutigen Regeln eine andere Antwort, und die Antworten lauten Tokenisierung, EMV 3DS 2.2 mit Visa Secure, und PSD2-konforme Starke Kundenauthentifizierung in Kombination mit dem Liability Shift.

„Sicherheit bei VISA“ ist in diesem Sinn kein Feature, sondern ein Stack. Dieser Artikel zerlegt diesen Stack Schicht für Schicht — ohne Alarmismus, ohne das reflexhafte „Karte ist unsicher“ der Forenwelt, und ohne die Marketing-Beschwichtigung, dass alles automatisch gut gehe. Die Wahrheit liegt dazwischen, und sie ist interessanter als beide Pole — vor allem, weil sie erklärt, wo der Spieler selbst Hebel hat und wo das System die Arbeit für ihn übernimmt.

Anatomie einer VISA-Karte: Chip, CVC, Magnetstreifen, Token

Eine VISA-Karte besteht aus sechs Elementen, von denen jedes eine Rolle im Sicherheitsstack spielt — und von denen die meisten Spieler nur zwei bewusst wahrnehmen. Die sichtbaren Elemente sind die Kartennummer, der PAN, und der dreistellige Sicherheitscode auf der Rückseite. Das reicht fürs Gefühl, aber nicht für das Verständnis, was bei einer Online-Zahlung wirklich passiert.

Der EMV-Chip auf der Vorderseite speichert einen kryptografischen Schlüssel, der bei Kartenterminals für Chip-and-PIN-Transaktionen genutzt wird. Bei Online-Sportwetten ist er nicht direkt involviert — wir befinden uns in der Card-Not-Present-Welt. Der Magnetstreifen auf der Rückseite ist noch älter und wird in Europa für Sportwetten-Einzahlungen schlicht nicht gebraucht; seine Bedeutung hat mit der Durchsetzung von EMV längst abgenommen.

Die wirklich relevanten Elemente für Online-Transaktionen sind PAN, Ablaufdatum, CVC und — für moderne mobile Einzahlungen — der VISA-Token. Der VISA-Token ist ein ersatzweiser Kartenbezeichner, der statt der eigentlichen Kartennummer im Zahlungsprofil hinterlegt wird. Wer Apple Pay oder Google Pay auf seiner Karte nutzt, arbeitet längst mit Tokens. Der Token ist an das Gerät gebunden, auf dem er erstellt wurde, und kann bei Verlust aus der Ferne invalidiert werden. Das ist der wichtigste Unterschied zur klassischen PAN-Eingabe: Der Token liegt nie auf dem Server des Buchmachers als Klartext-Kartennummer, sondern als gerätegebundener Stellvertreter.

In Deutschland gab es 2020 einen stillen Markstein — erstmals waren mehr VISA-Kreditkarten im Umlauf als Mastercard-Karten, 17,85 Millionen gegen 17,61 Millionen. Seither hat sich dieser Vorsprung auf der Debit-Seite noch deutlich ausgeweitet, weil viele klassische girocard-Nutzer beim Kartenwechsel eine VISA-Debit statt einer Maestro-Variante bekommen haben. Für den Spieler heißt das: Die Wahrscheinlichkeit, dass die Karte in der Hosentasche eine VISA ist, liegt inzwischen statistisch bei über 50 %, und die zugehörige Sicherheitsarchitektur ist die, die in den folgenden Abschnitten diskutiert wird.

Die kritische physische Grenze ist die zwischen Kartendaten und Gerätezugriff. Wer die PAN, das Ablaufdatum und den CVC einer Karte kennt, kann theoretisch eine Transaktion initiieren. Kommt 3D-Secure dazu, scheitert er daran, dass die Authentifizierung in der Banking-App des Karteninhabers stattfindet. Wer also Kartendaten und das entsperrte Smartphone des Karteninhabers hat, kann Schaden anrichten. Wer nur eines von beiden hat, kommt in der heutigen Architektur nicht weit. Das ist die zentrale Aussage zur Kartenanatomie — und sie erklärt, warum die folgenden Abschnitte den Fokus auf Authentifizierung legen, nicht auf Kartenhardware.

Ein Detail zu virtuellen Karten, das ich gern einstreue, weil es in Beratungsgesprächen häufig auftaucht. Virtuelle VISA-Karten aus Banking-Apps wie Revolut, N26, Wise oder den klassischen Großbanken haben in der Sicherheitsarchitektur zwei Vorteile gegenüber physischen Karten. Erstens sind sie meist ab Werk an ein Gerät tokenisiert, und zweitens lassen sie sich aus der Banking-App heraus jederzeit sperren oder neu generieren — ohne den Umweg über Filial-Besuch oder Servicehotline. Wer Sorgen wegen Datenlecks auf Buchmacher-Seiten hat, kann eine virtuelle Karte ausschließlich für Sportwetten anlegen und sie bei Auffälligkeiten in zehn Sekunden ersetzen. Das ist Hygiene auf Expertenniveau, aber technisch für jeden Spieler verfügbar, der bei einer modernen Bank ist.

Visa Secure und EMV 3DS im Sportwetten-Kontext

Visa Secure ist der Markenname, unter dem VISA seine 3D-Secure-Implementierung vermarktet. Der technische Standard heißt EMV 3DS, aktuelle Version 2.2, und er ist die eigentliche Schaltzentrale der Sicherheit bei einer VISA-Wette. Wer beim Einzahlen eine Push-Nachricht auf sein Handy bekommt und die Zahlung biometrisch bestätigt, nutzt genau diesen Mechanismus — auch wenn er den Namen nie gehört hat.

Die Wirkung ist messbar. Authentifizierte Transaktionen über Visa Secure weisen einen Anstieg der Autorisierungsrate um 9 % auf. Diese Zahl, von VISA selbst veröffentlicht, ist im Sportwetten-Kontext sogar noch konservativ — die Issuer-Ablehnungsraten ohne 3DS liegen bei MCC 7995 strukturell höher als im Retail-Schnitt, und der relative Lift durch 3DS wächst entsprechend. In meiner Beratungspraxis sehe ich bei Spielern, die ihre Biometrie-Bestätigung korrekt eingerichtet haben, durchgehend Erfolgsraten im oberen 90-Prozent-Bereich. Bei Spielern ohne Biometrie fällt die Rate spürbar ab.

Der Ablauf einer 3DS-Authentifizierung ist aus Spielersicht trivial, im Hintergrund aber aufwändig. Wenn der Acquirer des Buchmachers die Autorisierungsanfrage an das VISANet sendet, startet parallel dazu eine Risikoanalyse bei Issuer und Acquirer. Das Ergebnis dieser Analyse entscheidet, ob die Transaktion im „frictionless flow“ sofort durchgeht — was bei etablierten Karten-Gerät-Kombinationen die Regel ist — oder ob ein „challenge flow“ einsetzt, bei dem der Spieler aktiv bestätigen muss. Die Unterscheidung ist wichtig: Eine Zahlung ohne sichtbare Authentifizierung ist nicht ohne Sicherheit, sondern ohne Challenge, weil das Risiko-Profil niedrig genug ausgefallen ist.

Der Sportwetten-Kontext drückt den Score-Schwellenwert niedriger als bei Retail-Zahlungen. Issuer und Acquirer betrachten MCC 7995 grundsätzlich als Risiko-sensibel und fordern eher einen Challenge an. Das ist kein Misstrauen gegen den einzelnen Spieler, sondern statistische Vernunft — die Betrugsraten bei Glücksspiel-Codes sind historisch höher als bei Einzelhandel, und der Challenge ist das günstigste Werkzeug, das zur Verfügung steht. Für Spieler bedeutet das: Bei Sportwetten-Einzahlungen sollte man eher mit einem Challenge rechnen als im Online-Shop, und wer das einmal internalisiert hat, hält sein Smartphone griffbereit.

Die Zuverlässigkeit von 3DS hängt an drei Faktoren: der Qualität der Challenge-Zustellung des Issuers, der Geschwindigkeit der Banking-App und der Disziplin des Spielers, die Challenge innerhalb des Timeouts zu bestätigen. Bei deutschen Großbanken funktioniert der erste Punkt praktisch reibungslos. Der zweite Punkt streut stark — einige Banking-Apps brauchen zehn Sekunden zum Öffnen, andere zwei. Den dritten Punkt hat der Spieler selbst in der Hand, und er ist der einzige Hebel, den wir im laufenden Zahlungsfluss beeinflussen können.

PSD2, Starke Kundenauthentifizierung und Ausnahmen

Unter PSD2 und der Starken Kundenauthentifizierung sind 3D-Secure-Authentifizierungen seit September 2021 im EWR und UK verpflichtend für In-Scope-Kartenzahlungen im Internet. Das ist kein optionales Feature, sondern europäisches Finanzrecht — und es unterscheidet die europäische Kartenwelt strukturell vom US-Markt, in dem 3DS weiter freiwillig ist und entsprechend selten eingesetzt wird.

Die konkrete Wirkung auf Sportwetten ist umfassend. Jede Einzahlung über eine europäisch ausgegebene VISA-Karte bei einem GGL-lizenzierten deutschen Buchmacher unterliegt der SCA-Pflicht. Das betrifft sowohl Debit als auch Credit, physische wie virtuelle Karten, klassische Großbanken wie Fintechs. Ausnahmen gibt es — und sie sind der am meisten missverstandene Teil der Regel.

Die wichtigsten SCA-Ausnahmen, in der Praxis zu sehen, sind Low-Value-Transaktionen unter 30 Euro, wiederkehrende Zahlungen gleicher Höhe beim gleichen Händler, und Merchant-Initiated-Transactions nach initialer Authentifizierung. Für Sportwetten sind davon praktisch keine relevant. Die Low-Value-Ausnahme greift nur in engen Grenzen — fünf aufeinanderfolgende niedrige Zahlungen oder ein kumulierter Schwellenwert triggern wieder einen Challenge. Wiederkehrende Zahlungen sind im Sportwetten-Kontext untypisch, weil Einzahlungen selten gleicher Höhe sind. MIT-Transaktionen werden von seriösen deutschen Anbietern nicht genutzt.

Praktisch heißt das: Wer bei einem GGL-lizenzierten Anbieter einzahlt, wird mit an Sicherheit grenzender Wahrscheinlichkeit einen 3DS-Challenge durchlaufen. Ausnahmen sind Einzelfälle, nicht die Regel. Wer das Gegenteil verspricht — sei es ein Anbieter mit „Einzahlung ohne Bestätigung“ oder eine Drittplattform, die angeblich 3DS „umgeht“ — operiert entweder außerhalb der europäischen Regulierung oder täuscht aktiv. Beides ist für den Spieler ein Warnsignal.

Ein häufig unterschätzter Aspekt der PSD2-Regulierung betrifft die Verantwortung des Anbieters. Buchmacher sind verpflichtet, SCA-konforme Zahlungsstrecken zu betreiben. Wer das nicht tut, riskiert nicht nur das Ablehnungsvolumen des Acquirers, sondern auch regulatorische Sanktionen. Das erklärt, warum lizenzierte Anbieter die 3DS-Integration selten abschalten, selbst wenn einzelne Spieler über „Umständlichkeit“ klagen. Die Alternative — eine Abschaltung — ist für den Anbieter ökonomisch und rechtlich unrentabel.

Card-Not-Present: warum 89 Prozent des Kartenbetrugs hier entstehen

89 Prozent allen Kartenbetrugs weltweit entstehen im Card-Not-Present-Raum — dem digitalen Segment, in dem die Karte physisch nicht präsent ist. Das sind VISA-eigene Zahlen aus dem 3D Secure Guide, und sie sind der nüchterne statistische Hintergrund, vor dem jede Online-Zahlung für Sportwetten stattfindet. Zum Vergleich: Card-Not-Present-Betrugsraten sind 7,5-mal höher als bei Card-Present-Transaktionen am Terminal.

Wer diese Zahlen versteht, versteht auch, warum die Sicherheitsarchitektur so stark auf Authentifizierung ausgerichtet ist — und nicht auf die Kartenhardware selbst. Die Verlagerung des Betrugsrisikos in die CNP-Welt ist eine Folge des EMV-Erfolges am Terminal: Chip-and-PIN hat physischen Kartenbetrug wirtschaftlich uninteressant gemacht, und die Betrüger sind in den Online-Raum abgewandert, wo die Hürden lange niedriger waren. PSD2 und EMV 3DS sind die Antwort auf diese Migration.

Für Sportwetten-Einzahlungen hat das drei Konsequenzen. Erstens: Der größte Teil des Restrisikos liegt bei den Kartendaten, nicht bei der Zahlungsabwicklung. Wer seine PAN, sein Ablaufdatum und seinen CVC sauber verwahrt, reduziert das Restrisiko auf ein Minimum. Das klingt banal, ist aber der zentrale Hebel — die meisten CNP-Betrugsfälle beginnen mit dem Abfluss von Kartendaten durch Phishing, Skimming oder Datenlecks bei Dritten.

Zweitens: Die Issuer-Fraud-Engines sind in der CNP-Welt erheblich aggressiver als am Terminal. Sie werfen eher eine Transaktion ab, bevor sie eine betrügerische durchlassen. Für den Spieler heißt das, dass gelegentliche Ablehnungen im Rahmen des Systems sind — sie sind das sichtbare Ergebnis der 89-Prozent-Statistik, die den Issuer vorsichtig macht. Wer hier pragmatisch reagiert und nicht jede Ablehnung als Angriff auf die persönliche Zahlungsfähigkeit interpretiert, lebt entspannter.

Drittens: Die Kombination aus CNP-Risiko und Glücksspiel-MCC macht Sportwetten-Einzahlungen zu einem strukturell überwachten Segment. Das ist aus Spielersicht eher ein Vorteil als ein Nachteil — jede auffällige Transaktion wird von Seiten des Issuers sorgfältiger geprüft, und betrügerische Zahlungen fallen schneller auf. Der Preis dafür ist eine gewisse Friktion bei der Einzahlung. Wer diesen Preis nicht zahlen will, sollte bei E-Wallets bleiben, die CNP-Signale anders bewerten — aber das ist keine Sicherheitsüberlegenheit, sondern eine Verlagerung des Risikos in ein anderes Modell.

Welche Daten zwischen Buchmacher, Acquirer und VISA fließen

Welche Daten fließen bei einer VISA-Sportwetten-Transaktion tatsächlich zwischen den Parteien? Diese Frage habe ich schon häufiger beantwortet, und die Antwort ist erstaunlich schmal — viel schmaler, als die meisten Spieler vermuten. Das liegt daran, dass der Datenfluss in den Zahlungsstandards streng reguliert ist, und Seriosität zeigt sich hier an der Einhaltung eben dieser Minima.

Alle Glücksspiel-Transaktionen werden bei VISA mit dem Merchant Category Code 7995 klassifiziert — auch beim Aufladen von Glücksspiel-Wallets. Dieser MCC ist das einzige branchenbezogene Datenfeld, das das VISANet sieht. Der Händler-Name des Buchmachers wird zwar mit übermittelt, aber in stark standardisierter Form — „BOOKIE-NAME DE“ oder ähnlich, ohne Angaben zum einzelnen Wettmarkt, zur Höhe des spezifischen Tipps oder zu persönlichen Kontodetails des Spielers. VISA weiß nicht, auf welches Spiel wer gesetzt hat.

Der Acquirer, also die Bank des Buchmachers, sieht ebenfalls nur Transaktionsdaten: Kartendaten, Betrag, Zeitstempel, Geräte-Fingerabdruck für Fraud-Scoring. Er erfährt nicht, was der Spieler mit dem Geld beim Buchmacher macht, und er hat auch keinen Zugriff auf Wettkonten-Historie oder persönliche Daten jenseits dessen, was für die Authentifizierung notwendig ist.

Der Issuer, die eigene Bank, sieht am meisten — aber auch hier ist der Umfang klar begrenzt. Kartendaten, Betrag, MCC, Händler-Name, 3DS-Ergebnis. Nichts über die Wette selbst, nichts über Gewinne oder Verluste, nichts über das Wettverhalten. Wer fürchtet, seine Bank wisse anhand der Kartenabrechnung im Detail, was und wie er spielt, überschätzt die Datenlage. Was die Bank ablesen kann, ist die Frequenz und Höhe der Einzahlungen — nicht mehr.

Umgekehrt fließen vom Buchmacher zurück an den Spieler nur minimale Kartendaten. Der Anbieter bekommt vom Acquirer die ersten sechs und die letzten vier Ziffern der PAN, das Ablaufdatum, den Karteninhabernamen und eine Token-ID. Der CVC wird nie gespeichert und nur bei der Autorisierung durchgereicht. Das bedeutet: Selbst ein erfolgreicher Angriff auf den Buchmacher würde dem Angreifer nicht genug Kartendaten liefern, um die Karte an anderer Stelle zu missbrauchen — eine zentrale Designentscheidung der Zahlungsstandards.

Dieser begrenzte Datenfluss ist im Übrigen der stärkste Grund, warum ich Kartenzahlungen bei Sportwetten der klassischen SEPA-Überweisung vorziehe, wenn Sicherheit das Leitkriterium ist. Bei einer SEPA-Überweisung kennt der Empfänger die vollständige IBAN und den Kontoinhaber samt Bank. Bei einer Kartenzahlung kennt er die maskierte Kartennummer und einen Namen — Datenfragmente, aus denen sich keine vollständige Identität rekonstruieren lässt. Datensparsamkeit ist in der Kartenwelt eingebaut; in der Überweisungswelt ist sie eine Ausnahme. Das ist ein strukturelles Argument, das in Marketing-Texten nie auftaucht, aber in der Sicherheitsbetrachtung schwer wiegt.

Haftungsverschiebung nach erfolgreicher 3DS-Authentifizierung

Der Liability Shift ist der wichtigste ökonomische Hebel im 3DS-Sicherheitsmodell — und gleichzeitig der am schlechtesten verstandene. Die Grundregel ist einfach: Wurde eine Transaktion erfolgreich per 3DS authentifiziert, wandert die Haftung für eine spätere Fraud-Reklamation vom Händler zum Kartenausgeber. Wurde sie nicht 3DS-authentifiziert, bleibt die Haftung beim Händler.

Für Sportwetten klingt das zunächst abstrakt, hat aber direkte Konsequenzen. Wenn ein Spieler behauptet, eine Einzahlung sei nicht von ihm autorisiert worden, und die Einzahlung war per 3DS bestätigt, steht der Issuer in der Pflicht, die Reklamation zu prüfen. Er kann den Betrag nicht einfach beim Buchmacher zurückholen, ohne eigene Bewertung. Das macht Issuer strenger bei Fraud-Behauptungen, nicht laxer — denn sie tragen das Risiko.

Benjamin Schwanke, Vorstand der GGL, hat die regulatorische Linie zum Umgang der Behörde mit Payment-Dienstleistern klar formuliert: Die GGL sei an einer kooperativen Zusammenarbeit interessiert, könne aber auch entsprechende Verwaltungsverfahren einleiten, wenn der Zahlungsdienstleister seinen Verpflichtungen nicht nachkommt. Diese Haltung gilt nicht nur gegenüber nicht-lizenzierten Anbietern, sondern wirkt auch auf die Haftungsarchitektur der lizenzierten Branche — die regulatorische Aufmerksamkeit für Zahlungsdienste ist hoch, und der Liability Shift ist eines der Werkzeuge, das saubere Verhältnisse erzwingt.

Der Liability Shift hat Grenzen, und die sind für den Spieler relevant. Er greift nicht bei Transaktionen, die der Karteninhaber selbst initiiert und per 3DS bestätigt hat und die er anschließend bereut. Das ist kein Fraud, sondern ein „Buyer’s Remorse“, und dafür ist der Liability Shift nicht gedacht. Wer nach einer verlorenen Wette versucht, per Chargeback das Geld zurückzuholen, wird bei lizenzierten Anbietern regelmäßig scheitern — die 3DS-Protokolle sind beim Issuer dokumentiert, und die Beweiskette ist erdrückend.

Er greift auch nicht bei Transaktionen, bei denen die Karte physisch gestohlen wurde und der Dieb Zugang zur Banking-App hatte — das ist ein Einbruch in die Authentifizierungskette auf Seiten des Karteninhabers, und die Haftung folgt dann der zivilrechtlichen Sorgfaltspflicht. Wer seine Banking-App mit einem schwachen Passwort sichert oder den Geräte-Code Dritten anvertraut, steht hier schlecht da. Eine umfassende Aufschlüsselung der einzelnen Szenarien, in denen der Liability Shift greift oder nicht, findet sich in meiner Detailanalyse zur Haftungsverschiebung bei 3D-Secure.

Realistische Sicherheitsbilanz von VISA-Wetten im deutschen Markt

VISA-Wetten im deutschen Markt sind 2026 auf einem höheren Sicherheitsniveau als jemals zuvor. Das liegt nicht an einer einzelnen Innovation, sondern am Ineinandergreifen mehrerer Schichten — Tokenisierung auf Gerätebene, EMV 3DS 2.2 mit Visa Secure, PSD2-pflichtige SCA, Liability Shift mit regulatorischer Rückendeckung, und ein GGL-Rahmen, der Payment-Blocking als scharfes Werkzeug durchsetzt. Für den Spieler heißt das nicht Sicherheitsabsolutheit — die gibt es bei keiner Zahlungsmethode — wohl aber eine Situation, in der die Restrisiken klein und adressierbar sind.

Die nüchterne Bilanz: Wer seine Banking-App mit Biometrie sichert, den Geräte-Code Dritten nicht anvertraut und ausschließlich bei GGL-lizenzierten Anbietern einzahlt, bewegt sich in einem System, das Betrug ökonomisch unattraktiv macht. Wer diese drei Grundregeln vernachlässigt, hat ein Problem — aber es ist ein Problem der eigenen Hygiene, nicht eines der Kartenarchitektur. VISA ist im deutschen Sportwettenmarkt keine Unsicherheitsquelle, sondern der Teil der Zahlungskette mit der striktesten Regulierung und der messbarsten Schutzarchitektur. Diese Klarheit ist in der Debatte um Zahlungsmethoden selten — und sie spricht für die Karte, nicht gegen sie.

Sicherheitsfragen zu VISA bei Sportwetten

Drei Sicherheitsfragen, die in der Praxis die meiste Unsicherheit erzeugen und selten sauber beantwortet werden.

Erstellt von der Redaktion von „Visa Wetten“.