Finalarm — deine Finanz-Plattform

Virtuelle Kreditkarte in der Wallet-App: Setup und Sicherheit

Das Wichtigste in Kürze:

Beim Einbinden ins Mobile-Wallet wird die echte Kartennummer durch einen gerätespezifischen Token ersetzt — bei Datenleaks beim Händler bleibt die ursprüngliche PAN geheim. Jede Zahlung erfordert biometrische Bestätigung über Fingerabdruck oder Face-ID, mehrere Geräte können getrennt deaktiviert werden. Sofortaktivierung ohne Postversand binnen Minuten.

Virtuelle Kreditkarte in der Wallet-App

Artikel anhören
0:00

-0:00

9 Aufrufe

Autor:

Finalarm Redaktion

Themen in diesem Artikel:

  • Definition: Was eine virtuelle Kreditkarte technisch ist.
  • Einrichtung: Wie die Karte ins Wallet kommt.
  • Tokenisierung: Wie MDES, VTS und Issuer-Tokens die PAN ersetzen.
  • Architektur: Apple Pay, Google Pay, Samsung Pay im Detail.
  • PSD2-SCA: Wie starke Kundenauthentifizierung greift.
  • Sicherheit: Welche Schutzschichten dabei aktiv werden.
  • Risiken: Relay-Attacks, SIM-Swap, Phishing.
  • Anbieter: Welche Banken und Karten in DE funktionieren.
  • Vergleich: Apple Pay gegen Google Pay gegen Samsung Pay.
  • Grenzen: Wo der praktische Einsatz begrenzt ist.
  • Ausblick: Wallet-to-Wallet, Digital Euro, PSD3.

Was ist eine virtuelle Kreditkarte?

Eine virtuelle Kreditkarte existiert ausschließlich als Datensatz in der Banking-App oder im Mobile-Wallet. Es gibt keine physische Plastikkarte. Funktional verhält sie sich wie eine klassische Kreditkarte: Sie hat eine Kartennummer, ein Ablaufdatum und einen Sicherheitscode.

Der wesentliche Unterschied: Eine virtuelle Kreditkarte kann oft sofort nach Beantragung genutzt werden — keine Wartezeit für Postversand. Manche Anbieter erlauben sogar das Erzeugen mehrerer virtueller Kartennummern für unterschiedliche Verwendungszwecke.

Hinter den Kulissen läuft eine spezialisierte Infrastruktur: Der Issuer (also die kartenausgebende Bank) generiert die Karte im Backend, schreibt sie in das Kernbanksystem, registriert sie beim Card-Network (Visa und Mastercard als klassische Vier-Parteien-Netzwerke, Diners Club oder JCB als Drei-Parteien-Netzwerke) und stellt sie über eine API der Banking-App bereit. Innerhalb weniger Sekunden bis Minuten ist die Karte einsatzbereit — ein Vorgang, der bei einer physischen Plastikkarte mit Postversand sieben bis zehn Werktage dauern würde.

Die Deutsche Bundesbank dokumentiert in ihrem Zahlungsverkehrsbericht 2024 einen klaren Trend: Mobile-Wallet-Transaktionen sind in Deutschland zwischen 2020 und 2023 um den Faktor 4,3 gestiegen. Der Anteil kontaktloser Zahlungen am stationären Karteneinsatz lag 2023 erstmals über 80 Prozent. Virtuelle Karten und Wallet-Integration sind keine Nische mehr, sondern Mainstream.

So bindest du die Karte ins Wallet ein

Das Einbinden in ein Mobile-Wallet läuft in der Regel über die Banking-App oder die Wallet-App des Smartphones.

Der Standard-Ablauf

Erstens: Karte in der Banking-App aktivieren. Zweitens: ‚In Wallet hinzufügen‘ oder vergleichbare Funktion auswählen. Drittens: Identitätsverifizierung über die Banking-App (Fingerabdruck, Face-ID oder PIN). Viertens: Karte wird automatisch als digitaler Token in der Wallet hinterlegt. Der gesamte Prozess dauert meist unter zwei Minuten.

Der Provisioning-Flow im Detail

Was technisch passiert, ist deutlich komplexer als die Nutzeroberfläche andeutet. Der sogenannte Provisioning-Flow läuft in fünf Etappen ab: Erstens sendet die Wallet-App eine Provisioning-Request an den Issuer mit Geräte-ID, Wallet-Typ und Karten-Identifier. Zweitens prüft der Issuer die Berechtigung und ruft beim Card-Network einen Tokenisierungs-Service auf — bei Mastercard das Mastercard Digital Enablement Service (MDES), bei Visa das Visa Token Service (VTS), bei Drei-Parteien-Netzwerken wie Diners Club oder JCB jeweils proprietäre Issuer-Token-Services, die als Closed-Loop-System parallel zum Acquirer-Geschäft laufen.

Drittens erzeugt das Tokenisierungssystem eine sogenannte Device Account Number (DAN) — eine 16-stellige Nummer, die wie eine echte Kartennummer aussieht, aber nur für dieses eine Gerät gilt. Viertens fordert der Issuer eine Identity & Verification (ID&V) an: meist über die Banking-App via SCA (Strong Customer Authentication) oder per Einmal-Code per SMS. Fünftens wird die DAN verschlüsselt an die Wallet zurückgegeben und im Secure Element des Geräts gespeichert.

Mehrere Geräte

Die virtuelle Karte kann auf mehreren Geräten gleichzeitig aktiv sein — Smartphone, Tablet, Smartwatch. Jedes Gerät bekommt einen eigenen Token, also eine eigene DAN. Bei Verlust eines Geräts kann der Token einzeln deaktiviert werden, ohne die Karte komplett zu sperren.

Tokenisierung: MDES, VTS und Issuer-Tokens im Detail

Tokenisierung ist das Herzstück der Wallet-Sicherheit. Der Begriff klingt nach Buzzword, beschreibt aber einen konkreten kryptografischen Vorgang: Die echte Kartennummer (Primary Account Number, kurz PAN) wird durch einen Stellvertreter ersetzt, der für jeden Token-Requestor und jedes Gerät einzigartig ist.

Mastercard MDES

Mastercard betreibt seit 2014 das Mastercard Digital Enablement Service. MDES erzeugt für jede Geräte-Karten-Kombination einen 16-stelligen Token, dazu einen dynamischen Cryptogram-Wert pro Transaktion. Selbst wenn ein Angreifer Token und Cryptogram abfängt, kann er sie nicht wiederverwenden — das Cryptogram ist transaktionsspezifisch und einmalig gültig.

Visa VTS

Visa Token Service funktioniert nach dem gleichen Grundprinzip, nutzt aber eine eigene Token-Domain. VTS unterstützt sogenannte Token Domain Restriction Controls: Ein Token kann an einen bestimmten Händler oder Kanal gebunden sein. Ein Token, der für Apple Pay ausgegeben wurde, funktioniert nicht im Browser-Checkout. Diese Restriktion senkt das Risiko von Token-Replay-Angriffen deutlich.

Drei-Parteien-Netzwerke und proprietäre Issuer-Tokens

Drei-Parteien-Netzwerke wie Diners Club oder JCB betreiben jeweils eigene Tokenisierungssysteme. Die zugrunde liegende Architektur unterscheidet sich von MDES und VTS dadurch, dass diese Closed-Loop-Netzwerke gleichzeitig Issuer und Acquirer sind — der Token-Flow bleibt komplett im jeweiligen Netzwerk-Backend, ohne dass externe Acquirer-Banken eingebunden werden müssen. Ein zusätzlicher Sonderfall sind proprietäre Issuer-Tokens einzelner Bank-Issuer wie Revolut oder bunq, die für ihre virtuellen Disposable-Karten ein eigenes, vom klassischen Netzwerk-Token entkoppeltes Modell fahren.

Historisch wurden Drei-Parteien-Netzwerke später als Visa und Mastercard in die großen Mobile-Wallets integriert: Visa- und Mastercard-Karten standen mit dem Start von Apple Pay in Deutschland (2018) sofort zur Verfügung, während kleinere Closed-Loop-Netzwerke teils mehrere Jahre für eine flächendeckende Wallet-Anbindung benötigten — eine direkte Folge des aufwendigeren bilateralen Tokenisierungs-Setups.

Das Resultat in allen drei Fällen: Bei einem Datenleck beim Händler werden nur Token und einmalige Cryptogramme erbeutet, nie die ursprüngliche PAN. Die echte Kartennummer wird beim Bezahlen nie an den Händler übermittelt — sie liegt ausschließlich beim Issuer und im Tokenisierungssystem. Genau deshalb sind Wallet-Zahlungen aus Sicht des Card-Networks die sicherste Form der Kreditkartennutzung überhaupt.

Wallet-Architektur: Apple Pay, Google Pay, Samsung Pay

Auch wenn die Nutzeroberfläche der drei großen Wallets ähnlich wirkt, unterscheiden sich die unterliegenden Architekturen deutlich. Das hat Konsequenzen für Sicherheit, Datenschutz und Kompatibilität.

Apple Pay: Secure Element auf dem Chip

Apple Pay nutzt eine dedizierte Hardware-Komponente, das sogenannte Secure Element. Es sitzt physisch im A-Series- beziehungsweise M-Series-Chip des iPhones und ist gegen Software-Angriffe weitgehend isoliert. Die DAN und das Cryptogram werden ausschließlich im Secure Element verarbeitet — selbst iOS selbst hat keinen Zugriff darauf. Die Authentifizierung erfolgt biometrisch über Face ID oder Touch ID, die NFC-Übertragung läuft direkt aus dem Secure Element über den NFC-Controller an das Terminal.

Für den Datenschutz hat Apple ein bemerkenswertes Modell etabliert: Apple selbst sieht keine Kauftransaktionen. Im Apple Pay Privacy Whitepaper dokumentiert das Unternehmen, dass weder Händler noch Betrag noch Standort an Apple-Server gesendet werden. Lediglich aggregierte, anonymisierte Daten zu Wallet-Erfolgsraten fließen in die Wallet-Telemetrie.

Google Pay: Host Card Emulation und Cloud-Token

Google Pay verfolgt einen anderen Ansatz. Statt eines dedizierten Hardware-Secure-Elements nutzt Google Host Card Emulation (HCE) — eine Software-Implementierung, bei der das NFC-Subsystem des Smartphones eine Karte emuliert. Der Token wird in der Trusted Execution Environment (TEE) des Geräts gespeichert, bei vielen Geräten ergänzt durch den hardwarebasierten StrongBox Keymaster.

Cloud-Komponenten spielen bei Google Pay eine größere Rolle: Token können dynamisch nachgeladen werden, kurzlebige Cryptograme werden auf dem Google-Backend vorberechnet. Das macht Google Pay flexibler bei Geräte-Wechseln, schafft aber eine zusätzliche Vertrauensschicht zwischen Karte und Wallet.

Samsung Pay: NFC plus Magnetic Secure Transmission

Samsung Pay nutzt ebenfalls ein Hardware-Secure-Element (Samsung Knox Vault auf neueren Galaxy-Modellen), bot historisch aber eine zusätzliche Eigenheit: Magnetic Secure Transmission (MST). Damit konnte ein Samsung-Smartphone selbst an alten Magnetstreifen-Terminals zahlen, indem es das Magnetfeld einer Magnetkarte simulierte. Mit dem Galaxy S21 hat Samsung MST eingestellt, sodass auch Samsung Pay heute reine NFC-Zahlung ist. In Deutschland ist Samsung Pay seit 2020 verfügbar.

PSD2 und starke Kundenauthentifizierung im Wallet

Die Europäische Zahlungsdienste-Richtlinie PSD2 (Richtlinie EU 2015/2366) verlangt seit September 2019 für die meisten elektronischen Zahlungen eine starke Kundenauthentifizierung (Strong Customer Authentication, kurz SCA). SCA bedeutet: mindestens zwei voneinander unabhängige Faktoren aus den Kategorien Wissen (Passwort, PIN), Besitz (Smartphone, Token-Karte) und Inhärenz (Fingerabdruck, Gesichtszüge).

Wallet-Zahlungen erfüllen SCA inhärent

Eine Wallet-Zahlung erfüllt diese Anforderung in der Regel automatisch: Das Smartphone steht für den Besitz-Faktor, die biometrische Freigabe für den Inhärenz-Faktor. Damit ist eine Wallet-Transaktion technisch SCA-konform — und kann von 3-D Secure-Schritten beim Online-Kauf befreit werden, sofern Issuer und Händler die sogenannte SCA-Delegation unterstützen.

Die Friktion bei niedrigen Beträgen

PSD2 erlaubt für kontaktlose Zahlungen unter 50 Euro eine SCA-Ausnahme — der berühmte Tap-and-Go-Komfort an der Supermarktkasse. Diese Ausnahme greift bei einer Wallet-Zahlung nicht: Da das Smartphone die biometrische Auth ohnehin im Hintergrund durchführt, ist die SCA-Schwelle de facto irrelevant. Wer mit dem iPhone für 3 Euro einen Kaffee bezahlt, durchläuft technisch denselben Authentifizierungs-Stack wie bei einem 800-Euro-Online-Kauf.

Aus regulatorischer Perspektive ist die Wallet-Zahlung damit eine der saubersten Umsetzungen von PSD2. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) wertet biometrisch freigegebene Wallet-Transaktionen explizit als SCA-konform — eine wichtige Stütze für Wachstum und Akzeptanz.

Welche Sicherheitsmechanismen greifen

Die Wallet-Integration bringt mehrere zusätzliche Sicherheitsebenen, die bei einer Plastikkarte nicht greifen.

Tokenisierung in der Anwendung

Die echte Kartennummer wird beim Einrichten durch einen verschlüsselten Token ersetzt, der gerätespezifisch ist. Beim Bezahlen übermittelt das Smartphone nur den Token an den Händler — die ursprüngliche Kartennummer bleibt geheim. Bei einem Datenleck beim Händler ist der Schaden lokal begrenzt.

Biometrie pro Zahlung

Jede Wallet-Zahlung erfordert eine biometrische Bestätigung (Fingerabdruck, Gesichtserkennung) oder einen lokalen PIN. Ohne diese Freigabe kann selbst ein verlorenes oder gestohlenes Smartphone die Karte nicht für Zahlungen nutzen.

Dynamic Cryptogram pro Transaktion

Bei jeder NFC-Zahlung erzeugt das Secure Element ein Cryptogram, das nur für diese eine Transaktion gültig ist. Selbst wenn jemand das NFC-Signal abfängt, lässt sich daraus keine Wiederholungstransaktion ableiten. Das Cryptogram wird beim Issuer gegen die hinterlegte DAN geprüft und nach einmaliger Verwendung verworfen.

📌 Good to know

Manche Banking-Apps erzeugen für Online-Käufe Einmal-Kartennummern mit selbst gewähltem Maximalbetrag. Nach Ablauf wird die Nummer automatisch deaktiviert — der Käufer hat dann theoretisch noch die Daten, aber sie funktionieren nicht mehr. Ideal bei unbekannten Online-Händlern.

Risiken und Angriffsvektoren im Realbetrieb

Trotz der hohen Sicherheitsstandards gibt es konkrete Angriffsmuster, die in der Praxis dokumentiert sind. Wer die Mechanik kennt, kann sie umgehen.

Relay-Attacks per NFC

Bei einer Relay-Attack hält ein Angreifer ein zweites NFC-fähiges Gerät in die Nähe des Opfers, fängt das Signal des Smartphones ab und leitet es in Echtzeit an ein Terminal in einem anderen Land weiter. Voraussetzung: Das Smartphone muss entsperrt und für eine Zahlung bereit sein. In der Praxis ist dieser Angriff selten, weil die biometrische Freigabe und die Cryptogram-Bindung an einen spezifischen Acquirer-Kontext den Missbrauch erschweren — aber technisch möglich ist er.

SIM-Swap-Angriffe

Bei einem SIM-Swap-Angriff übernimmt ein Angreifer die Mobilfunknummer des Opfers durch Social-Engineering beim Mobilfunkanbieter. Anschließend kann er SMS-OTPs abfangen, die manche Banken zur Karten-Provisionierung verwenden. Die Gegenwehr: Issuer wie Hanseatic Bank, DKB und Barclays setzen mittlerweile primär auf In-App-Authentifizierung statt SMS-OTP. Wer Wallet-Karten neu einbindet, sollte die App-basierte Verifizierung wählen, wann immer das angeboten wird.

Phishing rund um die Wallet-Aktivierung

Der häufigste Angriffsvektor ist nicht hochtechnisch, sondern klassisches Phishing: Mails mit gefälschten Issuer-Logos fordern die Eingabe von Karten- und Aktivierungsdaten auf einer Fake-Domain. Wer die Daten dort einträgt, übergibt einem Angreifer das Material, um die Karte in dessen eigene Wallet zu provisionieren. Apple Pay und Google Pay versuchen, das durch zusätzliche Issuer-seitige Checks zu unterbinden — eine endgültige technische Sperre gibt es nicht.

💡 Tip

Wenn deine Bank dir bei Wallet-Einrichtung die Wahl zwischen SMS-OTP und In-App-Verifizierung lässt, nimm immer die In-App-Variante. Sie schließt SIM-Swap-Angriffe als Vektor aus und ist gleichzeitig komfortabler — kein Wechsel zwischen Apps nötig.

Anbieter und Karten-Kompatibilität in Deutschland

In Deutschland ist die Wallet-Abdeckung mittlerweile breit. Praktisch alle Visa- und Mastercard-Karten deutscher Issuer lassen sich in Apple Pay und Google Pay einbinden. Die Liste ist lang und umfasst die großen Direktbanken (DKB, ING, comdirect, C24), die klassischen Filialbanken (Deutsche Bank, Commerzbank, Sparkassen, Volksbanken), Fintechs (N26, Revolut, bunq, Vivid) sowie Co-Brand-Karten von Hanseatic Bank, Barclays und Advanzia.

Drei-Parteien-Netzwerke in Deutschland

Drei-Parteien-Netzwerke wie Diners Club oder JCB sind technisch zwar tokenisierungsfähig, kamen in Apple Pay, Google Pay und Samsung Pay aber später an als Visa und Mastercard — die proprietären Closed-Loop-Token-Services mussten zunächst bilateral mit jedem Wallet-Anbieter integriert werden. Premium-Charge-Karten mit hohem Tier wie die Barclaycard Visa Infinite, die Mastercard World Elite einzelner Sparkassen oder Comdirect-Mastercard-Gold-Premium-Karten decken die wichtigsten Wallets heute vollständig ab. Co-Brand-Karten wie die Hanseatic GenialCard, die Lufthansa Miles & More DKB Mastercard oder die Mercedes-Benz Card sind ebenfalls Wallet-ready. Wer aktuelle Karten-Konditionen, Tier-Vergleiche oder Co-Brand-Optionen prüfen will, findet eine markt- und Issuer-übergreifende Übersicht direkt bei den Direktbanken (DKB Premium-Visa, Barclays Visa Infinite, Comdirect Visa) und beim BVR-Vergleichsportal für Genossenschaftsbanken.

Fintech-Besonderheiten

Bei Fintechs gibt es Eigenheiten, die das Wallet-Erlebnis prägen. N26 erzeugt automatisch virtuelle Karten parallel zur Plastikkarte und stellt sie als sofort einsatzbereit zur Verfügung. Revolut bietet sogenannte Disposable Virtual Cards — Einmalkarten, die nach einer Nutzung automatisch wechseln. bunq hat ein ähnliches Konzept mit den Disposable Mastercards. Diese Modelle reduzieren das Risiko bei unbekannten Online-Händlern auf das absolute Minimum: Selbst wenn der Token kompromittiert würde, wäre die zugrunde liegende virtuelle Karten-Identität bereits ungültig. Wallet-spezifische Reward-Trackings der Issuer — also Cashback-Pots, Punktekonten und Loyalty-Programme wie das Hanseatic Cashback-Programm, DKB Active+ Punkte oder Lufthansa Miles & More über die DKB Mastercard — laufen bei diesen Fintechs vollautomatisch im Hintergrund und werden direkt in der Banking-App ausgewiesen.

Apple Pay gegen Google Pay gegen Samsung Pay

Welche Wallet die richtige Wahl ist, hängt von Gerät, Datenschutz-Präferenz und Issuer-Abdeckung ab. Die wichtigsten Unterschiede im Überblick.

Merkmal Apple Pay Google Pay Samsung Pay
Verfügbar in DE seit 2018 2018 2020
Token-Speicher Secure Element (Chip) TEE / StrongBox + Cloud Knox Vault (Chip)
Authentifizierung Face ID / Touch ID Fingerabdruck / PIN / Smart Lock Fingerabdruck / Iris / PIN
Card-Network-Abdeckung Visa, Mastercard, Diners, JCB Visa, Mastercard, Diners, JCB Visa, Mastercard, Diners, JCB
Telemetrie an Anbieter Kein Kauf-Tracking Anonymisierte Pattern Anonymisierte Pattern
P2P-Zahlung Apple Cash (US, EU teils) Google Wallet P2P Begrenzt

Die Wahl bleibt am Ende oft eine Plattform-Entscheidung: Wer ein iPhone nutzt, hat de facto nur Apple Pay zur Verfügung — Apple gibt das NFC-Subsystem für Drittanbieter erst seit 2024 schrittweise frei. Auf Android ist Google Pay Standard, Samsung Pay eine Zusatzoption auf Galaxy-Geräten. Für maximalen Datenschutz spricht Apple Pay durch das No-Tracking-Modell. Für maximale Flexibilität und Cloud-Sync spricht Google Pay.

Wo der praktische Einsatz begrenzt ist

Trotz zunehmender Verbreitung gibt es Anwendungsfälle, in denen eine virtuelle Karte (noch) nicht funktioniert.

Stationärer Handel ohne NFC

An älteren Terminals ohne NFC kann die Wallet-Zahlung nicht funktionieren. Ein steckbarer Chip oder ein Magnetstreifen sind nicht vorhanden. In Regionen mit veralteter Terminal-Infrastruktur ist eine zusätzliche physische Karte daher empfehlenswert.

Bargeldabhebungen

An den meisten Geldautomaten funktioniert die Wallet-Zahlung nicht direkt — die Automaten lesen primär den Chip oder den Magnetstreifen. Einige neuere NFC-fähige Automaten erlauben das kontaktlose Abheben, sind aber noch nicht flächendeckend verbreitet.

Mietwagen und Hotels

Auch bei Buchungen mit Kautionssperre stoßen virtuelle Karten an Grenzen. Mietwagen-Anbieter und Hotels verlangen beim Check-in oft den Magnetstreifen oder Chip der physischen Karte, weil interne Workflow-Systeme noch nicht auf reine Wallet-Akzeptanz ausgelegt sind. Wer ohne physische Backup-Karte reist, sollte bei der Buchung explizit nachfragen.

Ausblick: Wallet-to-Wallet, Digital Euro, PSD3

Die Wallet-Landschaft entwickelt sich rasant. Drei Trends prägen die kommenden zwei Jahre.

Wallet-to-Wallet Pay

Apple Cash, Google Wallet P2P und vergleichbare Funktionen erlauben das direkte Senden von Geld zwischen Wallet-Nutzern — ohne Zwischenschritt über Banking-App oder klassische SEPA-Überweisung. In den USA ist Apple Cash längst Mainstream; in Deutschland steht die volle Roll-out-Stufe noch aus, weil die Anbindung an SEPA-Instant einen lokalen Issuer-Partner braucht.

Digital Euro

Die Europäische Zentralbank arbeitet seit 2023 in der Vorbereitungsphase an einem Digital Euro. Geplant ist eine offizielle Zentralbank-Digitalwährung, die direkt in Mobile Wallets eingebunden wird — möglicherweise neben den klassischen Kreditkarten in derselben App. Die EZB hat 2024 betont, dass der Digital Euro additiv zu bestehenden Zahlungsmitteln gedacht ist, nicht als Ersatz für Bargeld oder Kreditkarten.

PSD3 und Open Wallets

Mit der Payment Services Directive 3, deren Verabschiedung für 2026 erwartet wird, sollen Wallet-Anbieter stärker reguliert und für Drittanbieter geöffnet werden. Konkret bedeutet das: Apple und Google müssen Konkurrenz-Wallets vergleichbare Schnittstellen anbieten — eine Folge der EU-Untersuchungen 2022-2024 rund um den Wettbewerb auf dem Mobile-Payment-Markt. Für Nutzer heißt das: mehr Wahlfreiheit, möglicherweise auch europäische Wallet-Alternativen wie die EU Digital Identity Wallet, die ab 2026 in den Mitgliedsstaaten ausgerollt werden soll.

Häufig gestellte Fragen

Q

Brauche ich eine physische Karte, um die virtuelle Version zu nutzen?

Bei den meisten Banken nicht. Eine virtuelle Karte wird oft eigenständig ausgegeben und kann sofort nach Aktivierung in der Banking-App genutzt werden. Einige Anbieter verknüpfen virtuelle und physische Variante, sodass beide zur gleichen Karten-Nummer gehören.

Q

Ist die Bezahlung über die Wallet-App wirklich sicherer?

Ja, in mehreren Punkten. Erstens: Tokenisierung schützt vor Datenlecks beim Händler. Zweitens: Biometrische Bestätigung pro Zahlung verhindert Missbrauch bei Geräteverlust. Drittens: Geräteweise Token-Verwaltung erlaubt punktuelle Sperrung, ohne die Karte komplett zu deaktivieren.

Q

Funktioniert eine virtuelle Karte im Ausland?

Überall dort, wo NFC-Terminals vorhanden sind und die Akzeptanz der zugrunde liegenden Karte gegeben ist. In Ländern mit moderner Terminal-Infrastruktur (Westeuropa, Nordamerika, viele asiatische Länder) ist das Standard. In Regionen mit älteren Terminals ist eine physische Backup-Karte sinnvoll.

Q

Was passiert, wenn ich mein Smartphone verliere?

Die virtuelle Karte auf dem verlorenen Gerät kann über die Banking-App von einem anderen Gerät aus sofort deaktiviert werden. Eine sofortige Komplettsperrung der Karte ist nicht nötig — die übrigen Geräte und die physische Karte (falls vorhanden) bleiben nutzbar.

Q

Was ist eine Device Account Number (DAN)?

Die DAN ist eine 16-stellige Stellvertreternummer, die statt der echten Kartennummer (PAN) in der Wallet gespeichert wird. Sie wird beim Provisioning vom Tokenisierungsdienst des Card-Networks (MDES bei Mastercard, VTS bei Visa, sowie proprietäre Issuer-Token-Services bei Drei-Parteien-Netzwerken wie Diners Club oder JCB) erzeugt und gilt nur für ein bestimmtes Gerät.

Q

Erfüllt eine Wallet-Zahlung automatisch die PSD2-SCA-Vorgaben?

In der Regel ja. Das Smartphone steht für den Besitz-Faktor, die biometrische Freigabe für den Inhärenz-Faktor. Damit sind zwei der drei SCA-Kategorien erfüllt. Issuer und Händler können die Wallet-Transaktion als SCA-konform werten und auf zusätzliche 3-D Secure-Schritte verzichten — eine Erleichterung, die BaFin und EBA explizit anerkennen.

Autor:

Finalarm Redaktion

Kreditkarten-Experte

Weitere News




Beliebteste Artikel auf Finalarm

Stöbere auch in den übrigen Inhalten von Finalarm

  • Commerzbank App: Funktionen, Download & Mobile Banking

    Commerzbank App: Funktionen, Download & Mobile Banking

    Die Commerzbank App bietet umfassende Mobile Banking-Funktionen für die digitale Kontoverwaltung unterwegs. Von Überweisungen über Kontoeinsicht bis zur Finanzplanung – alle wichtigen Features werden detailliert erklärt. Der Ratgeber hilft bei Installation, Einrichtung und optimaler Nutzung der Banking-App.

  • Deutsche Bank App: Funktionen, Download & Mobile Banking

    Deutsche Bank App: Funktionen, Download & Mobile Banking

    Die Deutsche Bank App ermöglicht umfassendes Mobile Banking mit Kontoübersicht, Überweisungen, Wertpapierhandel und Finanzmanagement. Dieser Ratgeber beleuchtet alle Funktionen, Sicherheitsaspekte und praktische Tipps zur Nutzung. Erfahrungen, häufige Probleme und Lösungen werden detailliert dargestellt.

  • Kreditkarten im Verfügungsrahmen-Vergleich: Worauf es wirklich ankommt

    Kreditkarten im Verfügungsrahmen-Vergleich: Worauf es wirklich ankommt

    Bandbreiten reichen von 500 Euro bei Einsteigerkarten bis 25.000 Euro bei individuell vereinbarten Premium-Karten. Neben dem Gesamtrahmen entscheiden Sub-Limits für Bargeldverfügung und Online-Zahlungen über die praktische Nutzbarkeit. Getrennte Tageslimits sind oft restriktiver als der nominelle Rahmen — eine Karte mit 8.000 Euro Limit kann ein Tages-Bargeld-Limit von nur 500 Euro haben.