die bank 08 // 2015

ó IT & KOMMUNIKATION 3.

ó IT & KOMMUNIKATION 3. Aufwändig für die betroffenen Zahlungsdienstleister ist die Vorschrift, künftig effektive Prozesse zur Autorisierung und zur Überwachung und Sperrung von Transaktionen und Systemen einzurichten. Dadurch soll es den Anbieter möglich sein, abnormale Zahlungsmuster zu erkennen und Betrug wirkungsvoll entgegenzuwirken. 4. Ein zentrales Sicherheitsrisiko im Zahlungsprozess ist der zu laxe Umgang mit PIN und TAN durch den Kunden. Der Schutz der Daten umfasst deshalb neben der rein technischen Absicherung auch die Schulung und umfassende Aufklärung. Zudem müssen Zahlungsdiensteanbieter ihre Kunden über Vorgehen und den aktuellen Stand jeder Transaktion auf dem Laufenden halten. Neue Meldepflicht bei Betrugsfällen Schwerwiegende Zahlungssicherheitsvorfälle sind nach den MaSI künftig unverzüglich an die BaFin, die Bundesbank und die jeweils zuständige Datenschutzbehörde zu melden. In der Praxis werden Banken auf Vorfälle meist im Zuge interner Meldungen aufmerksam. Durch die geplante Zahlungsdiensterichtlinie ZDR II können sich hier neue Anforderungen ergeben. Die BaFin hat eigene Meldebögen entwickelt und im Rundschreiben an die Zahlungsdienstleister verteilt. Bei Meldungen an die Datenschutzbehörde ist § 42a Bundesdatenschutzgesetz zu beachten. Zudem müssen die Zahlungsdienstleister bei schwerwiegenden Sicherheitsvorfällen mit den zuständigen Strafverfolgungsbehörden zusammenarbeiten. Bemerkt ein Zahlungsdienstleister Cyber- Angriffe auf seine IT-Systemen, stellt er in der Regel Strafanzeige. Sind dagegen die Kunden unmittelbare Opfer eines Angriffs, zum Beispiel durch Phishing, müssen die Zahlungsdienstleister die Betroffenen beim Stellen der Strafanzeige unterstützen. In der Praxis sollen sie beispielsweise die zuständige Polizeidienststelle für ihre Kunden ermitteln und erforderliche Formulare aushändigen. 1 Mehr Sicherheit bei Internetzahlungen Zunahme von Online und Mobile Banking Problemstellung Cybercrime Zunahme von Nicht-Banken im Zahlungsverkehr Zunahme von Betrugsfällen und Sicherheitsrisiken sowie Verunsicherung von Kunden bei Nutzung von unregulierten Zahlungsdiensten Quelle: EBA European Banking Authority, European Central Bank. Die Aufwandstreiber der MaSI Die Bankenbranche blickt relativ gelassen auf die MaSI-Einführung. Die Regulierung betrifft weitgehend Internet-Zahlungsprozesse, die heute schon hohen Sicherheitsvorgaben entsprechen, beispielsweise technische Authentifizierungsstandards. Dazu kommt: Die Umsetzung der Mindestanforderungen an das Risikomanagement (MaRisk) deckt bereits einen Teil der künftigen MaSI-Regelungen ab. Mit Beachtung der Vorschrift AT 7.2 Nr. 2 MaRisk sind die Banken zum Beispiel gut auf die datenschutzkonforme Transaktionsüberwachung und -sperrung vorbereitet. Neu ist allerdings, dass Zahlungsdienstleister wie bei Kartenzahlungen künftig Transaktionen so überwachen müssen, dass sie Betrugsmuster erkennen. Dadurch sollen verdächtige und betrügerische Zahlungsvorgänge schneller erkannt, verhindert und gesperrt werden, zum Beispiel, wenn Internetzahlungen von einer IP-Adresse aus dem Ausland ausgelöst werden, obwohl der Kunde Überweisungen sonst nur aus Deutschland heraus tätigt. Auch wenn die Richtlinie ursprünglich nur auf das Retail Banking abzielte, ist davon auszugehen, dass auch Internetzahlungen durch Firmenkunden unter die Regulierung fallen. Die technischen Authentifizierungsstandards der Institute sind für beide Kundengruppen traditionell hoch. Eine Reihe von Häusern hat zudem nachgerüstet und beispielsweise das PhotoTAN-Verfahren eingeführt. Um eine TAN zu erhalten, fotografiert der Kunde mit seinem Smartphone einen QR- Code am Rechner. Es sollte allerdings für alle Verfahren und Kanäle genau geprüft werden, ob die Anforderungen einer starken Authentifizierung erfüllt sind. Die meisten Banken bieten parallel noch das klassische PIN-TAN-Verfahren an. Hier ist nicht sicher, ob eine TAN-Liste das Kriterium „Besitz“ erfüllt. Viele Kunden fotografieren ihre TAN-Liste aus Bequemlichkeit. Nachteil: Hackern wird die Arbeit erleichtert, an die Nummern zu gelangen. Sollte sich herausstellen, dass TAN-Listen nicht MaSI-konform sind, bedeutet das für die Banken einen zusätzlichen Aufwand. Sämtliche Kunden müs- SecuRe Pay Forum Ziele Verbesserung des gemeinsamen Verständnisses und Wissens hinsichtlich der Sicherheit elektronischer Zahlungen Erarbeitung von Empfehlungen für Mindesstandards Erhöhung der Sicherheit im ZV Angleichung des europäischen Sicherheitsniveaus Umsetzung BaFin-Rundschreiben zur MaSI (ab November 2015 bindend) EBA Guidelines für die Bankenaufsicht (bindend ab August 2015) Eurosystem Oversight Standards (bereits bindend) 58 diebank 8.2015

IT & KOMMUNIKATION ó sen über die Ablösung informiert und mit den neuen Verfahren vertraut gemacht werden. Dazu kommen neue Schulungsmaßnahmen und Kundeninformationen, die von den Instituten entwickelt werden müssen. Ab November müssen Kunden bereits bei der Registrierung im Online- Shop oder der Kontoeröffnung umfassend und verständlich über die korrekte und sichere Nutzung des Internet-Bezahlsystems sowie über wichtige Rahmenbedingungen informiert werden. Viele Zahlungsdiensteanbieter müssen hierfür ihre Anmeldeprozesse verändern. Da die Endgeräte der Kunden angegriffen werden können, ist ihnen außerdem mindestens ein sicherer alternativer Kommunikationskanal zur Verfügung zu stellen. Das bedeutet, dass einige Institute auf ihrer Website möglicherweise deutlicher auf ihre Anschrift oder die Kontaktdaten der nächsten Filiale hinweisen müssen. Für zusätzlichen Aufwand sorgt außerdem das Sicherheitsmanagement weiterer am Zahlungsprozess beteiligter Unternehmen. Viele Institute haben Teile der Wertschöpfungskette an externe Dienstleister ausgelagert. Das bedeutet unter anderem, dass sie diese Schnittstelle bei der obligatorischen Transaktionsüberwachung und -sperrung beachten müssen. Das gilt auch für E-Händler und andere Zahlungsdienstleister, mit denen Banken zusammenarbeiten oder betroffene Leistungen anbieten. Bei allen Beteiligten muss die Bank sicherstellen, dass die Ma- SI-Regeln eingehalten werden. Gewisse Unsicherheit Die Umstände der Einführung der MaSI sorgen bei einigen Akteuren für Unsicherheit. Das liegt zum Teil an den vielen Varianten der Vorschrift. Zunächst gab es ein Papier der Europäischen Zentralbank (EZB), dann veröffentlichte die EBA ihre Fassung der Mindeststandards, die BaFin ergänzte im Februar weitere Inhalte in einem nationalen Entwurf, den sie im Mai fl Für die deutsche Bankenbranche bedeutet die Einführung der MaSI ein weiteres Regulierungsvorhaben, das zeitnah umzusetzen ist. wieder entfernte. Die vielen Fassungen sorgen bis heute für Verwirrung. Einige Juristen diskutieren, ob die EBA-Leitlinien so rechtlich einwandfrei formuliert sind. Angesichts dieser Unklarheit empfiehlt es sich, die Rechtsabteilung frühzeitig in die Umsetzung einzubeziehen. Für Unverständnis sorgt zudem der Zeitplan. Viele Zahlungsdiensteanbieter hätten sich gewünscht, dass die Mindestanforderungen zusammen mit der geplanten ZDR II eingeführt werden. Das Vorziehen der MaSI erhöht den Projektdruck auf alle Beteiligten. Zudem führen Kritiker an, dass sich Inhalte im Zuge der Umsetzung von ZDR II wieder verändern. Die Vorschriften zur Authentifizierung von Zahlungstransaktionen befinden sich noch in der Diskussion. Es ist nicht unwahrscheinlich, dass bereits angepasste Prozesse erneut angefasst werden müssen. Das Gesamtvorhaben, mehr Sicherheit bei Internetzahlungen, würde dadurch unnötig teuer für die Beteiligten. Es bleibt abzuwarten, wie andere europäische Mitgliedstaaten die Mindestanforderungen umsetzen – und vor allem wann. Die EBA veröffentlicht demnächst eine Übersicht, welche Länder die MaSI wie umsetzen. Einige Staaten, darunter Großbritannien und Luxemburg, wollen zunächst die Verabschiedung der laufenden Reform der Zahlungsdiensterichtlinie abwarten. In der Branche wird deshalb befürchtet, dass Zahlungsdiensteanbieter mit einem aufsichtsrechtlichen Sitz in diesen Staaten einen Wettbewerbsvorteil haben. Während in Deutschland ab November 2015 die strengeren Sicherheitsvorkehrungen Pflicht sind, können sie ihren Kunden weiterhin Bezahldienste im Internet ohne starke Kundenauthentifizierung zur Verfügung stellen. Das gilt zumindest so lange, bis die neue ZDR-II-Fassung in Kraft tritt. Fazit Für die deutsche Bankenbranche bedeutet die Einführung der MaSI ein weiteres Regulierungsvorhaben, das sie effizient und parallel zu weiteren Regulierungen umsetzen muss. Durch MaSI und die kommende Zahlungsdiensterichtline ZDR II werden zudem die Unterschiede in Sachen Sicherheit nivelliert, und der Regulator ist bestrebt, den Wettbewerb und Innovation für alternative Bezahlverfahren zu stärken. Banken sollten sich deshalb intensiver auf das „Erlebnis“ zwischen Kunde und Bank fokussieren. Sicherheit in der Kunde-Bank-Beziehung ist für den Kunden zumeist ein „Hygienefaktor“. Denn für zusätzliche Sicherheit wird er keinen zusätzlichen Preis akzeptieren. Er erwartet von vornherein, dass seine Transaktionen geschützt sind. Stattdessen kommt es für die Banken darauf an, von den digitalen Playern im Markt zu lernen und die eigenen Zahlungsdienste weiter zu vereinfachen. Die Institute können hier ihre Expertenrolle nutzen. Sie können beispielsweise über Kooperationen eigene Zahlungsdienste entwickeln, die für ein positives Einkaufs- und Bezahlerlebnis sorgen, und dabei die gewohnte Sicherheit bieten. Angebote wie Paydirect und erste Partnerschaften mit dritten Zahlungsdienstleitern gehen in diese Richtung. Damit steigern die Institute ihre Innovationsfähigkeit und die Chance, sich im umkämpften Zahlungsverkehrsmarkt auch künftig zu behaupten. ó Autor: Michael Titsch ist Experte für Inlandsund Auslandszahlungsverkehr, Clearing, SEPA und Compliance beim Hamburger IT-Beratungsunternehmen PPI AG. 8.2015 diebank 59