die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen.
Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.
REGULIERUNG Christoph
REGULIERUNG Christoph Scheuermann, Figo. Genauere Informationen zum technischen Ablauf der Anmeldung an die MVP will die Finanzaufsicht noch im Herbst veröffentlichen. Am redaktionellen Inhalt der Meldungen ändert sich indes auch nichts, weiterhin müssen die Schäden, eine Beschreibung und die Ursache an die BaFin gemeldet werden. Es bleibt auch erlaubt, diese Meldung von IT-Dienstleistern absetzen zu lassen. Felix Reinshagen informierte die Zuhörer in Köln auch darüber, welche Auskünfte die Aufsicht künftig zu Betrugsfällen erwartet. Einmal jährlich müssen die Zahlungsdienstleister laut ZAG Statistiken über erkannte Betrugsfälle an die BaFin liefern, die ihrerseits an EBA und EZB Bericht erstattet. Eine „freiwillige“ EBA-Leitlinie soll darüber hinaus klären, in welcher Form und welchem Umfang die Statistiken geliefert werden müssen. Seit August existiert ein Entwurf dazu, die Konsultationsphase endet Anfang November. Detaillierte Daten müssen demnach ab 2019 geliefert werden, also erst nachdem der technische Regulierungsstandard (RTS) zur starken Kundenautentifizierung (SCA) in Kraft getreten ist. Die Pflicht zur SCA ergibt sich aus dem ZAG bzw. direkt aus der PSD2 und besagt, dass zwei Merkmale der Kategorien Wissen, Besitz oder Inhärenz unabhängig voneinander und gleichzeitig zutreffen müssen. Wann immer ein Zahler auf sein Zahlungskonto online zugreifen möchte, Lage auch an andere deutsche Behörden.Für die als bedeutend eingestuften Institute kommt ggf. noch eine Meldung an den SSM hinzu. Unter Umständen kann die BaFin die Zahlungsdienstleister sogar dazu verpflichten, ihre Kunden offensiv über den Vorfall zu benachrichtigen. Die Art und Weise der Meldung wird sich ebenfalls ändern. Bislang reichte eine gesicherte E-Mail an die Behörde. Ab Januar bietet die BaFin dafür ein standardisiertes Meldeverfahren auf der Basis ihrer Melde- und Veröffentlichungsplattform (MVP) an, die bereits für andere Verfahren genutzt wird. Die Zahlungsdienstleister können ihre Meldungen dort mittels eines Webformulars hochladen oder alternativ per XML-Datei oder über eine automatische Schnittstelle. Wulf Hartmann, Bankenverband. 58 10 // 2017
REGULIERUNG wenn er einen elektronischen Zahlungsvorgang auslösen möchte (z. B. Online-Überweisung, Zahlung am POS oder per Kreditkarte im Internet) oder eine sonstige ferngelenkte Handlung im Zahlungsverkehr vornimmt, die sich aus dem Wert der betrügerischen Zahlungen geteilt durch den Wert aller Zahlungen (jeweils auf 90 Tage ermittelt) ergibt. Einen aktuellen Überblick über die Schadenssituation vermittelte Christoph Schmidt wieder erschreckend, wie einfach es den Cyberkriminellen oft gemacht wird. Schmidt berichtete vom Fall einer Firma, deren Mitarbeiter sich reihenweise Spionagesoftware auf ihre Rechner geladen hatten. Diese hatten Hacker Christoph Schmidt, Bankenverband. Christian Schäfer, Deutsche Bank. die ein Betrugsrisiko beinhaltet, ist die starke Authentifizierung erforderlich. Dabei sind Lastschriften beispielsweise nicht betroffen, da sie nicht vom Zahler, sondern vom Empfänger einer Zahlung ausgelöst werden. Zu den Ausnahmen für den „elektronischen Zahlungsvorgang“, in denen laut EBA- Entwurf der RTS keine SCA erforderlich ist, gehören z. B. Zahlungen an vertrauenswürdige Empfänger (White List), POS-Zahlungen in geringer Höhe oder Zahlvorgänge an Parkhausterminals. Eine weitere Ausnahme: Im Rahmen der Transaktionsrisikoanalyse kann der Zahlungsdienstleister je nach Risiko selbst entscheiden, ob er eine starke Kundenauthentifizierung verlangt oder nicht. Der Höchstbetrag ist dabei von der Betrugsrate abhängig, vom Bankenverband. Er beruhigte die Zuhörer dahingehend, dass deutsche Bank-Server „kaum erfolgreich angreifbar“ sind. Die hohen Sicherheitsanforderungen der Banken zahlen sich also aus; sie bekämpfen pro Monat mehrere Millionen Attacken. Allein im Augst 2017 wurden 6,4 Millionen neue Malware-Varianten identifziert, erläuterte Schmidt. Weil die Banken also kaum zu besiegen sind, verlagern die Angreifer ihre Energie auf den Endanwender und dessen Geräte. Hier dringen sie entweder über technische Schwachstellen ein oder nutzen – Stichwort: Social Engineering – mit erfundenen Geschichten die Ahnungslosigkeit ihrer Opfer aus, die auf die Fake-President-Masche oder den „Enkeltrick“ hereinfallen. Es ist immer mit der Internet-Speisekarte des benachbarten China-Restaurants verknüpft, nachdem sie beobachtet hatten, dass die Firmenangehörigen gern dort ihr Mittagessen einnehmen. Die Schlussfolgerung, dass man vor einem Restaurantbesuch gern mal kurz die Tageskarte checkt, war also für die Hacker genau richtig. Wichtige Informationen, Hinweise und Verhaltensmaßnahmen zum Schutz gegen Betrugsversuche im Online Banking sind in der aktuellen Broschüre des Bankenverbands „Zielscheibe Unternehmen: Cyberkriminalität“ zu finden, die zum Download auf der Webseite angeboten wird. Autorin: Anja U. Kraus 10 // 2017 59
