BaFin: Strengere Regeln für Online-Zahlungen treten in Kraft
Zahlungsdienstleister werden zu Sicherheitsmaßnahmen verpflichtet, Online-Shops sind mittelbar betroffen, PayPal bleibt noch außen vor.
Eigentlich gelten die "Mindestanforderungen an die Sicherheit von Internetzahlungen" (MaSI) bereits seit Mai dieses Jahres, als die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die neuen Regeln per Rundschreiben bekannt gegeben hatte. Kommenden Donnerstag, am 5. November endet jedoch die Umsetzungsfrist und die deutschen Kreditinstitute müssen der Aufsichtsbehörde auf Verlangen nachweisen, dass sie die Regeln erfüllen.
Ein Kernpunkt der erstmals festgeschriebenen Sicherheitsregeln für den Online-Zahlungsverkehr ist die starke Kundenauthentifizierung. "In Zukunft wird es nicht mehr reichen, seine Zahlungen mit der Kombination aus Username und Kennwort zu autorisieren", fasst Steffen von Blumröder, Bereichleiter beim Branchenverband Bitkom, gegenüber heise online die Regeln zusammen.
Mindestens zweifach authentifiziern
Nach den Vorgaben der Aufsichtsbehörde dürfen Geldtransfers erst in Gang gesetzt werden, wenn sich der Kunde mit zwei von drei Sicherheitselementen ausweist. Dazu gehört Wissen wie zum Beispiel ein Passwort oder eine PIN. Zweites Sicherheitselement ist der Besitz – also beispielsweise eine ChipTAN-Karte. Als dritte mögliche Authentifizierungsmethode gelten biometrische Authentifizierungen wie ein Fingerabdruck-Sensor. Erste Banken haben diese Möglichkeit bereits umgesetzt: Die Postbank etwa erlaubt mobil die Freischaltung von Transaktionen per Fingerabdruck. Auch den Zugriff auf vertrauliche Daten wie Kontoauszüge müssen die Unternehmen so sichern.
Zweiter Kernpunkt der BaFin-Vorgaben ist eine Berichtspflicht. Werden betroffene Institute Opfer eines Angriffs, müssen sie den Vorfall an die BaFin, die Bundesbank und an die zuständige Datenschutzbehörde melden und mit der Polizei kooperieren. Da Zahlungsdienstleister oft nicht direkt attackiert werden, sollen sie zusätzlich noch ihre Kunden beispielsweise über Phishing-Angriffe aufklären und sie gegebenenfalls bei der Erstattung einer Anzeige unterstützen. Eine ähnliche Berichtspflicht gilt seit Juli auch für die Betreiber kritischer Infrastrukturen, ist bei den betroffenen Unternehmen aber sehr umstritten.
PayPal außen vor
Von den BaFin-Vorgaben sind erst einmal nur die Institutionen betroffen, die direkt der Bankenaufsicht unterstehen – also Banken, die öffentliche Verwaltung und Zahlungsinstitute. Ausgenommen sind zum Beispiel "nicht-browserbasierte mobile Zahlungsmethoden" oder Telefon-Banking – die Anbieter solcher Dienste müssen aber die Risiken ihrer Kunden gemäß einer separaten Richtlinie minimieren. PayPal ist von den Regeln also erst mal nicht betroffen, da der Zahlungsdienstleister nicht der deutschen Bankenaufsicht untersteht.
Normale Online-Shops sind mittelbar betroffen. Zahlungsdienstleister müssen in ihren Verträgen festlegen, dass Online-Händler nur dann Zugriff auf sensible Zahlungsdaten haben, wenn sie sich zu gewissen Sicherheitsmechanismen verpflichten und Angriffe melden.
Europäische Lösung kommt
Ursprünglich hatte die BaFin vor, noch strengere Vorgaben zu machen, zog diese aber nach dem Protest der Bankenverbände zurück. "Die Akzeptanz von Sicherungsmechanismen ist in Deutschland leider nicht so hoch, wie man es sich wünschen würde", fasst von Blumröder das Dilemma der Branche zusammen. Selbst wenn Zahlungsdienstleister zusätzliche Sicherheitsmaßnahmen durchsetzen wollen, spielen die Kunden nicht immer mit.
Ohnehin ist die BaFin-Lösung nur ein Zwischenschritt. Das Europäische Parlament hat Anfang Oktober die überarbeitete Zahlungsdiensterichtlinie (PSD2) angenommen, die in Kürze veröffentlicht werden soll. Mitgliedsstaaten haben dann noch zwei Jahre Zeit die Vorschriften umzusetzen. Außer den erhöhten Sicherheitsanforderungen soll die Haftung der Verbraucher für unautorisierte Zahlungen eingeschränkt werden. Kontoinhaber sollen zudem Lastschriften bedingungslos zurückbuchen lassen können. (ad)
