Sicherheit im Zahlungsverkehr – Anforderungen nach MaSI und § 25h KWG

Der Kunde sollte im Zahlungsverkehr und beim Internetbanking den höchstmöglichen Schutz genießen. Die regulatorischen Anforderungen an Kreditinstitute, die dazu bestehen, sind sehr komplex. Für den Kunden ist das aber ohne Bedeutung.


Komplexe regulatorische Anforderungen wie die PSD 2 und MaSI sollen im Zahlungsverkehr die Sicherheit des Kunden gewährleisten. Bildnachweis: iStock.com/martin-dm

Gemäß § 25h KWG müssen unter anderem Kreditinstitute über Verfahren und Grundsätze verfügen, die der Verhinderung sonstiger strafbarer Handlungen dienen, wenn diese zu einer Gefährdung des Vermögens des Instituts führen können. Dazu sind angemessene geschäfts- und kundenbezogene Sicherungssysteme zu schaffen und zu aktualisieren sowie Kontrollen durchzuführen. Dabei müssen Geschäftsbeziehungen und einzelne Transaktionen im Zahlungsverkehr erkannt werden, wenn diese als zweifelhaft oder ungewöhnlich anzusehen sind. Bei Schäden aus beleghaften Überweisungen mit falscher Unterschrift ist der Schaden vom Institut zu tragen. Damit sind diese Fälle zweifelsfrei durch die in der Regel beim Geldwäschebeauftragten angesiedelte „Zentrale Stelle“ zu betrachten.

Fit für die Welt der PSD2

Als Übergangsregelung hat die BaFin die Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSI, RS Nr. 4/2015 vom 5. Mai 2015) als Spezialregelung neben die MaRisk gestellt. Damit werden die Anforderungen der EBA (European Banking Authority) auf Grundlage des § 7b Absatz 1 KWG für Zahlungsdienstleister im Sinne des Zahlungsdiensteaufsichtsgesetzes (ZAG) umgesetzt. Ergänzend wurde auch der Text der deutschen Übersetzung der EBA-Leitlinien im Rundschreiben veröffentlicht. Zahlungsdienstleister sollen sich durch die konsequente Umsetzung der MaSI rechtzeitig fit für die Welt der Zahlungsdiensterichtlinie II (PSD2) machen. Die MaSI gelten für Kartenzahlungen im Internet, die Registrierung von Kartenzahlungsdaten zur Nutzung in „elektronischen Geldbörsen“, Überweisungen im Internet, die Erteilung und Änderung elektronischer Einzugsermächtigungen und die Übertragung von elektronischem Geld zwischen zwei E-Geld-Konten über das Internet.

Schützenswert sind sensible Daten, die zum Beispiel eine Internetzahlung auslösen, für die Kundenauthentifizierung verwendet werden oder dazu dienen, Internetzahlungen zu verifizieren. Auch Daten zur Kontrolle des Online-Accounts gehören dazu. Für alle Daten sind die Schutzbedarfe (Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität) festzustellen, damit daraus Maßnahmen abgeleitet und umgesetzt werden können. Neben Sicherheitsrichtlinien, die regelmäßig zu überprüfen und zu testen sind, ist auch dem Vorstand zu berichten. Zudem sollten Rollen und Zuständigkeiten, einschließlich der Risikomanagement-Funktion, festgelegt werden. Die Verantwortlichkeit könnte somit beim Beauftragten für Informationssicherheit und Notfallmanagement angesiedelt werden. Für Fragen, Beschwerden, Support-Anfragen und Meldungen über Unregelmäßigkeiten oder Vorfälle im Zusammenhang mit Internetzahlungen ist ein Kundendienst einzurichten.
Im Internet-Zahlungsverkehr sind durch die PSD2 bereits Anfang 2018 zahlreiche Neuerungen zu erwarten. Die EBA wird auf Grundlage der ZDR II neue Leitlinien, insbesondere zu Detailfragen der Kundenauthentifizierung sowie zum Meldewesen erlassen. Die Herausforderung für die Institute besteht darin, die Verantwortlichkeiten und Zuständigkeiten so zu vernetzen und aufeinander abzustimmen, dass alle Anforderungen nachweisbar erfüllt werden. Die Wirtschaftsprüfer betrachten jeweils einzelne Teilbereiche, weshalb eine Gesamtdokumentation sinnvoll ist. Der dafür erforderliche Erstellungsaufwand ist, angesichts der zu erwartenden Verschärfungen, eine sich schnell amortisierende Investition.

Vielfältige Maßnahmen zur Kundensensibilisierung

Damit Kunden diese Betrugsversuche frühzeitig erkennen und verhindern können, sind vielfältige Sensibilisierungen denkbar. Die direkte Ansprache des Kunden in der persönlichen Beratung und die Bereitstellung von Informationsmaterial ist heutzutage vielfach der praktizierte Standard. Videos, in denen die Vorgehensweise bei Phishing und Hacking dargestellt wird, sind als nützliche Hilfen verbreitet. Tests, in denen ein Angriff auf Kunden simuliert wird, bilden bisher eher die Ausnahme. Sie sind als wirkungsvolles Instrument aber künftig notwendig und sollten verstärkt eingesetzt werden. Die Kriminellen entwickeln ihre Methoden immer weiter. Deshalb muss künftig eine permanente Überwachung aller Transaktionen erfolgen. Dabei unplausible oder ungewöhnliche Transaktionen zu erkennen, ist eine Herausforderung. Diese Transaktionen anzuhalten und nach Klärung mit dem Kunden weiter zu verarbeiten, ist technisch anspruchsvoll, im Sinne des höchstmöglichen und effektiven Schutzes des Kunden aber unabdingbar.