Inzwischen nutzt fast die Hälfte aller Bankkunden das Onlinebanking und sieben von zehn Verbrauchern in Deutschland im Alter zwischen 14 und 69 Jahren kaufen mittlerweile im Internet ein. Rund ein Zehntel des Einzelhandelsumsatzes in Deutschland erfolgt bereits im E-Commerce. Vor diesem Hintergrund ist es wenig erstaunlich, dass Kunden für ihre geschäftlichen Aktivitäten nun auch vermehrt Smartphones nutzen.
Diese Entwicklung wird von Betrügern ausgenutzt, die sich in jüngerer Zeit vermehrt auf Bankgeschäfte und Zahlungsvorgänge im Internet konzentrieren. Am stärksten gefährdet sind zurzeit Kartenzahlungen im Online-Handel. So verursacht der „Card Not Present“ – Betrug europaweit mit zwei von drei betrügerischen Handlungen mit der Zahlungskarte den größten Schaden. Darüber hinaus stellt das Smartphone für Betrüger einen neuen Angriffspunkt dar, der in der Regel weniger gut gesichert ist, als der heimische PC.
Deutschland im Vergleich weniger betroffen
Insgesamt zeigt sich, dass Deutschland im europäischen Vergleich weniger stark betroffen ist als andere Länder. So geben in einer Umfrage der Europäischen Kommission nur zwei Prozent aller in Deutschland Befragten an, dass sie schon einmal Opfer eines Betrugsversuchs bei Kartenzahlungen im Internet oder beim Online-Banking gewesen seien. Anders in Großbritannien, wo 17 Prozent der Befragten angeben, schon solche schlechten Erfahrungen gemacht zu haben.
Vor diesem Hintergrund haben sich europäische Zahlungsverkehrsüberwachung und Bankenaufsicht zusammengeschlossen und das so genannte SecuRe Pay-Forum (Security of Retail Payments-Forum) gegründet. Sein Ziel ist die Verbesserung des gemeinsamen Verständnisses und Wissens in Bezug auf die Sicherheit bei elektronischen Zahlungen, die Erhöhung der Sicherheit im Massenzahlungsverkehr sowie eine Angleichung des Sicherheitsniveaus in Europa. Hierzu wurden vier verschiedene Arbeitsstränge zu den Themen sicheres Bezahlen im Internet, Kontozugangsdienste, mobiles Bezahlen und Störfallberichtswesen ins Leben gerufen.
Abgesehen vom Störfallberichtswesen, bei dem der Schwerpunkt auf dem Informationsaustausch zwischen Behörden lag, wurden die erarbeiteten Ergebnisse zu den jeweiligen Themen mit den Marktteilnehmern konsultiert und die Empfehlungen für sicheres Bezahlen im Internet im Januar 2013 veröffentlicht. Nach ihrer Umsetzung in eine Richtlinie der EBA zum sicheren Bezahlen im Internet wurden sie von der Bundesanstalt für Finanzaufsicht mit den seit November verbindlichen Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSI) in die deutsche Aufsichtspraxis übernommen.
Darüber hinaus fand eine Reihe von Ideen des SecuRe Pay Forums Eingang in die Überarbeitung der Zahlungsdiensterichtlinie (Payment Services Directive 2 – PSD2), die im Dezember 2015 verabschiedet wurde.
Regulierungsstandards beziehen sich auf Kundenauthentifizierung
Aus der PSD2 ergeben sich für die European Banking Authority (EBA) mehrere Mandate zur Erarbeitung technischer Regulierungsstandards und Richtlinien. Von diesen betreffen einige auch die bisherigen Arbeiten des SecuRe Pay Forums. Sie sollen in Zusammenarbeit mit der Europäischen Zentralbank entwickelt werden, was in der Praxis unter der Mitwirkung des Forums geschieht.
Die von der EBA zu entwickelnden technischen Regulierungsstandards beziehen sich zum einen auf eine starke Kundenauthentifizierung. Hierunter fallen Verfahren, mit deren Hilfe ein Zahlungsdienstleister mit hinreichender Sicherheit bestätigen kann, dass der jeweilige Kunde auch wirklich zur Durchführung der von ihm gewünschten Aktion berechtigt ist. So sind zunächst Anforderungen an eine starke Kundenauthentifizierung zu entwickeln. Hierzu gehört, dass beispielsweise für den Zugriff auf ein Zahlungskonto sowie für die Initiierung einer Zahlung zwei Faktoren aus den Kategorien Wissen, Besitz oder Inhärenz – also biometrische Merkmale – zu verwenden sind. Während Passwort oder PIN-Beispiele für den Bereich Wissen bilden, kann es sich beim Besitz z.B. um einen Token oder eine Girocard und bei der Inhärenz beispielsweise um Fingerabdruck oder Iris-Scan handeln. Auch mögliche Ausnahmen von der starken Kundenauthentifizierung sowie Anforderungen an einen sicheren Umgang mit den Authentifizierungsmerkmalen von Kunden werden Inhalt der neuen Regulierungsstandards sein.
Zum anderen soll die EBA Anforderungen an gemeinsame, sichere und offene Kommunikationsstandards zwischen allen Beteiligten an einem Zahlungsprozess festlegen, die dann zwischen der Bank und ihrem Kunden genauso wie zwischen der Bank und einer möglicherweise eingebundenen Drittpartei sowie dieser Drittpartei und dem entsprechenden Bankkunden gelten.
Die Arbeiten an den technischen Regulierungsstandards wurden bereits parallel zu den abschließenden Arbeiten an der PSD2 aufgenommen. Sie sind der Kommission zwölf Monate nach Inkrafttreten der PSD2 vorzulegen, während den Marktteilnehmern noch weitere 18 Monate zur Umsetzung der Anforderungen bleiben. Hierzu hat die EBA kürzlich ein Diskussionspapier veröffentlicht, das die Meinung der Marktteilnehmer zu wichtigen Punkten für die Arbeiten an den technischen Regulierungsstandards einholen soll.
Überwachung von Sicherheitsmaßnahmen erarbeiten
Darüber hinaus soll die EBA Richtlinien hinsichtlich der Entwicklung, Umsetzung und Überwachung von Sicherheitsmaßnahmen erarbeiten. Diese unterscheiden sich dahingehend von den technischen Regulierungsstandards, die unmittelbar in den einzelnen Mitgliedsstaaten gelten, dass sie in nationales Recht umzusetzen sind. Die Arbeiten hieran werden voraussichtlich Anfang 2016 beginnen und sind innerhalb von 18 Monaten nach Inkrafttreten der PSD2 abzuschließen.
Für die Ausführung von elektronischen Zahlungen sind also einige regulatorische Neuerungen zu erwarten, die mit der rasanten Entwicklung in diesem Bereich Schritt halten und potenziellen Betrügern idealerweise zuvor kommen sollen. Nach ihrem Inkrafttreten wird es an den Marktteilnehmern sein, diese Anforderungen optimal auszugestalten und zügig umzusetzen.
