Geldtransfer

E-Payment: Authentifizieren leicht gemacht

Zahlungsvorgänge im Internet müssen sicher sein. Klar. So sieht es auch die BaFin, die jetzt Dampf machen will. Sie hat dazu eine Richtlinie erlassen, die innerhalb von sechs Monaten umgesetzt werden soll. Aber keine Panik: Wir haben die richtigen Experten und machen Sie fit für den modernen Zahlungsverkehr.

E-Payment: Solide Authentifizierung ist der Knackpunkt

Vom Abenteuerurlaub bis zur Zahnbürste: Shoppen im Internet wird immer beliebter. Die Auswahl ist groß, es gibt keinen Ladenschluss, die Angebote lassen sich schneller vergleichen als bei einem Einkaufsbummel. Und mit wenigen Klicks sind die Käufe dann bezahlt. Per Lastschrift oder Kreditkarte oder auch verschiedener e-Payment-Verfahren wie „Paypal“, Sofortüberweisung oder „GiroPay“. Eine große Rolle spielt bei allen Zahlmethoden die Sicherheit der sensiblen Kundendaten. Betrug im Zahlungsverkehr ist auch ein Thema für die BaFin, die vor wenigen Wochen in einem Rundschreiben „Mindestanforderungen an die Sicherheit von Internetzahlungen“ (MaSI) erlassen hat. So weit, so gut. Aber: Die neue Richtlinie muss innerhalb von sechs Monaten umgesetzt werden. Also bis Anfang November. Besonders heikel: die Vorgaben für eine sichere und stabile Kundenauthentifizierung.

Mehr Sicherheit bis PSD II

Mit dem Rundschreiben will die BaFin die Zeit bis zum Inkrafttreten der PSD II (Payment Services Directive II – Zahlungsdienste-Richtlinie II) überbrücken. In der PSD II werden u.a. Aspekte der Sicherheit und die Kosten für Transaktionen im Fokus stehen. Wobei es noch offen ist, wann PSD II kommt: Derzeit werden die geplanten Regelungen in der EU diskutiert. Die BaFin war aber wegen der Verpflichtung der Mitgliedstaaten gegenüber der European Banking Authority (EBA) und wegen § 7b Abs. 1 S. 4 KWG gehalten, die „Guidelines on the security of internet payments“ der EBA im Mai 2015 zu veröffentlichen. Inhaltlich legt das Rundschreiben neben Governance, Risikobetrachtung und Bewertung sowie Sicherheitsmaßnahmen zum Schutz der Kundendaten unter anderem fest, dass künftig eine ausgesprochen solide Kundenauthentifizierung während des Kauf- und Bezahlvorgangs erforderlich ist.

Das heißt: Der Online-Händler bzw. der Zahlungsverkehrsdienstleister muss den Kunden erst entsprechend authentifizieren, bevor der Kauf- und Bezahlvorgang abgeschlossen werden kann. Diese Forderung der BaFin nach einer sicheren Kundenauthentifizierung geht weit über die Verfahren hinaus, die bisher in der Praxis üblich waren.

Vom PIN bis zur Iris

Zu den bislang praktizierten Authentifizierungsmöglichkeiten zählen:

  • Nachweis der Kenntnis einer bestimmten Information, die nur der Verbraucher weiß: zum Beispiel ein Passwort, PIN oder eine Sicherheitsfrage
  • Verwendung eines Besitztums des Verbrauchers: zum Beispiel Schlüssel, Smartcard, TAN- und ITAN-Liste, „One Time PIN Token“ (z. B. SecurID) oder USB-Stick mit Passworttresor
  • Gegenwart des Verbrauchers: zum Beispiel in Form eines biometrischen Merkmals – Fingerabdruck, Gesichtserkennung, Tippverhalten, Stimm- oder Iriserkennung.
  • Weitere Authentifizierungsmethoden sind etwa „mTan“, „Fototan“ oder der „MasterCard® SecureCode“ bzw. der „3-D Securecode“ von VISA. Die beiden letztgenannten Verfahren stehen für noch sichereres Einkaufen im Internet.

BaFin sorgt für Zugzwang

Ein noch höheres Maß an Sicherheit will nun die BaFin mit ihren umfangreichen Anforderungen erzielen. Der Zeitrahmen von sechs Monaten setzt die Beteiligten aber unter Zugzwang. Wir empfehlen daher dringend, mit der Umsetzung der Richtlinie umgehend zu beginnen. Denn die Auswirkungen auf Systeme und Prozesse sind nicht unerheblich. So sind Verfahren für eine sichere und starke Kundenauthentifizierung zu entwickeln, die im Einklang mit den Einkaufsprozessen im Internet stehen sowie den Vorgaben der BaFin entsprechen. Diese Verfahren sollten schlank, praktikabel und kurz sein. Ansonsten besteht die Gefahr, dass der Verbraucher den Kauf- und Bezahlvorgang abbricht, weil er zu kompliziert und zeitaufwendig ist.

Fit für die Zukunft des Onlinehandels

CGI verfügt über ein Portfolio an erfahrenen Experten mit langjähriger praktischer Erfahrung in Zahlungsverkehrsprojekten sowie im Online-Handel bei der Entwicklung geeigneter Plattformen. Mit diesem breit gefächerten Know-how unterstützen wir bereits global agierende Banken und Corporates bei der Bewältigung der regulatorischen Anforderungen im Zahlungsverkehr. Durch unser Engagement im „Core & Transactional“-Bereich sind wir stets mit den aktuellen Trends vertraut. Wir informieren Sie über neue Entwicklungen und wir bieten Ihnen sowohl eine strategische als auch eine technische Beratung an, um die Vorgaben der BaFin entsprechend umzusetzen. Kurz: Wir machen Sie fit für die Zukunft von anwenderfreundlichen Zahlungsverkehrslösungen im Bereich e-Payment.


Artikel empfehlen:

01.07.2015
Kategorien:
Ausgabe 12 - 2015
Core & Transactional Banking

Schlüsselwörter
Geldtransfer
Authentifizierung

Aktuelles von Experten für Experten