BaFin

Zahlungsdiensterichtlinie II: Risiken und schwerwiegende Folgen für Nutzer und Kreditinstitute

Dr. Josef Kokert, Dr. Markus Held / BaFin-Referat für IT-Infrastrukturen bei Banken

Datum: 02.06.2014

Auf europäischer Ebene wird derzeit die Zahlungsdiensterichtlinie (ZDR) von 2007 überarbeitet. Die ZDR enthält Vorschriften zu grenzüberschreitenden Zahlungen in der Europäischen Union und ist damit Grundlage des EU-weiten Binnenmarkts für den Zahlungsverkehr.

Die ZDR II soll insbesondere neue, so genannte Dritte Zahlungsdienstleister regulieren und so das Wachstum der europäischen Wirtschaft unterstützen (ZDL, siehe Definition Zahlungsdienstleister).1) Die Regelungen sind jedoch in der Form, wie sie derzeit vorgesehen sind, komplex. Sollten sie verbindlich werden, werden sie aller Voraussicht nach weitreichende Konsequenzen haben. Der vorliegende Beitrag beleuchtet diese Konsequenzen, insbesondere die Auswirkungen auf die Nutzer und die Kreditwirtschaft.

Auf einen Blick: Stand des Gesetzgebungsverfahrens
Das EU-Parlament hat am 3. April 2014 Ergänzungen zur überarbeiteten Zahlungsdiensterichtlinie (ZDR II) angenommen. Die Fassung wird nun vom Ausschuss für Wirtschaft und Währung beraten. Auf Basis der Ergebnisse wird der Ausschuss der Ständigen Vertreter die Sitzung des Rates vorbereiten. Dieser muss der ZDR II ebenfalls zustimmen, ehe sie in Kraft treten kann.

Noch in den 1990er Jahren waren einige Produkte im Einzelhandel nicht flächendeckend erhältlich. In ländlichen Regionen stieß schon die Frage nach manchem englischsprachigen Buch zuweilen auf Kopfschütteln. Heute dagegen können Produkte online schnell und einfach von überall her bestellt werden. Die Zustellung erfolgt grenzüberschreitend. Dem Handelsverband Deutschland zufolge sind die Umsätze im Onlinehandel von 2005 bis 2014 von 14,5 Milliarden auf 38,7 Milliarden Euro gestiegen, mit jährlichen Zuwächsen zwischen 8 und 17 Prozent. Der Einkauf über das Internet ist kaum mehr wegzudenken. Folgerichtig besteht der Wunsch, dass auch die Zahlung einfach und sicher über das Internet erfolgen soll. Der Händler möchte umgehend die Zahlung und der Kunde umgehend die Ware erhalten.

Verschiedene Bezahlverfahren

Zur Befriedigung dieser Interessenlage werden im Internet zahlreiche Zahlungsdienste angeboten (vgl. hierzu auch den Fachartikel Bezahlverfahren im Internet). Zu nennen sind hier etwa Anbieter von Zahlungskonten für Händler und Kunden (zum Beispiel Paypal), Kreditkartenlösungen (zum Beispiel 3D-Secure), lastschriften-basierte Lösungen (zum Beispiel Bezahlen bei Amazon), die Weiterleitung des Kunden zu einer Bankwebseite (zum Beispiel giropay, iDeal), aber auch die Entgegennahme von PIN und TAN des Kunden für das Online-Banking und die Weiterleitung des Zahlungsauftrags zu dessen kontoführendem ZDL (zum Beispiel SofortÜberweisung).

Diese Verfahren sind derzeit mit verschiedenen Risiken für die Kunden, die Händler und die Kreditinstitute der Kunden verbunden. Zugleich sind sie in unterschiedlichem Maße reguliert. Paypal hat beispielsweise eine europäische Banklizenz, während giropay durch Verträge an Banken gebunden ist und SofortÜberweisung in der Regel in keinem Rechtsverhältnis zu der Bank steht, die PIN und TAN ausgegeben hat.

EU-Kommission: Rechtsvakuum

Nach Ansicht der EU-Kommission besteht ein „Rechtsvakuum für bestimmte neue Anbieter von Internetdiensten, wie etwa dritten Dienstleistern, die online-banking-basierte Zahlungsauslösedienste anbieten“. Sie betrachtet die „Nutzung solcher Dienste [als] eine gangbare und häufig preisgünstigere Alternative zu Kartenzahlungen“, die „auch für jene Verbraucher attraktiv [ist], die keine Karten besitzen“. Sie sieht „aufgrund des Rechtsvakuums […] die Gefahr, dass Innovationen und die Schaffung angemessener Marktzugangsbedingungen behindert werden“.2)

Für die Novellierung der europäischen Zahlungsdiensterichtlinie ZDR II sieht die EU-Kommission daher die Einführung neuer Zahlungsdienstleistungen durch so genannte Dritte ZDL vor. Diese greifen für die Kunden auf die Zahlungsinfrastrukturen der bislang regulierten ZDL zu, die in der ZDR II als kontoführende ZDL bezeichnet werden. Der Entwurf verpflichtet die kontoführenden ZDL, den Dritten ZDL unter Einhaltung bestimmter Voraussetzungen Zugriff auf die IT-Systeme zu gewähren, die sie für das Online-Banking verwenden.3)

Die Regelungen zu den Dritten Zahlungsdienstleistern, die die Europäische Kommission vorgeschlagen hat, ermöglichen Geschäftsmodelle, die – je nach technischer Ausgestaltung – bestimmte Risiken für die Kunden und für den kontoführenden ZDL mit sich bringen können. Insbesondere die angedachte Ausgestaltung der technischen Zugriffsmöglichkeiten von Dritten ZDL auf Bankdaten ist kritisch zu sehen. Auch die Europäische Zentralbank (EZB) hat bereits auf diese Problematik aufmerksam gemacht.

Definition: Zahlungsdienstleister

Zahlungsdienstleister sind nach § 1 Absatz 1 Zahlungsdiensteaufsichtsgesetz (ZAG)

  1. Kreditinstitute im Sinne des Artikels 4 Nr. 1 der europäischen Eigenmittelverordnung CRR (Capital Requirements Regulation), die im Inland zum Geschäftsbetrieb berechtigt sind,
  2. E-Geld-Institute im Sinne des Artikels 1 Absatz 1b und Artikel 2 Nr. 1 der E-Geld-Richtlinie,
  3. der Bund, die Länder, die Gemeinden und Gemeindeverbände sowie die Träger bundes- oder landesmittelbarer Verwaltung, soweit sie nicht hoheitlich handeln,
  4. die Europäische Zentralbank, die Deutsche Bundesbank sowie andere Zentralbanken in der Europäischen Union oder den anderen Staaten des Europäischen Wirtschaftsraums, wenn sie nicht in ihrer Eigenschaft als Währungsbehörde oder andere Behörde handeln und
  5. Unternehmen, die gewerbsmäßig oder in einem Umfang, der einen in kaufmännischer Weise eingerichteten Geschäftsbetrieb erfordert, Zahlungsdienste erbringen, ohne unter die Nummern 1 bis 4 zu fallen (Zahlungsinstitute).

Dritte Zahlungsdienstleister

Die ZDR II teilt die Dritten ZDL in Zahlungsauslösedienste und Kontoinformationsdienste ein. Bei Zahlungsauslösediensten geht es darum, dass Nutzer bei Abschluss eines Geschäfts im Internet die Zahlung direkt im Internet auslösen können. Bei den Geschäftsmodellen einiger Dienstleister wird der Kunde vom Online-Händler auf die Webseite des Dritten weitergeleitet. Der Dritte greift wiederum beim kontoführenden ZDL des Kunden auf dessen Zahlungskonto zurück. Nach Auslösung der Zahlung und Prüfung der Kontoinformationen, beispielsweise der Umsätze, sendet der Dritte dem Onlinehändler eine Nachricht, ob die Zahlung erfolgt ist. Fällt diese Nachricht positiv aus, versendet der Geschäftspartner die Ware umgehend.

Mit Kontoinformationsdiensten kann der Nutzer Informationen über Konten abrufen, die er bei verschiedenen Banken und Zahlungsinstituten führt. Zu diesem Zweck erhält der Dritte Zahlungsdienstleister Zugriff auf die Daten dieser Konten. Der Nutzer muss sich seine Informationen also nicht einzeln zusammentragen, indem er verschiedene Online-Banking-Zugänge öffnet, sondern kann die Informationen bei einem Anbieter zusammenführen lassen und hat diese auf einen Blick verfügbar.

Starke Authentifizierung

Ein wesentlicher Aspekt der Sicherheit im Internet-Zahlungsverkehr ist die Frage der Authentifizierung. Authentifizierung bedeutet in diesem Fall, eindeutig und nachweisbar festzustellen, dass ein bestimmter Nutzer eine bestimmte Zahlung in Auftrag gegeben hat – und niemand sonst. Damit dient die Authentifizierung als Schutz davor, dass Zahlungen unberechtigt ausgeführt werden.

Konkrete Hinweise zur sicheren Ausgestaltung der Authentifizierung gibt Artikel 4 Nr. 22 der ZDR II. Danach erfordert eine starke Kundenauthentifizierung mindestens zwei Elemente der Kategorien

  1. Besitz – etwas, das ausschließlich der Kunde hat (zum Beispiel ChipTAN-Gerät),
  2. Wissen – etwas, das ausschließlich der Kunde weiß (zum Beispiel Passwort, PIN) oder
  3. Inhärenz – eine Eigenschaft des Kunden (zum Beispiel Netzhaut, Fingerabdruck), die diesem eindeutig zugeordnet werden kann.

Die Elemente müssen so ausgewählt werden, dass der Diebstahl oder die Umgehung eines Elements keinen Einfluss auf das jeweils andere haben. Weiterhin muss mindestens ein Element so gewählt sein, dass es nicht einfach über das Internet gestohlen werden kann. Die Authentifizierungsdaten müssen bei der Übertragung durch Verschlüsselungsverfahren geschützt werden.

Diese Regelung entspricht der Definition starker Authentifizierung, die das European Forum on the Security of Retail Payments, eine gemeinsame Arbeitsgruppe europäischer Finanzaufsichtsbehörden und Notenbanken, in seine Empfehlungen zur Sicherheit von Internetzahlungen aufgenommen hatte. Verfahren, bei denen eines der beiden gewählten Elemente einem Dritten bekannt werden kann, betrachtet das Forum als schwach.

Diese Definition berücksichtigt elementare Grundsätze der IT-Sicherheit. Wer Anwendungen beziehungsweise IT-Systeme betreibt, hat die Pflicht, die Zugriffsmöglichkeiten effektiv und personenbezogen zu beschränken. In der Praxis des Online-Bankings wird die Zugangsberechtigung durch die Ausgabe einer PIN daher einer konkreten Person eingeräumt.

Authentifizierungsverfahren bei Einschaltung Dritter ZDL

Zahlungsauslösedienste praktizieren derzeit folgendes Authentifizierungsverfahren (siehe Grafik 1):

  1. Der Kunde öffnet in der Maske des E-Händlers ein zusätzliches Fenster mit einem Überweisungsformular. Der Händler leitet den Kunden damit zum Dritten Zahlungsdienstleister weiter. In dem Formular sind bereits die bekannten Daten wie Name des Überweisenden, Zahlungsempfänger und Geschäftszweck eingetragen.
  2. Der Kunde gibt IBAN und gegebenenfalls BIC seines kontoführenden Zahlungsdienstleisters sowie die geheimen Authentifizierungsinformationen seines Online-Bankings (PIN und TAN) ein.
  3. Der Dritte Zahlungsdienstleister nutzt die Authentifizierungsinformationen, um auf den Online-Banking-Zugang der Bank zuzugreifen.
  4. Gleichzeitig prüft der Dritte Zahlungsdienstleister die Deckung des Kontos.
  5. Der Dritte Zahlungsdienstleister informiert den Geschäftspartner des Nutzers, ob er mit der Zahlung rechnen kann.

Grafik 1: Authentifizierungsverfahren nach der ZDR II

Authentifizierungsverfahren nach der ZDR II BaFin Grafik 1: Authentifizierungsverfahren nach der ZDR II

Die ZDR II sieht vor, dass der Dritte Zahlungsdienstleister sich selbst gegenüber dem kontoführenden Zahlungsdienstleister authentifiziert. Der Kunde hat sich gegenüber dem Dritten Zahlungsdienstleister nicht zu authentifizieren.

Schwächung der Authentifizierung

Die Weitergabe der PIN und TAN, die der kontoführende ZDL seinen Kunden ausgibt, ist in Grafik 1 mit einem Blitz markiert, weil hierdurch die Authentifizierung geschwächt wird. Das geschilderte Verfahren entspricht daher nicht der ZDL-Definition von starker Authentifizierung. Teile der Kontozugangsinformationen werden so an Dritte weitergegeben.

Diese sind nach der bislang gültigen ZDR vom Zahlungsdienstnutzer (Zahler), also zum Beispiel vom Bankkunden, vor unbefugtem Zugriff zu schützen. Diese Verpflichtung wird in der ZDR II insoweit aufgeweicht, als sie in Artikel 61 und 62 explizit erlaubt, Kontozugangsinformationen anderen beaufsichtigten ZDL weiterzugeben. Die ZDR II untersagt es dem Dritten ZDL immerhin, Authentifizierungsmerkmale, die vom kontoführenden ZDL ausgegeben wurden, auf Massenspeicher zu übertragen. Der Dritte ZDL wird zudem verpflichtet zu verhindern, dass sonstige Parteien Zugriff auf diese Elemente nehmen können.

Man-in-the-Middle-Angriffe

Problematisch sind jedoch Fälle, in denen der Dritte ZDL gehackt wird, da die genannten Maßnahmen dann wirkungslos sein können. Wird der Dritte ZDL umgangen oder authentifiziert er sich aufgrund einer Fehlfunktion nicht gegenüber dem kontoführenden ZDL, ist es dennoch möglich, eine Überweisung auszulösen oder das Konto einzusehen. Ein Man-in-the-Middle-Angriff zeichnet sich dadurch aus, dass der Angreifer zwischen den beiden Kommunikationspartnern (Kunde – Dritter ZDL/Händler) steht und mit seinem System vollständige Kontrolle über den Datenverkehr zwischen dem Kunden und dem Dritten ZDL beziehungsweise Händler hat. Der Angreifer kann die Informationen nach Belieben einsehen und manipulieren. Dabei täuscht er den Kommunikationspartnern vor, das jeweilige Gegenüber zu sein. Da der Kunde durch die Webseite des Händlers auf eine Webseite des Dritten ZDL geleitet wird, sind Händler und Dritte ZDL attraktive Ziele für Man-in-the-Middle-Angriffe (siehe Grafik 2).

Grafik 2: Man-in-the-Middle-Angriff

Man-in-the-Middle-Angriff BaFin Grafik 2: Man-in-the-Middle-Angriff

Die Authentifizierung des Dritten ZDL gegenüber der Bank macht das Verfahren nicht sicherer. Denn falls ein Hacker durch Manipulation des Dritten ZDL oder des Händlers PIN und TAN erhält, kann er diese nutzen, um sich gegenüber der Bank zu authentifizieren. Werden der Händler oder der Dritte Zahlungsdienstleister gehackt, haben daher weder die Bank noch der Kunde die Möglichkeit, dies zu erfahren.

Die einzige derzeitig praktikable Methode, das Verfahren sicherer zu machen, besteht darin, die TAN stets dynamisch zu generieren und an die auszulösende Transaktion zu binden, zum Beispiel im ChipTAN-Verfahren. Selbst in diesem Fall wird das Authentifizierungsverfahren jedoch so geschwächt, dass effektiv nur noch ein Element übrig bleibt.

Social-Engineering- und Phishing-Angriffe

Ebenso steigt die Gefahr von Social-Engineering- beziehungsweise Phishing-Angriffen. Bei solchen Angriffen werden Kunden – etwa mit fingierten E-Mails – auf eine Webseite gelockt, die so aussieht, als sei sie die eines legitimen ZDL. Auf diese Weise können Angreifer Kunden dahingehend beeinflussen, dass diese Überweisungen auslösen, die sie gar nicht tätigen wollen. Der einzige effektive Schutz vor Social Engineering besteht darin, Kunden eindringlich zu vermitteln, dass sie Authentifizierungsinformationen ausschließlich auf einer Webseite eingeben sollten, die das Unternehmen, das die Authentifizierungsinformationen ausgibt, zuvor mit ihnen vereinbart hat. Darauf weist auch das Bundesamt für Sicherheit in der Informationstechnik deutlich hin. Genau dieser Schutz wird aber durch die Eingabe von Authentifizierungsinformationen bei Dritten ZDL infrage gestellt. Werden die Authentifizierungsinformationen des Online-Bankings weitergegeben, so ist es weder dem Kunden noch dem kontoführenden ZDL möglich, zwischen einem Dritten ZDL, dem Zahler und einem Kriminellen zu unterscheiden.

Zudem ermöglicht die PIN den vollen Lesezugriff auf das Online-Konto. Für Angriffe, bei denen der Angreifer einen Einblick in die vertraulichen Kontodaten möglichst vieler Bankkunden erlangen will, muss er lediglich die Webseite des Händlers oder des Dritten ZDL hacken. Durch Malware oder Manipulation der Distributionswege können auch Online-Banking-Clients und Apps gehackt werden. Im Unterschied zu Dritten ZDL betreibt der Nutzer solche Software jedoch in einem IT-System, auf das er selbst direkten physischen Zugriff hat. Für die Sicherheit des eigenen PCs oder Smartphones ist der Nutzer selbst verantwortlich.

Schutz der Nutzer

Die ZDR II sieht also ein vermeintlich praktikables Authentifizierungsverfahren vor. Für dieses wäre aber ein hoher Preis zu zahlen, denn es handelt sich um ein unsicheres Verfahren, das die Nachvollziehbarkeit von Transaktionen im Online-Banking von mehreren Tausend europäischen Kreditinstituten erheblich gefährden würde und damit ein fundamentales Schutzziel der IT-Sicherheit konterkariert. Diese Folgen träfen Nutzer und Kreditinstitute gleichermaßen.

Da man sich dieser Problematik bewusst ist, sieht die ZDR II weitere Vorsichtsmaßnahmen und ein differenziertes Haftungsregime vor, um die Folgen für die Nutzer abzumildern. Es handelt sich um zahlreiche Regel- und Ausnahmetatbestände, die teilweise so stark verschachtelt sind, dass es für die Nutzer schwierig ist nachzuvollziehen, welchen Schutz und welche Rechte sie genießen. Vor diesem Hintergrund ist es zu begrüßen, dass die Kommission plant, innerhalb von zwei Jahren nach dem Inkrafttreten der Richtlinie ein Merkblatt zu veröffentlichen, in dem sie die Nutzer klar und leicht verständlich über die Rechte und Pflichten der ZDR II informieren will.

Rechte der Kontoinhaber

Welche Rechte hat der Kontoinhaber, wenn er auf seinem Konto eine nicht autorisierte Zahlung entdeckt? Nach der ZDR II sollte er dies unverzüglich dem kontoführenden ZDL melden und eine Korrektur verlangen. Der kontoführende ZDL wird dann anhand von Logdateien prüfen, ob der Zahlungsvorgang mit PIN und TAN autorisiert war. In dem Fall, dass ein Hacker die personalisierten Sicherheitsdaten unbemerkt gestohlen hat, zum Beispiel mit einem Man-in-the-Middle-Angriff, ergibt sich folgendes Szenario:

  1. Der kontoführende ZDL wird sich darauf berufen, dass die Zahlung autorisiert war, weil diese in den Logdateien verzeichnet ist. Dies ist bereits heute der Fall, wenn Hacker Online-Banking-Daten stehlen.
  2. Der Kontoinhaber wird möglicherweise geltend machen, dass er zuletzt in einem Onlineshop eingekauft und über einen Dritten ZDL die Zahlung angestoßen hat. Er stellt fest, dass diese Zahlung nicht ausgeführt wurde.
  3. Der kontoführende ZDL wird sich nun an den Dritten ZDL wenden. Dieser weist aber jede Verantwortung zurück, weil er keinen Systemzugriff angestoßen hat und deshalb über keine Aufzeichnungen verfügt.
  4. Nun steht die Aussage des Kontoinhabers gegen die Aufzeichnung des kontoführenden ZDL. Für Hackerangriffe im Bereich des Online-Bankings gibt es dazu bereits eine ausführliche Rechtsprechung, wonach je nachdem, wer welche Sorgfaltspflichten verletzt hat, entweder die kontoführende Bank oder der Kontoinhaber haftet.

Nach Artikel 64 Absatz 2 der ZDR II reicht die dargestellte Argumentation des kontoführenden ZDL jedoch nicht aus. Er muss für seine Behauptung weitere Beweise vorlegen. Dazu ist er jedoch nicht in der Lage, da er weder Zugriff auf den Computer des Zahlers noch auf die IT-Systeme des Onlinehändlers hat.

Der Kontoinhaber hat laut ZDR II Anspruch darauf, dass der Betrag innerhalb von 24 Stunden nach seiner Meldung von seinem kontoführenden ZDL erstattet wird. Er wird demnach auf den ersten Blick durch die ZDR II geschützt. Wurde der Zahlungsvorgang durch Nutzung eines verlorenen oder gestohlenen Zahlungsinstruments ausgelöst, wie zum Beispiel PIN und TAN, und war der Verlust für den Nutzer erkennbar, kann dieser jedoch mit bis zu 50 Euro zur Haftung gezogen werden. Damit wird dem Nutzer in dieser Schadenshöhe das Risiko für Internetbetrug auferlegt. In der bisherigen ZDR lag dieser Betrag sogar bei 150 Euro. Allerdings verzichten die kontoführenden Institute in der Praxis aufgrund abweichender vertraglicher Vereinbarungen oder aus Kulanzgründen bislang meist darauf, den Bankkunden in einem solchen Schadensfall zu beteiligen.

Vorsatz und grobe Fahrlässigkeit

Der Nutzer trägt hingegen alle Schäden, die durch nicht autorisierte Zahlungsvorgänge entstehen, wenn sie durch vorsätzliche oder grob fahrlässige Verletzung einer oder mehrerer der Pflichten herbeigeführt wurden, die in Artikel 61 der ZDR II genannt werden.4) Zu diesen Pflichten gehört unter anderem, dass er die objektiven Bedingungen für Ausgabe und Nutzung des Zahlungsinstruments, wie zum Beispiel PIN und TAN, einhält. Es ist nicht auszuschließen, dass die kontoführenden Zahlungsdienstleister die Nutzungsbedingungen für die personalisierten Sicherheitsdaten so gestalten werden, dass ihnen der Nachweis einer solchen Pflichtverletzung durch den Nutzer künftig leichter gelingt.

Der Kunde wiederum wird versuchen, diesen Nachweis zu vereiteln. Streitigkeiten sind vorprogrammiert, wie sich in ähnlichen Fällen im Bereich des Online-Banking bereits in den letzten Jahren gezeigt hat. Übersteigen die Schäden, die beim kontoführenden ZDL verbleiben, nachhaltig das kalkulierte Risikobudget, so muss dieser reagieren und sein Preismodell zulasten der Kunden ändern. Diese Problematik besteht unabhängig von der Nutzung eines Dritten ZDL. Allerdings ist vorhersehbar, dass – wenn der Richtlinienvorschlag an dieser Stelle unverändert bleibt – der Internetbetrug durch die Zulassung von Dritten ZDL und die Erlaubnis, PIN und TAN außerhalb der Webseiten der kontoführenden ZDL bei Dritten ZDL einzugeben, zunehmen wird. Die steigenden Schäden werden letztlich der Nutzer oder die kontoführende Bank tragen müssen.

Haftung

Ist ein Dritter ZDL in eine nicht autorisierte Zahlung eingebunden, so stellt sich die Frage, welcher der beiden ZDL zu haften hat. Auch in diesem Fall muss der kontoführende ZDL dem Zahler laut ZDR II den Betrag des nicht autorisierten Zahlungsvorgangs erstatten. Der Dritte ZDL ist verpflichtet, dem kontoführenden ZDL innerhalb eines Geschäftstages die „vertretbaren Kosten“ zu erstatten, die im Zusammenhang mit der Erstattung an den Zahler entstanden sind, sowie den Betrag des nicht autorisierten Zahlungsvorgangs – es sei denn, er kann nachweisen, dass er den nicht autorisierten Zahlungsvorgang nicht zu vertreten hat. Die Beweislast liegt somit beim Dritten ZDL.

Dieser Beweis wird im Fall von Internetbetrug kaum zu erbringen sein. Der kontoführende ZDL ist daher darauf angewiesen, dass der Dritte ZDL in der Lage ist, die Erstattung zu leisten. Die ZDR II sieht in ihrer aktuellen Version für Dritte ZDL ein Mindesteigenkapital von 50.000 Euro vor. Es stellt sich die Frage, ob diese Haftungsgrundlage ausreicht, obwohl es immer mehr Fälle von Internetbetrug gibt und die Hacker immer professioneller werden. Es zeichnet sich ab, dass Rechts- und operationelle Risiken für die kontoführenden ZDL zunehmen werden.

Die ZDR II könnte dieses Problem beispielsweise dadurch beseitigen, dass Dritte ZDL Zahlungsvorgänge nur im Einheitlichen Euro-Zahlungsverkehrsraum (Single Euro Payments AreaSEPA) auslösen dürfen und der kontoführende ZDL bei allen im SEPA-Raum zugelassenen ZDL ein Rückrufrecht hat, wenn ein Nutzer eine nicht autorisierte Zahlung geltend macht.

Weitergabe personalisierter Sicherheitsdaten

Mit der Weitergabe von personalisierten Sicherheitsdaten wie PIN und TAN an Dritte ZDL entsteht also für die kontoführenden ZDL ein Sicherheitsproblem. Um dieses Problem zu lösen, sieht die ZDR II vor, dass die Europäische Bankenaufsichtsbehörde EBA (European Banking Authority) gemeinsame und offene Technische Regulierungsstandards für die Kommunikation von kontoführenden ZDL und Dritten ZDL schaffen soll. Darin soll sie insbesondere regeln, in welcher Weise sich Dritte ZDL gegenüber dem kontoführenden ZDL zu authentifizieren und in welcher Weise kontoführende ZDL Dritte ZDL über Zahlungsaufträge und Kontodeckung zu benachrichtigen und zu informieren haben. Dazu, wie diese Regulierungsstandards konkret auszugestalten sind, macht die ZDR keine Angaben. Dies wird jedoch entscheidend sein.

Die EZB und das European Forum on the Security of Retail Payments haben Vorschläge gemacht, die es ermöglichen sollen, dass Dritte ZDL tätig werden können, ohne dass Authentifizierungsinformationen weitergegeben werden. Die EZB weist in ihrer Kommentierung des ZDR-II-Entwurfs der Kommission zutreffend darauf hin, dass es Kernelement der IT-Sicherheit sei, Authentifizierungsinformationen nicht an Dritte weiterzugeben. Sie schlägt – ebenso wie das Forum – vor, stattdessen eine Standardschnittstelle zu schaffen, die durch zwei verschiedene Verfahren ermöglicht werden könne (siehe Grafik 3):

  • Dritte ZDL könnten über die Standardschnittstelle direkt Zahlungen auslösen und eine Rückmeldung über den Erfolg erhalten. Den Zahlungsauftrag des Kunden würden sie über eigene Authentifizierungsmechanismen erhalten. Dies gleicht einer erweiterten Variante des Lastschriftverfahrens.
  • Dritte ZDL könnten eine Zahlung vorbereiten und dann per HTTP-Redirect eine Weiterleitung auf die Webseite des kontoführenden ZDL auslösen. Das bedeutet, dass der Dritte ZDL dem Web-Browser des Kunden eine Nachricht schickt, die diesen veranlasst, die Webseite des kontoführenden ZDL aufzurufen. Dem Kunden wird dies von seinem Web-Browser transparent gemacht. Auf der Webseite seines kontoführenden ZDL authentifiziert sich der Kunde und autorisiert die Zahlung.

In keinem der beiden Fälle würden die Authentifizierungsinformationen, die vom kontoführenden ZDL ausgegeben werden, an den Dritten ZDL weitergegeben.

Grafik 3: Lösungsvorschlag der EZB

Lösungsvorschlag der EZB BaFin Grafik 3: Lösungsvorschlag der EZB

Der Vorschlag der EZB, eine Standardschnittstelle zu schaffen, die eine eindeutige Authentifizierung aller Beteiligten ermöglicht, würde eine Lösung der Haftungsproblematik ermöglichen.

Weitere Konsequenzen für kontoführende ZDL

Die ZDR II führt in ihrer aktuellen Fassung noch zu weiteren Konsequenzen. Zu dem für den kontoführenden ZDL nachteiligen Haftungsregime kommt hinzu, dass die kontoführenden ZDL durch die ZDR II gezwungen wären, für die Dritten ZDL IT-Infrastrukturen und Kontendaten kostenlos zur Verfügung zu stellen. Diese besitzen einen Wert an sich, ermöglichen sie doch tiefe Einblicke in das Verhalten der Kunden. Erhalten Dritte ZDL den Zugriff auf diese Kontendaten, könnten sie versucht sein, diese zu verwerten. Die ZDR II unterbindet dies, indem der Dritte ZDL vom kontoführenden ZDL lediglich die Information erhält, ob ausreichend Gelder auf dem Konto vorhanden sind. Zudem verbietet die ZDR II, dass er die Kontendaten zu anderen Zwecken nutzt als die vom Kunden beauftragten.

Darüber hinaus entstehen auch durch die Kontoinformationsdienste, auf die in diesem Beitrag bisher nicht näher eingegangen wurde, Risiken und Kosten. Die Risiken betreffen insbesondere die Vertraulichkeit von Daten. Die Kosten entstehen durch die Abfrage der Daten an sich. Daher wäre eine Standard-Schnittstelle, die effiziente und sichere Abfragen beziehungsweise ein Abonnement von Benachrichtigungen ermöglicht, für alle Seiten ein Gewinn. Das Augenmerk sollte dabei darauf liegen, die Notwendigkeit zu minimieren, Daten weiterzugeben. In vielen praktischen Anwendungen könnte auch die Aggregation der Daten auf dem Endgerät des Kunden stattfinden – ohne dass diese dem Dritten ZDL bekannt werden müssten.

Erheblicher Nachbesserungsbedarf

Bei den Fragen der Authentifizierung und der Haftung gibt es erheblichen Nachbesserungsbedarf. Ein besserer, sicherer Online-Zahlungsverkehr liegt im Interesse der europäischen Kunden, Händler und letztlich auch der Zahlungsdienstleister. Er wird jedoch scheitern, wenn technische Fragen nicht stringent gelöst werden.

Fußnoten

1) Die Begriffe kontoführender ZDL, Kreditinstitut und Bank werden in diesem Beitrag synonym gebraucht.

2) Siehe Fußnote 1 der ZDR II.

3) Die Richtlinie gebraucht den Ausdruck „Zugang“.

4) Die Europäische Bankenaufsichtsbehörde EBA (European Banking Authoritiy) soll innerhalb von zwölf Monaten nach Inkrafttreten der Richtlinie per Leitlinie definieren, was unter „grober Fahrlässigkeit“ zu verstehen ist.