Das Rundschreiben setzt die Leitlinien zur Sicherheit von Internetzahlungen der Europäischen Bankenaufsichtsbehörde EBA (European Banking Authority) in die Verwaltungspraxis der BaFin um. Rechtsgrundlage für die Umsetzung ist § 7b Absatz 1 Kreditwesengesetz (KWG).

Von Anfang an lehnte sich der Entwurf der MaSI sehr eng an den Text der EBA-Leitlinien an. Bei der Konsultation wurde dennoch mehrfach der Wunsch geäußert, auf nationale Besonderheiten zu verzichten. Daher wurde stattdessen der Text der deutschen Übersetzung der EBA-Leitlinien im Rundschreiben veröffentlicht.

Die MaSI richten sich an Zahlungsdienstleister im Sinne des Zahlungsdiensteaufsichtsgesetzes (ZAG). Diese haben deren Vorgaben auch dann zu beachten, wenn sie ihre Bezahlfunktion durch einen Dritten erbringen lassen (§ 25b KWG und § 20 ZAG). Der vorliegende Beitrag erläutert die Hintergründe des Rundschreibens und soll den Zahlungsdienstleistern so die Umsetzung erleichtern.

Zahlungsdienstleister sind nach § 1 Absatz 1 Zahlungsdiensteaufsichtsgesetz (ZAG):

1. Kreditinstitute im Sinne des Artikels 4 Nr. 1 der europäischen Eigenmittelverordnung CRR (Capital Requirements Regulation), die im Inland zum Geschäftsbetrieb berechtigt sind,
2. E-Geld-Institute im Sinne des Artikels 1 Absatz 1b und Artikel 2 Nr. 1 der E-Geld-Richtlinie,
3. der Bund, die Länder, die Gemeinden und Gemeindeverbände sowie die Träger bundes- oder landesmittelbarer Verwaltung, soweit sie nicht hoheitlich handeln,
4. die Europäische Zentralbank, die Deutsche Bundesbank sowie andere Zentralbanken in der Europäischen Union oder den anderen Staaten des Europäischen Wirtschaftsraums, wenn sie nicht in ihrer Eigenschaft als Währungsbehörde oder andere Behörde handeln und
5. Unternehmen, die gewerbsmäßig oder in einem Umfang, der einen in kaufmännischer Weise eingerichteten Geschäftsbetrieb erfordert, Zahlungsdienste erbringen, ohne unter die Nummern 1 bis 4 zu fallen (Zahlungsinstitute).

Verhältnis zu den MaRisk

Die MaSI enthalten Mindestanforderungen an Sicherheitsmaßnahmen für web-basierte Bezahlsysteme und web-basiertes Online-Banking (Internet-Bezahlsysteme). Diese Anforderungen treten als Spezialregelungen neben die bekannten Mindestanforderungen an das Risikomanagement von Banken (MaRisk). Für elektronische Einzugsermächtigungen ist das Rundschreiben nur anwendbar, wenn bei deren Mandatserteilung ein Zahlungsdienstleister beteiligt ist. Es ist davon auszugehen, dass ZDLs, die konsequent die MaRisk umsetzen, schon jetzt viele Anforderungen der MaSI erfüllen, so dass der Umsetzungsaufwand für sie überschaubar sein wird.

Einige Institute bieten vergleichbare Dienste an, die nicht in den Anwendungsbereich der MaSI fallen, zum Beispiel nicht browserbasierte mobile Bezahlmethoden, Online-Brokerage oder Online-Vertragsabschlüsse, aber auch Telefon-Banking. Diese Institute müssen jedoch im Sinne der Risiko- und Prinzipienorientierung der MaRisk überprüfen, wie sie bei diesen Diensten angemessen mit den Risiken umgehen, welche die MaSI adressieren.

Die MaSI sind nicht auf „Dritte Zahlungsdienstleister“ anwendbar. Dritte Zahlungsdienstleister sind zum einen Zahlungsauslösedienste, bei denen Nutzer Internet-Zahlungen direkt online auslösen können, zum anderen Kontoinformationsdienste, mit deren Hilfe Nutzer Informationen über Konten abrufen können, die sie bei verschiedenen Banken und Zahlungsinstituten führen. Auch sagt das Rundschreiben nichts zum Verhältnis zwischen Dritten ZDLs und kontoführenden ZDLs. Gehen kontoführende ZDLs Verträge mit Dritten ZDLs ein, so haben die Institute aber auch hier die allgemeinen aufsichtlichen Anforderungen an die Geschäftsorganisation zu beachten (insbesondere AT 7.2 und AT 9 MaRisk).

Empfehlungen der Europäischen Zentralbank

Die Europäische Zentralbank (EZB) hatte bereits 2013 Empfehlungen für die Sicherheit bei Internet-Bezahlverfahren veröffentlicht. Diese wurden von einer gemeinsamen Arbeitsgruppe der europäischen Notenbanken und Bankenaufsichten erarbeitet, dem European Forum on the Security of Retail Payments (SecuRe Pay Forum). Die EBA hat die Empfehlungen im Herbst 2014 nahezu wortgleich in ihre Leitlinien zur Sicherheit von Internetzahlungen übernommen.

Die Empfehlungen basieren auf vier Prinzipien, die sich in den MaSI wiederfinden. Erstens sollen ZDLs und Zahlungssysteme regelmäßig die Risiken überprüfen, die mit Internet-Zahlungsdiensten verbunden sind, und dabei aktuelle Sicherheitsbedrohungen und Betrugsmechanismen im Internet berücksichtigen. Zweitens soll das Auslösen von Internet-Zahlungen und der Zugriff auf sensible Zahlungsdaten durch eine starke Authentifizierung der Kunden geschützt werden. Daten gelten dann als sensibel, wenn sie für Betrugszwecke missbraucht werden können. Drittens sollen ZDLs effektive Prozesse zur Autorisierung von Transaktionen und zur Überwachung von Transaktionen und Systemen einrichten, die es ermöglichen, abnormale Zahlungsmuster zu erkennen und Betrug wirkungsvoll entgegenzuwirken. Viertens sollen ZDLs und Zahlungssysteme Kunden für eine sichere und effiziente Nutzung der Internet-Bezahldienste sensibilisieren und schulen.

Struktur und Inhalt der MaSI

Die Anforderungen der MaSI sind im Vergleich zu den MaRisk detaillierter. Dennoch handelt es sich um prinzipienorientierte Formulierungen: Die MaSI geben Ziele vor, nicht aber, wie diese konkret umzusetzen sind.

Grundsätzlich neu ist, dass explizit das Verhältnis zwischen Kunde und ZDL sowie zwischen Online-Händler und ZDL betrachtet wird. Dies ist notwendig, weil sich Handlungen von Kunden und Geschäftsaktivitäten von Online-Händlern auf die Sicherheit von Internet-Bezahlsystemen auswirken können.

Die MaSI gliedern sich in die Kapitel „Anwendungsbereich“, „Begriffsbestimmungen“, „Allgemeines Kontroll- und Sicherheitsumfeld“, „Spezifische Kontroll- und Sicherheitsmaßnahmen für Internetzahlungen“ sowie „Kundenaufklärung, -information und -kommunikation“.

Allgemeines Kontroll- und Sicherheitsumfeld

Im Kapitel „Allgemeines Kontroll- und Sicherheitsumfeld“ finden sich die Mindestanforderungen an Governance und Risikobewertung. Sie ergeben sich bereits weitgehend aus den MaRisk. Im Abschnitt „Vorfallsüberwachung und Berichterstattung“ fordern die MaSI von den ZDLs, interne Prozesse für die Überwachung, Bearbeitung und Nachbereitung sicherheitsrelevanter Vorfälle einzurichten (Incident-Management bzw. Security-Incident-Management). Diese Anforderungen ergeben sich durch den Verweis auf gängige Standards für die Zwecke der Datensicherheit aus AT 7.2 MaRisk. Neu ist, dass die ZDLs solche Vorfälle nach den MaSI an die Aufsicht melden und mit den Strafverfolgungsbehörden zusammenarbeiten müssen.

Der Abschnitt „Risikokontrolle- und -minderung“ geht umfassend auf technische Sicherheitsmaßnahmen ein. Demnach haben die ZDLs im Einklang mit ihren Sicherheitsrichtlinien „Sicherheitsmaßnahmen zur Minderung festgestellter Risiken“ zu ergreifen – ein Grundsatz, der sich bereits aus AT 7.2 MaRisk ergibt.

Neu ist die Anforderung, das Konzept der Verteidigung in der Tiefe umzusetzen (Defence in Depth – gestaffeltes Sicherheitskonzept). Dieses Konzept stammt ursprünglich aus dem Militärbereich. Es besagt, dass Sicherheitskonzepte so auszugestalten sind, dass Angriffe, die eine Sicherheitsmaßnahme umgehen, von einer anderen aufgehalten werden können.

Weiterhin haben die ZDLs sicherzustellen, dass der konkrete Ablauf sämtlicher Transaktionen nachvollziehbar ist. Die MaSI benennen Protokolldateien explizit als Teil der Dokumentationspflichten. Neu ist, dass nicht nur die Dokumentation an sich eingefordert wird, sondern auch deren Auswertung mittels angemessener Werkzeuge (Tools).

Spezifische Kontroll- und Sicherheitsmaßnahmen für Internetzahlungen

Bevor ein Internet-Bezahlsystem genutzt werden kann, müssen die Kunden identifiziert werden, schon zum Zwecke der Geldwäscheprävention (§ 4 Geldwäschegesetz). Weil die Kunden beziehungsweise ihre Endgeräte selbst Angriffsziele für Cyber-Kriminelle darstellen, müssen sie über die korrekte Nutzung des Internet-Bezahlsystems und über die sicherheitsrelevanten Rahmenbedingungen belehrt werden.

Zwei Kernelemente der spezifischen Kontroll- und Sicherheitsmaßnahmen beziehen sich auf die Auslösung von Transaktionen. Zum einen wird dazu eine starke Kundenauthentifizierung gefordert, die im folgenden Abschnitt erläutert wird. Zum anderen sind die Transaktionen selbst zu überwachen.

Starke Kundenauthentifizierung

Nicht nur das Auslösen von Zahlungen ist durch eine starke Authentifizierung zu schützen, sondern auch der Zugriff auf sensible Zahlungsdaten. Nach der Definition im Rundschreiben erfordert eine starke Kundenauthentifizierung mindestens zwei Elemente folgender drei Kategorien:

1. Wissen – etwas, das ausschließlich der Kunde weiß (zum Beispiel Passwort, PIN)
2. Besitz – etwas, das ausschließlich der Kunde hat (zum Beispiel ChipTAN-Gerät)
3. Inhärenz – eine Eigenschaft des Kunden (zum Beispiel Netzhaut, Fingerabdruck), die diesem eindeutig zugeordnet werden kann

Die Elemente müssen so ausgewählt werden, dass der Diebstahl oder das Umgehen eines Elements keinen Einfluss auf das jeweils andere hat. Weiterhin muss mindestens ein Element so gewählt sein, dass es nicht einfach über das Internet gestohlen werden kann. Die Authentifizierungsdaten müssen bei der Übertragung durch Verschlüsselungsverfahren geschützt werden.

Die MaSI geben bestimmte Fälle vor, in denen ZDLs auf die starke Kundenauthentifizierung verzichten dürfen: bei Kreditkartentransaktionen, bei Zahlungen an Adressaten, die der Kunde durch White-Lists bestimmt, und bei Kleinbetragszahlungen im Sinne der Zahlungsdiensterichtlinie. Transaktionen innerhalb eines ZDLs dürfen ebenfalls ohne starke Kundenauthentifizierung erfolgen, sofern es sich um Konten desselben Kunden handelt oder eine Risikoanalyse der geplanten Transaktion dies rechtfertigt.

Umsetzung der starken Kundenauthentifizierung

Relativ viele deutsche ZDLs bieten bereits heute Verfahren zur Kundenauthentifizierung an, die auf zwei unabhängigen Faktoren basieren, zum Beispiel, indem die PIN in Kombination mit TAN-Generatoren oder mit Mobile-TANs zu nutzen ist. Einige ZDLs müssen starke Zwei-Faktor-Authentifizierungsverfahren jedoch neu implementieren. Dabei ist zu berücksichtigen, dass sich durch die Zahlungsdiensterichtlinie II neue Anforderungen ergeben können.

Eine Zwei-Faktor-Authentifizierung allein reicht jedoch nicht aus. Sie kann nur ein Baustein unter mehreren sein, um Cyber-Angriffe zu erschweren. Insbesondere sind auch die Risiken durch Malware, also Schadprogramme, zu berücksichtigen, als auch durch Man-in-the-Middle-Angriffe. Dabei versucht der Angreifer, Kontrolle über den Datenverkehr zwischen Kunde und Händler beziehungsweise Kunde und Drittem ZDL zu erlangen, um die Daten nach Belieben einsehen und manipulieren zu können.

Transaktionsüberwachung

Vor der endgültigen Autorisierung einer Transaktion ist zu prüfen, ob es Anzeichen für einen Betrug gibt. Dies ist mit den Anforderungen zum Zwecke der Geldwäscheprävention vergleichbar: Kreditinstitute müssen gemäß § 25h Absatz 2 KWG über EDV-gestützte Monitoring-Systeme verfügen, die neben Geldwäsche und Terrorismusfinanzierung auch sonstige strafbare Handlungen verhindern helfen. (Vgl. Auslegungs- und Anwendungshinweise der BaFin zu § 25c KWG.)

Die MaSI geben Hinweise auf Daten, die ZDLs nutzen können, um die Wahrscheinlichkeit einer betrügerischen Transaktion zu prognostizieren. Bei der Umsetzung ist darauf zu achten, dass diese Daten selbst schützenswert sein können, da es sich in der Regel um personenbezogene Daten handelt, zum Beispiel die IP-Adresse eines Kunden. Daher sind in der konkreten Ausgestaltung der Transaktionsüberwachung einschlägige Normen zu beachten, insbesondere das Datenschutzrecht sowie AT 7.2 Nr. 2 MaRisk.

Kundenaufklärung, -information und -kommunikation

Viele Sicherheitsmaßnahmen können nur greifen, wenn die Kunden selbst wachsam sind. Phishing-Wellen und andere Varianten des Social Engineerings – also die Beeinflussung von Personen mit dem Ziel, dass diese ihre Daten preisgeben – richten sich nämlich direkt gegen sie. Ihre Endgeräte, zum Beispiel Computer oder Tablets, sind aus Sicht von Cyber-Kriminellen zudem naheliegende Ziele für Man-in-the-Middle-Angriffe.

Bereits bei der Registrierung haben die ZDLs ihre Kunden daher umfassend und verständlich über die korrekte und sichere Nutzung des Internet-Bezahlsystems sowie über wichtige Rahmenbedingungen zu informieren. Zudem müssen die Kunden zu Sicherheitsfragen informiert und geschult werden.

Da die Endgeräte der Kunden angegriffen werden können, ist ihnen mindestens ein sicherer alternativer Kommunikationskanal zur Verfügung zu stellen. Hier kommen beispielsweise Filialen oder Schriftverkehr infrage.

Anforderungen an ZDL von Online-Händlern

An verschiedenen Stellen der MaSI finden sich besondere Anforderungen für die ZDLs von Online-Händlern, also für abrechnende ZDLs, Händlerbanken oder Acquirer. Sie betreffen mittelbar auch die Händler selbst und sollen von den ZDLs per Vertrag durchgesetzt werden.

So sind Online-Händler, die in Berührung mit sensiblen Zahlungsdaten kommen, diese also speichern, verarbeiten oder übermitteln, zu bestimmten Sicherheitsmaßnahmen zu verpflichten. Sie müssen ferner dazu verpflichtet werden, bei schwerwiegenden Zahlungssicherheitsvorfällen mit den abrechnenden ZDLs und den Strafverfolgungsbehörden zu kooperieren. ZDLs und Händler haben sich außerdem bei der Auslösung von Zahlungen wechselseitig zu authentifizieren.

Die Online-Händler sind darüber hinaus zu verpflichten, für Internetzahlungen per Kreditkarte Technologien zu nutzen, die es dem Aussteller ermöglichen, eine starke Authentifizierung des Karteninhabers vorzunehmen. Für zuvor identifizierte Transaktionen mit niedrigem Risiko oder für Kleinbetragszahlungen können alternative Authentifizierungsmaßnahmen in Betracht gezogen werden. Die Website des E-Händlers ist angemessen gegen Diebstahl und unbefugten Zugriff oder Änderungen zu sichern. Außerdem muss er die Zahlungsprozesse für den Kunden klar vom Online-Shop trennen.

Halten die Online-Händler die Verträge nicht ein, so müssen die ZDLs deren Umsetzung anmahnen und gegebenenfalls Sanktionen bis hin zur Kündigung ergreifen. Die ZDLs haben die Tätigkeit der Händler zu überwachen, um Betrug vorzubeugen.

Prüfungen

Die EZB hat auf ihrer Internetseite einen Leitfaden zur Beurteilung der Sicherheit von Internetzahlungen (Assessment Guide) veröffentlicht, den das SecuRe Pay Forum erarbeitet hat. Interne Revision und bankgeschäftliche Prüfer dürfen diesen Leitfaden als Hilfsmittel verwenden.

Er stellt jedoch keine Auslegung der MaSI durch die Aufsicht dar und ersetzt auch nicht eigene Überlegungen der Prüfer. Regelungstext bleibt das Rundschreiben. Im Zweifel wird die BaFin also stets auf dieser Grundlage entscheiden.

Ausblick: Zahlungsdiensterichtline II

Im Internet-Zahlungsverkehr kommen durch die Zahlungsdiensterichtlinie II zahlreiche Neuerungen auf ZDLs, Online-Händler, Kunden und weitere Marktteilnehmer zu. Es ist damit zu rechnen, dass die EBA auf Grundlage der ZDR II neue Leitlinien erlassen wird, insbesondere zu Detailfragen der Kundenauthentifizierung sowie zum Meldewesen.

Die MaSI haben daher Übergangscharakter. Die Aufsicht erwartet jedoch von den ZDLs, dass sie sich durch die konsequente Umsetzung der MaSI rechtzeitig fit für die Welt der ZDR II machen. Dazu gehört auch, die Regelungen der ZDR II bei neuen Projekten frühzeitig zu antizipieren. Änderungen, die sich bis zur Verabschiedung der ZDR II oder bei der Erarbeitung der EBA-Leitlinien ergeben können, sind dabei als Projektrisiken zu berücksichtigen.

Die MaSI spiegeln die wichtige Erkenntnis wider, dass eine Sicherheitsmaßnahme allein nicht selig macht. Damit Internet-Zahlungen sicher sind, müssen umfassende Sicherheitsmaßnahmen aufeinander abgestimmt, immer wieder überprüft und im Laufe der Zeit ergänzt und aktualisiert werden.

Um sicherzustellen, dass Risikomanagement und kollektiver Verbraucherschutz bei Internetzahlungen wirksam sind, müssen die ZDLs Kunden und Online-Händler in ihre Maßnahmen einbeziehen. Sie stehen zudem in der Verantwortung, über die Mindestanforderungen des Rundschreibens auch hinauszugehen, sofern dies notwendig ist.