bevh Blog

Neue Sicherheitsregeln im Zahlungsverkehr von Staat und EU geplant – Online- und Versandhändler, was nun?

04032015

Neue Sicherheitsregeln im Zahlungsverkehr von Staat und EU geplant – Online- und Versandhändler, was nun?

// Tags / Datenschutz / Controlling und Finanzen / Technik und IT

Sie kennen sicher die Kürzel SecuRe Pay (Recommendations for the security of internet payments), PSD II (EU-Zahlungsdiensterichtlinie) und MaSin (Mindestanforderungen an die Sicherheit von Internetzahlungen) der BaFin. Sie beinhalten geplante strenge Sicherheitsvorkehrungen für Banken und Zahlungsdienstleister, die auch gewohnte Bezahlmethoden im Internet für Online- und Versandhändler (wie Sofortüberweisung, Kreditkartenbezahlung etc.) unattraktiv machen könnten. Diese Regelungen verlangen künftig u.a. eine "starke Kundenauthentifizierung", die außer Passwörtern, Kreditkartennummern oder PINs und TANs einen zweiten Identifikationsweg vorschreibt und nur wenige Ausnahmen dieser aufwendigen Zwei-Wege-Authentifizierung zulassen soll.

Die BaFin hat die EU-Vorschläge aufgegriffen und im Februar 2015 das Rundschreiben (Entwurf) zu "Mindestanforderungen an die Sicherheit von Internetzahlungen" (MaSin) herausgegeben. Betroffen sind Banken, Kreditkartenacquirer, Zahlungsdienstleister (Payment Service Provider) und alle, die die relevanten Internet-Zahlungsmethoden anbieten - d.h. auch die Onlinehändler- und Versandhändler!!

Die MaSin sollen für alle Online-Zahlverfahren gelten und u.a. die obligatorische "starke Kundenauthentifizierung", verbindlich einführen. Mit insgesamt 95 Vorgaben sollen Zahlungsdienstanbietern u.a. erstmalig vorgeschrieben werden, wie die Sicherheitsüberprüfung von Transaktionen erfolgen soll:

"Bei einer starken Kundenauthentifizierung benutzt der Kunde mindestens zwei Merkmale aus den folgenden drei Kategorien: Etwas, das nur der Kunde weiß (z.B. Passwort, PIN), der Kunde besitzt (z.B. Smart Card, Gerät) oder der Kunde ist (biometrisches Merkmal). Die zwei Merkmale sind gegenseitig unabhängig. Mindestens ein Merkmal kann nicht repliziert, wiederverwendet oder über das Internet gestohlen werden", so die BaFin.

Neben der "harten" Kundenauthentifizierung beinhaltet die MaSin den Schutz sensibler Zahlungsdaten, insbesondere für die Speicherung, Verarbeitung und Übermittlung bei Zahlungsvorgängen und sieht die Meldung von kritischen Sicherheitsvorfällen an die BaFin vor.

Manche dieser Vorgaben sind, insbesondere für große Online- und Versandhändler, sicherlich schon eine Selbstverständlichkeit, aber gerade für kleine und mittelständische Unternehmen könnte m.E. die Umsetzung der MaSin-Vorgaben hohe IT-Investitionen oder den Verzicht auf bestimmte Bezahlverfahren bedeuten.

Bitte kontaktieren Sie katrin.triebel(at)bevh.org bei Kritik oder Fragen zu den geplanten Online-Zahlungsmethoden mit einer strengen Kundenauthentifizierung - vielen Dank!

Summary:
The European Commission and the German Federal Authority for Financial Services plan to implement the requirement of „hard authentification“ mechanisms for online payments. bevh insists against unreasonable burdens for online merchants - especially SMEs.

2

In der Tat...

Katrin Triebel, 06.03.2015

...plant die Gesellschaft für Internet und mobile Bezahlungen (GIMP) ein neues Internet-Bezahlsystem namens "pay direct", das sie Ende 2015 flächendeckend anbieten will. Dagegen verweisen bereits etablierte Dienstleister (wie PayPal und Sofortüberweisung) bis auf fünf Jahre für eine Marktbehauptung. Wir betrachten das GIMP-Vorhaben auch mit einiger Skepsis.
Einige Ihrer Argumente kann ich nachvollziehen, wenn bspw. beschlossene Regularien und Standards innergemeinschaftliche Prozesse eher verkomplizieren, statt vereinfachen.
Zu den Sicherheitsmindestanforderungen von Internetzahlungen ist der Verband nun gefordert, die Bedenken und Einwände seiner Mitglieder zu den geplanten Vorgaben in einer Stellungnahme vorzutragen. Ich halte Sie auf dem Laufenden, Herr Lüning und wünsche Ihnen ein sonniges Wochenende.

Was für ein Unsinn ...

Horst Lüning, 05.03.2015

Letztlich habe ich in Skandinavien ein Hotel per Kreditkarte gebucht. Alles easy - lediglich die CRC wurde abgefragt. Das Risiko liegt auf Anbieter bzw. Kreditkartenfirma. In Deutschland muss man sich mit SecureCode-Verfahren rumschlagen. Auch SEPA ist unglaublich kompliziert geworden. Niemand verwendet das in Europa, außer wir Deutschen.

Jetzt also noch mehr Regulation bei den Zahlungsverfahren. Mir drängt sich der Verdacht auf, dass hier Banken nach dem SEPA-Eigentor den alternativen Zahlungsanbietern (z.B. PayPal) Schwierigkeiten machen wollen. Das wird alles viel mehr kosten, als der derzeitige Ausfall durch Betrügereien. Operation gelungen, Patient tot.

Ein Vergleich mit der LMIV drängt sich auf. Nur Deutschland folgt den selbst gesetzten Regularien. Der Rest Europas lacht darüber und verstößt hunderttausendfach gegen Verordnungen.

Wann versteht der Staat endlich, dass man die Wirtschaft mal ein paar Jahre in Ruhe lassen sollte, wenn man Wirtschaftswachstum erreichen muss. Noch mehr Hürden, noch mehr Kosten noch mehr Bullshit-Jobs, die keine Wertschöpfung bringen.

Die Kommentarfunktion ist für diesen Artikel deaktiviert.