Internetzahlungen sollen sicherer werden

MaSi oder „Mindestanforderungen an die Sicherheit von Internetzahlungen“ gelten nach dem Willen der BaFin seit dem 05. November 2015 verbindlich. Die neuen Anforderungen können für den Internethandel problematisch werden, denn sie muten dem Kunden einige Umstellungen zu.

„Mindestanforderungen an die Sicherheit von Internetzahlungen“ (MaSi) kommen eigentlich von der europäischen Bankenaufsichtsbehörde (EBA). Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hatte sie im Mai für verbindlich erklärt, aber ein halbes Jahr Zeit für die Umsetzung gegeben, das am 5. November ausgelaufen ist.

Mit dem Rundschreiben wird die Zeit bis zum Inkrafttreten der PSD II (Payment Services Directive II – Zahlungsdiensterichtlinie II) überbrückt.

MaSi fordert sicherere aber damit auch kompliziertere Zahlungsabwicklungen. Diese können bei frustrierten Kunden zu vermehrten Kaufabbrüchen führen. Grundlage für Befürchtungen des Handels sind vor allem die neuen Anforderungen an eine sog. „starke Kundenauthentifizierung“.

Im Schreiben der Behörde heißt es:

„Starke Kundenauthentifizierung ist im Sinne dieses Rundschreibens ein Verfahren, das auf der Verwendung zweier oder mehrerer der folgenden Elemente basiert, die als Wissen, Besitz und Inhärenz kategorisiert werden: i) etwas, das nur der Nutzer weiß, z. B. ein statisches Passwort, ein Code, eine persönliche Identifikationsnummer, ii) etwas, das nur der Nutzer besitzt, z. B. ein Token, eine Smartcard, ein Mobiltelefon, iii) eine Eigenschaft des Nutzers, z. B. ein biometrisches Charakteristikum, etwa ein Fingerabdruck.

Außerdem müssen die gewählten Elemente unabhängig voneinander sein, d. h. die Verletzung eines Elements darf keinen Einfluss auf das andere bzw. die anderen haben. Mindestens eines der Elemente sollte nicht wiederverwendbar und nicht reproduzierbar (die Inhärenz ausgenommen) sein und nicht heimlich über das Internet entwendet werden können. Das starke Authentifizierungsverfahren sollte so gestaltet sein, dass die Vertraulichkeit der Authentifizierungsdaten gewahrt bleibt.“

Gemeint ist also, dass der Kunde eine Zahlung nur noch durch zwei unabhängige Vorgänge freigeben soll. Zahlungsdienstleister werden gezwungen, diese starken Authentifizierungen in vielen Fällen einzusetzen. Eine 2-Faktor-Authentifzierung dürfte viele Kunden abschrecken, da heute schon eine Passwortanforderung den Kaufabschluss torpedieren kann.

Dies dürfte dann erst recht gelten, wenn bei bei der Zahlung zusätzliche Freigaben parat sein müssen. Müssen erst das Mobilgerät hergeholt werden, etwa eine App gestartet oder per SMS übermittelte Codes abgelesen und wieder am Computer eingegeben werden, sind Kaufabbrüche vorprogrammiert.

Adressaten der neuen Regelung sind im Wesentlichen die Zahlungsdienstleister, z.B. Internetzahlungsdienste, wie PayPal und Banken. Händler sind unmittelbar nicht angesprochen und für sie gibt es allenfalls mittelbaren Handlungsbedarf, wenn die Zahlungsdienstleister neue Vorgaben machen, um starke Authentifizierungen künftig zu ermöglichen.

Gewohnte Services, wie man sie etwa bei Amazon und Co kennt, bei denen man etwa eine einmal hinterlegte Kreditkarte oder Bankdaten bei weiteren Zahlungen für einen Kauf einfach nur kurz auswählt oder auch nur vorausgewählt und meist kaum reflektiert bestehen lässt, könnten damit künftig auf der Strecke bleiben.

Die BaFin, welche die Einhaltung der Mindestanforderungen künftig überwacht, hat in den letzten Tagen noch einmal bestätigt, dass sie ausschließlich Zahlungsdienstleister im Fokus hat.

Amazon hat 2-Faktor-Authentifizierung gestartet

In den USA hat Amazon damit begonnen, eine Anmeldung mit einer 2-Faktor-Authentifizierung zu versehen. Technisch ist für die Anmeldung neben dem Passwort die zusätzliche Eingabe eines Codes vorgesehen, der per SMS auf das Mobilgerät kommt.

Auch Apps, wie Google Authenticator oder Authy können genutzt werden. Zwar ist dies in Deutschland noch nicht vorgesehen, kann aber über eine Anmeldung mit deutschem Konto bei Amazon USA aktiviert werden.

Neue Richtlinie kommt

Insgesamt sollen Zahlungen im Online-Bereich auch nach Auffassung des europäischen Richtliniengebers bald noch transparenter und sicherer werden. Vor kurzem wurde die überarbeitete Zahlungsdiensterichtlinie (Payment Services Directive II oder PSD2) angenommen.

Die neuen Vorschriften, die im Jahr 2013 von der EU-Kommission vorgeschlagen wurden, sollen den Verbraucherschutz verbessern, Innovationen fördern und die Sicherheit von Zahlungsdiensten erhöhen und Zahlungen billiger machen. Die Richtlinie enthält z.B. Verbote für Händler, Entgelte für bestimmte Zahlungskarten zu erheben (erlaubt nur noch für Drei-Parteien-Kreditkartensysteme).

Nach Verabschiedung der Richtlinie durch den Ministerrat der EU und deren Veröffentlichung im Amtsblatt haben die Mitgliedsstaaten dann zwei Jahre Zeit, um die erforderlichen Anpassungen der nationalen Rechtsvorschriften vorzunehmen. Dann wird man sehen, wie der deutsche Gesetzgeber mit den Möglichkeiten umgeht.