Mehr Sicherheit durch MaSI – die „Mindestanforderungen an die Sicherheit von Internetzahlungen“
Selbst wenn sich mit diesen neuen Sicherheitsvorkehrungen für Kunden praktisch erst einmal nicht sehr viel ändert, werden sie sich in Zukunft in noch mehr Schritten bei Internetzahlungen identifizieren bzw. mit der entsprechenden Zahlkarte identifizieren müssen.
Seit Anfang November, genauer seit dem 5. November 2015, hat die BaFin die „Mindestanforderungen an die Sicherheit bei Internetzahlungen“, kurz MaSI herausgegeben.
Inhaltsverzeichnis
Neuerungen in Bezug auf Online-Kreditkartenzahlungen
Besonders betroffen von diesen Neuregelungen sind Zahlungen im Internet, die mit einer Kreditkarte abgeschlossen werden. Bisher wurde dafür die
- Kreditkartennummer,
- das Ablaufdatum der Kreditkarte sowie die
- Prüfziffer bzw. auch CVC-Code genannt,
eingegeben. Diese Eingabe wird zukünftig nicht mehr ausreichen um einen Online-Einkauf erfolgreich abzuschließen. Für eine sichere Kundenidentifizierung wird eine 2. Sicherheitsstufe von Nöten sein.
Zweites unabhängiges Sicherheitsmerkmal
Bisher galt der »Besitz« als ein erstes Sicherheitsmerkmal, so z. B. der Besitz der eigenen Kreditkarte, welche für den Internet-Einkauf zum Einsatz kam. Das zweite Sicherheitsmerkmal, dass dann möglichst unabhängig sein muss, könnte durch das »Wissen« realisiert werden.
Damit kann das »Wissen« über die persönliche Kreditkarten-PIN, ein Passwort, die mobile TAN auf dem Smartphone oder den TAN-Generator gemeint sein. Anstatt des unabhängigen Sicherheitsmerkmals »Wissen« gibt es noch die Option der »Eigenschaft« des Kreditkarteninhabers.
Der WDR erwähnt in seinem Artikel zu den neuen Sicherheitsrichtlinien der BaFin am 5. November 2015 als Eigenschaften bspw. der persönliche Fingerabdruck oder auch der Netzhautscan. Auf jeden Fall müssen »[…] zwei der drei Merkmale […] erfüllt sein.«1
Starke Kundenauthentifizierung steht im Vordergrund
Die BaFin wirft mit den neuen Sicherheitsvorkehrungen bei Internet-Zahlungen vor allem auf die »starke Kundenauthentifizierung« einen Fokus, auch wenn das Prinzip an sich nicht neu erfunden wurde. Bei den meisten Kreditkartenfirmen sind mittlerweile erweiterte Sicherheitsvorkehrungen getroffen worden. Dazu gehören u. a. der 3D Secure Code bei VISA-Kreditkarten als auch der SecureCode bei MasterCard Kreditkarten.
Sicherheitsmerkmale von VISA und MasterCard-Kreditkarten auf einen BlickZur Umsetzung dieser neuen Sicherheitsmerkmale zur sicheren Authentifizierung von Kunden hat die BaFin die Kreditkarten herausgebenden Unternehmen, Banken und Zahlungsdienstleister aufgefordert. Das heißt, diese sind verantwortlich für die Umsetzung der neuen Sicherheitsstandards in ihrem Bezahlsystem und dementsprechend Kundenangebote zu schaffen. Der Kunde selber muss nicht aktiv werden.
Wen trifft MaSI?
Aktuell gibt es noch keine Aufforderung zur Umsetzung der neuen Regelungen für Händler des E-Commerce. Relativ klar ist aber, wen diese neuen Sicherheitsvorkehrungen auch zukünftig vorerst nicht betreffen werden. Dazu gehören u. a. die Bezahlmethoden, die zu den beliebtesten im Internet gehören wie:
- der Kauf auf Rechnung
- die Erlaubnis für den Händler zur Lastschrift
- der Ratenkauf und
- die Nutzung von Paypal
Die Whitelist im E-Commerce
Die Idee der Einführung einer Whitelist im E-Commerce hat sich bisher nicht weiter durchsetzen können. Die Whitelist beschreibt hierbei tatsächlich eine »sichere weiße Liste«. Eine sinnvolle Sicherheitsvorkehrung – bisher leider nur kaum bis gar nicht integriert im E-Commerce-Handel. Die Idee jedoch ist seit mehreren Jahren existent.
So erklärt bereits im Mai 2011 das Indian Journal of Computer Science and Engineering (IJCSE) die Bedeutung einer Whitelist im Online-Handel. »In the emerging global economy, E-commerce has increasingly become a strong catalyst for economic development. Based on the observation of the E-commerce management practices in India it is felt that there is a need to increase trust by providing additional layer of security in order to make E-commerce more acceptable. […] Systems build using whitelist paradigm may create credible lock down secure websites. In conclusion, this may tremendously help in minimizing the customer fear and risk associated with sensitive and vital information such as banking details, credit card information, billing address etc., thereby enhancing the credibility of online marketplaces. It may promote confidence building in the consumer mindset apropos of online data security thus fueling E-commerce growth and potential user base.«2
(Im Folgenden handelt es sich um eine freie Übersetzung unserer Redaktion)
»Im aufstrebenden globalen Handel, ist der E-Commerce zu einem zunehmend stärkeren Katalysator für die wirtschaftliche Entwicklung geworden. Ausgehend von den Beobachtungen bzgl. des praktizierten E-Commerce-Managements in Indien, ist festzustellen, dass die Notwendigkeit besteht, das Vertrauen in den E-Commerce durch das Angebot zusätzlicher Sicherheitsebenen zu stärken, damit dieser höhere Akzeptanz erlangt. Systeme, die Whitelist-Muster nutzen, könnten ein glaubwürdiges Sicherheitsschloss hinter die Sicherheit ihrer Website legen. Abschließend kann dies äußerst hilfreich sein, um die Angst und das damit verbundene Risikobedenken bei Kunden mit sensiblen und vitalen Informationen wie Bankendetails, Kreditkarteninformationen, Rechnungsadressen etc zu minimieren. Dadurch verbessert sich auch die Glaubwürdigkeit von Online-Marktplätzen. Ganz nebenbei kann dies ebenso die Vertrauenswürdigkeit des Konsumenten stärken bzgl. der Sicherheit von Online-Daten-Sicherheit, was folglich nützlich ist im E-Commerce-Handel sowie für die potentielle Nutzerbasis.«
Die Whitelist für vertrauenswürdige Unternehmen und Zahlungsempfänger, die vom User häufig kontaktiert werden durch regelmäßige Einkäufe, könnte dann auf dieser sicheren weißen Liste landen und daher auch weiterhin auf zusätzliche Sicherheitsaspekte verzichten, die durch die BaFin bekannt gegeben wurden.
Allgemeine Fragen zu den MaSI
|
Einführung der MaSI? |
Seit Veröffentlichung am 5. Mai 2015 |
|
Dauer der Übergangsfrist? |
Ab 5. November 2015 Start der Prüfungen durch die BaFin |
|
Gelten MaSI nur für deutsche Kreditinstitute? |
Nein, es handelt sich um eine europaweite »Guidelines on the security of internet payments« |
|
Wer ist zuständig für die jeweilige Umsetzung auf nationaler Ebene? |
Verantwortlich sind die jeweils zuständigen Aufsichtsbehörden. Die Frist zur Implementierung der Guidelines wurde auf den 5. August 2015 festgesetzt. |
|
Gilt MaSI für »dritte Zahlungsdienstleister«? |
Nein, da diese gegenwärtig noch nicht vom Zahlungsdienstaufsichtsgesetz gemäß EU-Zahlungdienstrichtlinie von 2007 erfasst wurden. |
|
Was sind sensible Zahlungsdaten? |
Die MaSI selber enthalten in ihrer Ausführung keine Erklärung dieser Begrifflichkeiten. Er wird demnach sinn- und zweckmäßig aus den EBA-Leitlinien entnommen. Demnach sind nur Daten inbegriffen, die bei Onlinezahlungen für missbräuchliche Zwecke Verwendung finden würden. |
|
Gilt MaSI auch für Mobile Payment? |
Erfolgen mobile Payments browser-basiert, dann sind sie im Geltungsbereich der MasSI. |
|
Wie sieht es aus bei Zahlungen über eine entsprechende Banking App? |
Diese Daten sind nicht erfasst, da sie über eine direkte Schnittstelle zu einem Server übermittelt werden. |
Starke Kundenauthentifizierung im Online Banking?
Regelungen bzgl. der Anforderungen an ein bestimmtes Verfahren im Online Banking werden im Einzelfall geregelt werden müssen. Die deutsche Bankenwirtschaft setzt seit Jahren Authentifizierungsverfahren ein, die aus den geforderten Merkmalen bestehen: Wissen und Besitz.
Zum TAN-Verfahren bei Online BankingSo ist es demnach auch bei mobileTAN-Verfahren und chipTAN-Verfahren. Im chip- als auch mobileTAN-Verfahren beispielsweise resultiert das Merkmal Wissen aus der Online Banking PIN und das Merkmal Besitz aus der Tatsache, dass der Zahlende entweder die Chipkarte oder aber das Mobilgerät in seinem Besitz wähnt.
Dies reicht für die Mindestanforderungen aus, da es sich um voneinander unabhängige Elemente im Zahlungsverkehr handelt. Auch eine TAN kann nicht zweimal erzeugt, geschweige denn wieder verwendet werden für andere Zahlaufträge.
MaSI im Kreditkartengeschäft?
Für Internetzahlungen ist die Kreditkarte eines der am meisten verwendeten Zahlungsmittel. »Für die Umsetzung der Anforderungen spielen die Rahmenbedingungen der einzelnen Kartenzahlungsverfahren (z. B. VISA, MasterCard) eine wesentliche Rolle.«
Die meisten internationalen Kartenorganisationen regulieren jedoch mit den Payment Card Industry Data Security Standards (PCI DSS) die erforderlichen Sicherheitsregeln an Kartenakzeptanten, -herausgeber und deren Dienstleister.3
Erfahren Sie alles zum Mobile Payment und AnbieternVerweise / Weiterführendes
1 Zum Artikel des WDR
2 Zum Indian Journal
3 Zu den FAQ´s der BaFin