SecuRe Pay, PSDII oder das Ende des One-Klick-Shoppings

SecuRe Pay - Sicheres zahlen im Netz.

Ab morgen staatlich verordnet: Sicheres Bezahlen im Netz.

Die kryptischen Kürzel „SecuRe Pay“ und „PSD II“ schreiben Banken und Zahlungsdienstleistern strenge Sicherheitsvorkehrungen vor, die ein Ende der gewohnten Bezahlmethoden im Internet mit sich bringen könnten. Beide Regelwerke verlangen künftig eine „starke Kundenauthentifizierung“, die neben Passwörtern, Kreditkartennummern oder PINs und TANs einen zweiten Identifikationsweg vorschreibt.

Die europäischen und nationalen Regulierungsbehörden sehen bislang nur wenige Ausnahmen von dieser unbequemen und aufwendigen Zwei-Wege-Authentifizierung vor. Schon bald läuft die knapp bemessene Halbjahresfrist zur Umsetzung der Vorgaben an. Betroffen sind Banken, Acquirer, Payment Service Provider, Onlinehändler und sämtliche E-Commerce-Anbieter. Doch noch regt sich kein Widerstand gegen die drohende ePayment-Revolution.

tl;dr: Onlinehändler, wacht auf! Alle ePayment-Prozesse stehen still, wenn die starke BaFin es will!

Wenn sich Banker mal wieder über die lähmende Last der Regulierung beklagen, fällt gerne das Bonmot: „Alles Übel kommt aus Städten mit „B“: Brüssel, Berlin, Basel, Bonn“.

Doch das B-City-Bashing ist nicht ganz vollständig. Denn neben EU, Bundesregierung, Basler Ausschusses und Bundeskartellamt schaut auch die in Frankfurt beheimate Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) den Banken und Zahlungsinstituten gerne auf die Finger und setzt um, was in den B-Städten ersonnen wurde.

So zum Beispiel die Recommendations for the security of internet payments (SecuRe Pay), die die Europäische Zentralbank am 31. Januar 2013 veröffentlicht hat und aus denen die Guidelines on internet payments security der EBA vom 29. Dezember 2014 hervorgegangen sind.

Anzahl der von Hackern kompromittieren Nutzerkonten. (Quelle: Rand)

Anzahl der von Hackern kompromittieren Nutzerkonten. (Quelle: Rand)

Der Regulierer hat sich damit die Welt der Onlinezahlungen vorgenommen. Ein Bereich, der aufgrund des stetigen Bedeutungszuwachses elektronischer Zahlungen auf der einen und immer höherer Schadenssummen und immer dramatischeren Fällen von Datenkompromittierungen (siehe nur Grafik) auf der anderen Seite zum Sorgenkind der EZB und der nationalen Aufsichtsbehörden wird. Deshalb die Empfehlungen der EZB bzw. die Guidelines der EBA.

BaFin-Rundschreiben zu MaSin

Die Bafin hat Anfang Februar 2015 nun mit einem Jahr Verspätung den lang ersehnten Entwurf eines Rundschreibens zu den „Mindestanforderungen an die Sicherheit von Internetzahlungen“ (MaSin – in Analogie zur MaRisk) veröffentlicht und damit die Konsultation eröffnet. Das Rundschreiben setzt das etwas euphemistisch als „Empfehlungen“ betitelte EZB-Papier in geltendes Recht um.

Die betroffenen Unternehmen und Verbände haben bis zum 19. März Zeit, zum Entwurf Stellung zu nehmen. Sechs Monate nach der dann folgenden Veröffentlichung des MaSin-Rundschreibens müssen die Vorgaben umgesetzt sein. Betroffen sind die direkten Adressaten: Banken, Kreditikartenacquirer, Zahlungsdienstleister (Payment Service Provider) und indirekt alle, die die relevanten Zahlungsmethoden nutzen: d.h. Onlinehändler und E-Commerce-Anbieter jeglicher Couleur.

Die BaFin macht kein Hehl daraus, dass das Ganze Arbeit und Kosten verursachen wird: „Für die Wirtschaft entsteht durch 41 neue Vorgaben zusätzlicher Erfüllungsaufwand im engeren Sinne von circa 20,3 Mio. Euro, davon ca. 19,9 Mio. Euro als laufender Erfüllungsaufwand (39 Vorgaben) und ca. 400.000 Euro als Einmalaufwand (2 Vorgaben). Hinzu kommen Bürokratiekosten aus laufenden Informationspflichten in Höhe von 630.000 Euro“, heißt es in dem Anschreiben zum Rundschreiben.

Wie belastbar solche Zahlen sind und auf welche Grundlage sie sich stützen, weiß allein die BaFin. (Na? Haben wir das für 2015 schon budgetiert?)

Welche ePayment-Methoden sind von MaSin betroffen?

Im Anschreiben zum Rundschreiben spricht die BaFin von „Zahlungen im Internet, die von Kunden über Online-Banking ausgelöst werden können“. Das Schreiben selbst definiert folgenden Anwendungsbereich in Tz 2:

„Das Rundschreiben ist auf alle Zahlungsdienstleiste im Sinne des § 1 Abs. 1 Zahlungsdiensteaufsichtsgesetz (ZAG) anwendbar, die Zahlungsgeschäfte i. S. d. § 1 Abs. 2 Nr. 2 ZAG im Massenzahlungsverkehr über das Internet anbieten (Internet-Zahlungsdienste).

Werden von Zahlungsdienstleistern Internet-Zahlungsdienste angeboten, so geht das Rundschreiben davon aus, dass die Zahlungen kundenseitig von Menschen über Webbrowser ausgelöst werden
.“


Später, in Tz 46 ff.  werden explizit Kartenzahlungen und ab Tz 51 ff. auch Wallets angeführt.

Dirk Schrade, Ständiger Vertreter des Leiters des Zentralbereichs Zahlungsverkehr und Abwicklungssysteme in der Bundesbank, geht in einem Vortrag von April 2014 von folgendem Anwendungsbereich aus: Kartenzahlungen im Internet (inkl. virtueller Karten und Wallet-Registrierungen), Online-Überweisungen und -Lastschriften sowie die Übertragung von E-Geld auf E-Geld-Konten.

Matthias Hönisch, Paymentexperte im BVR, rechnet auch PayPal zum regulierten Bereich soweit das Aufladen des PayPal-Guthabens per Kreditkarte, Giropay oder Lastschrift erfolgt (siehe Vortrag bei der DK-Infoveranstaltung September 2013).

Während die ursprünglichen Empfehlungen der EZB nach dem Prinzip „comply or explain“ noch Ausnahmen für Zahlungsdienste vorsahen, die ihre eigene Sicherheitsinfrastruktur für ausreichend erachten und hierfür geradestehen wollen, ist von einer solchen Möglichkeit im BaFin-Rundschreiben nun nicht mehr die Rede. Die MaSin gelten also zunächst einmal für alle Online-Zahlverfahren.

Was schreiben die Mindestanforderungen der BaFin vor?

Kernstück der MaSin ist die Einführung einer obligatorischen „starke Kundenidentifizierung“. Der Regulierer schreibt Zahlungsverkehrsanbietern entsprechend den „SecuRe Pay“-Vorgaben damit erstmals vor, wie die Sicherheitsüberprüfung von Transaktionen bewerkstelligt werden sollen:

„Bei einer starken Kundenauthentifizierung benutzt der Kunde mindestens zwei Merkmale aus den folgenden drei Kategorien: Etwas, das nur der Kunde weiß (z.B. Passwort, PIN), der Kunde besitzt (z.B. Smart Card, Gerät) oder der Kunde ist (biometrisches Merkmal). Die zwei Merkmale sind gegenseitig unabhängig. Mindestens ein Merkmal kann nicht repliziert, wiederverwendet oder über das Internet gestohlen werden“, so die BaFin.

Wissen, Besitz und Inhärenz sind also die drei Kategorien der Zwei-Wege-Authentifizierung, die in Tz 42 des Rundschreibens niedergelegt ist. Wenn diese Vorgaben tatsächlich für die breite aller Online-Zahlungen umgesetzt werden sollten, ist es mit dem One-Click-Shopping im Internet vorbei – zumindest, wenn der Kunde nicht immer bei demselben, gelisteten Zahlungsempfänger einkaufen will.
Es gibt nämlich nur wenige Ausnahmen, bei denen die MaSin eine Abkehr von der „starken Kundenauthentifizierung“ erlauben (Tz 43):
  • ausgehende Zahlungen an vertrauenswürdige Empfänger, die in zuvor angelegten Listen als vertrauenswürdig akzeptierter Zahlungsempfänger (White Lists) dieses Kunden enthalten sind (z.B.: „Amazon ist bei mir ok“),
  • Transaktionen zwischen zwei Konten desselben Kunden beim selben Zahlungsdienstleister,
  • Transaktionen innerhalb desselben Zahlungsdienstleiters, die durch eine Risikoanalyse gerechtfertigt werden („Lex PayPal“),
  • Kleinstbetragszahlungen entsprechend der Zahlungsdiensterichtlinie 2007/64/EG.
Neben der strengen Kundenauthentifizierung kümmern sich die MaSin um den Schutz sensibler Zahlungsdaten. Insbesondere für die Speicherung, Verarbeitung und Übermittlung werden Vorgaben festgelegt („gehärtete Server“, etc.).

Eine „Verbesserung des Kundenschutzes“ soll zudem durch Kundenschulungen, die Festlegung von Limiten sowie den Kundenzugang zu Informationen über den Status von Zahlungsvorgängen erfolgen.

Das Rundschreiben sieht des Weiteren die Meldung von kritischen Sicherheitsvorfällen an die BaFin vor.

Was bedeutet die MaSin für Onlinehändler?

Bereits in Tz 17 geht es los mit Verpflichtungen für Onlinehändler, für deren Einhaltung jeweils deren Vertragspartner verantwortlich gemacht werden:

„Acquirer haben vertraglich von den Online-Händlern, die sensible Zahlungsdaten speichern, verarbeiten oder übertragen, zu fordern, dass diese bei kritischen IT-Sicherheitsvorfällen sowohl mit den Zahlungsdienstleistern als auch mit den zuständigen Strafverfolgungsbehörden kooperieren.“

Wer als Onlinehändler dabei nicht mitspielt, ist nach Tz 18 aus dem Acquirer-Vertrag rauszuschmeißen. In Tz 31 legen die MaSin dann flugs fest, dass auch die in Tz 20 – 30 für Zahlungsdienstleister niedergelegten Sicherheitsanforderungen in Bezug auf Netzwerke, Webseiten, Server und Kommunikationsleistungen auch für Onlinehändler zu gelten haben.

Macht als Zwischensumme 11 Vorgaben für Onlineanbieter aus der MaSin. Weiter geht es in Tz 49 laut der Onlinehändler Lösungen unterstützen müssen, „die es dem Kartenherausgeber erlauben, starke Authentisierung des Karteninhabers für Kartentransaktionen über das Internet durchzuführen“.

Die Tz 77 bis 79 regeln dann noch mal die Behandlung von „sensiblen Zahlungsdaten“ durch Onlinehändler. Tz. 88 verlangt schließlich die Trennung von zahlungsrelevanten Prozessen vom Online-Shop.

Manche dieser Vorgaben kennen Händler freilich von PCI oder sie sind ohnehin  Selbstverständlichkeit. Künftig hat der Acquirer aber auch noch einmal die aufsichtsrechtliche Pflicht, die Einhaltung der Vorgaben zu überwachen und zu dokumentieren.

Bewertung und Kritik der MaSin

BaFin2

BaFin, Brüssel, Berlin, Basel, Bonn bekümmern Banken beständig beim Business.

Es ist noch ein wenig früh für eine Bewertung und Folgeabschätzung zumal die Stellungnahmen der Verbände erst noch zu Papier gebracht werden. Einige Fragen sind offen: z.B. sollen wirklich alle Online-Zahlungsmethoden mit einer strengen Kundenauthentifizierung erfolgen? Was meint die Ausnahme in Tz 43: „Transaktionen innerhalb desselben Zahlungsdienstleiters, die durch eine Risikoanalyse gerechtfertigt werden“. Ist das der Freifahrtschein für PayPal?

Was aber schon auf den ersten Blick verwundert: Die nationale Aufsichtsbehörde geht über die Vorgaben der EZB hinaus und sieht eigene Änderungen vor. Leben wir nicht im SEPA-Zeitalter eines einheitlichen europäischen Zahlungsverkehrsraums? Passt es da, dass nationale Regulierungsbehörden eigene Vorgaben für Onlinezahlungen entwickeln? Im E-Commerce, der nach globalen Standards arbeitet?

Ein ungutes Gefühl bereitet auch die „White List“ von Zahlungsempfängern, die der Kunde festlegen kann, um ohne starke Kundenauthentifizierung zu bezahlen. Befördert dies nicht eine Konzentration hin zu einigen wenigen Anbietern, die ohnehin schon gut im Geschäft sind? Wenn ich bei Online-Boutique Susi aufwendig mit Zwei-Wege-Autorisierung zahlen muss, bei Amazon aber den One-Click-Ceckout machen kann, wo kaufe ich dann ein?

Sollte die Materie überhaupt reguliert werden? Ist nicht jeder Zahlungsverkehrsanbieter, jeder Kreditkarten- und Walletanbieter selbst für die Systemsicherheit und das Vertrauen der Kunden verantwortlich? Sind Betrugsschäden nicht eingepreist?

Andererseits: Zahlungsverkehr ist zweifelsohne eine kritische Infrastruktur. Da darf der Regulierer doch mal für Mindeststandards sorgen, oder nicht?

Aber warum kommt der Regulierer dann von zwei Seiten mit unterschiedlicher Geschwindigkeit? Die SecuRe Pay mit der MaSin auf der einen und die Payment Service Directive (PSD II) auf der anderen Seite?

„Ich möchte darauf hinweisen, dass die Arbeiten an der PSD II (Zahlungsdiensterichtlinie) noch nicht abgeschlossen sind. Insoweit kann es sein, dass die Regelungsinhalte des Rundschreibens nach Veröffentlichung der PSD II noch an diese angepasst werden müssen“, heißt es kleinlaut im BaFin-Schreiben.

Ausblick auf die PSD II

Die EU will die Novellierung der PSD noch innerhalb der lettischen Ratspräsidentschaft bis Ende Juni verabschieden. Im Rahmen der Trilog-Verhandlungen wird aktuell noch munter diskutiert. Beispielsweise über die Frage,  ob die strenge Kundenauthentifizierung für alle elektronischen Zahlungen (zB: mobile und kontaktlos) gelten soll.

Bleibt also spannend…

P.S.: Die BaFin hat angekündigt, die Stellungnahmen zur MaSin auf Ihrer Homepage zu veröffentlichen.

Update (12.12.2016): Dieser Beitrag ist durch den Rückzug der BaFin überholt. Die Gefahr einer staatlich verordneten Zwei-Faktor-Authorisierung für elektronische Zahlungen ist deshalb aber nicht geplant, die EBA hegt ähnliche Pläne im Rahmen der PSD2.

12 Gedanken zu „SecuRe Pay, PSDII oder das Ende des One-Klick-Shoppings

  1. Was Sie nicht erwähnen:
    Damit kippt auch die formlose Lastschrift per Eingabe und Ankreuzhäkchen. Denn SecuRePay regelt auch E-Mandatserteilung. Andere (außer Papier und E-Mandat) haben dann keine Grundlage mehr.

    Händler sollten viele der IT-Anforderungen erfülen können, wenn sie PCi-compliant sind. Aber viele der kleinen wissen ja nichtmal, trotz permanenter Mahnung der Acquirer, was das bedeutet. Zuküntig muss der Acquirer sie dann rauswerfen, auch die „big player“ die zB 3D-Secure bisher bewusst nicht einsetzen.

  2. Ihre Frage ist berechtigt: „Warum soll die Materie überhaupt reguliert werden?“. Der Fraud-Kosten im Internet-Zahlungsverkehr werden ja nicht externalisiert, sondern in der Regel vom Issuer getragen. Der hat also ein marktwirtschaftliches Interesse, sicherere Produkte zu entwickeln, wenn der Schaden zu hoch wird. Die Vergangenheit hat gezeigt, dass der Markt hier einwandfrei funktioniert. Auch besteht keine Gefahr für eine Gefährdung des Internet-Zahlungsverkehrs, die ein Eingreifen der ECB rechtfertigen könnte. Im Gegenteil, die Konsumenten nutzen die Internet-Zahlungsmethoden in zunehmendem Umfang. Außerdem ist das undemokratische Vorpreschen der Regulatoren, die eine Regulierung mittels der PSD II nicht abwarten können, ordnungspolitisch höchst bedenklich.

  3. Ich befasse mich neu mit der Materie und hätte eine Verständnisfrage zum Zeitpunkt an dem die Unternehmen agieren müssen.
    In dem Anschreiben steht, dass sich die Inhalte von „MaSin“ durch PSD2 ändern werden. Bedeutet dies, dass eine Veröffentlichung und Inkrafttreten von „MaSin“ erst nach Veröffentlichung von PSD2 geschieht? Falls ja, gilt für dt. Unternehmen hier das 1. Halbjahr 2015 (Inkraftreten) oder das 1. Halbjahr 2017 (nationale Umsetzung)

    (Quelle: http://www.voeb.de/download/zahlungsdiensterichtlinien-psd.pdf)

    • Disclaimer vorab: Dies ist ein Hobby-Blog. Keine Rechtsauskünfte, keine Haftung. 🙂
      Die PSD II wird zur Zeit noch verhandelt. Die Kommission will die Triolg-Verhandlungen innerhalb der lettischen Ratspräsidentschaft abschließen (Juni 2015). Zwei Jahre haben die Mitgliedstaaten zur Umsetzung der Richtlinie Zeit. Die MaSin wird nach dem Ende der Konsultation veröffentlicht und tritt damit in Kraft. Die BaFin „gewährt“ sechs Monate Umsetzungsfrist.

      Ich gehe davon aus, dass die Veröffentlichung noch vor der Sommerpause erfolgt, man ist schon weit hinter den Zeitplänen. Ein Aufschrei aus der Frankfurter Bankenwelt könnte vielleicht noch zu Änderungen und Verzögerungen führen. Die etablierten Banken können aber mit der MaSin vermutlich ganz gut leben. Im ePayment verdienen sie ohnehin kein Geld, das Thema haben sie vor langer Zeit verschafen und versuchen nun bald einen neuen, eigenen Anlauf. Hohe Markteintrittsbarrieren im ePayment werden ihnen Recht sein. Onlinehändler, Zahlungsinstitute, PSP haben keine Lobby, die sich mit den Banken messen könnte.

      Also: erst MaSin und dann PSD II. Dies kritisiert ja auch der zweite Kommentator oben, ein versierter Kenner der Materie. Die Aufsicht kommt den demokratischen Institutionen zuvor. Allerdings verspricht die BaFin Anpassungen im Nachhinein: „Insoweit kann es sein, dass die Regelungsinhalte des Rundschreibens nach Veröffentlichung der PSD 2 noch an diese angepasst werden müssen“. Klar, kann man so oder so verstehen, aber ich gehe von Anpassungen im Nachhinein aus, bzw. davon, dass die Aufsicht Fakten schaffen und Eckpfosten setzen will.

      BTW: Bei den Verhandlungen zur PSDII gelten insbesondere die Themen (1) „Zugang von Dritten zum Bankkonto“ (e.g. Sofort AG, etc.), (2) die Reichweite der starke Kundenauthentifizierung (alle ePayments, mobil, kontaktlos???) und (3) Surcharging als „hot potatoes“. Zum access to bank account soll wohl die EZB derzeit eine Sicherheitseinschätzung abgeben. Da haben die Banken noch kräftig zu lobbyieren (Datenschutz & Sicherheit vs. Wettbewerb). Beim Surcharging tun sich Parlament und Regierung schwer, niemand will zu Hause sagen: „Hey ich habe mich dafür stark gemacht, dass Händler Gebühren für Kartenzahlungen kassieren dürfen“ 🙂

  4. Danke für den interessanten Betrag! Um die Verwirrung/das Bild der Lage komplett zu machen: Zwar ist „comply or explain“ für Marktteilnehmer auf dem Weg von der EZB zur EBA verloren gegangen, aber die „competent authorities“ können noch von einer Umsetzung der Guidelines absehen – wie es die UK FCA ja schon bekannt gegeben hat (siehe: http://www.fca.org.uk/firms/firm-types/payment-services-institutions; ganz unten!). Auch andere Aufseher scheinen das zu erwägen (Estland?, Österreich?), was zu begrüßen wäre, damit die Anbieter mit der PSD 2 nicht noch einmal Anpassungen vornehmen müssen. Nun hört man aber, dass dem Wettbewerbsüberlegungen entgegenstehen, denn die EZB werde für die von ihr direkt beaufsichtugten (Groß-)Banken eine eigene Regulierung schreiben. Wenn das stimmt, gäbe es eine zweigeteilte Welt, in der die großen, direkt Beaufsichtigten die EZB-Vorgaben erfüllen müssen, die anderen die der nationalen Aufsichtsbehörde. Ich kann mir das nicht recht vorstellen. Ist die EZB Regulierer auch im ZV-Bereich? Any comments?

  5. Danke für die Bestätigung meines Eindrucks durch diesen schönen Beitrag.

    Besonders relevant scheint mir einmal mehr, die Frage nach der Gleichbehandlung von Zahlungsdiensteanbietern in verschiedenen Jurisdiktionen. In den EBA Guidelines war ja angekündigt worden, dass die Stellungnahmen der nationalen Aufsichtsbehörden, ob man die Vorgaben umsetzen wird, veröffentlicht werden soll. Leider ist eine solche Bekanntgabe nicht zu finden.

    Kritisch sehe ich auch, dass in dem Entwurf der BaFin sowohl das Comply-or-Explain Prinzip fehlt und aus Soll-Vorschriften offensichtlich Muss-Verschriften geworden sind. Ob das von in gleicher Weise von den europäischen Partnern umgesetzt wiurd, muss bezweifelt werden.

  6. Sie Fragen: „Was meint die Ausnahme in Tz 43: “Transaktionen innerhalb desselben Zahlungsdienstleiters, die durch eine Risikoanalyse gerechtfertigt werden”.“

    Ich gehe davon aus, dass dass eine Art Lex PayPal ist. Denn eine PayPal Zahlungen ist eine eGeld Transaktion vom PayPal Konto der Zahlers zu dem PayPal Konto des Händlers. Ein Risikomanagement nimmt PayPal auch vor.

    Wir werden die Entwicklung gespannt weiterverfolgen, vor allem wie Händler weiterhin Lastschrift anbieten können. Ich habe das Gefühl, die MaSin führt zu einer Stärkung der Intermediäre zu Lasten des Handels.

  7. Die Anforderungen des eCommerce & mCommerce Marktes widersprechen komplett den Wünschen der Banken. Wollen die Banken per Gesetz die Daseinsberechtigung zurück erlangen? Oder der Bezahlmethode PayDirekt den Weg ebnen?
    Was hat es für Konsequenzen, wenn ich mich als Händler diesen Anforderungen widersetze? Wenn ich Bitcoin als Bezahlmethode anbiete, wie soll das dann bitte umgesetzt werden. Bitcoin ist schon die sicherste Methode. Weitere Vorgabe von ahnungslosen Beamten nicht erforderlich.

  8. Weil zum Beitrag immer noch Kommentare eingehen: Dieser Blogpost wurde durch die vollständige Rücknahme des Rundschreiben-Entwurfs gegenstandslos. Hier mehr zum BaFin-Rückzieher, der neben den 16 Stellungnahme von berufener Seite natürlich auch durch diesen Beitrag erreicht wurde. 🙂
    Was der Rückzieher bzw. das neue Rundschreiben nun konkret für Onlinehändler, ePayment und Acquirer bzw. Payment Service Provider bedeutet, dazu wäre ein neuer Beitrag erforderlich. Kommt Zeit, kommen Zeilen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert