Gepostet am 06. November 2015 von in
Die MaSI – neue Mindestanforderungen für Zahlungen im Internet
Wie bereits im vorigen Blog zum Thema IT-Sicherheit angesprochen, hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) weitere Konsequenzen für die Mindestanforderungen an die IT-Sicherheit in Banken angekündigt.
Aufgrund der stetig wachsenden Bedrohungslage von IT-Systemen mit Online-Zugang liegen nun vor allem die Zahlungsverkehrssysteme im Fokus der Prüfer. Bereits im Mai dieses Jahres hat deshalb die BaFin Mindestanforderungen an die Sicherheit von Zahlungen (MaSI) im Internet veröffentlicht. Basierend auf den Mindestanforderungen an das Risikomanagement (MaRisk), konkret AT 7.2, zielen diese Regelungen auf die Sicherheitsmaßnahmen für web-basierte Bezahlsysteme und web-basiertes Online-Banking (Internet-Bezahlsysteme) ab.
Wie auch im BaFin Journal 05/2015 beschrieben, setzt das Rundschreiben die Leitlinien zur Sicherheit von Internetzahlungen (siehe BaFinJournal Februar 2015) der Europäischen Bankenaufsichtsbehörde EBA (European Banking Authority) in die Verwaltungspraxis der BaFin um. Rechtsgrundlage für die Umsetzung ist § 7b, Absatz 1 Kreditwesengesetz (KWG). Ziel ist es, ganzheitlichen Schutz vor Cyber-Kriminalität zu gewährleisten.
Nach den Vorgaben der Aufsichtsbehörde dürfen Geldtransfers im Online-Zahlungsverkehr zukünftig erst dann durchgeführt werden, wenn sich der Kunde über ein mehrstufiges Sicherheitsverfahren (mindestens zwei Stufen) authentifiziert.
Bereits etablierte Systeme zu dieser starken Kundenauthentifizierung sind die Kombination aus einem Passwort oder einer PIN sowie einer ChipTAN-Karte. Zusätzlich werden biometrische Authentifizierungsmethoden (z.B. Fingerabdruck-Sensor, Iris-Scan, etc...) als sicher angesehen. Diese Systeme sind zwar noch wenig verbreitet, bei einigen Banken jedoch bereits im Einsatz (z.B. Postbank).
Dabei betont die Deutsche Kreditwirtschaft, dass bereits vor Inkrafttreten der Anforderungen die deutschen Banken und Sparkassen aufgrund der geltenden regulatorischen Vorgaben höchste Sicherheitsanforderungen erfüllt haben und weiter erfüllen werden (vgl. Pressemitteilung der DK).
Weiterhin sehen die MaSI eine Meldepflicht bei einem Angriff auf die Online-Zahlungssysteme vor. Konkret müssen betroffene Institute einen derartigen Vorfall an die BaFin, die Bundesbank und an die zuständige Datenschutzbehörde melden. Nachfolgend ist eine Kooperation mit der zuständigen Polizeibehörde Pflicht. Hierbei sei anzumerken, dass eine solche Berichtspflicht für die Betreiber kritischer Infrastrukturen im Rahmen der Verabschiedung des IT-Sicherheitsgesetzes seit Juli bereits existiert (siehe unsere Blogs zum IT-Sicherheitsgesetz).
Auch wenn ein Zahlungsdienstleister nicht unmittelbar angegriffen wird, besteht dennoch ungeachtet eine Informationspflicht gegenüber den Kunden. Diese müssen beispielsweise über gängige Angriffsmethoden wie Phishing-Attacken informiert werden und Hilfestellungen bei der Anzeige von Angriffen vom Dienstleister erhalten.
Gerade vor dem bevorstehenden Weihnachtsgeschäft sind also auch Online-Shops mittelbar von den neuen Mindestanforderungen betroffen. Dabei hat der Gesetzgeber im Wesentlichen zwei Ausnahmeregelungen zugelassen. So können Online-Händler sich von ihren Kunden auf sogenannte White Lists von vertrauenswürdigen Zahlungsempfängern setzen lassen und Zahlungsdienstleister können bei Transaktionen mit geringem Risiko alternative Authentifizierungsverfahren verwenden. Über, ob und wie die Shopbetreiber auf die unterschiedlichen Zahlungssysteme, die sie möglicherweise anbieten, gegenüber ihren Kunden diese unterschiedliche Sicherheitslage kommunizieren werden, ist noch nichts bekannt. Bereits bekannt ist, dass Zahlungsdienstleister zwar zu weiterführenden Sicherheitsmaßnahmen verpflichtet werden, PayPal beispielsweise aber noch nicht betroffen ist.
Vor diesem Hintergrund fordert die Deutsche Kreditwirtschaft als Interessenvertretung der fünf kreditwirtschaftlichen Spitzenverbände, dass diese Anforderungen auch in den anderen EU-Ländern in gleicher Weise wie in Deutschland umgesetzt und kontrolliert werden (vgl. Pressemitteilung der DK).
Unstrittig bleibt, dass bereits in der bevorstehenden Prüfungsperiode Kreditinstitute mit den neuen Mindestanforderungen konfrontiert werden. Am Donnerstag, 5. November endete die Umsetzungsfrist. Ab diesem Zeitpunkt müssen die deutschen Kreditinstitute der Aufsichtsbehörde auf Verlangen nachweisen, dass sie die MaSI erfüllen (vgl. Artikel im IT-Finanzmagazin).