MaSI-Stichtag 5. November: BaFin plant keine Verschiebung und wird prüfen
MaSI steht vor der Tür: Ab 5.11. müssen nun, nach einer Übergangszeit von einem halben Jahr, die Vorgaben der BaFin umgesetzt sein. Wir fragten bei Dr. Josef Kokert, Leiter des Referats „IT-Infrastrukturen bei Banken“ der BaFin nach dem aktuellen Status und wie sich die Regulierung auf die Wettberwerbsfähigkeit der deutschen Online-Händler auswirken wird.
Herr Dr. Kokert, wie gut ist ihrer Meinung nach der deutsche Online-Handel und die Payment-Branche auf die Umsetzung der MaSI vorbereitet?
Wir beaufsichtigen nur die Zahlungsdienstleister. Und für die sind die Anforderungen, die durch die Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSI)jetzt gestellt werden, nicht neu. Zahlungsdienstleister waren auch bisher schon verpflichtet, über eine ordnungsgemäße IT-Organisation zu verfügen. In der Praxis führt dies dazu, dass sich der Änderungsbedarf durch die MaSI in Grenzen hält.Zudem sind der Industrie die Anforderungen der MaSI
bereits seit 2013 bekannt.
Wie funktioniert die „starke Kundenauthentifizierung“ in der Praxis?
Starke Kundenauthentifizierung im Sinne des Rundschreibens ist ein Verfahren, das auf der Verwendung von zwei oder mehr Elementen der Kategorien Wissen, Besitz und Inhärenz basiert. Die Kategorie Wissen beinhaltet etwas, das nur der Nutzer weiß. Zum Beispiel ein statisches Passwort, einen Code oder eine persönliche Identifikationsnummer. Unter die zweite Kategorie, die des Besitzes, fallen beispielsweise Tokens, eine Smartcards und Mobiltelefone. Mit Inhärenz sind Eigenschaften des Nutzers gemeint wie biometrische Charakteristika, etwa ein Fingerabdruck. Die gewählten Elemente müssen unabhängig voneinander sein, d. h. wenn ein Element verletzt wird, darf das keinen Einfluss auf andere Elemente haben. Mindestens eines der Elemente aus den Kategorien Wissen und Besitz sollte nicht wiederverwendbar und nicht reproduzierbar sein und nicht heimlich über das Internet entwendet werden können. Die Vertraulichkeit der Authentifizierungsdaten muss unbedingt gewahrt bleiben. Soweit die Anforderungen. Fortschrittliche Zahlungsdienstleister bieten die starke Kundenauthentifizierung bereits in vielen Varianten an. Einige dieser Beispiele haben wir im August 2015 im BaFinJournal beschrieben.
Gibt es eine Anleitung, wie die Vorgaben praktisch umgesetzt werden?
Nein, eine Umsetzungsanleitung wird es nicht geben. Die gibt es bei aufsichtlichen Anforderungen praktisch nie, weil es immer eine Vielzahl von technischen Lösungsmöglichkeiten gibt.
Vergleicht man die „starke Kundenauthentifizierung“ mit den One-Click(amazon) oder One-Touch(PayPal) und anderer, werden deutsche Online-Händler mit der Umsetzung der MaSI ein enormes Conversion-Rate-Problem bekommen. Gibt es im Gegenzug Erleichterungen, die die Nachteile ausgleichen?
Es gibt immer mehr Fälle von Cyberbetrug. Daher besteht ein breiter Konsens, dass One-Click-Verfahren grundsätzlich nicht mehr dem Sicherheitsbedürfnis der Verbraucher entsprechen. Die MaSI fordern aber nicht für alle Transaktionen eine starke Authentifizierung, sondern lassen in bestimmten Fällen auch alternative Verfahren zu. Das gilt für Zahlungsausgänge zugunsten vertrauenswürdiger Kunden, für Transaktionen zwischen zwei Konten eines Kunden bei demselben Zahlungsdienstleister, für Transfers innerhalb eines Zahlungsdienstleisters, die durch eine Transaktionsrisikoanalyse gerechtfertigt werden, und für Kleinbetragszahlungen nach der PSD.
Wenn One-Click nicht dem Sicherheitsbedürfnis der Verbraucher entspricht – warum wird es dann von den Verbrauchern so häufig verwendet? Schließlich ließe es sich auch abschalten.
Die Verbraucher entscheiden selbst, ob sie dieses angebotene Verfahren nutzen. Sie sollten sich nur bewusst sein, welche Sicherheitsrisiken sie dabei eingehen.
Warum greift Deutschland mit der MaSI der europäischen PSD II vor? Fürchten Sie keine Wirtschaftsnachteile für den Standort Deutschland?
Wir sind ja nicht die einzigen, die das tun. 23 weitere Staaten in Europa sind schon jetzt dabei, die Sicherheit von Internetzahlungen zu stärken. Lediglich vier Länder werden definitiv auf die Verabschiedung und Umsetzung der PSD II warten. Übrigens hat die EZB die Anforderungen der MaSI bereits im Januar 2013 in Form von Empfehlungen publiziert. Übergeordnetes Ziel war und ist es, den Verbraucher vor Cybercrime zu schützen. Schon damals war man sich der Gefahren von Cyberangriffen insbesondere auf das Online-Banking bewusst. Seitdem hat die Bedrohung weiter zugenommen. Vom stärkeren Schutz der Internetzahlungen vor Cyberfraud profitieren alle: Verbraucher, Unternehmer und Zahlungsdienstleister. Das ist ein entscheidender Vorteil gegenüber Ländern, die das Schutzniveau nicht erhöhen.
Die Umsetzung der MaSI ist, soweit ich weiß, ab 5. November zwingend. Ist es sinnvoll die Umsetzung genau im Vorweihnachtsgeschäft zu verlangen? Wie realistisch ist die Umstellung mitten im Weihnachtsgeschäft? Können die Online-Händler das überhaupt leisten?
Dass die Umsetzung ansteht, ist, wie erwähnt, schon lange bekannt, und die Projekte zur Umsetzung der MaSI laufen auch schon seit geraumer Zeit. Wer rechtzeitig begonnen hat, wird auch rechtzeitig im November 2015 fertig sein.
Wie bleibt man als deutsches Zahlungsinstitut wettbewerbsfähig gegenüber dem europäischen Wettbewerb (z.B. UK)?
Unabhängig vom Geschäftsmodell ist es für jedes Zahlungsinstitut von elementarer Bedeutung, die IT-Sicherheit für seinen Geschäftsbetrieb zu gewährleisten. Dazu tragen die neuen Anforderungen bei.
Und was ist mit der Wettbewerbsfähigkeit?
Letztlich wird der Verbraucher darüber entscheiden, welche Zahlungsdienstleister sich künftig mit welchen Dienstleistungen im europäischen Binnenmarkt durchsetzen. Es ist Sache der deutschen Zahlungsdienstleistern, im Wettstreit der Geschäftsideen ihre Stärken und Schwächen im Vergleich zur Konkurrenz zu bewerten und gegebenenfalls zu reagieren.
In Brüssel wird am Thema PSD-II gearbeitet. Die wird in weiten Teilen vermutlich ähnliches regeln wird. Wird die BaFin die MaSI Novellieren?
Die Richtlinie muss in nationales Recht überführt werden. Dann wird man prüfen, ob und gegebenenfalls inwieweit die MaSI angepasst werden müssen.
Im Moment scheint es große Verwirrung im Markt zu geben: einige größere Unternehmen und Zahlungverkehrsanbieter haben die Hoffnung, dass doch noch nicht alles – vor allem nicht jetzt – und nicht so schlimm kommen wird. Wird die BaFin den Termin für die Umsetzung der MaSI – wie bei z.B. SEPA – kurzfristig verschieben?
Nein, wir denken nicht über eine Verschiebung der Umsetzung nach.
Werden Sie ab 5. November hart durchgreifen und Verstöße gegen die MaSI mit voller Härte verfolgen? PayPal & co, die ebenfalls in Deutschland verkaufen, sind davon ja schlicht nicht betroffen.
Die Institute müssen die MaSI bis zum 5. November umgesetzt haben. Sie müssen also davon ausgehen, dass wir die Umsetzung dann auch überprüfen.
Vielen Dank Herr Dr. Kokert für die klare Auskunft!aj
Update 30.10.2015: Die BaFin hat am 30. Oktober die häufigsten Fragen (FAQ) zu MaSI hier veröffentlicht.
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/20837
Schreiben Sie einen Kommentar