iStock

EU-Richtlinie: Mehr Sicherheit für digitales Payment

Eine neue EU-Richtlinie fordert, dass Online-Zahlungen nur mit solider Kundenauthentifizierung möglich sind. Auch die Nutzer müssen dazu beitragen.

Dieser Artikel behandelt

PCI-Standards

74 Prozent der Finanzexperten rechnen damit, dass es in zehn Jahren verbreitet sein wird, seine Bankgeschäfte mit dem Smartphone abzuwickeln. 53 Prozent sagen, dass in zehn Jahren die Bankgeschäfte über Social-Media-Plattformen erledigt werden, so eine aktuelle Bitkom-Studie zur Digitalisierung der Finanzbranche. Bevor der digitale Zahlungsverkehr aber weiter zunimmt, muss noch einiges für die Datensicherheit getan werden.

Laut einer weiteren Bitkom-Umfrage sind in den vergangenen zwölf Monaten 16 Prozent der Internetnutzer beim Online-Handel oder beim Online-Banking betrogen worden. 15 Prozent berichten, dass ihre Zugangsdaten zu Online-Diensten wie soziale Netzwerke, Online-Shops oder Banking-Services ausspioniert wurden. Dabei kann man sicher sein, dass die Dunkelziffer sehr hoch ist, also die wirkliche Zahl an Attacken auf Zahlungs- und Banking-Lösungen noch viel höher ist.

Neue EU-Richtlinie soll Sicherheit digitaler Zahlungen erhöhen

Aber nicht nur die Zahl und Nutzung der Payment-Dienste und Banking-Apps nehmen zu, auch im Bereich der IT-Sicherheit bei digitalen Zahlungen wird sich etwas tun: Eine Neufassung der EU-Vorschriften für Zahlungsdienste soll unter anderem verstärkte Sicherheitsanforderungen bringen, wie das Europäische Parlament im Oktober 2015 mitgeteilt hatte. Am 16. November 2015 hat nun der EU-Rat die entsprechende Richtlinie angenommen, mit der der EU-weite Markt für elektronische Zahlungen weiterentwickelt werden soll.

Unternehmen müssen sich um die Zwei-Faktor-Authentifizierung kümmern, um in Zukunft digitale Zahlungen im Internet oder über das Smartphone durchführen zu können.

Im Fokus der erhöhten IT-Sicherheitsanforderungen für digitale Zahlungen steht eine verstärkte Authentifizierung, so dass der Kunde bei jeder einzelnen Transaktion identifiziert werden kann. Die überarbeitete Zahlungsdiensterichtlinie, genannt PSD2 (Payment Service Directive 2), muss nun von den EU-Mitgliedstaaten innerhalb von zwei Jahren in einzelstaatliche Rechts- und Verwaltungsvorschriften umgesetzt werden. Anbieter und Nutzer von Zahlungsverkehrslösungen scheinen also noch viel Zeit zu haben, doch in Wirklichkeit ist es sehr empfehlenswert, bereits mit der Suche nach passenden Lösungen auf Anbieterseite zu beginnen. Auf Nutzerseite besteht ebenfalls Handlungsbedarf.

Neue Zahlungsdienste und interne Abläufe in den Blick nehmen

Veränderungen bei den Zahlungsdiensten sind nicht nur durch die erforderliche Integration einer Zwei-Faktor-Authentifizierung zu erwarten. Die EU-Richtlinie öffnet den EU-Zahlungsverkehrsmarkt auch für sogenannte Zahlungsauslösedienstleister und Kontoinformationsdienstleister, dies sind Dienstleister, die Zahlungsdienste für Verbraucher oder Unternehmen auf der Grundlage des Zugangs zu Informationen über das Zahlungskonto erbringen. Es wird somit neue Schnittstellen zu Kontoinformationen geben und Dienste, die diese Informationen verarbeiten. Hier sind Zahlungsdiensteanbieter gefordert zu überlegen, wie sie solche Services sicher erbringen oder einbinden können, denn mit den neuen Schnittstellen sind auch neue Datenrisiken verbunden.

Auf der Seite der Nutzer von Zahlungsdiensten im Internet oder über das Smartphone sieht die geänderte EU-Richtlinie ebenfalls Aufgaben, die es vorzubereiten gilt. Anwenderunternehmen müssen sich ihre internen Abläufe ansehen, von wem wann und wie digitale Zahlungen ausgelöst oder entgegengenommen werden. Die EU-Richtlinie verlangt auf Nutzerseite insbesondere, dass der Nutzer dem Zahlungsdienstleister oder der von diesem benannten Stelle den Verlust, den Diebstahl, die missbräuchliche Verwendung oder die nicht autorisierte Nutzung des Zahlungsinstruments unverzüglich anzeigt, sobald er davon Kenntnis erhält. Hierzu müssen allerdings entsprechende interne Richtlinien und Meldeverfahren vorgesehen werden, die die Beschäftigten einzuhalten haben.

Zwei-Faktor-Authentifizierung muss ausgebaut werden

Ebenfalls eine Forderung an den Nutzer ist es, dass der Zahlungsdienstnutzer unmittelbar nach Erhalt eines Zahlungsinstruments alle zumutbaren Vorkehrungen trifft, um seine personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Hierzu müssen in den Anwenderunternehmen Verfahren eingeführt werden, die die sogenannten Zahlungsinstrumente wie zum Beispiel Smartphones beim mobilen Bezahlen gegen unbefugten Zugriff schützen, ebenso die Sicherheitsfaktoren für die Zwei-Faktor-Authentifizierung, wie zum Beispiel Smartcards oder Systeme, die die biometrischen Daten des Nutzers geeignet und sicher vorhalten, wenn die digitale Zahlung biometrisch abgesichert werden soll.

Nach einer IDC-Studie setzen bisher 44 Prozent der befragten Unternehmen eine Zwei-Faktor-Authentifizierung (2FA) im Zusammenhang mit mobilen Geräten ein. Die restlichen Unternehmen haben somit Nachholbedarf, wenn sie in Zukunft mobile Zahlungen gemäß der EU-Richtlinie durchführen wollen. Die nächsten zwei Jahre sollten also genutzt werden.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Dezember 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über PCI-Datensicherheitsstandards

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close