Mehr Sicherheit im Zahlungsverkehr

Die PSD2 im Fokus der Internen Revision

Marcus Theil, FINCON Unternehmensberatung GmbH

Fragen Sie doch einmal die Zahlungsverkehrsspezialisten in Ihren Kreditinstituten nach bedeutsamen Terminen in 2019. Ein Datum dürfte dann auf jeden Fall genannt werden, denn zum 14.09.2019 treten die technischen Regulierungsstandards (EBA-RTS) zur starken Kundenauthentifizierung und zu sicheren offenen Kommunikationsstandards in Kraft. Mit den EBA-RTS wird ein wichtiger Bestandteil der zweiten EU-Zahlungsdiensterichtlinie (EU 2366/2015, PSD2) wirksam. Gleichzeitig wird die Sicherheit der Zahlungsverkehrsprozesse noch ein Stück weiter als bisher in den Fokus von europäischer und nationaler Aufsicht gerückt.

Starke Kundenauthentifizierung als (neuer) Grundsatz

Bereits Art. 97 PSD2 sieht vor, dass Zahlungsdienstleister von ihren Nutzern nicht nur beim (Online-)Zugriff auf Zahlungskonten und bei der Auslösung von Transaktionen eine starke Kundenauthentifizierung verlangen. Auch bei allen weiteren Vorgängen, die das Risiko eines Betrugs oder sonstigen strafbaren Handlung bergen, muss diese vom Kunden eingeholt werden.

Die EBA-RTS spezifizieren diese Anforderungen, indem sie festlegen, welchen Anforderungen die starke Kundenauthentifizierung (SCA) genügen muss (vgl. Art. 4-9 EBA-RTS). Dies sind zum Beispiel:

  • die Abfrage von mindestens zwei unabhängig voneinander bestehenden Authentifizierungskriterien aus den Kategorien Wissen (z. B. PIN-Code), Besitz (z. B. Token) oder Inhärenz (biometrische Faktoren, z. B. Fingerabdruck),
  • die dynamische Verknüpfung von Transaktions- und Kontodaten mit dem generierten Authentifizierungscode (z. B. TAN), so dass dieser ausschließlich für den auslösenden Kunden und den jeweiligen Zahlungsbetrag gilt,
  • die Fälschungssicherheit von Authentifizierungscodes und die Unmöglichkeit, aus einem bekannten Code weitere gültige Authentifizierungscodes zu berechnen sowie
  • die Absicherung des Online-Zugangs, z. B. durch die Festlegung einer maximalen Anzahl von fehlgeschlagenen Anmeldeversuchen und der automatischen Abmeldung vom Online-Zugang bei Inaktivität.

Damit dürften die meisten der aktuell gängigen Authentifizierungsverfahren bereits heute den Anforderungen der EBA-RTS genügen. Der Teufel steckt jedoch auch hier – wie meistens – im Detail, so dass sich ein Blick darauf „mit der Revisionsbrille“ durchaus lohnen kann. Bei Instituten, die ihren Kunden jedoch noch ältere Verfahren anbieten (z. B. indizierte TAN-Verfahren), besteht diesbezüglich in jedem Fall Handlungsbedarf.

Darüber hinaus ist kritisch zu hinterfragen, welche Geschäftsvorfälle im Online-Banking angeboten werden und ob diese durch eine SCA abgesichert werden müssen. Denn auch Geschäftsvorfälle, die nicht unmittelbar in einem Zusammenhang mit einer Transaktion stehen, können durchaus mit einem Risiko verbunden sein. Die Veränderung von Online-Banking-Limits durch den Kunden oder der Versand von Textnachrichten an den Kundenberater (die einen konkreten Arbeitsauftrag beinhalten) sind hier gute Beispiele.

TAN-los bezahlen – aber sicher?!

Keine Regel ohne Ausnahme – so ist auch bei der SCA. In den Artikeln 10 bis 18 der EBA-RTS definiert der europäische Gesetzgeber neun Ausnahmetatbestände, bei welchen vom Grundsatz der starken Kundenauthentifizierung abgewichen werden kann. Die erfolgt insbesondere mit dem Ziel, den Bezahlvorgang für den Zahlungsdienstnutzer u. a. bei kleineren Zahlbeträgen zu vereinfachen:

Die Kreditinstitute müssen insbesondere unter strategischen bzw. geschäftspolitischen Gesichtspunkten entscheiden, welche der Ausnahmen gem. Art. 10 bis 18 EBA-RTS für die einzelnen (Online-)Geschäftsvorfälle genutzt werden sollen.

Besonders „attraktiv“ erscheint dabei zunächst die Anwendung der Transaktionsrisikoanalyse gem. Art. 18 EBA-RTS, da diese auf eine Vielzahl von Geschäftsvorfällen anwendbar ist und mit einem Maximalbetrag von 500 € den weitesten Spielraum zum Verzicht auf eine SCA lässt. Gleichwohl gelten für die Nutzung dieser Ausnahme weitere Anforderungen und es ist einiger Implementierungsaufwand damit verbunden:

  • Implementierung eines Verfahrens zur Echtzeitrisikoanalyse von Transaktionen, welches u. a. das bisherige Ausgaben- und Verhaltensmuster, ungewöhnliche Informationen über Zugriff und Zugangsgerät des Auftraggebers (z. B. Manipulationsverdacht), bekannte Betrugsszenarien und risikobehaftete oder ungewöhnliche Aufenthaltsorte des Zahlers berücksichtigt.
  • Quartalsweise Ermittlung der Betrugsrate des Instituts. Die Betrugsrate soll dabei die in Anhang 2 der EBA-RTS definierten Referenzbetrugsraten nicht übersteigen:

  • Bereitstellung einer umfassenden Überwachungsstatistik, welche sowohl betrügerische als auch ordnungsgemäße Zahlungen hinsichtlich der Kriterien geographische Zuordnung (Inlandszahlung, Zahlung in den europäischen Wirtschaftsraum EWR oder darüber hinaus), Art der Kundenauthentifizierung (starke Kundenauthentifizierung oder Nutzung einer Ausnahme gem. Art. 10 bis 18 EBA-RTS) und Art des Betrugs (unautorisierte Zahlung, Veränderung einer Zahlung oder Manipulation des Zahlers) unterscheidet.

Es muss dabei durch geeignete Verfahren sichergestellt werden, dass eine Nutzung der Ausnahme gem. Art. 18 bei Überschreiten der Referenzbetrugsraten in zwei aufeinanderfolgenden Quartalen verhindert wird. Eine erneute Nutzung ist aber zulässig, wenn in einem weiteren Folgequartal die Referenzbetrugsrate wieder unterschritten wird und eine entsprechende Anzeige bei der Bundesanstalt für Finanzdienstleistungsaufsicht erfolgt.

Mehr Transparenz über Betrugsfälle

Aufgrund der Menge an statistischen Daten, die bei der Nutzung der Transaktionsrisikoanalyse zu Steuerungs- und aufsichtsrechtlichen Zwecken bereitgestellt werden müssen, lohnt es sich, gleichzeitig einen Blick auf die EBA-Leitlinien über die Anforderungen zur Meldung von Betrugsfällen zu werfen. Auch hier sind die Zahlungsdienstleister aufgefordert, umfangreiches Zahlenmaterial zu erheben und in einem halbjährlichen Turnus an die Bundesanstalt für Finanzdienstleistungsaufsicht zu melden.

Betroffen sind dabei neben Überweisungen und kartengebundenen Zahlungsvorgängen auch weitere Zahlungsdienste wie z. B. Lastschriften, Bargeldbezug mit Karte, Finanztransfers und über Zahlungsauslösedienste initiierte Zahlungsvorgänge. Auch hier wird eine Differenzierung der statistischen Daten nach Kriterien wie geographischer Zuordnung, Betrugsmethoden und Art der Authentifizierung verlangt.

Um den Umsetzungsaufwand für die Implementierung der Überwachungsstatistiken gem. der EBA-RTS zur starken Kundenauthentifizierung und der o. g. EBA-Leitlinien möglichst gering zu halten, ist eine konsolidierte Betrachtung der jeweiligen Anforderungen und eine gemeinsame Umsetzung ratsam. Gleichzeitig profitieren die Institute von den neu hinzugewonnenen Daten, da auf dieser Basis eine stärker am Risiko ausgerichtete Kontroll- und Überwachungsmaßnahmen ermöglicht werden.

PSD 2 – Schwerpunktthema in 2019

Die Umsetzung der PSD 2 wird das Zahlungsverkehrsjahr 2019 entscheidend prägen. Dabei stehen die Erhöhung der Sicherheit und die Steigerung der Transparenz über die Risiken von Zahlungsverkehrsprozessen im Vordergrund. Darüber hinaus gibt es für die Institute noch mehr zu tun: Zum Beispiel für die erforderliche Anbindung von Kontoinformationsdiensten, Zahlungsauslösediensten und Drittkartenemittenten an ihre Zahlungsverkehrssysteme (Stichwort: Drittdienstleisterschnittstelle) sind weitere Kapazitäten einzuplanen.

Die mit der Umsetzung der PSD2 verbundenen Risiken sollten sich im Rahmen der Jahresplanungen von Informationssicherheits-, Geldwäsche- und Datenschutzbeauftragten und der MaRisk-Compliance-Funktion sowie der risikoorientierten Prüfungsplanung der Internen Revision entsprechend niederschlagen.

PRAXISTIPPS

  • Prüfen Sie Ihre Authentifizierungsverfahren im Kontext der Anforderungen an die starke Kundenauthentifizierung.
  • Analysieren Sie ihre online verfügbaren Geschäftsprozesse hinsichtlich der Erfordernis einer starken Kundenauthentifizierung und inwiefern die Ausnahmen gemäß Art. 10 bis 18 EBA-RTS in Anspruch genommen werden können.
  • Begleiten Sie die Implementierung der Verfahren zur Nutzung der Transaktionsrisikoanalyse gem. Art. 18 EBA-RTS unter Revisionsgesichtspunkten und beurteilen Sie die Ordnungsmäßigkeit der zu ermittelnden Betrugsraten und Statistikdaten.
  • Aktualisieren Sie die Risikobewertung für das Prüffeld „Zahlungsverkehr“ vor dem Hintergrund der Anforderungen aus der PSD 2 und stellen Sie deren risikoadäquate Berücksichtigung im Prüfungsplan 2019 sicher.

SEMINARTIPPS

Praxisprobleme Kontoführung & Zahlungsverkehr, 26.06.2019, Köln.

Digitalisierung im Konten/-Zahlungsverkehr: Praxis&Prüfung, 26.09.2019, Frankfurt/M.

Beitragsnummer: 70946


0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Feel free to contribute!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.