Ab morgen gültig: Neue Sicherheitsstandards für Internetzahlungen

Um das Vertrauen der Verbraucher beim Zahlen im Internet und damit den Online-Handel an sich zu stärken, gelten ab morgen neue Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSI) für Zahlungsdienstleister in Deutschland. Worum geht es und was genau müssen Online-Händler tun? Dazu nachfolgend mehr.

(Bildquelle Online-Banking: everything possible via Shutterstock)

Anlass für die neuen Sicherheitsanforderungen ist ein Rundschreiben der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) mit dem Titel „Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSI)“. In diesem Rundschreiben werden die neuen Sicherheitsstandards festgelegt. Diese „MaSI“ sind von den Zahlungsdienstleistern ab dem 05.11.2015 zu befolgen.

Neue Authentifizierungsmethoden

Wichtiger Eckpunkt bei der Umsetzung der neuen MaSI ist eine sichere Authentifizierung für Internetzahlungen. Um Zahlungen sicherer zu machen, soll vorrangig bei der Feststellung der Identität des Zahlenden angesetzt werden.

Dazu stehen zwei verschiedene Merkmale aus drei möglichen Kategorien zur Verfügung. Zur ersten Kategorie zählt beispielsweise ein Passwort, ein Code oder eine PIN. In einer weiteren Kategorie werden Gegenstände genannt, die nur der Nutzer besitzt, zum Beispiel das Mobiltelefon oder ein TAN-Generator. Die Eigenschaften des Nutzers, wie etwa Fingerabdruck, die Stimmer oder der Pulsschlag, bilden die dritte Kategorie. Um Missbrauch und Betrug zu verhindern, müssen sich Kunden zukünftig doppelt identifizieren und mindestens zwei Merkmale aus den drei möglichen Kategorien erfüllen.

Betroffene Zahlarten und Ausnahmen

Im Online-Handel sind vor allem die Kreditkartenzahlung sowie Überweisungen betroffen, wenn diese etwa über giropay oder Sofort-Überweisung abgewickelt werden. Nicht betroffen sind der Kauf auf Rechnung, der Ratenkauf und die Zahlung per Lastschrift in seiner derzeit gängigen Form. Ausgenommen von der starken Kundenauthentifizierung sind Bezahlmethoden, die als sicher gelten. Zu nennen sein soll hier Paypal. Zahlungen für Kaufsummen unter 30 Euro sind von den neuen Sicherheitsstandards ausgenommen.

Außerdem soll es sogenannte „White Lists“ von vertrauenswürdigen Zahlungsempfängern geben. Zahlungsanbieter auf dieser Liste können auf die Pflicht zur starken Authentifizierung verzichten. Wo diese geführt werden und wie sie inhaltlich gestaltet sind, ist bislang ungeklärt.

Online-Händler nicht direkt betroffen

Die neuen MaSI richten sich hauptsächlich an die (deutschen) Zahlungsdienstleister, denn nur diese sind zur Umsetzung und Einhaltung der neuen Sicherheitsanforderungen verpflichtet. Zahlungsdienstleister mit Sitz im Ausland unterliegen den jeweiligen nationalen Finanzaufsichten und müssen die dort geltenden Anforderungen erfüllen.

Online-Händler sind von den Regelungen MaSI nur mittelbar betroffen. Mittelbar bedeutet in diesem Zusammenhang, dass die Zahlungsdienstleister die Umsetzung der besonderen Anforderungen im Verhältnis zu den Online-Händlern durchsetzen werden. In der Praxis kann dies so aussehen, dass die Zahlungsdienstleister im Verhältnis zum Online-Händler zu neuen Sicherheitsmaßnahmen verpflichten werden. Die Zahlungsdienstleister sind angehalten, die Tätigkeiten der Online-Händler in diesem Zusammenhang zu überwachen. Bei Nichteinhaltung der Sicherheitsanforderungen können Sanktionen drohen (z. B. eine Kündigung des bestehenden Vertrages mit dem Zahlungsdienstleister).

Online-Händler, die selbst eine Zahlung per Kreditkarte durchführen, sind ebenfalls verpflichtet, Technologien zu nutzen, die es dem Aussteller der Kreditkarten ermöglichen, eine starke Authentifizierung des Karteninhabers vorzunehmen.

Praxishinweis

Wie bereits erwähnt, werden die betroffenen Zahlungsdienstleister auch im Verhältnis zum Online-Händler zu neuen Sicherheitsmaßnahmen verpflichten. Online-Händler sollten daher Kontakt mit ihren Zahlungsdienstleistern aufnehmen. Vergewissern Sie sich, dass die neuen Sicherheitsanforderungen eingehalten werden, soweit der Zahlungsdienstleister betroffen ist. Bringen Sie in Erfahrung, welche Mitarbeit von Ihrer Seite bei der Authentifizierung in Ihrem Shop notwendig ist.