Jetzt Mitglied werden

Sicherheit im Zahlungsverkehr – Anforderungen nach MaSI und § 25h KWG

Der Kunde sollte im Zahlungsverkehr und beim Internetbanking den höchstmöglichen Schutz genießen. Die regulatorischen Anforderungen an Kreditinstitute, die dazu bestehen, sind sehr komplex. Für den Kunden ist das aber ohne Bedeutung.

Von Rainer Hahn - 31. Mai 2017

Komplexe regulatorische Anforderungen wie die PSD 2 und MaSI sollen im Zahlungsverkehr die Sicherheit des Kunden gewährleisten. Bildnachweis: iStock.com/martin-dm

Gemäß § 25h KWG müssen unter anderem Kreditinstitute über Verfahren und Grundsätze verfügen, die der Verhinderung sonstiger strafbarer Handlungen dienen, wenn diese zu einer Gefährdung des Vermögens des Instituts führen können. Dazu sind angemessene geschäfts- und kundenbezogene Sicherungssysteme zu schaffen und zu aktualisieren sowie Kontrollen durchzuführen. Dabei müssen Geschäftsbeziehungen und einzelne Transaktionen im Zahlungsverkehr erkannt werden, wenn diese als zweifelhaft oder ungewöhnlich anzusehen sind. Bei Schäden aus beleghaften Überweisungen mit falscher Unterschrift ist der Schaden vom Institut zu tragen. Damit sind diese Fälle zweifelsfrei durch die in der Regel beim Geldwäschebeauftragten angesiedelte „Zentrale Stelle“ zu betrachten.

Fit für die Welt der PSD2

Als Übergangsregelung hat die BaFin die Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSI, RS Nr. 4/2015 vom 5. Mai 2015) als Spezialregelung neben die MaRisk gestellt. Damit werden die Anforderungen der EBA (European Banking Authority) auf Grundlage des § 7b Absatz 1 KWG für Zahlungsdienstleister im Sinne des Zahlungsdiensteaufsichtsgesetzes (ZAG) umgesetzt. Ergänzend wurde auch der Text der deutschen Übersetzung der EBA-Leitlinien im Rundschreiben veröffentlicht. Zahlungsdienstleister sollen sich durch die konsequente Umsetzung der MaSI rechtzeitig fit für die Welt der Zahlungsdiensterichtlinie II (PSD2) machen. Die MaSI gelten für Kartenzahlungen im Internet, die Registrierung von Kartenzahlungsdaten zur Nutzung in „elektronischen Geldbörsen“, Überweisungen im Internet, die Erteilung und Änderung elektronischer Einzugsermächtigungen und die Übertragung von elektronischem Geld zwischen zwei E-Geld-Konten über das Internet.

Schützenswert sind sensible Daten, die zum Beispiel eine Internetzahlung auslösen, für die Kundenauthentifizierung verwendet werden oder dazu dienen, Internetzahlungen zu verifizieren. Auch Daten zur Kontrolle des Online-Accounts gehören dazu. Für alle Daten sind die Schutzbedarfe (Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität) festzustellen, damit daraus Maßnahmen abgeleitet und umgesetzt werden können. Neben Sicherheitsrichtlinien, die regelmäßig zu überprüfen und zu testen sind, ist auch dem Vorstand zu berichten. Zudem sollten Rollen und Zuständigkeiten, einschließlich der Risikomanagement-Funktion, festgelegt werden. Die Verantwortlichkeit könnte somit beim Beauftragten für Informationssicherheit und Notfallmanagement angesiedelt werden. Für Fragen, Beschwerden, Support-Anfragen und Meldungen über Unregelmäßigkeiten oder Vorfälle im Zusammenhang mit Internetzahlungen ist ein Kundendienst einzurichten.
Im Internet-Zahlungsverkehr sind durch die PSD2 bereits Anfang 2018 zahlreiche Neuerungen zu erwarten. Die EBA wird auf Grundlage der ZDR II neue Leitlinien, insbesondere zu Detailfragen der Kundenauthentifizierung sowie zum Meldewesen erlassen. Die Herausforderung für die Institute besteht darin, die Verantwortlichkeiten und Zuständigkeiten so zu vernetzen und aufeinander abzustimmen, dass alle Anforderungen nachweisbar erfüllt werden. Die Wirtschaftsprüfer betrachten jeweils einzelne Teilbereiche, weshalb eine Gesamtdokumentation sinnvoll ist. Der dafür erforderliche Erstellungsaufwand ist, angesichts der zu erwartenden Verschärfungen, eine sich schnell amortisierende Investition.

Vielfältige Maßnahmen zur Kundensensibilisierung

Damit Kunden diese Betrugsversuche frühzeitig erkennen und verhindern können, sind vielfältige Sensibilisierungen denkbar. Die direkte Ansprache des Kunden in der persönlichen Beratung und die Bereitstellung von Informationsmaterial ist heutzutage vielfach der praktizierte Standard. Videos, in denen die Vorgehensweise bei Phishing und Hacking dargestellt wird, sind als nützliche Hilfen verbreitet. Tests, in denen ein Angriff auf Kunden simuliert wird, bilden bisher eher die Ausnahme. Sie sind als wirkungsvolles Instrument aber künftig notwendig und sollten verstärkt eingesetzt werden. Die Kriminellen entwickeln ihre Methoden immer weiter. Deshalb muss künftig eine permanente Überwachung aller Transaktionen erfolgen. Dabei unplausible oder ungewöhnliche Transaktionen zu erkennen, ist eine Herausforderung. Diese Transaktionen anzuhalten und nach Klärung mit dem Kunden weiter zu verarbeiten, ist technisch anspruchsvoll, im Sinne des höchstmöglichen und effektiven Schutzes des Kunden aber unabdingbar.

Lesen Sie auch

55,2 Milliarden

Den gemeinsamen Recherchen verschiedener Medien wie CORRECTIV zufolge[…]

Redaktion

„Die Datenqualität hat für uns höchste Priorität“

Der Kontakt zwischen Bank und Kunde findet immer[…]

Redaktion

Auf der Suche nach einer Best Practice in der Betrugsprävention

Ausnahmsweise liefern die scheinbar allwissenden Suchmaschinen wenig Hilfreiches,[…]

Dirk Mayer

Und alles nur, weil ich dich liebe

Unter dem Namen „Romance Scam“ hat sich in[…]

Dorothee Wirsching

FRAUDMANAGEMENTforBANKS 2018

Vorbericht zu unserem zweitätigen Fachkongress

Dalia El Gowhary

„Der beste Service ist der, den man nicht sieht“

Am 13.06.2018 kamen Teilnehmerinnen und Teilnehmer aus der[…]

Tobias Schenkel

Im Kampf gegen die „Cyber Nostra“

Dass Cyberkriminelle immer erfolgreicher und effizienter werden, lässt[…]

Daniel Fernandez

„Das ist eben das Hase und Igel Spiel“

Für die „Autowäsche“ muss man heute nicht mehr[…]

Tobias Schenkel

Sicherheitslücke Drucker: ein unterschätztes Risiko

Entwicklungen wie die digitale Transformation, die steigende Anzahl[…]

Michaela Harder

Alte Systeme, blinde Flecken: Risiken in der Digitalisierung

Die klassische Prüfung im Konsumentengeschäft ist Schnee von[…]

Dirk Mayer

Fraudmanagement und PSD2

Ein dominierendes Thema der vergangenen Monate war die[…]

Philipp Scherber

Der goldene Mittelweg im Spannungsfeld der Regularien

Eine der größten Herausforderungen und gleichzeitig wichtigsten Aufgaben[…]

Elfriede Jirges

Einsatz moderner Technologien in der Betrugsbekämpfung

Oft stellt sich die Frage, ob moderne Technologien[…]

Eric Wagner

Totale Offenheit verhindert Betrug

Digitalisierung macht eine Vielzahl von Regulierungen notwendig, um[…]

Jürgen P. Müller

„Bei Mietverträgen bestehen Schlupflöcher, um an ein teures Auto zu gelangen“

Das Bundeskriminalamt (BKA) bezeichnet die Kfz-Branche als Risikobereich[…]

Philipp Scherber

„Es hat höchste Priorität, die Daten unserer Kunden zu schützen“

Digitale Banking-Lösungen sind ein Spagat zwischen positivem Kundenerlebnis[…]

Tobias Schenkel

FIU – neue Einbahnstraße für Verpflichtete?

Die Zentralstelle für Verdachtsmeldungen hat sich im Sommer[…]

Mehmet Aydogdu

BaFin sorgt für Klarheit auf dem Video-Identifikationsmarkt

Seit rund einem Vierteljahr gelten nun neue Vorgaben[…]

Sebastian Bärhold

Know Your Customer: Wie Blockchain das Verfahren erleichtert

Sich nur einmal bei einer Bank als Person[…]

Mustafa Cavus

FRAUDMANAGEMENTforBANKS 2017

„Die Zeit der regelbasierten Systeme ist vorbei“, stellte[…]

Christian Grosshardt

Eine Revolution auf dem Markt für Identitätsprüfungen

In Zeiten der rasanten Digitalisierung können Banken und[…]

Uwe Stelzig

„APT10 greift vor allem Managed Service Provider an“

Seit etwa einem Jahr kam es vermehrt zu[…]

Philipp Scherber

Das Onlinebanking-Konto kann mehr als Zahlungen: Mit Smart Data Fraud-Risiken minimieren

Die Betrugsrisiken nehmen im Bankenumfeld weiter zu: Zahlreiche[…]

Martin Schmid

Der alte Mann und die Malware

Der Rückgang von Filialen sowie Gebühren für Überweisungen[…]

Daniel Fernandez

UK Bribery Act 2.0 – Erfahrungen im Umgang mit Geschäftspartnern

Seit Inkrafttreten des UK Bribery Act im Juli[…]

Johanna Duenser

Die Verschärfung des Korruptionsstrafrechts und die Auswirkungen auf Kreditinstitute

Die Verhinderung von Korruption war abseits der Schwerpunktthemen[…]

Fabian Malkoc

Der Regierungsentwurf zur Umsetzung der 4. Geldwäsche-Richtlinie der EU

Am 22. Februar 2017 legte die Bundesregierung ihren[…]

Indranil Ganguli

„Betrugsrisiken sind durch Online-Legitimation gesunken“

Auch in einer Zeit, in der immer stärker[…]

Philipp Scherber

Cybercrime-Bedrohungen im Jahr 2017

Im vergangenen Jahr wurde Cybersicherheit im Rahmen zahlreicher[…]

Michael Hagebölling

Gemeinsam gegen Betrugsversuche

Ob manipulierte Unterlagen wie Gehaltsabrechnungen bei Kreditanträgen oder[…]

Stephan R. Peters

Fraud: der menschliche Faktor

Mit betrügerischen Handlungen beschäftigt man sich im geschäftlichen[…]

Michael Leuthner

Digitalisierung = Illegalisierung?

Eine Firewall zu überwinden, stellt heute für Geübte[…]

Christian Grosshardt

Kosten- und Risikoreduzierung durch qualitativ hochwertige Kundendaten

Entity Resolution, also die Systematisierung, Verlinkung und Gruppierung[…]

Philipp Scherber

„Beim Thema Geld will ich Sicherheit!“

Sowohl in der Filiale als auch im Außendienst[…]

Christian Grosshardt

„Tendenz zu Identitätsdelikten ist erkennbar“

Als Unteraspekt der Compliance wurde nicht nur von[…]

Christian Grosshardt

Wettrüsten in der Betrugsbekämpfung

Es dürfte sich mittlerweile herumgesprochen haben: Eine Investition[…]

Thorsten Hahn

Insidergeschäfte aufgeflogen

Pressemitteilungen sind Millionen Wert, sofern man sie zu[…]

Julian Achleitner

Regulatorische Herausforderungen für Factoringinstitute

Einheitliche Implementierung der Compliance- und Geldwäschepräventionsfunktion unter Berücksichtigung[…]

Dr. Ramin Romus

Ein Jahr Hinweisgebersystem in der TARGOBANK

Seit mehr als einem Jahr steht den Mitarbeitern[…]

Ingo Kriedel

400 Kunden in die Wüste geschickt

Wer nicht hören will, muss fühlen. Wie SPIEGEL[…]

Christian Grosshardt

Steuerparadies macht die Schotten dicht

Menschen, die es mit den Steuerpflichten nicht so[…]

Christian Grosshardt

Hohe Strafe für die Commerzbank

Was sind Sanktionen, wenn man sie nicht durchsetzt?[…]

Christian Grosshardt

Lügen haben kurze Beine

Dass sich in der Welt der Reichen der[…]

Christian Grosshardt

Keine Macht den Betrügern!

Wohl durchdachte Vorträge, kritische Nachfragen und angeregte Diskussionen[…]

Christian Grosshardt

Erwischt! Ein Weg zur Betrugsprävention im Retailgeschäft

Autoren: Dirk Mayer, Carsten Helm Euro 79,00 286[…]

Julian Achleitner

Verdachtsmeldung nach GwG?!

Wie ernst nimmt der Gesetzgeber das Verdachtsmeldewesen? Neuer[…]

Julian Achleitner