S-Finanzgruppe Newsletter

Mittwoch,

Mehr Sicherheit im Zahlungsverkehr – die PSD2 im Fokus der internen Revision

Fragen Sie doch einmal die Zahlungsverkehrsspezialisten in Ihrem Haus nach bedeutsamen Terminen in 2019. Ein Datum dürfte dann auf jeden Fall genannt werden, denn zum 14.09.2019 treten die technischen Regulierungsstandards (EBA-RTS) zur starken Kundenauthentifizierung und zu sicheren offenen Kommunikationsstandards in Kraft. Mit den EBA-RTS wird ein wichtiger Bestandteil der zweiten EU-Zahlungsdiensterichtlinie (EU 2366/2015, PSD2) wirksam. Gleichzeitig wird die Sicherheit der Zahlungsverkehrsprozesse noch ein Stück weiter als bisher in den Fokus von europäischer und nationaler Aufsicht gerückt.


Starke Kundenauthentifizierung als (neuer) Grundsatz

Bereits Art. 97 PSD2 sieht vor, dass Zahlungsdienstleister von ihren Nutzern nicht nur beim (Online-)Zugriff auf Zahlungskonten und bei der Auslösung von Transaktionen eine starke Kundenauthentifizierung verlangen. Auch bei allen weiteren Vorgängen, die das Risiko eines Betrugs oder sonstiger strafbarer Handlungen bergen, muss diese vom Kunden eingeholt werden.

 

Die EBA-RTS spezifizieren diese Anforderungen, indem Sie festlegen, welchen Bedingungen die starke Kundenauthentifizierung (SCA) genügen muss (vgl. Art. 4-9 EBA-RTS). Dies sind zum Beispiel:

 

  • die Abfrage von mindestens zwei unabhängig voneinander bestehenden Authentifizierungskriterien aus den Kategorien Wissen (z.B. PIN-Code), Besitz (z.B. Token) oder Inhärenz (biometrische Faktoren, z.B. Fingerabdruck),
  • die dynamische Verknüpfung von Transaktions- und Kontodaten mit dem generierten Authentifizierungscode (z.B. TAN), so dass dieser ausschließlich für den auslösenden Kunden und den jeweiligen Zahlungsbetrag gilt,
  • die Fälschungssicherheit von Authentifizierungscodes und die Unmöglichkeit, aus einem bekannten Code weitere gültige Authentifizierungscodes zu berechnen sowie
  • die Absicherung des Online-Zugangs, z.B. durch die Festlegung einer maximalen Anzahl von fehlgeschlagenen Anmeldeversuchen und der automatischen Abmeldung vom Online-Zugang bei Inaktivität.

 

Damit dürften die meisten der aktuell gängigen Authentifizierungsverfahren bereits heute den Anforderungen der EBA-RTS genügen. Der Teufel steckt jedoch auch hier – wie meistens – im Detail, sodass sich ein Blick darauf „mit der Revisionsbrille“ durchaus lohnen kann. Bei Instituten, die ihren Kunden jedoch noch ältere Verfahren anbieten (z.B. indizierte TAN-Verfahren), besteht diesbezüglich in jedem Fall Handlungsbedarf.

 

Darüber hinaus ist kritisch zu hinterfragen, welche Geschäftsvorfälle im Online-Banking angeboten werden und ob diese durch eine starke Kundenauthentifizierung abgesichert werden müssen. Denn auch Geschäftsvorfälle, die nicht unmittelbar in einem Zusammenhang mit einer Transaktion stehen, können durchaus mit einem Risiko verbunden sein. Die Veränderung von Online-Banking-Limits durch den Kunden oder der Versand von Textnachrichten an den Kundenberater (die einen konkreten Arbeitsauftrag beinhalten) sind hier gute Beispiele.

 

TAN-los bezahlen – aber sicher?!

Keine Regel ohne Ausnahme – so auch bei der starken Kundenauthentifizierung. In den Artikeln 10 bis 18 der EBA-RTS definiert der europäische Gesetzgeber neun Ausnahmetatbestände, bei welchen vom Grundsatz der starken Kundenauthentifizierung abgewichen werden kann. Die erfolgt insbesondere mit dem Ziel, den Bezahlvorgang für den Zahlungsdienstnutzer u.a. bei kleineren Zahlbeträgen zu vereinfachen.

 

Die Kreditinstitute müssen insbesondere unter strategischen bzw. geschäftspolitischen Gesichtspunkten entscheiden, welche der Ausnahmen gemäß Art. 10 bis 18 EBA-RTS für die einzelnen (Online-)Geschäftsvorfälle genutzt werden sollen.

 

Besonders "attraktiv" erscheint dabei zunächst die Anwendung der Transaktionsrisikoanalyse gemäß Art. 18 EBA-RTS, da diese auf eine Vielzahl von Geschäftsvorfällen anwendbar ist und mit einem Maximalbetrag von 500 € den weitesten Spielraum zum Verzicht auf eine starke Kundenauthentifizierung zulässt. Gleichwohl gelten für die Nutzung dieser Ausnahme weitere Anforderungen und es ist einiger Implementierungsaufwand damit verbunden:

 

  • Implementierung eines Verfahrens zur Echtzeitrisikoanalyse von Transaktionen, welches u.a. das bisherige Ausgaben- und Verhaltensmuster, ungewöhnliche Informationen über Zugriff und Zugangsgerät des Auftraggebers (z.B. Manipulationsverdacht), bekannte Betrugsszenarien und risikobehaftete oder ungewöhnliche Aufenthaltsorte des Zahlers berücksichtigt.
  • Quartalsweise Ermittlung der Betrugsrate des Instituts. Die Betrugsrate soll dabei die in Anhang 2 der EBA-RTS definierten Referenzbetrugsraten nicht übersteigen.
  • Bereitstellung einer umfassenden Überwachungsstatistik, welche sowohl betrügerische als auch ordnungsgemäße Zahlungen hinsichtlich der Kriterien geographische Zuordnung (Inlandszahlung, Zahlung in den europäischen Wirtschaftsraum EWR oder darüber hinaus), Art der Kundenauthentifizierung (starke Kundenauthentifizierung oder Nutzung einer Ausnahme gemäß Art. 10 bis 18 EBA-RTS) und Art des Betrugs (unautorisierte Zahlung, Veränderung einer Zahlung oder Manipulation des Zahlers) unterscheidet.

 

Es muss dabei durch geeignete Verfahren sichergestellt werden, dass eine Nutzung der Ausnahme gemäß Art. 18 bei Überschreiten der Referenzbetrugsraten in zwei aufeinanderfolgenden Quartalen verhindert wird. Eine erneute Nutzung ist aber zulässig, wenn in einem weiteren Folgequartal die Referenzbetrugsrate wieder unterschritten wird und eine entsprechende Anzeige bei der Bundesanstalt für Finanzdienstleistungsaufsicht erfolgt.

 

Mehr Transparenz über Betrugsfälle

Aufgrund der Menge an statistischen Daten, die bei der Nutzung der Transaktionsrisikoanalyse zu Steuerungs- und aufsichtsrechtlichen Zwecken bereitgestellt werden müssen, lohnt es sich, gleichzeitig einen Blick auf die EBA-Leitlinien über die Anforderungen zur Meldung von Betrugsfällen zu werfen. Auch hier sind die Zahlungsdienstleister aufgefordert, umfangreiches Zahlenmaterial zu erheben und in einem halbjährlichen Turnus an die Bundesanstalt für Finanzdienstleistungsaufsicht zu melden.

Betroffen sind dabei neben Überweisungen und kartengebundenen Zahlungsvorgängen auch weitere Zahlungsdienste, wie z.B. Lastschriften, Bargeldbezug mit Karte, Finanztransfers und über Zahlungsauslösedienste initiierte Zahlungsvorgänge. Auch hier wird eine Differenzierung der statistischen Daten nach Kriterien wie geographischer Zuordnung, Betrugsmethoden und Art der Authentifizierung verlangt.

Um den Umsetzungsaufwand für die Implementierung der Überwachungsstatistiken gemäß der EBA-RTS zur starken Kundenauthentifizierung und der o.g. EBA-Leitlinien möglichst gering zu halten, ist eine konsolidierte Betrachtung der jeweiligen Anforderungen und eine gemeinsame Umsetzung ratsam. Gleichzeitig profitieren die Institute von den neu hinzugewonnenen Daten, da auf dieser Basis stärker am Risiko ausgerichtete Kontroll- und Überwachungsmaßnahmen ermöglicht werden.

 

PSD 2 – Schwerpunktthema in 2019

Die Umsetzung der PSD 2 wird das Zahlungsverkehrsjahr 2019 entscheidend prägen. Dabei stehen die Erhöhung der Sicherheit und die Steigerung der Transparenz über die Risiken von Zahlungsverkehrsprozessen im Vordergrund. Darüber hinaus gibt es für die Institute noch mehr zu tun: Zum Beispiel sind für die erforderliche Anbindung von Kontoinformationsdiensten, Zahlungsauslösediensten und Drittkartenemittenten an deren Zahlungsverkehrssysteme (Stichwort: Drittdienstleisterschnittstelle) weitere Kapazitäten einzuplanen.Die mit der Umsetzung der PSD2 verbundenen Risiken sollten sich im Rahmen der Jahresplanungen von Informationssicherheits-, Geldwäsche- und Datenschutzbeauftragten und der MaRisk-Compliance-Funktion sowie der risikoorientierten Prüfungsplanung der internen Revision entsprechend niederschlagen.

 

PRAXISTIPPS

  • Prüfen Sie Ihre Authentifizierungsverfahren im Kontext der Anforderungen an die starke Kundenauthentifizierung.
  • Analysieren Sie Ihre online verfügbaren Geschäftsprozesse hinsichtlich des Erfordernisdeseiner starken Kundenauthentifizierung und inwiefern die Ausnahmen gemäß Art. 10 bis 18 EBA-RTS in Anspruch genommen werden können.
  • Begleiten Sie die Implementierung der Verfahren zur Nutzung der Transaktionsrisikoanalyse gemäß Art. 18 EBA-RTS unter Revisionsgesichtspunkten und beurteilen Sie die Ordnungsmäßigkeit der zu ermittelnden Betrugsraten und Statistikdaten.
  • Aktualisieren Sie die Risikobewertung für das Prüffeld "Zahlungsverkehr" vor dem Hintergrund der Anforderungen aus der PSD 2 und stellen Sie deren risikoadäquate Berücksichtigung im Prüfungsplan 2019 sicher.

 

Detaillierte Informationen zur Umsetzung der PSD2 sowie zur Umsetzung der Transaktionsrisikoanalyse im Kernbanksystem OSPlus stellt Ihnen die FINCON über das Seminarangebot bei den Sparkassen-Akademien (Stichwort: OSPlus-Zahlungsverkehr aus Sicht der internen Revision) zur Verfügung sowie darüber hinaus natürlich auch gerne bei Ihnen vor Ort.

 

Der Autor des Artikels, Marcus Theil, ist Senior Consultant bei der FINCON und Spezialist für die Risikosteuerung im OSPlus-Zahlungsverkehr. Er bringt über 12 Jahre Projekt- und Prüfungserfahrung, davon ca. 10 Jahre als Prüfungsleiter in der Internen Revision einer Großsparkasse, mit.

 

 

Lassen Sie uns jetzt reden.

Sie haben direkt Fragen? Dann füllen Sie einfach unser Kontaktformular aus.
Mit "*" gekennzeichnete Angaben sind Pflichtangaben.

Rufen Sie uns an

 

Rufen Sie uns an

 

Tel: +49 40 650565-0

Hamburg

Dorotheenstraße 64

22301 Hamburg

 

Tel: +49 40 650565-0

Fax: +49 40 650565-25

 

Berlin

Am Borsigturm 29

13507 Berlin

 

Tel: +49 30 2532150-0

Fax: +49 30 2532150-25

Bremen

Otto-Lilienthal-Str. 29

28199 Bremen

 

Tel: +49 421 80072-0

 

Dresden

Löbtauer Str. 52

01159 Dresden

Frankfurt / Main

Friedrich-Ebert-Anlage 36
60325 Frankfurt/Main

 

Tel: +49 69 9511664-88
Fax: +49 69 9511664-25

Hannover

Boulevard der EU 7

30539 Hannover

 

Köln

Sachsenring 69
50677 Köln

 

Tel: +49 221 937097-0
Fax: +49 221 937097-20

München

c/o acondas GmbH

Innere Wiener Strasse 5
81667 München

Münster

Langeworth 91
48159 Münster

 

Tel: +49 251 28711-19
Fax: +49 251 28711-18