Nächste Stufe der PSD 2 am 14.9.2019

Am 14. September wird es für Banken und ihre Kunden wieder einmal ernst. Mit der Zahlungsdiensterichtlinie 2 (payment service directive) werden einige gewöhnungsbedürftige Neuerungen eingeführt:

  • Kreditkarteninhaber, die ihre Karte auch online einsetzen, müssen sich für das 3D Secure Verfahren registrieren, auch bekannt als Mastercard Secure Code oder Verified by Visa. Verzichteten bislang viele Shopbetreiber aus Convenience-Gründen auf den Einsatz, so kommen sie künftig nicht mehr drum herum. Es ist nicht empfehlenswert, mit der Registrierung zu warten, bis man im Bestellprozess hängen bleibt. Als Mitarbeiter einer Sparkasse weiß ich aus Erfahrung, dass so manche kurzfristige Flugbuchung abgebrochen werden musste, weil die Karte nicht für 3D Secure registriert war und sich dies auch nicht auf die Schnelle ändern ließ.
  • Im Online-Banking wird alle 90 Tage auch beim Login eine Transaktionsnummer (TAN) abgefragt. Über 20 Jahre haben wir unseren Kunden eingebläut, dass sie eine TAN nur dann eingeben dürfen, wenn sie Geld bewegen oder eine Verwaltungsfunktion nutzen wollen. In allen anderen Fällen, in denen der Kunde nach einer TAN gefragt werden, müsse es sich um einen Betrug handeln und der Vorgang sei sofort abzubrechen. Doch jetzt ist das, was immer richtig war, falsch.
  • Im Gegenzug entfällt die TAN-Pflicht bei manchen Überweisungen: Umbuchungen zwischen eigenen Konten, Kleinbetragszahlungen und Überweisungen an Konten aus einer vom Kunden angelegten White-List.

YES geht’s los!

Mit YES kommt das erste Single-Sign-On-System für Banken. Als erste Bank möchte die Sparkasse ihren Privatkunden die Möglichkeit geben, sich mit Online-Banking Daten auf Webseiten anderer Unternehmen anzumelden und zu identifizieren.

Hier ein Beispieldokument zur Nutzung von YES, dem neuen Identitätsdienst: Ablauf_YES-1

VR-pay:Me – die erste POS-App speziell für den deutschen Markt

Mit der VR-pay:Me App können Händler und Dienstleister erstmals die 110 Millionen Girocards in Deutschland über das inländische Girocard-System per Smartphone akzeptieren. Selbstverständlich werden Maestro und VPay ebenso unterstützt wie Kreditkarten und Smartphone Dienste wie Apple Pay und Google Pay. VR-pay:Me schließt durchaus eine Lücke in der deutschen Payment-Landschaft.

Bisher gab es schlicht keine in der Breite bereits akzeptierte App-Lösung, die den speziellen Bedürfnissen hierzulande Rechnung trägt. Mit VR-pay:Me wird erstmals eine Lösung gezielt für den deutschen Markt angeboten. Nahezu alle Deutschen besitzen mindestens eine Girocard.

Auszug aus: https://krypto-x.biz/2019/05/15/mobile-wallets-von-den-volksbanken-zur-volksrepublik/

Weitere Informationen: https://www.it-finanzmagazin.de/vr-pay-me-die-vr-payment-startet-eigene-app-fuer-kartenzahlungen-88923/

Emotet-Trojaner führt bestehende Mail-Kommunikation weiter

Schadsoftware verbreitet sich in erwarteter Antwort
In der neuen Emotet-Variante haben es Cyberkriminelle geschafft, einen Rechner/Server usw. einer Firma zu infizieren. Die infizierten Geräte wurden dadurch so manipuliert, dass die Schadsoftware darauf als Bot den eingehenden Mailverkehr übernimmt und automatisiert weiterführt.

Sie als Kunde schreiben diese Firma z. B. über eine Kontaktformular oder direkt per Mail an. In dieser Mail bitten Sie z. B. als Kunde um die Zusendung von Infomaterial, Broschüren usw.. Der Bot, der durch die Schadsoftware installiert wurde, antwortet eigenständig auf diese Mail. Hierbei wird sogar der Original-Text der ursprünglichen Mail mit angehängt. Zusätzlich wird mit einem schlichten Satz noch die beigefügte Word-Datei (mit schadhaftem Makro) angepriesen.

Diese Masche ist aufgrund dieser Vorgehensweise sehr gefährlich. Man schöpft durch das Vorfinden der eigenen Mail in der Antwort zunächst keinen Verdacht. Zudem bekommt man ja auch eine zuvor angeforderte Antwort und ggf. zuvor angeforderte Datei zugeschickt.

Mobile Payment: Sicherer war Bezahlen noch nie

Selbst im Bargeldland Deutschland zücken schon Menschen das Smartphone für das Bezahlen am POS – doch laut Studien wie dem Global Payment Report 2018 der Boston Consulting Group hinkt Deutschland beim Mobile Payment hinterher. Ein häufiger Grund: Sicherheitsbedenken – zu Unrecht, denn Mobile Payment ist eine der sichersten Zahlungsmethoden.

von Christian Aubry, Geschäftsführer von Edenred

Auf einen Blick: Die hohen Sicherheitsstandards beim Mobile Payment.

  1. Sensible Daten werden nicht auf dem mobilen Gerät gespeichert: Ein Token ersetzt die eigentliche Nummer der physischen Kredit- oder Debitkarte in verschlüsselter Form und die Kartennummer wird weder gespeichert noch gesendet. So erhält der Händler keine Kundeninformationen.
  2. Wie beim Verlust einer Kredit- oder EC-Karte gilt auch beim Mobile Payment: Man kann sein Gerät bei Diebstahl oder Verlust sperren lassen.
  3. Schutz vor Betrug: Für jede Transaktion gibt es einen One-time Code – nach der Benutzung verliert dieses Kennwort seine Gültigkeit und ist für weitere Aktionen nicht mehr verwendbar.
  4. Die Zwei-Faktor-Authentifizierung bietet eine zusätzliche Sicherheitsebene an.
  5. Mobile Payment nutzt mit Biometrie, Tokenisierung und Verschlüsselung die neusten technologischen Standards, um Schutz vor Hackerangriffen zu gewähren.
  6. Vor jedem Bezahlvorgang mit dem Smartphone, Tablet und Co. ist eine Authentifizierung beispielsweise mittels Fingerabdruck/Gesichtserkennung oder PIN erforderlich – nur der Besitzer des Gerätes kann die Transaktion auslösen.

Auszug aus: https://www.it-finanzmagazin.de/mobile-payment-sicher-sicherer-88752

Bundesbank drängt auf europäische Alternativen zu US-Bezahldiensten

Die Bundesbank fordert europäische Alternativen zu den US-Bezahldiensten wie Paypal, Apple oder Amazon. Zudem soll in paydirekt investiert werden.

Seit August 2015 gehört paydirekt in die deutsche Online-Bezahllandschaft. Der Versuch, Paypal-Kunden durch Onlineshopping vom Bezahlsystem zu überzeugen, verlief bisher eher schleppend. Derzeit nutzen paydirekt rund 2,2 Millionen Kunden, Paypal hingegen 20,5 Millionen. Nun will, laut Handelsblatt, das Bankenkonsortium hinter paydirekt noch einmal 60 Millionen Euro in das System investieren – deutlich weniger als angenommen. Laut dem Bericht will sogar eine Gruppe privater Banken – u. a. ING, Santander und Targobank – seine Anteile an Paydirekt loswerden und an Deutsche Bank und Commerzbank übertragen.

Wenn sich deutsche oder europäische Banken weiterhin nicht gegen etablierte US-Bezahldienste durchsetzen, könnte dies zu Ertragsausfällen führen und die Finanzstabilität gefährden, so Balz. Ansässige Banken dürften nicht in eine Hintergrundrolle gedrängt werden, da es sonst auch Auswirkungen auf die Struktur des Bankensystems und den Wettbewerb am Markt haben könnte.

Auszug aus: https://www.informatik-aktuell.de/aktuelle-meldungen/2019/april/bundesbank-draengt-auf-europaeische-alternativen-zu-us-bezahldiensten.html