www.olpe-hilfe.de

Electronic Banking und SEPA

Nächste Stufe der PSD 2 am 14.9.2019

Am 14. September wird es für Banken und ihre Kunden wieder einmal ernst. Mit der Zahlungsdiensterichtlinie 2 (payment service directive) werden einige gewöhnungsbedürftige Neuerungen eingeführt:

  • Kreditkarteninhaber, die ihre Karte auch online einsetzen, müssen sich für das 3D Secure Verfahren registrieren, auch bekannt als Mastercard Secure Code oder Verified by Visa. Verzichteten bislang viele Shopbetreiber aus Convenience-Gründen auf den Einsatz, so kommen sie künftig nicht mehr drum herum. Es ist nicht empfehlenswert, mit der Registrierung zu warten, bis man im Bestellprozess hängen bleibt. Als Mitarbeiter einer Sparkasse weiß ich aus Erfahrung, dass so manche kurzfristige Flugbuchung abgebrochen werden musste, weil die Karte nicht für 3D Secure registriert war und sich dies auch nicht auf die Schnelle ändern ließ.
  • Im Online-Banking wird alle 90 Tage auch beim Login eine Transaktionsnummer (TAN) abgefragt. Über 20 Jahre haben wir unseren Kunden eingebläut, dass sie eine TAN nur dann eingeben dürfen, wenn sie Geld bewegen oder eine Verwaltungsfunktion nutzen wollen. In allen anderen Fällen, in denen der Kunde nach einer TAN gefragt werden, müsse es sich um einen Betrug handeln und der Vorgang sei sofort abzubrechen. Doch jetzt ist das, was immer richtig war, falsch.
  • Im Gegenzug entfällt die TAN-Pflicht bei manchen Überweisungen: Umbuchungen zwischen eigenen Konten, Kleinbetragszahlungen und Überweisungen an Konten aus einer vom Kunden angelegten White-List.

YES geht’s los!

Mit YES kommt das erste Single-Sign-On-System für Banken. Als erste Bank möchte die Sparkasse ihren Privatkunden die Möglichkeit geben, sich mit Online-Banking Daten auf Webseiten anderer Unternehmen anzumelden und zu identifizieren.

Hier ein Beispieldokument zur Nutzung von YES, dem neuen Identitätsdienst: Ablauf_YES-1

Let’s get digital – Die Bank, die sich selbst nicht zu ernst nimmt

Zeigen was Bank kann und dabei eine ordentliche Prise Humor dazu:

VR-pay:Me – die erste POS-App speziell für den deutschen Markt

Mit der VR-pay:Me App können Händler und Dienstleister erstmals die 110 Millionen Girocards in Deutschland über das inländische Girocard-System per Smartphone akzeptieren. Selbstverständlich werden Maestro und VPay ebenso unterstützt wie Kreditkarten und Smartphone Dienste wie Apple Pay und Google Pay. VR-pay:Me schließt durchaus eine Lücke in der deutschen Payment-Landschaft.

Bisher gab es schlicht keine in der Breite bereits akzeptierte App-Lösung, die den speziellen Bedürfnissen hierzulande Rechnung trägt. Mit VR-pay:Me wird erstmals eine Lösung gezielt für den deutschen Markt angeboten. Nahezu alle Deutschen besitzen mindestens eine Girocard.

Auszug aus: https://krypto-x.biz/2019/05/15/mobile-wallets-von-den-volksbanken-zur-volksrepublik/

Weitere Informationen: https://www.it-finanzmagazin.de/vr-pay-me-die-vr-payment-startet-eigene-app-fuer-kartenzahlungen-88923/

Emotet-Trojaner führt bestehende Mail-Kommunikation weiter

Schadsoftware verbreitet sich in erwarteter Antwort
In der neuen Emotet-Variante haben es Cyberkriminelle geschafft, einen Rechner/Server usw. einer Firma zu infizieren. Die infizierten Geräte wurden dadurch so manipuliert, dass die Schadsoftware darauf als Bot den eingehenden Mailverkehr übernimmt und automatisiert weiterführt.

Sie als Kunde schreiben diese Firma z. B. über eine Kontaktformular oder direkt per Mail an. In dieser Mail bitten Sie z. B. als Kunde um die Zusendung von Infomaterial, Broschüren usw.. Der Bot, der durch die Schadsoftware installiert wurde, antwortet eigenständig auf diese Mail. Hierbei wird sogar der Original-Text der ursprünglichen Mail mit angehängt. Zusätzlich wird mit einem schlichten Satz noch die beigefügte Word-Datei (mit schadhaftem Makro) angepriesen.

Diese Masche ist aufgrund dieser Vorgehensweise sehr gefährlich. Man schöpft durch das Vorfinden der eigenen Mail in der Antwort zunächst keinen Verdacht. Zudem bekommt man ja auch eine zuvor angeforderte Antwort und ggf. zuvor angeforderte Datei zugeschickt.

Mobile Payment: Sicherer war Bezahlen noch nie

Selbst im Bargeldland Deutschland zücken schon Menschen das Smartphone für das Bezahlen am POS – doch laut Studien wie dem Global Payment Report 2018 der Boston Consulting Group hinkt Deutschland beim Mobile Payment hinterher. Ein häufiger Grund: Sicherheitsbedenken – zu Unrecht, denn Mobile Payment ist eine der sichersten Zahlungsmethoden.

von Christian Aubry, Geschäftsführer von Edenred

Auf einen Blick: Die hohen Sicherheitsstandards beim Mobile Payment.

  1. Sensible Daten werden nicht auf dem mobilen Gerät gespeichert: Ein Token ersetzt die eigentliche Nummer der physischen Kredit- oder Debitkarte in verschlüsselter Form und die Kartennummer wird weder gespeichert noch gesendet. So erhält der Händler keine Kundeninformationen.
  2. Wie beim Verlust einer Kredit- oder EC-Karte gilt auch beim Mobile Payment: Man kann sein Gerät bei Diebstahl oder Verlust sperren lassen.
  3. Schutz vor Betrug: Für jede Transaktion gibt es einen One-time Code – nach der Benutzung verliert dieses Kennwort seine Gültigkeit und ist für weitere Aktionen nicht mehr verwendbar.
  4. Die Zwei-Faktor-Authentifizierung bietet eine zusätzliche Sicherheitsebene an.
  5. Mobile Payment nutzt mit Biometrie, Tokenisierung und Verschlüsselung die neusten technologischen Standards, um Schutz vor Hackerangriffen zu gewähren.
  6. Vor jedem Bezahlvorgang mit dem Smartphone, Tablet und Co. ist eine Authentifizierung beispielsweise mittels Fingerabdruck/Gesichtserkennung oder PIN erforderlich – nur der Besitzer des Gerätes kann die Transaktion auslösen.

Auszug aus: https://www.it-finanzmagazin.de/mobile-payment-sicher-sicherer-88752

Bundesbank drängt auf europäische Alternativen zu US-Bezahldiensten

Die Bundesbank fordert europäische Alternativen zu den US-Bezahldiensten wie Paypal, Apple oder Amazon. Zudem soll in paydirekt investiert werden.

Seit August 2015 gehört paydirekt in die deutsche Online-Bezahllandschaft. Der Versuch, Paypal-Kunden durch Onlineshopping vom Bezahlsystem zu überzeugen, verlief bisher eher schleppend. Derzeit nutzen paydirekt rund 2,2 Millionen Kunden, Paypal hingegen 20,5 Millionen. Nun will, laut Handelsblatt, das Bankenkonsortium hinter paydirekt noch einmal 60 Millionen Euro in das System investieren – deutlich weniger als angenommen. Laut dem Bericht will sogar eine Gruppe privater Banken – u. a. ING, Santander und Targobank – seine Anteile an Paydirekt loswerden und an Deutsche Bank und Commerzbank übertragen.

Wenn sich deutsche oder europäische Banken weiterhin nicht gegen etablierte US-Bezahldienste durchsetzen, könnte dies zu Ertragsausfällen führen und die Finanzstabilität gefährden, so Balz. Ansässige Banken dürften nicht in eine Hintergrundrolle gedrängt werden, da es sonst auch Auswirkungen auf die Struktur des Bankensystems und den Wettbewerb am Markt haben könnte.

Auszug aus: https://www.informatik-aktuell.de/aktuelle-meldungen/2019/april/bundesbank-draengt-auf-europaeische-alternativen-zu-us-bezahldiensten.html

Geldwäsche mit gekaperten Konten

Die Masche: Kriminelle kapern unbemerkt Online-Bankkonten und nutzen diese für Geldwäsche. Nach Recherchen von NDR und „SZ“ sind Hunderte Konten der Onlinebank N26 betroffen.

Hier weiter lesen: http://www.tagesschau.de/investigativ/ndr/geldwaesche-online-101.html

Finanz- und Lebensplanung elektronisch speichern mit dem elektronischen Safe der Bank oder Sparkasse

Kunden bringen schon seit sehr langer Zeit neben Geld auch Gold, andere Wertgegenstände und wichtige Dokumente auf ihre Bank, damit diese sie in einem Schließfach sicher verwahrt. Da ist es nur konsequent, dieses Geschäftsmodell auch digital anzubieten.

Zu den Vorreitern gehört die Deutsche Bank, die seit August 2017 mit einem »eSafe« an die Bankkunden herantrat. Das digitale Schließfach für wichtige Dokumente ist durch Passwörter geschützt, die Kunden individuell online sowie in der Apple-Version der bankeigenen App jederzeit freischalten können – gegebenenfalls zum Beispiel auch aus dem Ausland. In dem Fall, dass zum Beispiel im Ausland der Reisepass verloren geht, kann ein ungehinderter Zugriff auf die Kopie von großer Hilfe sein.

Inzwischen bieten immer mehr Sparkassen einen ähnlichen Service. Gespeichert werden die Daten in Deutschland nach deutschem Datenschutzstandard. Sie stehen zeitlich unbegrenzt zur Verfügung.

Die Volksbanken sind dabei, den Datensafe in die »VR Organizer App« zu integrieren.

Grundsätzlich können alle Files, die für die Kunden wichtig sind, in einem elektronischen Bankschließfach abgelegt werden. Gedacht ist vor allem an Ausweise, Zeugnisse, Verträge, Policen, Kaufbelege von großen Anschaffungen und Steuerunterlagen.

Auszug aus: https://www.westfalen-blatt.de/OWL/Bielefeld/Bielefeld/3691856-Erste-Angebote-jetzt-auch-bei-den-regionalen-Kreditinstituten-Datensafe-bei-der-Bank

Nächste Stufe der PSD 2 am 14.9.2019

Am 14. September wird es für Banken und ihre Kunden wieder einmal ernst. Mit der Zahlungsdiensterichtlinie 2 (payment service directive) werden einige gewöhnungsbedürftige Neuerungen eingeführt:

Kreditkarteninhaber, die ihre Karte auch online einsetzen, müssen sich für das 3D Secure Verfahren registrieren, auch bekannt als Mastercard Secure Code oder Verified by Visa. Verzichteten bislang viele Shopbetreiber aus Convenience-Gründen auf den Einsatz, so kommen sie künftig nicht mehr drum herum. Es ist nicht empfehlenswert, mit der Registrierung zu warten, bis man im Bestellprozess hängen bleibt. Als Mitarbeiter einer Sparkasse weiß ich aus Erfahrung, dass so manche kurzfristige Flugbuchung abgebrochen werden musste, weil die Karte nicht für 3D Secure registriert war und sich dies auch nicht auf die Schnelle ändern ließ.

Grundsätzlich gilt: Alle Online-Händler müssen spätestens ab dem 14. September 2019 für jede Kreditkartentransaktion die starke Kundenauthentifizierung (3D Secure) anfragen. Doch keine Regel ohne Ausnahmen. So kann gemäß EU-Vorgabe der Kreditkartenherausgeber (Issuer) beispielsweise bei Zahlungen bis 30 Euro oder bei Abonnements auf die starke Kundenauthentifizierung verzichten. Nach der Durchführung einer Risikoanalyse kann der Kartenherausgeber sogar Zahlungen bis 500 € von der starken Authentifizierung befreien, solange sich die Betrugsraten im Rahmen halten.

Im Online-Banking wird alle 90 Tage auch beim Login eine Transaktionsnummer (TAN) abgefragt. Über 20 Jahre haben wir unseren Kunden eingebläut, dass sie eine TAN nur dann eingeben dürfen, wenn sie Geld bewegen oder eine Verwaltungsfunktion nutzen wollen. In allen anderen Fällen, in denen der Kunde nach einer TAN gefragt werde, müsse es sich um einen Betrug handeln und der Vorgang sei sofort abzubrechen. Doch jetzt ist das, was immer richtig war, falsch.

Im Gegenzug entfällt die TAN-Pflicht bei manchen Überweisungen: Umbuchungen zwischen eigenen Konten, Kleinbetragszahlungen und Überweisungen an Konten aus einer vom Kunden angelegten White-List können künftig ohne Eingabe einer TAN autorisiert werden.

Last but not least werden Banken verpflichtet, eine Schnittstelle für Drittanbieter zu schaffen. Dann werden nicht mehr nur Sofortüberweisung und giropay auf das Banking des Kunden zugreifen können, sondern auch andere Drittanbieter-Zahlungsdienstleister und Kontoinformationsdienste. Kunden können im Online-Banking Drittdienstleister damit beauftragen, Zahlungen vorzunehmen oder Kontoinformationen abzurufen (beispielsweise für ihre Finanzplanung). Da diese Dienstleister nunmehr gesetzlich anerkannt sind und der Bankenaufsicht unterliegen, dürfen Kunden gegenüber diesen Diensten auch ihre PIN und TAN einsetzen.

Ziel der Richtlinie ist es, den europaweiten Wettbewerb und die Teilnahme an der Zahlungsbranche auch von Nichtbanken zu erhöhen und durch die Harmonisierung des Verbraucherschutzes und die Rechte und Pflichten für Zahlungsdienstleister und Nutzer gleiche Wettbewerbsbedingungen zu schaffen. (https://de.wikipedia.org/wiki/Zahlungsdiensterichtlinie)