Wie sicher sind Online-Zahlungen?

1.220 Aufrufe

Veröffentlicht am

Vortrag von Hans-Joachim Massenberg, Mitglied der BdB- Hauptgeschäftsführung, zur Sicherheit von Online-Zahlungen beim Zahlungsverkehrs-Symposium der Deutschen Bundesbank im Juni 2015

Veröffentlicht in: Wirtschaft & Finanzen
0 Kommentare
1 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

Keine Downloads
Aufrufe
Aufrufe insgesamt
1.220
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
320
Aktionen
Geteilt
0
Downloads
2
Kommentare
0
Gefällt mir
1
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Wie sicher sind Online-Zahlungen?

  1. 1. Wie sicher sind Online-Zahlungen? Dr. Hans-Joachim Massenberg Bundesbank, Frankfurt am Main 15. Juni 2015 Symposium „Zahlungsverkehr in Deutschland im Jahr 2015“
  2. 2. ©BundesverbanddeutscherBankene.V. Agenda  Was sind Online-Zahlungen?  Online-Banking in Deutschland  Legitimationsverfahren  Anforderungen an Online-Zahlverfahren  Angriffe, Schäden, Gegenmaßnahmen  Fazit 2
  3. 3. ©BundesverbanddeutscherBankene.V. Spot: Angriffe auf Online-Banking-Kunden – annähernd 9 Mio. neue Schadsoftwaren pro Monat 3
  4. 4. ©BundesverbanddeutscherBankene.V. Anteil von Zahlungsinstrumenten nach Umsatz 2014 4 Quelle: Deutsche Bundesbank, Zahlungsverhalten in Deutschland 2014 Online-Zahlungen: Überweisungen (5,3%) + Internet-Bezahlverfahren (2,8%) Auch Kreditkarte und Lastschriften teilweise für Online-Zahlungen benutzt. Sonstige: unbar ohne Angaben (2,3%) + Rest (0,3%) Rest: Vorausbezahlte Zahlungskarte=0,0% Kundenkarte=0,1% Kontaktloses Bezahlen mit Karte=0,1% Bezahlen mit Mobiltelefon=0,0% Sonstiges=0,1% Barzahlung 53% girocard 29% Kreditkarte 4% Lastschrift 3% Online-Zahlungen 8% Sonstige 3%
  5. 5. ©BundesverbanddeutscherBankene.V. Bezahlen beim Online-Einkauf 2014 und 2011 5 Quelle: Deutsche Bundesbank, Zahlungsverhalten in Deutschland 2014 Angaben in %, Mehrfachnennungen möglich; gemäß Selbstauskunft der Befragten Basis: Befragte, die angaben, im Internet einzukaufen
  6. 6. ©BundesverbanddeutscherBankene.V. Stationärer Handel ~ €400 Mrd. E-Commerce ~ €45 Mrd. Internetbezahlverfahren wird große Zukunft vorausgesagt Umsatz im Einzelhandel (D) 2012 Traditionelle Zahlverfahren Umsatz im Einzelhandel (D) 20XX Konvergenz der Märkte: E- Commerce und Stationärer Handel Moderne Internet- und mobile Zahlverfahren 6
  7. 7. ©BundesverbanddeutscherBankene.V. Dritte heute – PSD1 – nicht reguliert Payment Initiation Service Account Information Service PSD1 Foto:PIXELIO.deThorbenWengert 7
  8. 8. ©BundesverbanddeutscherBankene.V. Mit der PSD2 werden auch Dritte reguliert PSD1 Payment Initiation Service Account Information Service PSD1 Bank A Bank B PSD2 ECB Bundesbank EBA BaFin Foto:PIXELIO.deThorbenWengert 8
  9. 9. ©BundesverbanddeutscherBankene.V. PSD 2: Zugang zum Bankkonto für Dritte  Kundenzugang zum Online-Banking wird aufwändiger  Kunden-Login mit PIN und zusätzlich mit TAN  Device-PIN erfordert neue Hintergrundsysteme  Erhöhte Aufklärungspflichten gegenüber Kunden  Vereinfachung für Dritte  Banken müssen Authentifizierungs-Infrastruktur und Schnittstelle zu Dritten aufbauen und kostenfrei bereitstellen  Drei-Parteien-Systeme (PayPal, Amex) müssen die aufwändigen Kundenzugangsregeln nicht anwenden  Drittherausgeber von Zahlungsinstrumenten können Zahlungen auf dem Kundenkonto mit eigenen Authentifizierungsverfahren auslösen 9
  10. 10. ©BundesverbanddeutscherBankene.V. Mehr als die Hälfte nutzt Online-Banking 10 Quelle: Bankenverband; jüngste Befragung Juni 2014; Angaben in Prozent.
  11. 11. ©BundesverbanddeutscherBankene.V. Nutzung von Online-Banking steigt in allen Altersgruppen 11 Quelle: Bankenverband; jüngste Befragung Juni 2014; Angaben in Prozent.
  12. 12. ©BundesverbanddeutscherBankene.V. Online-Banking-Nutzer haben ihr Hauptkonto bei 12 Quelle: Bankenverband; jüngste Befragung Juni 2014; Angaben in Prozent.
  13. 13. ©BundesverbanddeutscherBankene.V. Vertrauen in Online-Banking steigt 13 Quelle: Bankenverband; jüngste Befragung Juni 2014; Angaben in Prozent.
  14. 14. ©BundesverbanddeutscherBankene.V. Wesentliche Legitimationsverfahren 14 TAN iTAN mobileTAN chipTAN photoTAN Biometrie 1990 2012 2014200620052004 BEGINNPHISHING … … 1990 HBCI
  15. 15. ©BundesverbanddeutscherBankene.V. 15 Die Bank ist vor allem sicher! Und verliert dadurch Geschäftsteile? Quelle: D-LABS
  16. 16. ©BundesverbanddeutscherBankene.V. Moderne Online-Zahlverfahren erfüllen zugleich Anforderungen von Käufern und Händlern 16 Einfach Vorkasse • Onlinebezahlung mit mehreren Eingabefeldern • Alternativ unbequeme Offline-Zahlung • Ein Passwort, ein Klick, fertig • ID vorausgefüllt • Lieferanschrift hinterlegt Rechnung • Nach Erhalt Ware: • Onlinebezahlung mit mehreren Ein- gabefeldern • … Alternativ unbequeme Offline-Zahlung Lastschrift Händische Eingabe von Bankdaten erforderlich Kreditkarte • Händische Eingabe von Kreditkarten- daten • … jedoch reagieren Schemes Käufer bekommt bei Betrug oder Nichtlieferung Geld zurück Sicher für Käufer kein Käuferschutz - Käufer nach Bezahlung „auf sich allein gestellt“ Käufer erhält bei Betrug oder Nichtlieferung Geld zurück Käufer durch nachträgliche Zahlung vollständig geschützt 8 Wochen Rückbuchungs- möglichkeit für Käufer Händler vollständig geschützt Händler hat Zahlungsgarantie mit einigen Ausnahmen Keine Absicherung des Händlers (Forderungskauf kostenintensiv) Händler mit Risiko der Rückbuchung In der Regel nur wenige Rück- buchungen Sicher für Händler Traditionelle Zahlverfahren Moderne Online- Zahlverfahren Sofort Händler erhält Bestätigung mit unregelmäßiger Verzögerung Händler und Käufer erhalten Realtime- Bestätigung Händler hat bei Versand der Ware noch keine Bestätigung der Zahlung Keine sofortige Bestätigung Kreditkarten- zahlung durch Bankautorisierung sofort für Kunde und Händler bestätigt
  17. 17. ©BundesverbanddeutscherBankene.V. Wichtige Kundenanforderungen an Online- Zahlungen auf einen Blick 17  Kunden wollen nicht mit Sicherheit „belästigt“ werden  Online-Zahlung soll einfach und schnell sein  Einfache Registrierung der Käufer  Bezahlen durch „Username+Passwort+Klick=bezahlt“  Das neue Bezahlverfahren der Deutschen Kreditwirtschaft „paydirekt“ erfüllt alle Kundenanforderungen.
  18. 18. ©BundesverbanddeutscherBankene.V. 18 Quelle: D-LABS Mit einem kundenzentrierten System-Design bleiben Geschäft und Kunden bei der Bank
  19. 19. ©BundesverbanddeutscherBankene.V. 9 Mio. neue Schadsoftwaren pro Monat - auch diese Menge dank agiler Sicherheitssysteme handhabbar 19
  20. 20. ©BundesverbanddeutscherBankene.V. Angriffe, Schäden und Gegenmaßnahmen  Profis greifen Kunden an, nicht die Bank.  6% der Kunden fallen auf Phishing rein.  Schäden im Online Banking betragen 1 Basispunkt über alle deutschen Institute.  Diese geringen Schäden sind auf die Sicherheitsmaßnahmen im Gesamtsystem zurück zu führen. Das besteht nicht nur aus dem Frontend zum Kunden: iTAN, mobileTAN, chipTAN, photoTAN oder Biometrie, sondern auch aus dem Hintergrundsystem. 20
  21. 21. ©BundesverbanddeutscherBankene.V. Ausblick nach PSD2  Wir erwarten, dass die Schäden mit dem Zugang zum Bankkonto für Dritte (PSD2) steigen – 1 Basispunkt wird nicht zu halten sein.  Denn: Kunde kann nicht unterscheiden zwischen legitimen Dritten und betrügerischen „Dritten“.  Auch heute sind die verbleibenden – geringen – Schäden fast ausnahmslos auf Social Engineering zurück zu führen, d.h. dem Kunden wird versucht mit einer glaubwürdigen Story seine Geheimnisse zu entlocken (PIN, TAN) und ihn zu einer „Testüberweisung“, „TAN-Generator-Kalibrierung“, „Sicherheitsupdate“, „Retoure-Zahlung“ etc. zu überreden. 21
  22. 22. ©BundesverbanddeutscherBankene.V. Prävention ist das A und O gegen Social Engineering  Dubioses Stellenangebot: Finanzagent (Juli 2014)  Wie schütze ich mich vor Phishing? (August 2014)  Online- und Mobile-Banking – sicher über Browser und App (September 2014)  Vorsicht: Betrug per Telefon (März 2015) 22
  23. 23. ©BundesverbanddeutscherBankene.V. Fazit  Online-Zahlungen sind aufgrund aller Maßnahmen zur Stärkung des Gesamtsystems sicher  Das Legitimationsverfahren ist die einzige für Kunden sichtbare Sicherheitsmaßnahme, aber nicht die einzige im Gesamtsystem  Level-Playing Field muss für alle Marktteilnehmer (Banken, Dritte, Verbraucher) und alle Länder der EU gleichermaßen gelten  Banken nehmen Digitalisierung auf, gestalten diese mit  Digitalisierung ist vor allem eine Chance für Banken 23

×