Wie sicher sind Online-Zahlungen?

Dr. Hans-Joachim Massenberg Bundesbank, Frankfurt am Main 15. Juni 2015 Symposium „Zahlungsverkehr in Deutschland im Jahr 2015“

© B

unde

sver

band

deu

tsch

er B

anke

n e.

V.

Agenda

Was sind Online-Zahlungen? Online-Banking in Deutschland Legitimationsverfahren Anforderungen an Online-Zahlverfahren Angriffe, Schäden, Gegenmaßnahmen Fazit

2

© B

unde

sver

band

deu

tsch

er B

anke

n e.

V.

Spot: Angriffe auf Online-Banking-Kunden – annähernd 9 Mio. neue Schadsoftwaren pro Monat

3

© B

unde

sver

band

deu

tsch

er B

anke

n e.

V.

Anteil von Zahlungsinstrumenten nach Umsatz 2014

4

Quelle: Deutsche Bundesbank, Zahlungsverhalten in Deutschland 2014

Online-Zahlungen: Überweisungen (5,3%) + Internet-Bezahlverfahren (2,8%) Auch Kreditkarte und Lastschriften teilweise für Online-Zahlungen benutzt.

Sonstige: unbar ohne Angaben (2,3%) + Rest (0,3%)

Rest: Vorausbezahlte Zahlungskarte=0,0% Kundenkarte=0,1% Kontaktloses Bezahlen mit Karte=0,1% Bezahlen mit Mobiltelefon=0,0% Sonstiges=0,1%

Barzahlung 53%

girocard 29%

Kreditkarte 4%

Lastschrift 3%

Online-Zahlungen 8%

Sonstige 3%

© B

unde

sver

band

deu

tsch

er B

anke

n e.

V.

Bezahlen beim Online-Einkauf 2014 und 2011

5

Quelle: Deutsche Bundesbank, Zahlungsverhalten in Deutschland 2014

Angaben in %, Mehrfachnennungen möglich; gemäß Selbstauskunft der Befragten

Basis: Befragte, die angaben, im Internet einzukaufen

© B

unde

sver

band

deu

tsch

er B

anke

n e.

V.

Stationärer Handel

~ €400 Mrd.

E-Commerce ~ €45 Mrd.

Internetbezahlverfahren wird große Zukunft vorausgesagt

Umsatz im Einzelhandel (D)

2012

Traditionelle Zahlverfahren

Umsatz im Einzelhandel (D)

20XX

Konvergenz der Märkte:

E-

Commerce

und

Stationärer Handel

Moderne Internet- und mobile Zahlverfahren

6

© B

unde

sver

band

deu

tsch

er B

anke

n e.

V.

Dritte heute – PSD1 – nicht reguliert

Kunde

Payment Initiation Service

Account Information

Service

PSD1

7

© B

unde

sver

band

deu

tsch

er B

anke

n e.

V.

Mit der PSD2 werden auch Dritte reguliert

Kunde

PSD1 Payment Initiation Service

Account Information

Service

PSD1 Bank A Bank B

PSD2

ECB Bundesbank EBA BaFin

8

© B

unde

sver

band

deu

tsch

er B

anke

n e.

V.

PSD 2: Zugang zum Bankkonto für Dritte Kundenzugang zum Online-Banking wird aufwändiger Kunden-Login mit PIN und zusätzlich mit TAN Device-PIN erfordert neue Hintergrundsysteme Erhöhte Aufklärungspflichten gegenüber Kunden

Vereinfachung für Dritte Banken müssen Authentifizierungs-Infrastruktur und Schnittstelle zu Dritten

aufbauen und kostenfrei bereitstellen Drei-Parteien-Systeme (PayPal, Amex) müssen die aufwändigen

Kundenzugangsregeln nicht anwenden Drittherausgeber von Zahlungsinstrumenten können Zahlungen auf dem

Kundenkonto mit eigenen Authentifizierungsverfahren auslösen

9

© B

unde

sver

band

deu

tsch

er B

anke

n e.

V.

Mehr als die Hälfte nutzt Online-Banking

10

Quelle: Bankenverband; jüngste Befragung Juni 2014; Angaben in Prozent.

© B

unde

sver

band

deu

tsch

er B

anke

n e.

V.

Nutzung von Online-Banking steigt in allen Altersgruppen

11

Quelle: Bankenverband; jüngste Befragung Juni 2014; Angaben in Prozent.

© B

unde

sver

band

deu

tsch

er B

anke

n e.

V.

Online-Banking-Nutzer haben ihr Hauptkonto bei

12

Quelle: Bankenverband; jüngste Befragung Juni 2014; Angaben in Prozent.

© B

unde

sver

band

deu

tsch

er B

anke

n e.

V.

Vertrauen in Online-Banking steigt

13

Quelle: Bankenverband; jüngste Befragung Juni 2014; Angaben in Prozent.

© B

unde

sver

band

deu

tsch

er B

anke

n e.

V.

14

Die Bank ist vor allem sicher! Und verliert dadurch Geschäftsteile?

Quelle: D-LABS

© B

unde

sver

band

deu

tsch

er B

anke

n e.

V.

Moderne Online-Zahlverfahren erfüllen zugleich Anforderungen von Käufern und Händlern

15

Einfach

Vorkasse

• Onlinebezahlung mit mehreren Eingabefeldern

• Alternativ unbequeme Offline-Zahlung

• Ein Passwort,

ein Klick, fertig • ID vorausgefüllt • Lieferanschrift

hinterlegt

Rechnung

• Nach Erhalt Ware: • Onlinebezahlung

mit mehreren Ein-gabefeldern

• … Alternativ unbequeme Offline-Zahlung

Lastschrift

Händische Eingabe von Bankdaten erforderlich

Kreditkarte

• Händische Eingabe von Kreditkarten-daten

• … jedoch reagieren Schemes

Käufer bekommt bei Betrug oder Nichtlieferung Geld zurück

Sicher für Käufer

kein Käuferschutz - Käufer nach Bezahlung „auf sich allein gestellt“

Käufer erhält bei Betrug oder Nichtlieferung Geld zurück

Käufer durch nachträgliche Zahlung vollständig geschützt

8 Wochen Rückbuchungs-möglichkeit für Käufer

Händler vollständig geschützt

Händler hat Zahlungsgarantie mit einigen Ausnahmen

Keine Absicherung des Händlers (Forderungskauf kostenintensiv)

Händler mit Risiko der Rückbuchung

In der Regel nur wenige Rück-buchungen

Sicher für Händler

Traditionelle Zahlverfahren Moderne Online-Zahlverfahren

Sofort

Händler erhält Bestätigung mit unregelmäßiger Verzögerung

Händler und Käufer erhalten Realtime- Bestätigung

Händler hat bei Versand der Ware noch keine Bestätigung der Zahlung

Keine sofortige Bestätigung

Kreditkarten-zahlung durch Bankautorisierung sofort für Kunde und Händler bestätigt

© B

unde

sver

band

deu

tsch

er B

anke

n e.

V.

Wichtige Kundenanforderungen an Online-Zahlungen auf einen Blick

16

Kunden wollen nicht mit Sicherheit „belästigt“ werden Online-Zahlung soll einfach und schnell sein Einfache Registrierung der Käufer Bezahlen durch „Username+Passwort+Klick=bezahlt“

Das neue Bezahlverfahren der Deutschen Kreditwirtschaft

„paydirekt“ erfüllt alle Kundenanforderungen.

© B

unde

sver

band

deu

tsch

er B

anke

n e.

V.

17

Quelle: D-LABS

Mit einem kundenzentrierten System-Design bleiben Geschäft und Kunden bei der Bank

© B

unde

sver

band

deu

tsch

er B

anke

n e.

V.

9 Mio. neue Schadsoftwaren pro Monat - auch diese Menge dank agiler Sicherheitssysteme handhabbar

18

© B

unde

sver

band

deu

tsch

er B

anke

n e.

V.

Angriffe, Schäden und Gegenmaßnahmen

Profis greifen Kunden an, nicht die Bank.

6% der Kunden fallen auf Phishing rein.

Schäden im Online Banking betragen 1 Basispunkt über alle deutschen Institute.

Diese geringen Schäden sind auf die Sicherheitsmaßnahmen im Gesamtsystem zurück zu führen. Das besteht nicht nur aus dem Frontend zum Kunden: iTAN, mobileTAN, chipTAN, photoTAN oder Biometrie, sondern auch aus dem Hintergrundsystem.

19

© B

unde

sver

band

deu

tsch

er B

anke

n e.

V.

Ausblick nach PSD2

Wir erwarten, dass die Schäden mit dem Zugang zum Bankkonto für Dritte (PSD2) steigen – 1 Basispunkt wird nicht zu halten sein.

Denn: Kunde kann nicht unterscheiden zwischen legitimen Dritten und betrügerischen „Dritten“.

Auch heute sind die verbleibenden – geringen – Schäden fast ausnahmslos auf Social Engineering zurück zu führen, d.h. dem Kunden wird versucht mit einer glaubwürdigen Story seine Geheimnisse zu entlocken (PIN, TAN) und ihn zu einer „Testüberweisung“, „TAN-Generator-Kalibrierung“, „Sicherheitsupdate“, „Retoure-Zahlung“ etc. zu überreden.

20

© B

unde

sver

band

deu

tsch

er B

anke

n e.

V.

Prävention ist das A und O gegen Social Engineering

Dubioses Stellenangebot: Finanzagent (Juli 2014) Wie schütze ich mich vor Phishing? (August 2014) Online- und Mobile-Banking – sicher über Browser und App

(September 2014) Vorsicht: Betrug per Telefon (März 2015)

21

© B

unde

sver

band

deu

tsch

er B

anke

n e.

V.

Fazit Online-Zahlungen sind aufgrund aller Maßnahmen zur Stärkung

des Gesamtsystems sicher

Das Legitimationsverfahren ist die einzige für Kunden sichtbare

Sicherheitsmaßnahme, aber nicht die einzige im Gesamtsystem

Level-Playing Field muss für alle Marktteilnehmer (Banken,

Dritte, Verbraucher) und alle Länder der EU gleichermaßen gelten

Banken nehmen Digitalisierung auf, gestalten diese mit

Digitalisierung ist vor allem eine Chance für Banken

22