Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
Wie sicher sind Online-Zahlungen?
Dr. Hans-Joachim Massenberg Bundesbank, Frankfurt am Main 15. Juni 2015 Symposium „Zahlungsverkehr in Deutschland im Jahr 2015“
© B
unde
sver
band
deu
tsch
er B
anke
n e.
V.
Agenda
Was sind Online-Zahlungen? Online-Banking in Deutschland Legitimationsverfahren Anforderungen an Online-Zahlverfahren Angriffe, Schäden, Gegenmaßnahmen Fazit
2
© B
unde
sver
band
deu
tsch
er B
anke
n e.
V.
Spot: Angriffe auf Online-Banking-Kunden – annähernd 9 Mio. neue Schadsoftwaren pro Monat
3
© B
unde
sver
band
deu
tsch
er B
anke
n e.
V.
Anteil von Zahlungsinstrumenten nach Umsatz 2014
4
Quelle: Deutsche Bundesbank, Zahlungsverhalten in Deutschland 2014
Online-Zahlungen: Überweisungen (5,3%) + Internet-Bezahlverfahren (2,8%) Auch Kreditkarte und Lastschriften teilweise für Online-Zahlungen benutzt.
Sonstige: unbar ohne Angaben (2,3%) + Rest (0,3%)
Rest: Vorausbezahlte Zahlungskarte=0,0% Kundenkarte=0,1% Kontaktloses Bezahlen mit Karte=0,1% Bezahlen mit Mobiltelefon=0,0% Sonstiges=0,1%
Barzahlung 53%
girocard 29%
Kreditkarte 4%
Lastschrift 3%
Online-Zahlungen 8%
Sonstige 3%
© B
unde
sver
band
deu
tsch
er B
anke
n e.
V.
Bezahlen beim Online-Einkauf 2014 und 2011
5
Quelle: Deutsche Bundesbank, Zahlungsverhalten in Deutschland 2014
Angaben in %, Mehrfachnennungen möglich; gemäß Selbstauskunft der Befragten
Basis: Befragte, die angaben, im Internet einzukaufen
© B
unde
sver
band
deu
tsch
er B
anke
n e.
V.
Stationärer Handel
~ €400 Mrd.
E-Commerce ~ €45 Mrd.
Internetbezahlverfahren wird große Zukunft vorausgesagt
Umsatz im Einzelhandel (D)
2012
Traditionelle Zahlverfahren
Umsatz im Einzelhandel (D)
20XX
Konvergenz der Märkte:
E-
Commerce
und
Stationärer Handel
Moderne Internet- und mobile Zahlverfahren
6
© B
unde
sver
band
deu
tsch
er B
anke
n e.
V.
Dritte heute – PSD1 – nicht reguliert
Kunde
Payment Initiation Service
Account Information
Service
PSD1
7
© B
unde
sver
band
deu
tsch
er B
anke
n e.
V.
Mit der PSD2 werden auch Dritte reguliert
Kunde
PSD1 Payment Initiation Service
Account Information
Service
PSD1 Bank A Bank B
PSD2
ECB Bundesbank EBA BaFin
8
© B
unde
sver
band
deu
tsch
er B
anke
n e.
V.
PSD 2: Zugang zum Bankkonto für Dritte Kundenzugang zum Online-Banking wird aufwändiger Kunden-Login mit PIN und zusätzlich mit TAN Device-PIN erfordert neue Hintergrundsysteme Erhöhte Aufklärungspflichten gegenüber Kunden
Vereinfachung für Dritte Banken müssen Authentifizierungs-Infrastruktur und Schnittstelle zu Dritten
aufbauen und kostenfrei bereitstellen Drei-Parteien-Systeme (PayPal, Amex) müssen die aufwändigen
Kundenzugangsregeln nicht anwenden Drittherausgeber von Zahlungsinstrumenten können Zahlungen auf dem
Kundenkonto mit eigenen Authentifizierungsverfahren auslösen
9
© B
unde
sver
band
deu
tsch
er B
anke
n e.
V.
Mehr als die Hälfte nutzt Online-Banking
10
Quelle: Bankenverband; jüngste Befragung Juni 2014; Angaben in Prozent.
© B
unde
sver
band
deu
tsch
er B
anke
n e.
V.
Nutzung von Online-Banking steigt in allen Altersgruppen
11
Quelle: Bankenverband; jüngste Befragung Juni 2014; Angaben in Prozent.
© B
unde
sver
band
deu
tsch
er B
anke
n e.
V.
Online-Banking-Nutzer haben ihr Hauptkonto bei
12
Quelle: Bankenverband; jüngste Befragung Juni 2014; Angaben in Prozent.
© B
unde
sver
band
deu
tsch
er B
anke
n e.
V.
Vertrauen in Online-Banking steigt
13
Quelle: Bankenverband; jüngste Befragung Juni 2014; Angaben in Prozent.
© B
unde
sver
band
deu
tsch
er B
anke
n e.
V.
14
Die Bank ist vor allem sicher! Und verliert dadurch Geschäftsteile?
Quelle: D-LABS
© B
unde
sver
band
deu
tsch
er B
anke
n e.
V.
Moderne Online-Zahlverfahren erfüllen zugleich Anforderungen von Käufern und Händlern
15
Einfach
Vorkasse
• Onlinebezahlung mit mehreren Eingabefeldern
• Alternativ unbequeme Offline-Zahlung
• Ein Passwort,
ein Klick, fertig • ID vorausgefüllt • Lieferanschrift
hinterlegt
Rechnung
• Nach Erhalt Ware: • Onlinebezahlung
mit mehreren Ein-gabefeldern
• … Alternativ unbequeme Offline-Zahlung
Lastschrift
Händische Eingabe von Bankdaten erforderlich
Kreditkarte
• Händische Eingabe von Kreditkarten-daten
• … jedoch reagieren Schemes
Käufer bekommt bei Betrug oder Nichtlieferung Geld zurück
Sicher für Käufer
kein Käuferschutz - Käufer nach Bezahlung „auf sich allein gestellt“
Käufer erhält bei Betrug oder Nichtlieferung Geld zurück
Käufer durch nachträgliche Zahlung vollständig geschützt
8 Wochen Rückbuchungs-möglichkeit für Käufer
Händler vollständig geschützt
Händler hat Zahlungsgarantie mit einigen Ausnahmen
Keine Absicherung des Händlers (Forderungskauf kostenintensiv)
Händler mit Risiko der Rückbuchung
In der Regel nur wenige Rück-buchungen
Sicher für Händler
Traditionelle Zahlverfahren Moderne Online-Zahlverfahren
Sofort
Händler erhält Bestätigung mit unregelmäßiger Verzögerung
Händler und Käufer erhalten Realtime- Bestätigung
Händler hat bei Versand der Ware noch keine Bestätigung der Zahlung
Keine sofortige Bestätigung
Kreditkarten-zahlung durch Bankautorisierung sofort für Kunde und Händler bestätigt
© B
unde
sver
band
deu
tsch
er B
anke
n e.
V.
Wichtige Kundenanforderungen an Online-Zahlungen auf einen Blick
16
Kunden wollen nicht mit Sicherheit „belästigt“ werden Online-Zahlung soll einfach und schnell sein Einfache Registrierung der Käufer Bezahlen durch „Username+Passwort+Klick=bezahlt“
Das neue Bezahlverfahren der Deutschen Kreditwirtschaft
„paydirekt“ erfüllt alle Kundenanforderungen.
© B
unde
sver
band
deu
tsch
er B
anke
n e.
V.
17
Quelle: D-LABS
Mit einem kundenzentrierten System-Design bleiben Geschäft und Kunden bei der Bank
© B
unde
sver
band
deu
tsch
er B
anke
n e.
V.
9 Mio. neue Schadsoftwaren pro Monat - auch diese Menge dank agiler Sicherheitssysteme handhabbar
18
© B
unde
sver
band
deu
tsch
er B
anke
n e.
V.
Angriffe, Schäden und Gegenmaßnahmen
Profis greifen Kunden an, nicht die Bank.
6% der Kunden fallen auf Phishing rein.
Schäden im Online Banking betragen 1 Basispunkt über alle deutschen Institute.
Diese geringen Schäden sind auf die Sicherheitsmaßnahmen im Gesamtsystem zurück zu führen. Das besteht nicht nur aus dem Frontend zum Kunden: iTAN, mobileTAN, chipTAN, photoTAN oder Biometrie, sondern auch aus dem Hintergrundsystem.
19
© B
unde
sver
band
deu
tsch
er B
anke
n e.
V.
Ausblick nach PSD2
Wir erwarten, dass die Schäden mit dem Zugang zum Bankkonto für Dritte (PSD2) steigen – 1 Basispunkt wird nicht zu halten sein.
Denn: Kunde kann nicht unterscheiden zwischen legitimen Dritten und betrügerischen „Dritten“.
Auch heute sind die verbleibenden – geringen – Schäden fast ausnahmslos auf Social Engineering zurück zu führen, d.h. dem Kunden wird versucht mit einer glaubwürdigen Story seine Geheimnisse zu entlocken (PIN, TAN) und ihn zu einer „Testüberweisung“, „TAN-Generator-Kalibrierung“, „Sicherheitsupdate“, „Retoure-Zahlung“ etc. zu überreden.
20
© B
unde
sver
band
deu
tsch
er B
anke
n e.
V.
Prävention ist das A und O gegen Social Engineering
Dubioses Stellenangebot: Finanzagent (Juli 2014) Wie schütze ich mich vor Phishing? (August 2014) Online- und Mobile-Banking – sicher über Browser und App
(September 2014) Vorsicht: Betrug per Telefon (März 2015)
21
© B
unde
sver
band
deu
tsch
er B
anke
n e.
V.
Fazit Online-Zahlungen sind aufgrund aller Maßnahmen zur Stärkung
des Gesamtsystems sicher
Das Legitimationsverfahren ist die einzige für Kunden sichtbare
Sicherheitsmaßnahme, aber nicht die einzige im Gesamtsystem
Level-Playing Field muss für alle Marktteilnehmer (Banken,
Dritte, Verbraucher) und alle Länder der EU gleichermaßen gelten
Banken nehmen Digitalisierung auf, gestalten diese mit
Digitalisierung ist vor allem eine Chance für Banken
22