Zahlungsdienstleister: Die Payment Service Directive 2

Mit Einführung der Pay­ment Ser­vice Di­rec­tive (Zah­lungs­diens­te­richt­li­nie) sollte das Zah­lungs­dienst­recht und der Zah­lungs­dienst­leis­ter im ge­sam­ten eu­ropäischen (Wirt­schaft) Raum re­gu­liert wer­den. Ziel ist es, die Auf­nahme von Nicht­ban­ken in die Zah­lungs­bran­che durch an­ge­gli­chene Wett­be­werbs­be­din­gun­gen zu erhöhen. Die über­ar­bei­tete Zah­lungs­diens­te­richt­li­nie (PSD 2) löst die Zah­lungs­diens­te­richt­li­nie 2007/64/EG (PSD) vom 13.11.2007 ab und ist seit 13.1.2018 gültig. Hier­bei wer­den bspw. Ban­ken ver­pflich­tet, Schnitt­stel­len ein­zu­rich­ten, die Zah­lungs­dienst­leis­tern den Zu­griff auf die Kon­ten der Bank­kun­den ermögli­chen.

Das re­gu­la­to­ri­sche Rah­men­werk bil­det das Ge­setz über die Be­auf­sich­ti­gung von Zah­lungs­diens­ten (Zah­lungs­dienst­auf­sichts­ge­setz, ZAG), wel­ches die Einführung neuer er­laub­nis­pflich­ti­ger Zah­lungs­dienste und die Ein­schränkung bis­he­ri­ger Aus­nah­me­re­ge­lun­gen, vor al­lem die Erhöhung des Ver­brau­cher­schut­zes, be­inhal­tet. Mit den re­gu­la­to­ri­schen tech­ni­schen Stan­dards (RTS) ist eine Ba­sis für eine starke Kun­den­au­then­ti­fi­zie­rung und si­chere of­fene Stan­dards für die Kom­mu­ni­ka­tion ge­schaf­fen wor­den. Ab­ge­run­det wird der re­gu­la­to­ri­sche Rah­men durch die Leit­li­nien zu Si­cher­heitsmaßnah­men bezüglich der ope­ra­tio­nel­len und si­cher­heits­re­le­van­ten Ri­si­ken von Zah­lungs­diens­ten (EBA Leit­li­nie 2017/17).

Um die An­for­de­run­gen aus den Re­gu­la­rien zu be­ur­tei­len, emp­fiehlt sich bei­spiels­weise eine an das In­for­ma­ti­ons­si­cher­heits-Ma­nage­ment­sys­tem an­ge­lehnte Vor­ge­hens­weise. Aus­gangs­punkt ist die Schaf­fung ei­ner ein­heit­li­chen Samm­lung der we­sent­li­chen An­for­de­run­gen der PSD 2. Hierzu be­darf es ei­ner Um­feld- und An­for­de­rungs­ana­lyse.
 
Es gilt Über­de­ckun­gen zwi­schen ein­zel­nen Nor­men vorab zu iden­ti­fi­zie­ren, um Dop­pel­ar­bei­ten und po­ten­ti­elle In­kon­gru­en­zen zu ver­mei­den (z. B. Über­schnei­dun­gen von PSD 2 und EU-DS­GVO). Die Nor­men soll­ten in ihre ein­zel­nen The­men­fel­der (An­for­de­run­gen) ge­glie­dert wer­den und an­schließend so­wohl zu­ein­an­der als auch zu den für sie we­sent­li­chen ISMS-Ob­jek­ten in Be­zie­hung ge­bracht wer­den. Or­ga­ni­sa­ti­ons­ob­jekte können Pro­zesse, Ap­pli­ka­tio­nen, In­fra­struk­tur oder recht­li­che Ein­hei­ten sein. Die we­sent­lichs­ten Nor­men hierzu sind ne­ben den be­reits oben auf­geführ­ten Re­gu­la­rien bspw.:

• Min­dest­an­for­de­run­gen an u. a. Ban­ken bzgl. des Um­gangs mit Ge­schäfts­ri­si­ken, ins­be­son­dere IT-Ri­si­ken und „Si­chere In­ter­net­zah­lun­gen“ (bis zu de­ren Ablösung),
• Out­sour­cing Gui­de­lines (z. B. Ma­Risk / BAIT / MaSI),
• Da­ten­schutz-Grund­ver­ord­nung (EU-DS­GVO) so­wie
• ISO 27001 / BSI-Hin­weise als Haupt­bau­stein ei­nes zer­ti­fi­zier­ten ISMS und tech­ni­sche Hin­weise und An­for­de­run­gen des BSI.

Nach­dem der Gel­tungs­be­reich / Scope der Prüfungs­auf­ga­ben­stel­lung fest­ge­legt ist, sind die Ri­si­ken des Scopes zu iden­ti­fi­zie­ren. Wel­chen Be­dro­hun­gen ist das Un­ter­neh­men aus­ge­setzt? Hierfür ist ein Ma­nage­ment­sys­tem zur Iden­ti­fi­ka­tion von tech­ni­schen und or­ga­ni­sa­to­ri­schen Schwach­stel­len und Be­dro­hun­gen ein we­sent­li­cher Be­stand­teil. Nur so können Si­cher­heitslücken und Be­dro­hun­gen, die von in­nen wie außen auf das Un­ter­neh­men, den Pro­zess, das Sys­tem ein­wir­ken, zu­verlässig iden­ti­fi­ziert wer­den. Es sind Maßnah­men ab­zu­lei­ten, wel­che dem Ri­siko ent­ge­gen­steu­ern können.

Z. B. for­dert die Leit­li­nien zu Si­cher­heitsmaßnah­men (EBA/GL/2017/17) Si­cher­heitsmaßnah­men zur Min­de­rung der si­cher­heits­re­le­van­ten und ope­ra­tio­nel­len Ri­si­ken so­wie eine Si­cher­heits­stra­te­gie gemäß PSD 2. Ebenso sind eine De­fi­ni­tion und Zu­wei­sung von Auf­ga­ben und Zuständig­kei­ten so­wie Be­richts­li­nien, Ver­fah­ren und Sys­teme zur Iden­ti­fi­zie­rung, Mes­sung, Über­wa­chung und Steue­rung der Ri­si­ken so­wie Re­ge­lun­gen zur Auf­recht­er­hal­tung des Ge­schäfts­be­triebs (Busi­ness Con­ti­nuity) und eine ord­nungs­gemäße Do­ku­men­ta­tion ge­for­dert. Diese Re­ge­lun­gen ge­stal­ten sich bspw. ana­log den An­for­de­run­gen der Ma­Risk / BAIT. Hier ste­hen eben­falls Verfügbar­keit, In­te­grität und Ver­trau­lich­keit der Sys­teme und Da­ten mit dem Ziel der Ri­si­kom­in­de­rung un­ter Berück­sich­ti­gung der in­di­vi­du­el­len Ri­si­ko­be­reit­schaft im Fo­kus.

Die RTS for­dern ein spe­zi­fi­sches Do­ku­men­ta­ti­ons­rah­men­werk. Hier sind z. B. in Art. 3 i.V.m. Art 1 Si­cher­heitsmaßnah­men für die starke Kun­den­au­then­ti­fi­zie­rung, An­wen­dung von Aus­nah­men hierfür, Si­cher­stel­lung von Ver­trau­lich­keit und In­te­grität von Kun­den­zu­gangs­in­for­ma­tio­nen so­wie all­ge­meine und of­fene Stan­dards für die Kom­mu­ni­ka­tion ge­for­dert. Es gilt zu eru­ie­ren, wel­che Pro­zesse, Ver­fah­ren, Sys­teme etc. zu do­ku­men­tie­ren, wel­che Nach­weise vor­zu­hal­ten sind und für wen und wann die In­for­ma­tio­nen zur Verfügung zu stel­len sind. Grundsätz­lich ent­spre­chen die vor­zu­hal­ten­den Do­ku­men­ta­tio­nen, In­for­ma­tio­nen und Nach­weise den „übli­chen“ Sorg­falts­pflich­ten aus einem In­for­ma­ti­ons­si­cher­heits-Ma­nage­ment­sys­tem oder An­for­de­run­gen bspw. der Ma­Risk / BAIT. Auch sind im Do­ku­men­ta­ti­ons­rah­men­werk gemäß dem ISO-Stan­dard 27001 schon viele The­men der PSD 2 ab­ge­deckt.

Um den Be­darf der (noch) zu im­ple­men­tie­ren­den Maßnah­men / Kon­trol­len be­nen­nen zu können (State­ment of Ap­plica­bi­lity – Gap-Ana­lyse), sind die be­reits im Un­ter­neh­men um­ge­setz­ten Si­cher­heitsmaßnah­men mit den An­for­de­run­gen des zu­grunde lie­gen­den Re­gel­werks (hier RTS und EBA-Leit­li­nie) ge­genüber­zu­stel­len.

Das Er­geb­nis legt of­fen, wel­cher Ab­de­ckungs­grad be­reits mit den be­ste­hen­den Pro­zes­sen und Do­ku­men­ten vor­liegt und wel­che Lücken es zu schließen gilt.

Um die ge­won­nen Er­kennt­nisse zielführend in die Op­ti­mie­rung des be­ste­hen­den Ri­si­ko­ma­nage­ments / ISMS zu überführen, gilt es, einen um­fas­sen­den Maßnah­men­plan zu er­stel­len, wel­cher Abhängig­kei­ten berück­sich­tigt so­wie Ver­ant­wort­lich­kei­ten und Fris­ten iden­ti­fi­ziert. Das „State­ment of Ap­plica­bi­lity“ stellt die Maßnah­men dar, wel­che aus be­stimm­ten Gründen an­ge­wen­det bzw. auch nicht an­ge­wen­det wur­den.

Bei der ISO 27001 bei­spiels­weise sind die Maßnah­men als nor­ma­tive Werte im sog. AN­NEX A auf­geführt. Die im An­nex A be­schrie­be­nen Maßnah­men sind von der Norm als (nor­ma­tive) Re­ak­tion auf die Er­geb­nisse der Ri­si­ko­be­trach­tung zu se­hen. Es han­delt sich hier­bei um im­pli­zite Maßnah­men­ziele. Die Liste der Maßnah­men­ziele und Maßnah­men in An­hang A ist nicht er­schöpfend und wei­tere Maßnah­men­ziele und Maßnah­men könn­ten er­for­der­lich sein. Durch be­reits be­ste­hende (all­ge­meine) An­for­de­run­gen aus den Ma­Risk / BAIT soll­ten die kon­toführen­den Zah­lungs­dienst­leis­ter (Ban­ken) be­reits Maßnah­men / Kon­trol­len im­ple­men­tiert ha­ben, wel­che bspw. die Be­schränkung von Zu­griffs­rech­ten, den über­mit­tel­ten In­for­ma­ti­ons­um­fang oder Über­wa­chung von Schnitt­stel­len the­ma­ti­sie­ren. Die PSD 2 len­ken den Fo­kus so­mit noch ein­mal verstärkt und auch de­tail­lier­ter auf den Zah­lungs­ver­kehr.

Die EBA-Leit­li­nien grei­fen die aus Ma­Risk / BAIT so­wie aus ISMS und BCM hinläng­lich be­kann­ten Prin­zi­pien, Ver­fah­ren und Maßnah­men auf und be­zie­hen diese auf die Ge­schäfts­pro­zesse im Zu­sam­men­hang mit Zah­lungs­diens­ten. So­mit können z. B. im Rah­men der Jah­res­ab­schlussprüfung Prüfungs­hand­lun­gen bei Auf­bau- und Ab­laufprüfung ana­log durch­geführt wer­den. In der Pra­xis sind die Ge­schäfts­pro­zesse im Zu­sam­men­hang mit Zah­lungs­diens­ten in das be­reits be­ste­hende Ri­si­ko­ma­nage­ment / ISMS / BCM ein­zu­be­zie­hen und ent­spre­chend zu berück­sich­ti­gen. Ggf. ist eine An­pas­sung / Op­ti­mie­rung des Ri­si­ko­ma­nage­ments ent­spre­chend den EBA-Leit­li­nien vor­zu­neh­men. Die De­tail­ge­nau­ig­keit sollte in einem an­ge­mes­se­nen Verhält­nis zur Größe des Zah­lungs­dienst­leis­ters so­wie zu Art, Um­fang, Kom­ple­xität und Ri­si­ko­be­haf­tung des Zah­lungs­diens­tes ste­hen (Pro­por­tio­na­litätsprin­zip), d. h., dass grundsätz­lich alle Ar­beits­pa­kete der Leit­li­nien berück­sich­tigt wer­den müssen. Le­dig­lich der De­tailie­rungs­grad der Aus­ge­stal­tung darf in Abhängig­keit von den in­di­vi­du­el­len Ge­ge­ben­hei­ten beim Zah­lungs­dienst­leis­ter va­ri­ie­ren.

We­sent­li­cher Be­stand­teil ist die Überprüfung der be­schrie­be­nen Maßnah­men / Kon­trol­len. Auf de­ren Wirk­sam­keit sind die fol­gen­den As­pekte zu berück­sich­ti­gen:

• Ist die Schutzmaßnahme ge­eig­net, um das Ri­siko zu re­du­zie­ren?
• Stellt die ge­trof­fene Maßnahme eine neue/zusätz­li­che Gefähr­dung dar?
• Wird die Schutzmaßnahme in der Pra­xis ver­wen­det, ein­ge­hal­ten, nicht ma­ni­pu­liert?

Wich­tig hier­bei ist ge­nau zu de­fi­nie­ren, wel­che Kon­trolle geprüft wird, wel­che Prüfungs­hand­lun­gen vor­ge­nom­men wur­den (z. B. Be­fra­gung, Be­ob­ach­tung, Durch­sicht), der Stich­pro­ben­um­fang so­wie das Er­geb­nis der Funk­ti­onsprüfun­gen (Art und An­zahl der Ab­wei­chun­gen, un­abhängig da­von, ob der Wirt­schaftsprüfer zu der Auf­fas­sung ge­langt, dass das zu­gehörige Kon­troll­ziel er­reicht wurde) und die Be­ur­tei­lung der Ab­wei­chung im Hin­blick auf die Wirk­sam­keit der Kon­trolle.

Die PSD 2 (z. B. EBA-Leit­li­nien) neh­men An­for­de­run­gen der Ma­Risk / BAIT auf und erhöhen den De­tail­grad punk­tu­ell. Für die sys­te­ma­ti­sche Ana­lyse der Si­cher­heits­an­for­de­run­gen und Ab­de­ckung durch ein Ma­nage­ment-Sys­tem für IT-Si­cher­heit bie­tet sich bspw. die ISO 27001 als Werk­zeug zur Be­die­nung der An­for­de­run­gen aus der PSD 2 an. Hier­bei ist es aber un­ab­ding­bar, den Scope der be­reits be­ste­hen­den Ma­nage­ment-Sys­te­men zu be­ach­ten.