03.06.2019 – Kategorie: IT-Sicherheit

Online-Zahlungsdienste: Wann ist „sicher“ sicher genug?

Online-ZahlungsdiensteQuelle: Uniscon

Online bezahlen war noch nie so einfach: Die EU-Richtlinie PSD2 gilt bereits seit Anfang 2018. Sie erlaubt Unternehmen, auf Daten von Kreditinstituten zuzugreifen und begünstigt so die Entstehung neuer Finanz- und Zahlungsdienste. Ab dem 14. September 2019 müssen Anbieter ihre Zahlungsdienste durch Zwei-Faktor-Authentifizierung und verschlüsselte Übertragung absichern.

Reicht die Absicherung der Online-Zahlungsdienste durch Zwei-Faktor-Authentifizierung und verschlüsselte Übertragung aus, um dem hohen Schutzbedarf sensibler Kundendaten zu genügen. Der IT-Sicherheitsexperte Dr. Hubert Jäger von der TÜV SÜD-Tochter Uniscon rät Banken, Finanzdienstleistern und Unternehmen, zusätzliche Maßnahmen einzuleiten: „Starke Kundenauthentifizierung und Verschlüsselung bei der Datenübertragung sind Schritte in die richtige Richtung und helfen, Daten gegen Angriffe von außen abzusichern. Doch sensible Daten müssen auch bei der Verarbeitung zuverlässig geschützt sein – und zwar auch gegen Angriffe von innen.“

Dies zu gewährleisten ist nicht einfach: Werden Kundendaten im eigenen Rechenzentrum verarbeitet, muss der Anbieter seine Mitarbeiter durch geeignete Maßnahmen vom Zugriff auf sensible Informationen zuverlässig ausschließen. Bei der Nutzung von Cloud-Diensten wird es noch schwieriger, hinreichenden Datenschutz zu gewährleisten – es ist ein offenes Geheimnis, dass die meisten Cloud-Anbieter technisch die Möglichkeit haben, auf die Daten in ihren Rechenzentren zuzugreifen.

DSGVO erfordert hohes Sicherheitsniveau

„Viele Infrastrukturen können nicht das hohe Sicherheitsniveau bieten, dass die DSGVO für die Verarbeitung schutzbedürftiger Daten voraussetzt“, sagt Jäger und verweist auf Artikel 25 und 32 der Datenschutzgrundverordnung. Gerade die dort aufgeführten Forderungen nach Datenschutz durch Technikgestaltung– „Privacy by Design“ – und Schutzmaßnahmen nach dem Stand der Technik stellen Unternehmen vor eine echte Herausforderung.

Eine Alternative zu klassischen Cloud- und Serverinfrastrukturen sind betreibersichere Clouds, die etwa in Form der „Versiegelten Cloud“ der Deutschen Telekom oder Uniscons „Sealed Platform“ seit einiger Zeit im kommerziellen Einsatz sind. Jäger: „Viele Cloud-Anbieter setzen auf eine Kombination von organisatorischen und technischen Maßnahmen, um unerwünschte Zugriffe auszuschließen. Gerade organisatorische Schutzmaßnahmen lassen sich aber mit verhältnismäßig geringem Aufwand umgehen – ein nicht zu unterschätzendes Restrisiko bleibt hier also bestehen.

Online-Zahlungsdienste: Zero-Trust-Technologie als Chance

Betreibersichere Infrastrukturen hingegen schließen durch rein technische Maßnahmen jeglichen unbefugten Datenzugriff aus – auch den Betreiber der Infrastruktur selbst.“ Sogar privilegierter Zugriff im Rechenzentrum oder durch den Admin ist technisch ausgeschlossen – und auch ein Zugriff durch in- oder ausländische Behörden ist so unmöglich. Auf diese Weise können sensible Daten nicht nur sicher übertragen und gespeichert werden, sondern sind auch bei ihrer Verarbeitung in der Cloud geschützt – und zwar sowohl gegen externe als auch interne Angreifer.

Bei der Entwicklung dieser einzigartigen Zero-Trust-Technologie haben die Softwareingenieure grundlegende Datenschutz- und IT-Sicherheitsgrundsätze von Anfang an berücksichtigt. Durch diesen konsequenten Privacy by Design-Ansatz erreichen betreibersichere Infrastrukturen ein höheres Sicherheitsniveau als andere Cloud-Lösungen und bieten so eine ideale Basis für sämtliche digitalen Geschäftsmodelle, bei denen hochsensible Daten erhoben, gespeichert und verarbeitet werden. Das umfasst Finanz- und Payment-Services wie Online-Zahlungsdienste, aber auch alle anderen Dienste oder Anwendungen, bei denen Compliance höchste Priorität hat. (sg)

Lesen Sie auch: Kommentar zur DSGVO: neue Risiken für den Datenschutz


Teilen Sie die Meldung „Online-Zahlungsdienste: Wann ist „sicher“ sicher genug?“ mit Ihren Kontakten:


Scroll to Top