Sie sind hier: Startseite » Markt » Tipps und Hinweise

Online-Zahlungsdienste: Wann ist "sicher" sicher?


Banken und Finanzdienstleister müssen ihre Transaktionsdienste ab September 2019 durch Verschlüsselung und Zwei-Faktor-Authentifizierung absichern - Doch um sensible Daten zuverlässig zu schützen, sollten Unternehmen mehr tun als das
Eine Alternative zu klassischen Cloud- und Serverinfrastrukturen sind betreibersichere Clouds, die etwa in Form der "Versiegelten Cloud"


Online bezahlen war noch nie so einfach: Die EU-Richtlinie PSD2 ("Payment Services Directive 2") mischt bereits seit Anfang 2018 die Payment-Branche auf. Sie erlaubt Unternehmen, auf Daten von Kreditinstituten zuzugreifen und begünstigt so die Entstehung neuer Finanz- und Zahlungsdienste, zum Beispiel Zahlungsauslöse- und Kontoinformationsdienste. Ab 14. September 2019 sind Banken und Unternehmen EU-weit dazu verpflichtet, diese Dienste durch Zwei-Faktor-Authentifizierung und verschlüsselte Übertragung abzusichern – doch reicht das aus, um dem hohen Schutzbedarf sensibler Kundendaten zu genügen? IT-Sicherheitsexperte Dr. Hubert Jäger von der TÜV SÜD-Tochter Uniscon rät Banken, Finanzdienstleistern und Unternehmen zu zusätzlichen Maßnahmen.

Ein Schritt in die richtige Richtung?
"Starke Kundenauthentifizierung und Verschlüsselung bei der Datenübertragung sind Schritte in die richtige Richtung und helfen, Daten gegen Angriffe von außen abzusichern. Doch sensible Daten müssen auch bei der Verarbeitung zuverlässig geschützt sein – und zwar auch gegen Angriffe von innen", betont Jäger. Dies zu gewährleisten ist nicht einfach: Werden Kundendaten im eigenen Rechenzentrum verarbeitet, muss der Anbieter seine Mitarbeiter durch geeignete Maßnahmen vom Zugriff auf sensible Informationen zuverlässig ausschließen. Bei der Nutzung von Cloud-Diensten wird es noch schwieriger, hinreichenden Datenschutz zu gewährleisten – es ist ein offenes Geheimnis, dass die meisten Cloud-Anbieter technisch die Möglichkeit haben, auf die Daten in ihren Rechenzentren zuzugreifen.

"Viele Infrastrukturen können nicht das hohe Sicherheitsniveau bieten, dass die DSGVO für die Verarbeitung schutzbedürftiger Daten voraussetzt", sagt Jäger und verweist auf Artikel 25 und 32 der Datenschutzgrundverordnung. Gerade die dort aufgeführten Forderungen nach `Datenschutz durch Technikgestaltung‘ – "Privacy by Design" – und Schutzmaßnahmen nach dem `Stand der Technik‘ stellen Unternehmen vor eine echte Herausforderung.

Zero-Trust-Technologie als Chance
Eine Alternative zu klassischen Cloud- und Serverinfrastrukturen sind betreibersichere Clouds, die etwa in Form der "Versiegelten Cloud" der Deutschen Telekom oder Uniscons "Sealed Platform" seit einiger Zeit im kommerziellen Einsatz sind. Jäger: "Viele Cloud-Anbieter setzen auf eine Kombination von organisatorischen und technischen Maßnahmen, um unerwünschte Zugriffe auszuschließen. Gerade organisatorische Schutzmaßnahmen lassen sich aber mit verhältnismäßig geringem Aufwand umgehen – ein nicht zu unterschätzendes Restrisiko bleibt hier also bestehen.

Betreibersichere Infrastrukturen hingegen schließen durch rein technische Maßnahmen jeglichen unbefugten Datenzugriff aus – auch den Betreiber der Infrastruktur selbst." Sogar privilegierter Zugriff im Rechenzentrum oder durch den Admin ist technisch ausgeschlossen – und auch ein Zugriff durch in- oder ausländische Behörden ist so unmöglich. Auf diese Weise können sensible Daten nicht nur sicher übertragen und gespeichert werden, sondern sind auch bei ihrer Verarbeitung in der Cloud geschützt – und zwar sowohl gegen externe als auch interne Angreifer.

Bei der Entwicklung dieser einzigartigen Zero-Trust-Technologie haben die Softwareingenieure grundlegende Datenschutz- und IT-Sicherheitsgrundsätze von Anfang an berücksichtigt. Durch diesen konsequenten Privacy by Design-Ansatz erreichen betreibersichere Infrastrukturen ein höheres Sicherheitsniveau als andere Cloud-Lösungen und bieten so eine ideale Basis für sämtliche digitalen Geschäftsmodelle, bei denen hochsensible Daten erhoben, gespeichert und verarbeitet werden. Das umfasst Finanz- und Payment-Services, aber auch alle anderen Dienste oder Anwendungen, bei denen Compliance höchste Priorität hat.
(Uniscon: ra)

eingetragen: 17.05.19
Newsletterlauf: 05.06.19

Uniscon universal identity control: Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Tipps und Hinweise

  • Mythos der maßgeschneiderten Entwicklung

    Der gezielte und flexible Einsatz von Technologie ist ein zentraler Erfolgsfaktor für Unternehmen. Digitalisierung ist für viele Unternehmen weiterhin eine Priorität, der sie eine substantielle Menge an Ausgaben einräumen: Einem Bericht des IDC zufolge, werden die weltweiten Investitionen in IT-Transformationsinitiativen voraussichtlich 4 Billionen US-Dollar bis 2027 übersteigen. Jedoch erreichen weniger als die Hälfte (48?Prozent) aller Digitalisierungsprojekte die angestrebten Ziele. Laut McKinsey scheitern sogar sieben von zehn Unternehmenstransformationen.

  • Migration in lokale Cloud-Rechenzentren

    Digitale Souveränität in und mit der Cloud - dafür sind Unternehmen gefordert, die entscheidenden Weichen zu stellen. Aus der Projekterfahrung von Yorizon, Vorreiterin für Open Source Edge-Cloud-Services, sind es fünf entscheidende Faktoren, die eine unabhängige und zukunftsfähige Cloud-Strategie sicherstellen.

  • Agentische KI im Retail-Bereich

    KI revolutioniert wie wir Ideen und Produkte entwickeln, Handel treiben und Informationen sammeln. Die menschliche Genialität bekommt dabei einen Kompagnon: die KI. Doch obwohl die generative KI häufig den größten Hype erzeugt, wird es die agentische KI sein, die Händlern den größten Nutzen bringt.

  • IT-Resilienz als Überlebensfaktor

    Angesichts der vom Bundesamt für Sicherheit in der Informationstechnik als "besorgniserregend" eingestuften Cybersicherheitslage gewinnen automatisierte Ansätze für die Stärkung der IT-Resilienz zunehmend an Bedeutung, wie aktuelle Implementierungen zeigen.

  • Backup-Lücke von Microsoft 365

    Unternehmen nutzen Microsoft 365 als Grundlage für ihre Produktivität. Doch neben den Vorteilen solcher Produktivitätsplattformen wird immer wieder eine Lücke in der Datenschutzstrategie übersehen: das Prinzip der geteilten Verantwortung. Diese Nachlässigkeit setzt wichtige Geschäftsinformationen erheblichen Risiken aus, die sich in Ausfallzeiten und wirtschaftlichen Verlusten niederschlagen können.

  • KI und digitale Souveränität

    Die europaweite Debatte rund um digitale Souveränität fokussiert sich in den vergangenen Wochen überwiegend auf das Thema "KI" (AI-Gigafactory etc.). Dabei gerät ein anderer Aspekt gerade etwas in den Hintergrund: Cyberresilienz und die Kontrolle über kritische Daten innerhalb Europas.

  • DMS und digitale Souveränität

    Die Welt ordnet sich neu und Europa steht unter wachsendem Druck, seine digitale Unabhängigkeit zu stärken. Laut einer Bitkom-Studie (2025) fordern 84 Prozent der Unternehmen, dass die neue Bundesregierung der digitalen Souveränität höchste Priorität einräumt. Gerade im Umgang mit vertraulichen Dokumenten und geschäftskritischen Informationen zeigt sich, wie entscheidend die Kontrolle über digitale Prozesse ist. Die easy software AG beleuchtet, welche Rolle das Dokumentenmanagement dabei spielt - und worauf es jetzt ankommt.

  • MDR - meist mehr Schein als Sein

    Managed Detection and Response (MDR) ist der neue Hype der IT-Sicherheitsbranche. Kaum ein Systemhaus, das nicht plötzlich MDR im Portfolio hat. Was sich hinter diesem Label verbirgt, ist oft enttäuschend: vollautomatisierte EDR- oder XDR-Lösungen mit dem Etikett "Managed", das in Wahrheit kaum mehr bedeutet, als dass ein Dienstleister Herstellerlösungen lizenziert - nicht aber selbst Verantwortung übernimmt.

  • Einblicke in die Sichtweise der Kunden

    Online-Händler erhalten täglich eine unzählige Menge an Anfragen. Ein Großteil davon wird mit KI-Agenten gelöst, da sie immer wieder ähnliche Themen wie Lieferzeiten, Rücksendungen oder Produktspezifikationen betreffen. Zum einen sind KI-Agenten damit eine Arbeitserleichterung bei wiederkehrenden Anfragen, besonders wenn diese Lösungen einfach zu bedienen sind, und den Unternehmen schnellen Mehrwert bieten. Doch hinter diesen Wiederholungen verbirgt sich zum anderen auch eine bislang oft ungenutzte Quelle strategischer Erkenntnisse: die Daten, die bei jeder einzelnen Interaktion entstehen.

  • Modernisierung birgt auch ein Risiko

    Der Trend zur Cloud-Migration setzt Vermögensverwalter zunehmend unter Druck, ihre digitale Transformation voranzutreiben. Einer der strategischen Pfeiler einer Cloud-Strategie ist dabei der Wechsel von On-Premise- zu SaaS-Lösungen. Für größere, traditionelle Institutionen stellt sich jedoch die Frage: Sollten sie direkt auf SaaS umsteigen oder lieber einen mehrstufigen Ansatz über PaaS wählen? Alberto Cuccu, COO von Objectway, erklärt, warum ein schrittweiser Migrationsprozess für bestimmte Geschäftsfälle eine sinnvolle Option sein kann, welche Rolle DORA dabei spielt und welche typischen Fehler Banken bei ihrer IT-Transformation machen.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen