Richtlinien für Unternehmer: Wie man digitale Transaktionen sichert

In der Europäischen Union werden digitale Zahlungen zunehmend verbreitet. Dies wird durch Daten der Europäischen Zentralbank unterstützt, die zeigen, dass der Wert digitaler Zahlungen im europäischen Einzelhandel von 2017 bis 2023 mehr als verdoppelt wurde und jährlich eine Billion Euro erreicht hat. Es wird erwartet, dass das Wachstum anhält, aber mit dem Anstieg digitaler Zahlungen steigt auch die Zahl der Cyber-Bedrohungen, die vor nichts Halt machen, um an wertvolle Daten zu gelangen und illegale Gewinne zu erzielen. Cybersicherheit wird daher zu einer Anforderung, die Unternehmer, Dienstleister und Nutzer nicht ignorieren können.

Wichtige Schritte

Der primäre Schutz basiert auf der Datenverschlüsselung während der Übertragung und Speicherung, betonte Ivica Kruhek, Direktor von Marker, die Verwendung von Sicherheitsprotokollen und die Anwendung von Multi-Faktor-Authentifizierung, die die Identität des Nutzers weiter bestätigt. Die Tokenisierung sensibler Daten, sagte er, reduziert auch das Risiko von Diebstahl, und Systeme zur Betrugsüberwachung und -prävention überwachen Transaktionen in Echtzeit. Er rät Unternehmern, die Einhaltung von Sicherheitsstandards wie PCI DSS (Payment Card Industry Data Security Standard) sowie von bestehenden gesetzlichen Rahmenbedingungen wie PSD2 (Zahlungsdiensterichtlinie 2) sicherzustellen, die die Anwendung von Starker Kundenauthentifizierung (SCA) vorschreibt.

Komplexe Bedrohungen werden häufiger, betonte er, einschließlich Deepfake-Betrügereien, verschiedener Phishing-Angriffe (Identitätsdiebstahl), die künstliche Intelligenz nutzen, um Texte, Bilder, Töne und Videos zu fälschen, sowie Angriffe auf biometrische Authentifizierung und Manipulation von Zahlungssystemen über soziale Medien. Es gibt auch immer mehr gefälschte Online-Dienste und Geschäfte, die echte Marken nachahmen.

—

Ivica Kruhek

—– Es ist unerlässlich, mit zuverlässigen und zertifizierten Zahlungsdienstleistern zusammenzuarbeiten, Software und Serverinfrastruktur regelmäßig zu aktualisieren und strenge interne Richtlinien für den Umgang mit sensiblen Daten umzusetzen. Mitarbeiter und Nutzer sollten auch darin geschult werden, potenzielle Bedrohungen zu erkennen, indem fortschrittliche Lösungen zur Überwachung und Analyse von Transaktionen eingesetzt werden. Die häufigsten Herausforderungen bei digitalen Zahlungen sind Betrügereien wie unautorisierte Transaktionen und Phishing-Angriffe sowie Probleme im Zusammenhang mit Rückbuchungs-Anfragen und technischen Schwierigkeiten bei der Integration verschiedener Sicherheitssysteme in unsere Webshop-Plattform. Wir arbeiten eng mit Zahlungsdienstleistern, Cybersicherheitsexperten und Spezialisten für den Schutz personenbezogener Daten zusammen. Es ist entscheidend, dass Unternehmer mit zuverlässigen IT-Anbietern zusammenarbeiten, in Sicherheitslösungen investieren und aktiv Änderungen in Vorschriften und Sicherheitsstandards überwachen. Sie sollten offen mit den Nutzern umgehen, klare Informationen über den Datenschutz bereitstellen und alle Anforderungen der Datenschutz-Grundverordnung einhalten, rät Kruhek.

Die Sicherheit digitaler Transaktionen basiert auf mehreren Schutzschichten, stimmt Ivana Beli Oštarčević, Direktorin des Sektors für ICT-Portfoliomanagement bei Hrvatski Telekom, zu, einschließlich PCI DSS-Zertifizierung, Datenverschlüsselung und Nutzerauthentifizierung. Daher fügte sie hinzu, dass PayWay, das Zahlungsgateway-System von Hrvatski Telekom, 3D Secure 2.0 umfasst, das eine zusätzliche Überprüfung der Identität des Kunden ermöglicht und das Betrugsrisiko erheblich reduziert.

Mehrschichtiger Schutz

Bei der Tokenisierung durchläuft sensible Kartendaten niemals das System des Händlers und werden durch sichere Tokens ersetzt.

—

Ivana Beli Oštarčević

—– Um den höchsten Schutz für ihre Kunden und Unternehmen zu gewährleisten, sollten Unternehmer zertifizierte Zahlungsgateway-Systeme wie PayWay verwenden, die die höchsten Sicherheitsstandards, lokale Unterstützung und zusätzliche Zahlungsmethoden gewährleisten. Es ist notwendig, an der Sicherheitswartung aller Geschäftssysteme zu arbeiten, insbesondere an denen mit persönlichen Kundendaten, und die Mitarbeiter über potenzielle Sicherheitsbedrohungen aufzuklären. Derzeit sind Phishing-Angriffe und Social Engineering am ausgeprägtesten, bei denen Angreifer versuchen, Nutzerdaten über gefälschte E-Mails oder Websites zu erhalten, sowie Angriffe auf APIs (Application Programming Interface), da immer mehr Händler verbundene Systeme verwenden, die Daten über API-Schnittstellen austauschen. Ransomware– und Malware-Angriffe zielen auf Händler ab, um den Zugriff auf Transaktionsdaten zu stoppen. Prävention umfasst regelmäßige Sicherheitsupdates und Datenverschlüsselung. Multikanalzugang, schnelle Transaktionsverarbeitung und höchste Sicherheit werden zu Schlüsselfaktoren für den Erfolg im E-Commerce, betonte Beli Oštarčević.

Risikobewertung

Mit der Entwicklung von Finanztechnologie (Fintech)-Diensten haben sich auch die Sicherheitsmechanismen für Online-Zahlungen und viele andere Cloud-Dienste verstärkt, erklärt Marko Emer, CEO von Elektronički računi, der bis vor einigen Jahren ausschließlich Finanzdienstleistungen anbot. Technologische Unternehmen sind ebenfalls ins Spiel gekommen, sagt er, nachdem die Überarbeitung von PSD2 zahlreiche neue Zahlungsdienste eingeführt hat, insbesondere den Zahlungsinitiierungsdienst (PIS) und Kontoinformationsdienste (AIS). Elektronički računi, behauptet er, waren die ersten in Kroatien, die seit 2022 lizenziert sind, um diese Dienste anzubieten, und sind im Register der Zahlungsdienstleister und der Emittenten elektronischer Geldmittel bei der Kroatischen Nationalbank eingetragen.

—

Marko Emer

—– Um eine Lösung für die Registrierung im Register zu erhalten und das Recht auf Zertifizierung und Lizenzierung zu erlangen, entwickelte Elektronički računi speziell geschützte Technologien und etablierte Prozesse zur Risikobewertung, zum Schutz personenbezogener Daten, zur Umsetzung von Maßnahmen im Zusammenhang mit der Bekämpfung von Geldwäsche und der Finanzierung von Terrorismus sowie anderen Risiken, einschließlich Betrug. Diese Technologie muss Klauseln zum Schutz vor Viren und Hackern gemäß den EU-Vorschriften zur Sicherheit im Finanzgeschäft erfüllen. Zum Beispiel ist es in Kroatien wenig bekannt, dass eine Form von PIS die sogenannten IBAN2IBAN-Zahlungen (I2I) ist, die manchmal auch als Account2Account (A2A)-Zahlungen bezeichnet werden, die tatsächlich einen direkten Geldtransfer vom Konto des Zahlers auf das Konto des Empfängers ohne Vermittlung von Kartenunternehmen darstellen und eine zunehmend gängige Zahlungsform in Online-Shops werden, erklärte Emer.

Sichere Infrastruktur

PIS und AIS wurden von Elektronički računi unter der gemeinsamen Marke merBanking auf den Markt gebracht und laut Emer in Dutzende von Buchhaltungsprogrammen auf dem kroatischen Markt integriert. Unternehmer oder ihre Buchhalter, bemerkte er, können jetzt Zahlungen vornehmen und Transaktionen über alle Geschäftskonten aus ihrem eigenen Buchhaltungsprogramm (ERP) verfolgen. Nämlich, die vorgenannte PSD2 verpflichtete Banken, ihre Schnittstellen für Zahlungsdienstleister zu öffnen, was die Entwicklung von Fintech-Lösungen ermöglichte, die Unternehmern eine effizientere Verwaltung ihrer Finanzen bieten.

—

—

– Der Nutzer des Zahlungsdienstes gibt den Auftrag aus dem Buchhaltungsprogramm heraus, ohne sich in das Online-Banking einzuloggen, und autorisiert ihn mit einer der verfügbaren Methoden der Starken Kundenauthentifizierung (SCA). Das Buchhaltungsprogramm erhält Informationen über jede Änderung in allen seinen Geschäftskonten und erhält Kontoauszüge, die dann automatisch auf vordefinierte Konten gebucht werden. Der Zahlungsdienstleister bietet eine sichere Infrastruktur zwischen der Bank und dem Buchhaltungsprogramm des Nutzers (ERP) und umgekehrt, und stellt Informationen über alle Transaktionen und den Status der erteilten Aufträge nahezu in Echtzeit zur Verfügung. Wir ermöglichen es den Nutzern auch, Zahlungen direkt aus dem myInvoice-Dienst, d.h. aus der Liste der erhaltenen E-Rechnungen (eine Form der I2I-Zahlung), vorzunehmen, was die Prozesse weiter verkürzt, da der Auftrag mit einem Klick erteilt wird und mit Daten aus der E-Rechnung gefüllt wird. Dies ist die sicherste Umgebung, auf die niemand zugreifen kann, der keine Autorisierung hat – betont Emer.

Zerstörerische Konten

Er fährt fort, dass Schwierigkeiten in der digitalen Finanzwelt nicht bei Zahlungstransaktionen auftreten, sondern im Umgang mit finanzieller Dokumentation, da der digitalisierte Prozess erheblich anders ist als bei der Ausstellung von Rechnungen auf Papier und der Durchführung von Zahlungen mit Papierüberweisungen zusammen mit unzähligen Kopien von Dokumenten. Eine elektronische Rechnung ist ein strukturiertes Dokument, ein Datensatz im XML-Format, sodass sie elektronisch gelesen werden kann, aber viele Unternehmer und ihre Buchhalter, merkt er an, drucken immer noch E-Rechnungen aus und bewahren sie in Ordnern auf. Er glaubt, dass selbst wenn die Kosten für Verbrauchsmaterialien beseitigt werden, Kosten aufgrund von Dateneingabefehlern, Verlust von Rechnungen oder Datenmanipulationen auf Rechnungen bestehen bleiben. Er denkt, dass es keine größeren Schwierigkeiten gibt, solange E-Rechnungen ordnungsgemäß empfangen, verarbeitet und von einer sicheren ERP-Schnittstelle aus bezahlt und in einem E-Archiv gespeichert werden.

—

—

– Neben dem Aufruf, nicht auf verdächtigen Seiten einzukaufen und keine Kartendaten und CVC-Nummern an irgendjemanden zu senden, ist es wichtig, noch etwas anderes zu betonen. Da E-Rechnungen in ihrer Originalform aufbewahrt werden müssen, ist eine gedruckte elektronische Rechnung, die der Unternehmer bezahlt hat und zur Geltendmachung der Vorsteuer verwendet hat, kein glaubwürdiges Buchhaltungsdokument. Da das Recht auf Vorsteuerabzug auf dem Besitz eines glaubwürdigen Buchhaltungsdokuments basiert, kann die Steuerverwaltung den Vorsteuerabzug aufgrund fehlender glaubwürdiger Dokumentation anfechten, da kein elektronisches Archiv eingerichtet wurde, was auch dann verpflichtend ist, wenn der Unternehmer nur eine Rechnung ausgestellt oder erhalten hat. Die Strafen für die Nichteinhaltung der formalen Bedingungen für die Ausübung des Rechts auf Vorsteuerabzug reichen von 3.980 € bis 66.360 € für juristische Personen und von 660 € bis 39.810 € für natürliche Personen – warnt Emer.