0. Header (31)

PSD2 mit Nebenwirkungen: Was Sie über starke Kundenauthentifizierung und sichere Kundenkommunikation wissen müssen

23. April 2019 / in Trends

Ob bei der Buchung eines Bahntickets oder dem Online-Shop ihrer Wahl, Nutzer erwarten sichere, bequeme Zahlungsarten und benötigen dafür funktionale und konsequente Authentifizierung. Viele Finanzinstitute konnten es daher kaum erwarten: Sichere Kundenkommunikation wird endlich Realität in der Europäischen Union! Die technischen Regulierungsstandards für eine starke Kundenauthentifizierung und für sichere offene Standards für die Kommunikation haben das Potential, eine wahre Evolution für das Bezahlen im Internet zu bedeuten.

Die Umsetzung noch keine Pflicht, für deutsche Unternehmen allerdings nicht wirklich neu. Inhaltlich wurde ein Großteil der Regularien in Deutschland bereits durch das BaFin Rundschreiben 04/2015 eingeführt. Ab September betreffen sie dann EU-weit fast jede Art von Online-Banking und damit Millionen von Nutzern. Und das oft ohne ihr Wissen: Viele Bankkunden haben keine konkrete Vorstellung, worin die Zwei-Faktor-Authentifizierung (Two-factor authentication oder 2FA), auf der die starke Kundenauthentifizierung (Strong Customer Authentication oder SCA) aufbaut, besteht. Umso wichtiger ist ein kundenorientiertes Verfahren und intuitives Design, welches die Neuerungen für den Nutzer einfach und bequem macht.

Was ist die Starke Kundenauthentifizierung?

Die starke Kundenauthentifizierung oder Strong Customer Authentication (SCA) ist eine EU-weite Anforderung bezüglich der Art der Authentifizierung bei Online-Zahlungen. Mit Umsetzung der neuen Anforderungen müssen Zahlungen mit der Zwei-Faktor-Authentifizierung durch mindestens zwei dieser drei Formen verifiziert werden:

Was ist die Starke Kundenauthentifizierung

Etwas, das nur der Nutzer WEIß:

Zum Beispiel ein Passwort oder eine Sicherheitsfrage

Etwas, das nur der Nutzer BESITZT:

Zum Beispiel ein Gerät zur Authentifizierung oder Handy bzw. SIM-Karte, aber auch eine Smartwatch ist denkbar

Etwas, das der Kunde IST:

Zum Beispiel ein Fingerabdruck oder die Gesichtserkennung

Was beabsichtigt die starke Kundenauthentifizierung?

Das neue Authentifizierungsverfahren soll in erster Linie Betrugsversuche detektieren, die gestohlene oder verlorengegangene Anmeldeinformationen eines Kunden verwenden. Durch 2FA wird sichergestellt, dass es sich bei dem Nutzer tatsächlich um den Berechtigten handelt, der in diesem Moment seine Zustimmung für die Übertragung von Geldern oder den Zugriff auf seine Kontoinformationen erteilt hat.

Was sind existierende Beispiele für die Zwei-Faktor-Authentifizierung (2FA)?

3D Secure 2 – die neue Version des ersten 3-D Secure Standards ab 2019 – ist eine, vom Kreditkartenanbieter VISA entwickelte, Möglichkeit. Die 3D Secure-Abfrage bei einer Zahlung im Internet ist aktuell schon das vorherrschende Verfahren, um Online-Kreditkartenzahlungen zu authentifizieren. Sie entspricht dem System der Zwei-Faktor-Authentifizierung und den PSD2-Anforderungen. Mit der Identitätsüberprüfung von Secure Code (Mastercard), J/Secure (JCB) oder SafeKey (American Express) bieten auch die anderen großen Kreditkartenherausgeber einen vergleichbaren Dienst an. Mobile Zahlungsmethoden wie Google Pay oder Apple Pay nutzen die zusätzliche Sicherheitsabfrage bei der Authentifizierung ebenso.

Ein weiteres, alltägliches Beispiel ist die Anmeldung zum Online-Banking mit PIN und TAN. Zwei Nummern und dennoch zwei Authentifizierungsmethoden? Die PIN ist hier “etwas, das nur der Nutzer weiß” und die TAN, die der Nutzer auf seinem Handy empfängt, “etwas, das nur der Kunde besitzt”. Voraussetzung ist, dass eine TAN mit einer dynamischen Verlinkung benutzt wird, aufgrund der fehlenden Angabe des Empfängers und Betrags erfüllt die ehemalige iTAN nicht mehr die Voraussetzungen.

Angespornt von dem Interpretationsspielraumes der Regulierungsstandards ergeben sich auch andere innovative Projekte. Starke Bindeglieder zwischen dem Kernbanksystem der Banken, dem Nutzer und dem Dienstleister sollen geschaffen werden. Der Access to Account (XS2A) oder Zugang zum Online-Banking-Konto des Kunden durch Banking APIs macht dies möglich. Technologisch lassen sich die neuen Dienste von Google, Facebook Connect und Co. inspirieren und basieren auf OpenID und OAuth.

Jedoch arbeiten nicht nur Drittanbieter daran Online-Banking in die eigene Plattform zu integrieren, auch Banken investieren in neue Lösungen für ihr bestehendes Online-Banking. Die Sparkasse kooperiert beispielsweise mit der YES AG für ein Produkt, welches das Online-Banking über das normale Banking hinaus nutzbar macht. Der Online-Banking Zugang funktioniert hier zur Verwaltung der digitalen Identität. Im Rahmen des Projekts verimi wollen auch ein Konsortium u.a. bestehend aus Allianz, Axel Springer, Daimler und der Deutschen Bank als Identitätsprovider dienen.

Ist die Offline-Welt gar nicht betroffen?

Ganz im Gegenteil, Offline existiert dieses Sicherheitslevel sogar bereits! Im Prinzip gibt es hier nämlich schon lange eine Authentifizierung über die Verwendung von zwei Faktoren. Im Geschäft wird eine elektronische Zahlung dann ausgelöst, wenn der Kunde mit Karte und persönlicher Identifikationsnummer (PIN) bezahlt. Bei Bezahlung mit Karte und Unterschrift liegt zwar auch eine Authentifizierung mit zwei Faktoren vor, jedoch keine Auslösung einer elektronischen Zahlung - somit ist diese Zahlung außerhalb des Anwendungsbereiches der RTS zur starken Kundenauthentifizierung und sicheren Kundenkommunikation im elektronischen Zahlungsverkehr.

Was sind die wichtigsten Eckdaten?

Eckdaten PSD2 und SCA

Die starke Kundenauthentifizierung ist Bestandteil der Anforderungen der neuen Zahlungsdienste-Richtlinie, obwohl das Stichdatum für die Umsetzung der PSD2 bereits der 13. Januar 2018 war. Im Gegensatz zu den anderen Bestimmungen der Richtlinie hat der Gesetzgeber in diesem Punkt allerdings eine längere Umsetzungsfrist gesetzt.

Die endgültige Version der technischen Regulierungsstandards (Regulatory Technical Standards oder RTS) zur starken Kundenauthentifizierung (SCA) und sicheren Kundenkommunikation wurde bereits am 14. März 2018 in einem Amtsblatt des EU Parlaments veröffentlicht. Exakt ein Jahr später sollen Banken den Kontoinformations- und Zahlungsauslösediensten eine entsprechende API, die technische Schnittstelle, und eine adäquate Testumgebung bereitstellen. Ab April 2019 erhalten Unternehmen eine automatische Haftungsverschiebung, wenn sie die Zwei-Faktor-Authentifizierung anfordern und die ausstellende Bank es nicht akzeptieren kann.

Im zweiten Schritt ist dann die endgültige Umsetzung gefragt: ab dem 14. September 2019 sind die SCA-Anforderungen von PSD2 aktiv. Ab diesem Zeitpunkt muss die Bank Zahlungen ablehnen, die nicht auf die oben genannten Weisen authentifiziert werden konnten. Diese werden dann an den Kunden zurückgeleitet mit der Aufforderung sich zu authentifizieren.

Hierzulande ändert sich in der Praxis bei der 2FA dennoch wenig. Die BaFin verpflichtete deutsche Banken und Kartenherausgeber bereits Ende 2015 mit dem Rundschreiben 4/2015 “Mindestanforderungen an die Sicherheit von Internetzahlungen”, basierend auf den EBA Guidelines zur Sicherheit von Internetzahlungen, zu vergleichbaren Maßnahmen.

Wie steht es eigentlich um die Umsetzung der PSD2? Wir haben ein halbes Jahr später eine Bilanz gezogen.

Wie spielen PSD2 und starke Kundenauthentifizierung zusammen?

Eine der größten Bestrebungen der PSD2 ist den Zahlungsverkehr in der EU zu vereinfachen und elektronische Zahlungen sicherer zu gestalten. Die Aktualisierung der PSD1 begründet sich unter anderem auch darin, dass sich die Sicherheitsrisiken für elektronische Zahlungen in den letzten Jahren erhöht haben. Das Hauptziel der neuen SCA-Regularien wiederum ist das Betrugsrisiko für elektronisch angebotene Zahlungsdienste auf ein Minimum zu reduzieren. Zu diesem Zwecke wurde die Europäische Bankenaufsicht, in Kooperation mit der Europäischen Zentralbank, beauftragt technische Regulierungsstandards (RTS) zur starken Kundenauthentifizierung und sicheren Kommunikation auszuarbeiten. Die RTS für den elektronischen Zahlungsverkehr sollen die Ziele und Anforderungen der PSD2 unter technischen Gesichtspunkten definieren. Die starke Kundenauthentifizierung ist also Bestandteil der Anforderungen der neuen Zahlungsdienste-Richtlinie.

Die PSD2 regelt außerdem, wann eine starke Kundenauthentifizierung erforderlich ist. Wenn sie zur Anwendung kommen, verlangen die Standards von Zahlungsdienstleistern die 2FA Authentifizierung, um zu garantieren dass Zahlungen dynamisch mit einem Betrag und einem Zahlungsempfänger verknüpft sind.
Online-Banking soll durch die Authentifizierung mit mindestens zwei Elementen der Kategorie Wissen, Besitz und Inhärenz zuverlässig und nachvollziehbar werden. Anstatt des traditionellen, vergleichsweise unsicheren Passwortes nutzt der Kunde nun die Authentifizierung über zwei Faktoren und löst dadurch eine wesentlich sicherere Zahlung aus.

Alles was Sie wissen müssen zur PSD2! Lesen Sie unseren Blog-Beitrag mit allen wichtigen Informationen zu der Zahlungsdiensterichtlinie!

Wann muss ich mich für die starke Kundenauthentifizierung interessieren?

Die Pflicht zur starken Kundenauthentifizierung umfasst vom Kunden ausgelöste elektronische Zahlungen in Europa. Dazu zählen die meisten Kartenzahlungen und Kreditkartentransaktionen, aber SCA wird auch dann erforderlich, wenn der Nutzer online auf sein Zahlungskonto zugreift.

Eine Kartenzahlung fällt dann in den Bereich der Regulierung, wenn die Bank des Kartenbesitzers und der Zahlungsdienstleister in der European Economic Area (EEA) angesiedelt sind.

Im Falle einer Fernzahlung, beispielsweise die klassische Überweisung im Online-Banking oder die Zahlung von Online-Einkäufen mit Kreditkarte im Internet, wird es etwas komplizierter. Zu der starken Kundenauthentifizierung kommt dann eine dynamische Verknüpfung in Bezug auf Empfänger und Betrag. Konkret heißt das etwa, dass eine SMS-TAN exakt einem Betrag und Empfänger zugeordnet ist, bei Änderungen wird sie sofort ungültig. Ade iTAN-Listen!

Technisch wird die Authentifizierung mit dem Zugriff auf Zahlungskonten (XS2A) über Schnittstellen (APIs) gelöst. Für Banken sind die Regulierungsstandards also generell relevant, denn sie müssen eine Banking API zur Verfügung stellen können.

Dank unserer eigenen Banking API hat FinTecSystems Zugang zu mehr als 100 Millionen Online-Banking-Konten in Europa und deckt 99,5 Prozent aller Banken ab. Unsere Schnittstelle wird seit über 10 Jahren erfolgreich eingesetzt. Kontaktieren Sie uns unverbindlich für mehr Informationen!

Wann muss ich mich (noch) nicht für die starke Kundenauthentifizierung interessieren?

Das Ziel der Zahlungsdiensterichtlinie ist die starke Kundenauthentifizierung letztendlich als Anforderung für alle Online-Transaktionen einzuführen. Momentan gibt es jedoch einige Ausnahmen von der Regel, die auch Bezahlvorgänge a lá One-Click noch ermöglichen:

Transaktionen mit geringem Wert

Zahlungen unter 30 Euro sind von der Strong Customer Authentication (SCA) ausgenommen. Die ausstellende Bank kann die Zahlung in jedem Fall trotzdem zurückverfolgen.

Wenn der Gesamtbetrag einer Zahlung innerhalb von 24 Stunden allerdings 100 Euro übersteigt, ist die starke Kundenauthentifizierung wieder erforderlich. Alle fünf Transaktionen ist ebenso eine erneute Authentifizierung erforderlich.

Transaktionen mit geringem Risiko

Transaktionen, die einem geringen Risiko unterliegen sind auch von der SCA ausgenommen. Wie man bestimmt, ob eine Zahlung ein geringes Risiko birgt? Dies basiert auf der durchschnittlichen Betrugshäufigkeit, sowohl des Kartenherausgebers als auch des Zahlungsdienstleisters.

Abonnements und wiederkehrende Zahlungen

Gute Nachrichten für Netflix Fans! Wiederkehrende Zahlungen mit gleichbleibendem Betrag, wie Lastschriften, sind nicht von der Regelung betroffen. Nur die erste Zahlung muss durch SCA authentifiziert werden. Wenn die Höhe des Betrags der Zahlung variiert, ist jedoch jedes Mal eine neue Authentifizierung erforderlich.

Ein Problem also speziell für Unternehmen, bei denen sich regelmäßig Zahlungsbeträge ändern zum Beispiel abhängig vom Konsum? Nicht ganz, diese gelten nämlich als vom Händler initiiert und sind damit von der PSD2-Regelung ausgenommen.

Die Whitelist – Vertrauenswürdige Empfänger

Kunden können Unternehmen einer Whitelist vertrauenswürdiger Empfänger hinzufügen, die ihre Bank verwaltet. Vertrauenswürdige Empfänger können Zahlungen ohne die sichere Kundenauthentifizierung ausführen. Damit bleibt für Kunden das Einkaufen bei ihrem Lieblingsgeschäft unkompliziert.

Internationale Transaktionen

Ist der Kartenherausgeber oder Kartenbesitzer nicht europäisch, findet die SCA keine Anwendung. Zahlungen außereuropäischer Kunden werden also problemlos, ohne 2FA-Authentifizierung, akzeptiert.

Unternehmenskarten

Bei von Firmen ausgestellten Karten wird von den Angestellten keine Authentifizierung im Sinne der PSD2 verlangt. Diese Regelung ist besonders für B2B-Zahlungen zwischen Unternehmen relevant.

Dies sind nur Beispiele für (mögliche) Ausnahmen von den technischen Regulierungsstandards für eine starke Kundenauthentifizierung und für sichere offene Standards für die Kommunikation. Ihre Umsetzung hängt nämlich größtenteils von dem kontoführenden Institut, also in den allermeisten Fällen der Bank, ab.
Die Idee dahinter? Eine allmähliche Umstellung und ein Online-Markt, der Kunden das bestmögliche Erlebnis garantieren kann. Die Devise bleibt allerdings: ohne an der Sicherheit zu sparen! Denn die verpflichtenden Anforderungen sind klar geregelt und vertragen sich schlecht mit One-Click-Shopping.

Was sind die größten Herausforderungen?

Mit den neuen Regularien bricht vor allem für Banken eine Zeit wichtiger Entscheidungen an. Wie hält man Kunden und sichert ihr über Jahrzehnte gewachsenes Vertrauen? Wollen und sollen Banken Kooperationen mit FinTechs vorantreiben und aktiv in die Open Banking-Plattform investieren, oder doch lieber ausschließlich die regulatorischen Anforderungen der PSD2 erfüllen?

Wie bei der Umsetzung der PSD2 ist auch bei den technischen Regulierungsstandards das Wo und Wie der neuen Schnittstelle eine große Frage. Eine der verpflichtenden Anforderungen an Banken ist Drittanbietern die gleiche Verfügbarkeit und Leistung der eigenen Online-Banking-Plattform anzubieten. Jedoch ist aktuell kaum abzusehen, wie sehr die zusätzliche Belastung der IT-Systeme durch die Nutzung der API tatsächlich ins Gewicht fallen wird und was dadurch genau auf Banken zukommt. Und was ist eigentlich bei der Entwicklung zu beachten damit die Anforderungen hinsichtlich Antwortzeiten und Verfügbarkeit erfüllt werden? Hier sind erfahrene Experten im API-Banking gefragt.

Eine anderes, mindestens genauso wichtiges Thema sind die neuen, potenziellen Cyber-Risiken. Das Hoffen auf die Integrität aller dritter Zahlungsdienstleister ist hier ungenügend. Um Schäden vorzubeugen, muss bei der technischen Umsetzung der APIs und der API-Management-Systeme neben Performance auch der Sicherheit eine hohe Priorität eingeräumt werden, die nur bei nach PSD2-zertifizierten Anbietern gewährleistet ist.

Und wieder einmal dreht sich alles um Banking-APIs? Lesen Sie in unserem Whitepaper was Banking APIs sind, wie sie funktionieren und wofür Banken und Drittanbietern sie wirklich brauchen.

Zu guter Letzt erlaubt die neue Bestimmung trotz 18-monatiger Umsetzungsfrist kein Zurücklehnen. Es stimmt, die Frist ist noch nicht ausgelaufen, die Zeit drängt jedoch zusehends! Viele Banken bereiten ihre Systeme schon seit geraumer Zeit auf die Veränderungen vor.

Auf lange Sicht sind die Regulierungsstandards dennoch ein Gewinn für alle Beteiligten. Im Internet finden sich inzwischen viel zu viele Onlineshops, und zugehörige Zahlungsdienstleister, die erschreckend viel Risiko in Kauf nehmen. Die möglichst hohe Conversion-Rate und ein bequemes Einkaufserlebnis lassen viele die Skrupel vor einem suboptimalen Bezahlvorgang vergessen. Da sich die Betrugsfälle häufen war es an der Zeit für verpflichtende Regulierungsstandards. Das Resultat wird ein deutlich sicheres Online-Banking sein von dem alle profitieren.

Schlagworte: Trends

Das könnte Dich auch interessieren

    Neuste Beiträge

    Bekannt aus

    Bankmagazin FinTecSystems

    BankingClub FinTecSystems

    Handelsblatt FinTecSystems

    BetweenTheTowers_Frankfurt FinTecSystems

    IT Finanzmagazin FinTecSystems

    Gruenderszene FinTecSystems