Danke, PSD2! Wie man Compliance-Auflagen in Wettbewerbsvorteile verwandelt.

Claudius van der Meulen, Direktor Europa Entersekt

I. Einleitung

Geld an Freunde senden in Echtzeit, zu jeder Zeit und an jedem Ort informiert sein über Zahlungsbewegungen und gegebenenfalls sofort reagieren können, ein Konto eröffnen ohne den üblichen administrativen Aufwand – das sind Angebote, wie sie Kunden heute erwarten. Es soll schnell gehen, keine Arbeit machen und überall verfügbar sein – im Café, in der Bahn zur Arbeit oder beim Familienbesuch in einer anderen Stadt. Kunden lassen sich nicht mehr vorschreiben, wann und wo sie ihre Finanzgeschäfte erledigen. Banken, die diesem Trend nicht folgen, werden es in Zukunft sehr schwer haben. Das Thema Sicherheit spielt dabei ebenfalls eine große Rolle – nur sehen Kunden das nicht auf ihrer To Do-Liste, sondern ganz eindeutig als Aufgabe der Banken, die diese selbstverständlich zu erfüllen haben. Am besten, ohne dass man als Kunde daran mitwirken muss und in die Verantwortung genommen wird.

 

 SEMINARTIPPS

Betrugsfälle in Kontoführung & Zahlungsverkehr erkennen und verhindern, 24.09.2018, Frankfurt/M.

Risiko Kontoführung & Zahlungsverkehr, 19.11.2018, Frankfurt/M.

Compliance-Tagung 2018, 14-15.11.2018, Berlin.

 

II. Die neue Rolle der Authentifizierung unter PSD2

1. Authentifizierung als zentrale Schnittstelle zwischen Bank und Kunde in der digitalen Welt

Diesen Anforderungen an Sicherheit, Schnelligkeit und Nutzerfreundlichkeit muss auch die Authentifizierungslösung einer Bank genügen. Kunden wollen sich nicht mehr mit Einmalpasswörtern herumärgern, komplizierte Bestätigungs-Verfahren durchlaufen oder gar einen Tan-Generator permanent dabei haben. All das passt nicht mehr in die Zeit. Insofern kommt die PSD2 (Payment Services Directive) gerade zum rechten Zeitpunkt. Um die geforderte Konformität mit den neuen Vorgaben zu erreichen, müssen Banken sich jetzt intensiv mit den Themen Open Banking und starke Authentifizierung (SCA – Strong Customer Authentication) beschäftigen. Sie sind dazu gezwungen, ihre Systeme auf den Prüfstand zu stellen. Dadurch erhalten sie aber gleichzeitig die Chance, mithilfe neuester Authentifizierungslösungen ihre Prozesse zu optimieren.

2. Anforderungen an eine PSD2-konforme „State-of-the-Art“-Authentifizierungs-Lösung

Sicher muss eine Bank an erster Stelle dafür sorgen, dass sie alle regulatorischen Anforderungen der PSD2 erfüllt. Daneben gibt es aber eine Reihe weiterer Aspekte, die bei der Auswahl einer zeitgemäßen SCA-Lösung beachtet werden sollten:

a) Audit-fähige SCA-Compliance sicherstellen

  • Die starke Kundenauthentifizierung ist für alle Nahfeld- und Online-Transaktionen über sämtliche Kanäle erforderlich. Im Rahmen der SCA müssen zwei von drei möglichen Faktoren (Wissen, Besitz und Eigenschaft) zur Authentifizierung eingesetzt werden. Dabei kommt dem Faktor Besitz die wichtigste Rolle zu. Das Smartphone eignet sich dafür im besonderen Maße – also ein mobiles Endgerät, das Kunden immer mit sich führen. In Kombination mit anderen Faktoren, wie z. B. einer festen PIN oder einem biometrischen Verfahren, entsteht so ein mehrschichtiger Ansatz.
  • Der Authentifizierungs-Code für jede Transaktion muss dynamisch mit dem Betrag und dem Zahlungsempfänger verknüpft sein.
  • SCA-Elemente müssen voneinander getrennt und unabhängig sein. Dies lässt sich durch vollständig verschlüsselte, so genannte „Out-of-Band“-Authentifizierungskanäle erzielen. „Out-of-Band“ bedeutet, dass ein unabhängiger zweiter Kommunikationskanal genutzt wird.
  • Es muss gewährleistet sein, dass personalisierte Anmeldeinformationen der zur Authentifizierung genutzten Geräte sowie jegliche im Authentifizierungsprozess verwendete Software zuverlässig dem jeweiligen Kunden zugeordnet werden können. Anders formuliert: One-Time-Passwörter (OTP) sind keine brauchbare Option mehr – führende Analysten wie Gartner sowie Regulierungs- und Branchenorganisationen bestätigen dies bereits seit Jahren.
  • Der Zugriff von Drittanbietern (TPP = Third Party Provider) auf Kundendaten muss überwacht und durch Verfahren geschützt werden, die eindeutig die Zustimmung des Kunden einholen. Damit Drittanbieter das Recht zum Datenzugriff erhalten, ist ein verbindlicher und signierter Nachweis der Kundenzustimmung erforderlich. Dies kann durch Einholung digital signierter Kundenmandate für alle Transaktionen erreicht werden.

b) Konsistente und überzeugende Anwendungserfahrung bieten

Bankkunden erwarten eine sichere Lösung, die gleichzeitig einfach zu bedienen ist. Um die Zahl der Transaktionsabbrüche zu verringern und das Kundenvertrauen zu stärken, sollte eine nutzerfreundliche Lösung Folgendes leisten:

  • Konvergenz der Authentifizierung. Sinnvoll ist es, eine SCA-Methode zu installieren, die sich für mehrere Anwendungsszenarien eignet, sodass die Anwendungserfahrung über alle Kanäle hinweg konsistent ist. Auf diesem Weg wird Authentifizierung nicht nur einfacher, sondern stärkt auch das Anwendervertrauen und führt zu reduzierten Gesamtbetriebskosten (TCO – Total Cost of Ownership), da nur noch eine einzige Authentifizierungsplattform unterstützt werden muss.
  • Einfache, intuitive Bedienung. Kunden bevorzugen Systeme, die sich ohne lange Erklärungen von selbst erschließen.
  • Verschlüsselung sensibler Daten innerhalb der Mobile-Banking-App.
  • Volle Kontrolle des Kunden durch Echtzeit-Eingabeaufforderungen über einen vertrauenswürdigen Kanal.

c) Kosten senken und Weiterentwicklung ermöglichen

Sind die oben genannten Anforderungen erfüllt, können verpflichtende Compliance-Anforderungen in einen strategischen Vorteil verwandelt werden. Dabei sind folgende Punkte zu beachten:

  • Vielseitigkeit. Die neue Lösung sollte den gesamten Anwender- und Authentifizierungs-Lebenszyklus abdecken: von Rollout, Wartung und Kontowiederherstellung bis zum Off-Boarding-Prozess und dem Hinzufügen neuer Kanäle.
  • Flexibilität. Lösungen, die von Grund auf für die mobile und Online-Welt entwickelt wurden, sichern die nötige Flexibilität, um sich – ohne neue Lösungen implementieren zu müssen – an zukünftige technische Standards der Regulierungsbehörden anzupassen.
  • Kosteneffizienz. Durch Nutzung einer einzigen Authentifizierungsplattform für alle Authentifizierungsszenarien können Kunden schneller, effizienter und damit wirtschaftlicher bedient werden.
  • Vertrauen. Sobald ein sicherer Kanal zum Kunden verfügbar ist, wird die Einführung neuer digitaler Angebote und Services wesentlich erleichtern.

III. Schlüsselfertige PSD2-konforme Lösungen

1. Starke Authentifizierung mit dem Mobiltelefon

Die zuverlässige Identifikation und Authentifizierung von Anwendern über mobile und Online-Kanäle ist eine extrem komplexe Aufgabe. Durch den konstanten Wandel von Technologien und Anwenderverhalten entstehen fortlaufend veränderte Anforderungen. Die wenigsten Banken haben die Möglichkeit, selbst eine solche Lösung zu entwickeln und schauen sich nach schlüsselfertigen Angeboten am Markt um. Dabei stehen sie unter enormem Zeitdruck: Nicht erst zum offiziellen Stichtag am 14.09.2019, sondern sogar schon sechs Monate früher müssen die Banken ihre Lösung am Start haben. Ab dem 14.03.2019 sind sie nämlich verpflichtet, Kontoinformations- und Zahlungsauslösediensten eine angemessene Dokumentation der technischen Schnittstelle sowie eine entsprechende Testumgebung bereitzustellen.

Im Vergleich der schlüsselfertigen Lösungen, die in einer Mobile-first-Welt Sicherheit und Nutzerfreundlichkeit auf optimale Weise miteinander verbinden, kristallisiert sich ein Verfahren immer mehr als „State-of-the-Art“ heraus: Die Push-basierte Mobiltelefon-als-Token-Lösung für starke Authentifizierung. Die zentrale Rolle kommt dabei dem Mobiltelefon zu. Entersekt ist Pionier bei diesem Verfahren. Die schlüsselfertige, mit neuester Sicherheitstechnologie ausgestattete und einfach zu implementierende Lösung Transakt wird bereits seit Jahren erfolgreich von mehreren Millionen Anwendern in fast 50 Ländern verwendet. Sie hat sich bei der Abwehr unterschiedlichster Angriffsmethoden bewährt, darunter Phishing, Man-in-the-Middle- und Man-in-the-Browser-Attacken sowie Keylogging, Rufnummernportierung und SIM-Swap-Angriffe.

2. Wie funktioniert Transakt?

Über einen vom Browser komplett unabhängigen Out-of-Band-Kanal mit Ende-zu-Ende-Verschlüsselung kommunizieren Bank und Kunde dank Transakt in Echtzeit. Und beide können sich darauf verlassen, dass Authentifizierungsnachrichten und Signierungsanfragen bei Transaktionen immer aus einer vertrauenswürdigen Quelle stammen. Transakt kann problemlos in jede Mobile-Banking-App integriert werden und steht so innerhalb kürzester Zeit allen Kunden einer Bank als sichere und komfortable, PSD2-konforme Authentifizierungslösung zur Verfügung.

 

 VIDEOTIPP

PSD II – Auswirkungen auf Sonderbedingungen

 

 

3. Transaktion und Authentifizierung von ein und demselben Mobilgerät – sicher und PSD2-konform

Bei der Diskussion um mobile Bankgeschäfte steht ein Thema stets im Vordergrund: Die Sicherheitsfrage. Mit der starken Authentifizierung, wie sie von PSD2 gefordert wird, sollen Kunden in Zukunft besser geschützt werden. Vielfach wurde bislang argumentiert, dass Mobile-Banking nur mithilfe eines zweiten Gerätes zur Authentifizierung sicher sei. Dass es auch anders geht, zeigt die aktuelle Untersuchung der renommierten Bonner Security Research & Consulting GmbH (SRC). Sie bestätigt, dass eine Organisation mit der richtigen Technologie eine PSD2-konforme, starke Authentifizierung mit einem einzigen Gerät anbieten kann. Laut Abschnitt 3.2 des SRC-Berichts ist bei der Entersekt-Lösung „die sichere Kommunikation […] unabhängig vom restlichen Betriebssystem des mobilen Geräts. Dies ermöglicht die Implementierung getrennter sicherer Ausführungsumgebungen wie von der EBA RTS, Artikel 9, gefordert“.

Die RTS (Regulatory Technical Standards) der PSD2 erlauben die Verwendung von ein und demselben mobilen Gerät zur Zahlungsauslösung und anschließenden Authentifizierung, solange

  • die Software des Zahlungsdienstleisters (oder der Bank) auf diesem Gerät bestimmte Sicherheitsmaßnahmen wie eine vertrauenswürdige Ausführungsumgebung sowie Root-/Jailbreak-Erkennung nutzt,
  • eine Gerätebindung sichergestellt ist,
  • ein verschlüsselter Kanal für die Authentifizierungskommunikation zwischen dem Gerät und den Back-End-Servern des Dienstanbieters zur Verfügung steht, der vollständig vom Betriebssystem des Geräts getrennt ist.

Da die Entersekt-App Transakt nachweislich alle diese Maßnahmen nutzt, bietet die Software Banken eine ideale Sicherheitslösung. Mit Transakt benötigen Bankkunden kein zweites Gerät für eine starke Authentifizierung – sie brauchen nicht einmal eine zweite App.

 

 BUCHTIPP

Kontoführung & Zahlungsverkehr, 5. Aufl. 2017.

 

 

IV. Fazit

Wenn eine Bank als Wächter der Vermögenswerte ihrer Kunden in einer digitalisierten Welt wahrgenommen wird, verändert sich dadurch ihre strategische Position gegenüber Kunden und Drittanbietern. Die Bank bietet dann mehr als einen alltäglichen Standard-Service und wird zum Verwalter aller aktuellen und zukünftigen Vermögenswerte, welche Form diese auch haben mögen. Durch Services, die auf den Zugriff und das Management dieser Vermögenswerte fokussiert sind, untermauern Banken ihre Positionierung als wichtiger Bestandteil der Wertschöpfungskette. Banken schützen und erhalten ihre Kundenbeziehungen, während Drittanbieter zusätzliche Services bereitstellen.

Unter diesem Aspekt ist PSD2 nicht länger nur ein Kostentreiber. Stattdessen ist PSD2 eine Chance für Banken, ihr Leistungsversprechen auch in einer digitalen Welt der Zukunft zu unterstreichen. Banken, die diese Chance ergreifen, werden langfristig davon profitieren.

PRAXISTIPPS

  • Mobile-first: Die meisten Interaktionen mit Drittanbietern, die durch PSD2 möglich werden, erfolgen voraussichtlich über mobile Kanäle. Mobile Interaktion ist deshalb der Schlüssel für den Erfolg Ihrer Organisation.
  • Anstatt eine Kundeninteraktion bei der Authentifizierung zu vermeiden, sollten Sie die Authentifizierung als Chance begreifen: Jede Kundeninteraktion über Ihren SCA-Kanal stärkt das Vertrauen. Sobald PSD2 in Kraft ist, können viele neue Drittanbieter (TPPs) mit Ihren Anwendern interagieren, deshalb ist die Herstellung eines besonderen Vertrauensverhältnisses so wichtig.
  • Sicherheit ist für den Kunden selbstverständlich. Und dafür ist nicht er, sondern die Bank zuständig. Den Unterschied macht am Ende der Aspekt Nutzerfreundlichkeit. Nur Lösungen, die der Kunde liebt, werden sich am Ende durchsetzen.

Über Entersekt

Entersekt ist innovativer Anbieter von Mobile-first FinTech-Lösungen. Finanzdienstleister und Unternehmen entscheiden sich für die patentierte Entersekt Mobile-Identity- und Authentifizierungs-Technologie, um ihren Kunden über alle Service-Kanäle hinweg optimale Sicherheit bei gleichzeitig hoher Nutzerfreundlichkeit zu bieten. Weitere Informationen: www.entersekt.com

image_printZur Druckversion!
0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Feel free to contribute!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.