IT für Versicherungen 2017

Versicherungen im Wandel: Stay Calm and create a Sense of Urgency

Lange Zeit sah es so aus, als wäre die Versicherungs-IT wie gelähmt. Die Bestandssysteme waren uralt, aber wo lag der Business Case für die Modernisierung? Dann lieber in Berlin ein Start-Up neu aufsetzen.

Die Zeiten scheinen endgültig vorbei zu sein. Der Eindruck drängt sich zumindest auf, wenn man den ersten Tag der Konferenz „IT für Versicherungen“ in Leipzig verfolgt. Die Frage ist nicht mehr, ob Handlungsbedarf besteht. Die Frage ist: Welchen der vielen Handlungsbedarfe geht man zuerst an? Mit welcher Energie?

Dr. Thomas Niemöller, Chief Digital Officer der Provinzial Nordwest, sieht die Branche vor einem Trilemma: Eigentlich müssten die Anbieter mit voller Kraft in drei Bereichen gleichzeitig vorankommen:

  • Kontinuität: Bestehende Systeme renovieren oder migrieren
  • Innovation: Mobile First, API-Management, Big Data
  • Disruption: Neue Geschäftsmodelle.

Und das alles in einem Umfeld, das von „Regulatorik-Entropie“ geprägt ist. Der Begriff stammt tatsächlich von der BaFin und meint: das politische Umfeld ist derzeit so, dass die Finanzbranche sich auf eine weitere Ausbreitung der Regulatorik einstellen muss.

Ein wichtiger Faktor im Innovationsmanagement jeder Versicherung ist, die eigene Energie auf die drei Bereiche zu verteilen. Leider kann man eben nicht alles gleichzeitig mit voller Kraft tun, auch wenn es wünschenswert wäre, vielleicht sogar notwendig.

Welche Empfehlungen brachte der erste Tag für die drei Handlungsfelder? Im Einzelnen:

Weiterlesen

Blockchain

Zwei kritische Erfolgsfaktoren für Blockchain bei Banken

Die Experimentierfreude der Banken in Sachen Blockchain ist ungebrochen. Das ist auch gut so, schließlich haben die Verfahren für Transaktionen und Settlement in der Finanzbranche schon viel zu viele Jahre auf dem Buckel. Der Blockchain-Hype bietet die Chance, an der einen oder anderen Stelle radikal neue und effizientere Verfahren zu etablieren. Das ist die Stärke eines Hypes: Er bringt alle in Bewegung. Da geht was.

Die Schwäche ist: Es laufen keineswegs alle in dieselbe Richtung. Im Gegenteil, viele Banken experimentieren gleichzeitig in verschiedenen Konstellationen mit verschiedenen Einsatzfällen auf Basis verschiedener Technologien. Die Financial Times hat hier schon darauf hingewiesen, dass es langsam unübersichtlich wird mit den diversen Cryptowährungen der Banken.

Welche Blockchain wird sich durchsetzen? Worauf kommt es an? Zwar wird über alle möglichen Aspekte diskutiert: eher offene oder eher geschlossene Systeme, eher zentrale oder dezentrale, Alternativen zum Proof of Work, Geschwindigkeit der Finalisierung von Transaktionen, … Accenture hat sogar eine editierbare Blockchain vorgeschlagen. Das wäre so etwas wie ein nachträglich änderbarer Rechnungsabschluss – eine sehr schräge Idee.

Im Moment sehe ich zwei Faktoren, die darüber entscheiden dürften, welches Blockchain-Konzept breite Akzeptanz finden kann:

  1. Der Charakter der verwendeten Token („Währung“) in der Blockchain
  2. Hinreichende organisatorische Regeln zum Umgang Ausnahmen und technischem Versagen

Charakter der Token

Die deutsche Bank,  Santander, BNY Mellon und ICAP machen mit jetzt mit beim Blockchain-Projekt der UBS. Der verwendete USC („Utility Settlement Coin“) wird hier an die jeweilige Landeswährung gebunden, also zum Beispiel Euro oder Dollar.

Von Seiten des Konkurrenten Ripple kam schnell die Kritik, dass diese Kopplung den Charakter der internen Währung fundamental ändert: Aus einem Asset wird eine Verbindlichkeit. Originellerweise wird Ripple selbst wiederum von den BitCoin-Anhängern dafür kritisiert, dass es in seinen Gateways mit Verbindlichkeiten („IOUs“) arbeite statt mit tatsächlichen Assets wie BitCoins.

Warum ist die Diskussion wichtig? Weil es um die Frage geht, wer aus dem Nichts neue Werte schaffen kann – und wem diese Werte dann gehören. Natürlich will jeder seine eigene Währung schaffen und besitzen. Das ermuntert andere aber nicht unbedingt zum Mitmachen. Warum sollte ich durch meine Mitwirkung eine Währung aufwerten, die überwiegend jemand anderem gehört?

Weiterlesen

Galaxy Note 7

Galaxy Note 7 und PSD2 – Bei Biometrie geht mehr als nur Fingerabdruck

Ein Beitrag von Michael Maleika, SYNGENIO AG.

Schade, dass Samsung solche Probleme mit den Akkus des Galaxy Note 7 hat. Für digitales Banking wäre insbesondere der integrierte Iris-Scan sehr spannend. Doch nicht nur wegen der neuen Technik ist Authentifizierung aktuell im Fokus, sondern vor allem auch wegen der derzeit viel diskutierten Zahlungsdiensterichtlinie PSD2. Ein Novum in der PSD2 ist die Verpflichtung zur starken Kundenauthentifizierung, die durch gleichzeitige Verwendung von 2 der 3 bekannten Authentifizierungsverfahren erreicht wird.

Neben den zwei bereits etablierten Faktoren Wissen und Besitz kann ein dritter Faktor genutzt werden, die sogenannte Inhärenz. Diese wird üblicherweise mit der Messung biometrischer Merkmale wie dem Fingerabdruck abgedeckt. Aber was genau steckt eigentlich hinter den biometrischen Verfahren und welche Alternativen zum Fingerabdruck gibt es?

Weiterlesen

FehlendeBerater

Ersetzen Robo Advisor nur fehlende menschliche Berater?

Robo Advisor und deren Varianten wie Cyborg-Advisor (mit menschlichem Berater im Hintergrund) sind stark im Kommen. Das gilt zum einen für Geldanlagen, aber auch für Versicherungen – mit Clark ist gerade wieder ein InsurTech-Makler hinzugekommen, bei dem sich der Mensch hinter der App versteckt.

Was treibt eigentlich diesen Trend? Einerseits sicher die Erwartung von Kunden, auch komplexe Fragen einfach aufbereitet zu bekommen. Nicht aus Hunderten von Fonds wählen, aber trotzdem eine passende Anlagestrategie haben, das klingt doch gut.

Man kann es aber auch anders sehen: Den Menschen bleibt zunehmend keine Wahl mehr, als sich von Robotern beraten zu lassen. Es gibt nämlich zu wenige menschliche Berater, die das tun. Banken reduzieren die Anzahl der Filialen und der Berater. Versicherungen reduzieren ihren Außendienst. Die Anzahl der gebundenen Berater sinkt damit.

Man kann in Frage stellen, ob anbietergebundene Finanzberatung überhaupt Sinn macht. Also ist die Lage bei den freien Beratern eigentlich viel spannender. Wie sieht es denn insgesamt aus, wenn man alle betrachtet? Praktischerweise veröffentlicht der DIHK die Statistiken der eingetragenen Vermittler. Das sieht dann im Vergleich so aus:

  • Finanzanlagenvermittler: Juli 2016: ca. 37 Tausend. 2010: Noch keine Eintragung nötig, geschätzt ca. 80 Tausend Vermittler (Schätzung der Bundesregierung). Seit der Eintragungspflicht wurde der Höchststand in 2014 mit gut 41 Tausend Vermittlern erreicht.
  • Versicherungsvermittler: Juli 2016: ca. 230 Tausend. Juli 2010: ca. 256 Tausend.

Gegenüber dem früheren Niveau haben wir also jetzt schon mal 10% Rückgang. Hingegen gab es eine Steigerung bei den Honorarberatern: von 45 (2014) auf 121 (2016). Tolle Wachstumsrate, irrelevante Größenordnung.

Und bei den Vermittlern sind noch viele Berater aus den Zeiten dabei, als man mit LV und automatischen jährlichen Anpassungen gut leben konnte. Wenn die mal aussteigen, werden sie wohl kaum durch entsprechend viel Nachwuchs ersetzt.

Womit sich die Frage stellt: Wenn die klassische, provisionsfinanzierte Beratung zunehmend weniger attraktiv für die Berater ist, und die Kunden immer noch keine Honorarberatung akzeptieren, wer berät dann die Menschen, deren Einkommensniveau zu unattraktiv für die übrig gebliebenen Berater ist?

Weiterlesen

thinkBoldSpecial

Schöne neue (bimodale) Welt. Innovations-IT trifft auf Exzellenz-IT.

„Bimodal.“ Was klingt, als sei es eine Persönlichkeitsstörung, ist in Wirklichkeit die spannendste Herausforderung für die IT in Zeiten der Digitalisierung. IT muss heute nämlich in zwei Modi gleichzeitig operieren: einem stabilen und einem agilen Modus. Aber so, dass ein Ganzes daraus entsteht, keine parallelen Welten. Sonst endet es doch mit einer Störung, mit schizophrener IT nämlich.

Wie man das konkret angeht, wird am 30.09.2016 auf der „thinkBold *special“-Konferenz in Köln von hochrelevanten Praktikern der Finanzbranche diskutiert. Das Programm finden Sie hier. Für die Leser des Blogs wurden ein paar Plätze reserviert, bei Interesse wenden Sie sich einfach an mich oder info@syngenio.de.

Warum brauchen wir überhaupt bimodale IT in der Finanzbranche? Geht das überhaupt, agil arbeiten und dabei alle Regularien einhalten? Die banale Antwort ist: Wer Produktions- und Vertriebsbank sein will, braucht beides, stabile IT und agile IT.

Die stabile IT ist effizienz- und kostenoptimiert, zuverlässig und hochverfügbar. So muss die Produktions-IT auch sein, um im Wettbewerb um bessere Cost-Income-Ratios mithalten zu können. Eine solche IT ändert man aber auch nur ganz vorsichtig, mit viel Vorlauf. Zwei Releases im Jahr.

Gleichzeitig wenden die Kunden sich immer mehr den wirklich gut gemachten digitalen Angeboten zu. Dafür brauchen wir die agile IT, die ständig Verbesserungen einbaut und sofort auf Kundenfeedback reagiert. Wer als Vertriebsbank erfolgreich sein will, muss heute agil entwickeln. Da schafft man dann auch mal zwei Releases pro Monat.

Und wenn wir beides brauchen, müssen wir es auch miteinander verheiraten. Übergänge zwischen Innovation und Exzellenz schaffen. Bank-API ist in diesem Kontext ein Stichwort, aber auch nicht die Antwort auf alle Fragen.

Die thinkBold Special bringt die konkreten Fragen mit dem Big Picture zusammen. Payment, Banking und Brokerage sind mit Anwenderberichten vertreten, auf die ich schon sehr gespannt bin. Auch zu Internet der Dinge, Blockchain und Algorithmic Banking werden wir Redner aus der wirklichen Praxis hören.

Sehr passend finde ich auch den Beitrag zur Frage, was man von einer gut geführten Cocktailbar über Methoden der Hochverfügbarkeit lernen kann. Die Konferenz geht dann nämlich in die 15-Jahr-Feier der SYNGENIO über. Da sind wir dann schon gleich in der richtigen Stimmung. Wie gesagt, ein paar Gäste kann ich noch reinschmuggeln. Geben Sie mir mal einen Wink.

ThinkBoldBanner

Payment_PSD2_SCA

PSD2 bringt uns fließendes Vertrauen bei Authentisierungen

Mit der PSD2 wird Authentisierung nicht mehr gleich Authentisierung sein. In Zukunft kommt es auf die Abfolge der Authentisierungen an, die ich bereits hinter mir habe. Je nachdem reicht dann eine einfache Identifikation, oder es ist eine starke Authentisierung gefordert, also eine Erkennung anhand von zwei separaten Faktoren.

Klingt kompliziert? Das zu vermeiden, wird die Kunst bei der Nutzung der neuen Rollen sein, die mit PSD2 eingeführt werden.

Alles in Allem hat die EBA hier einen guten Job gemacht. Angesichts der Vorgabe aus Brüssel hatte ich ja bereits befürchtet, dass zukünftig jeder Kontozugriff und jede Zahlung eine starke Authentisierung braucht. Selbst Kleinstzahlungen. Immerhin definierte die Richtlinie, dass auch reine Informationszugriffe stark authentisiert sein müssen. Wie sollte man da die üblichen Bagatellgrenzen für kleinere Zahlungen rechtfertigen?

Aber die EBA hat es geschafft. Sie beruft sich darauf, dass es Ziel der Richtlinie sei, die Entwicklung innovativer benutzerfreundlicher Bezahlverfahren zu fördern. Das rechtfertige die Einführung von Ausnahmen. Ich finde das ja wirklich ausgesprochen gut und richtig, frage mich allerdings, ob die EBA genauso entspannt sein wird, wenn die beaufsichtigten Banken die gleiche Interpretationsfreiheit auf Regeln der EBA anwenden.

Selbst für die reinen Informationszugriffe gibt es jetzt eine Bagatellregelung. Beim ersten Mal und nach einer Pause von mehr als einem Monat muss man sich stark authentisieren, ansonsten reicht die einfache Identifikation. Das hilft allen, die regelmäßig ihre Kontodaten über denselben Weg abrufen.

Bei Zahlungen kann man auf die starke Authentisierung verzichten, wenn sie unter den üblichen Grenzen liegen (10€ bei Online-Zahlungen, 50€ an der Kasse). Aber neben diesen Limits für die einzelne Zahlung gibt es noch Limits für den kumulierten Betrag aller Zahlungen: Ab 100€ online oder 150€ an der Kasse greift dann doch wieder die starke Authentisierung.

Es kommt nicht immer starke Authentisierung zum Einsatz, dass schafft etwas Spielraum. Trotzdem entstehen für die Nutzer neue und erst einmal ungewohnte Situationen. Man weiß jetzt nämlich vorher nicht mehr, wie man sich authentisieren muss. Man muss sich daran gewöhnen, ab und zu nach einem zusätzlichen Identifikationsmerkmal neben dem Üblichen gefragt zu werden. Je nachdem, ob man gerade einen Schwellwert bei den kumulierten Zahlungen überschreitet.

Gerade bei den reinen Informationszugriffen „fließt“ das Vertrauen in die Korrektheit einer Anmeldung sozusagen von einem Login zum anderen. Solange die Kette der Zugriffe nicht abreißt, ist alles in Ordnung. Erst bei einer längeren Pause reißt der Fluss ab, das Vertrauen in den Zugriff muss erst wieder durch die starke Authentisierung hergestellt werden.

Weiterlesen

Innovation_Transformation

Von der Innovation zur digitalen Transformation. Es beginnt.

Jede Bank spricht über Innovation. Und tut auch was, keine Frage. Es gibt eine Menge Bewegung. Aber wenn wir ehrlich sind: Darunter sind auch eine Menge Ausweichbewegungen. Es kann einen schon verblüffen, wie viel Innovation man in einer Organisation einführen kann, ohne wirklich etwas zu verändern.

Denn das halte ich schon für entscheidend: Die eigentliche Herausforderung der Branche ist die Digitale Transformation. Und Transformation heißt Veränderung. Veränderung der eigenen Haltung, Unternehmenskultur und sogar des Selbstverständnisses.

Im Moment sind wir mit dem Thema „Innovation“ deutlich weiter als mit der „digitalen Transformation“. Innovationen finden zahlreich statt, und zwar vor allem zwei Typen von Innovationen:

  • Optimierende Innovation: Beispiel VideoIdent. Eine Verbesserung der bestehenden Produktanträge mit den Mitteln der Digitalisierung. Fertig zukaufbar von entsprechenden Anbietern. Das Thema lässt sich in der Organisation der Bank genau zuordnen. Man weiß, wer zuständig ist, wer das Projektbudget beantragt. Es ändert sich auch Null und Nichts an den bestehenden Produkten oder am Kunde-Bank-Verhältnis. Die Identifikation wird digital, Interessenten können reibungsloser Kunde werden, sonst bleibt alles beim Alten. Diese Form der Innovation lässt sich sehr gut einbauen.
  • Ergänzende Innovation: Neben dem bestehenden Geschäft wird Innovation zusätzlich betrieben. Als Incubator, Hackathon, Innovation Space, oder wie auch immer. So kann man Innovation machen, ohne dass die Organisation wirklich umdenken oder umlernen müsste. Verstehen Sie mich nicht falsch, ich bin dafür, dass man diese Dinge angeht. Das ist alles richtig. Aber es ist eben ein sehr vorsichtiger Schritt in Richtung Veränderung. Wir führen das Neue mal ein. Am Rande. Da, wo es noch nicht ans Eingemachte geht. Wenn alles gut geht, befruchtet es die Unternehmenskultur. Dann verbreitet sich die Lust aufs Neue in der Bank und Umdenken wird salonfähig.

Wir sind jetzt an dem Punkt, an dem die führenden Banken wirklich beginnen, mehr zu tun, ernsthafte Transformationsschritte anzugehen. Damit wird es jetzt spannend:

Weiterlesen

BeDisruptiveWeb

Und FinTechs disrupten doch. Aber anders als gedacht.

Über die Relevanz der FinTech-Szene ist eine neue Debatte entbrannt. Einerseits beweist der Verkauf der Fidor Bank an die Groupe BPCE die Bedeutung der neuen Szene für die etablierten Banken. Auch der neu entbrannte Wettbewerb zwischen London und Berlin um die FinTechs spricht dafür, dass von den Softwareschmieden der Finanzbranche noch viel erwartet wird.

Anderseits fragt das Wirtschaftsmagazin Brand Eins im Artikel Das nächste kleine Ding, wo denn nun die laufend angekündigte Disruption bleibe:

„Digitale Angreifer, die die Banken wirklich ersetzen und etwas substanziell Besseres anbieten? Fehlanzeige. […] Bis heute […] beliefen sich die Marktanteilsverluste der etablierten Finanzhäuser an Fintechs auf „kaum mehr als einen Rundungsfehler“.“ (Brand Eins)

Schlimmer noch, der Artikel bemängelt nicht nur fehlende Erfolge – die könnten sich ja noch einstellen. Er wirft den FinTechs sogar vor, die Kernprinzipien der digitalen Transformation zu verraten: Nämlich zu sehr von der „coolen“ Technologie und ihren Möglichkeiten her zu denken, und zu wenig vom Kundennutzen her. Das ist schon ein Schlag in die Magengrube. Autsch!

Tatsächlich ist die Diskussion ja eigentlich auch längst weiter. Im Januar 2015 (!) schrieb ich in diesem Blog über die Finovate-Konferenz:

Die deutliche Mehrzahl der Präsentatoren zeigte Angebote für Banken, keine Revolutionen gegen den Bankensektor mehr. FinTechs sehen Banken heute als Kunden oder als Exit Strategie, nicht mehr als Gegner.

Was bedeutet das? Der Kampf um Kunden, um bessere Angebote und neue Dienste ist nicht vorbei. Er wird aber vor allem Bank gegen Bank stattfinden, weniger Bank gegen IT-Startups.

Schon damals kommentierte Hans-Jörg Leichsenring vom Bank Blog, das sei doch nicht überraschend. Im April diesen Jahres analysierte Dirk Elsner im Capital-Artikel Die FinTech-Revolution fällt aus sehr elegant, dass Disruption zum Unwort verkommt und FinTechs die Kooperation mit den Banken suchen:

Die Digitalisierung bedroht nicht den Finanzsektor, sondern die darunter zusammengefassten Konzepte, Technologien und neuen Services erweitern die Angebotspalette an Finanzdienstleistungen. (Dirk Elsner in Capital.de)

Also sind sich alle einig, dass FinTechs viel mit Banken kooperieren und wenig verdrängen. Heißt das, die Disruption fällt aus? Alles bleibt beim Alten, es ändert sich nichts für die Banken? Nein.

Die FinTechs disrupten vor allem die bisher weitgehend exklusiven Leistungen der eigenen Bank-IT. Hier wird ein tatsächlich bestehendes Produkt, nämlich die Bereitstellung von IT-Leistungen für Banken und Bankkunden, tatsächlich durch neue Anbieter erbracht. In manchen Fällen ist die Beziehung Kunde-Lieferant hier eine bankinterne Kundenbeziehung zwischen Fachbereich und IT-Bereich. Deshalb lässt sich das Ausmaß der wirtschaftlichen Verschiebung nicht so einfach messen.

Fakt ist aber, dass Banken sich immer mehr daran gewöhnen, Innovationen in neuen Strukturen und mit externen Anbietern zu erstellen. „Innovationen entwickelt man selbst, aber nicht allein“ ist einer der 3 Schlüsselfaktoren für die digitale Transformation bei Banken.

SYNGENIO hat in der Vergangenheit oft direkt für die Bank-IT gearbeitet. Das tun wir auch immer noch, vor allem, um die Bank-IT zu stärken im neuen Wettbewerb mit fremden IT-Anbietern. Agilität, MVP-Entwicklung, Strukturen für eine bimodale IT sind da zentrale Themen.

Zunehmend kommen aber auch Digital Offices, Multichannel-Manager, Marketing oder Innovationsmanager direkt auf uns zu. Gerade Zukunftsthemen bei der Kundenansprache, bei Mehrwertdiensten oder neuen Geschäftsmodellen gehen Fachbereiche inzwischen direkt mit externen bankerfahrenen IT-Unternehmen an. Die „agile IT“ ist zunehmend extern, der internen IT droht die Reduktion auf die „stabile IT“. (Aber, wie oben geschrieben, auch die interne IT macht sich zunehmend fit für den Wettbewerb.)

Das ist natürlich eine Disruption, die dem Bankkunden erst einmal egal ist. Deswegen sieht es aus Endkundensicht leicht so aus, als fände sie nicht statt. Im internen Gefüge der Banken aber werden die Karten neu gemischt. Daher kann man nur allen Mitarbeitern in Banken, in der Bank-IT und bei den externen Bank-IT-Unternehmen sagen: Ihr steckt mitten in einem disruptiven Prozess. Wenig bleibt beim Alten, und wer sich schneller wandelt, wird zu den Gewinnern gehören.

AXA_Ingress_Augmented_Reality

Augmented Reality Marketing mit Pokemon Go und Ingress. Ernsthaft.

So, jetzt heißt es schnell sein und den Hype nutzen: Pokemon Go lockt Menschen von fünf bis fünfzig Jahren dahin, wo die Pokemons sind – auch zur Bankfiliale. Und das für extrem wenig Geld, denn Sie brauchen nicht unbedingt eine teure Werbekampagne. Suchen Sie Filialen in der Nähe einer Spiele-Lokation, eines sogenannten Poke-Stops, und versprechen Sie, dort zu bestimmten Uhrzeiten sogenannte „Lockmodule“ einzusetzen, die Pokemons anlocken.

Publizieren Sie das auf ihrer Facebook-Seite und auf Pokemon-Fan-Sites und sie werden überrascht sein, welches Medienecho Sie erreichen: Im Netz und in der Realität vor ihren Filialen. Kosten: Für 100 € bekommen Sie Lockmodule für gut 85 Stunden, das reicht um an zehn Filialen eine Woche lang jeden Tag eine „Happy-Lockstoff-Hour“ einzurichten und den Spieler noch ein paar Mal Nachschlag zu gönnen.

Die Kosten sind Peanuts im Vergleich zur möglichen Wirkung, garantiert auch Peanuts im Vergleich zur McDonalds-Werbekampagne, von der die Gerüchteküche berichtet. McDonalds möchte offenbar alle seine Filialen zu Poke-Stops machen, womöglich noch so, dass seltene Pokemons dort besonders oft auftauchen. Dafür werden sie dann richtig Geld hinlegen müssen.

Übrigens ist die Finanzbranche Pionier bei der Nutzung von Augmented Reality Games für Werbezwecke. Der Anbieter von Pokemon Go, die Firma Niantic, hat nämlich vor Jahren bereits das sehr ähnlich funktionierende Spiel Ingress herausgebracht. Allerdings fehlte hier der große Markenname und das futuristische Setting dürfte auch nicht jedermanns Sache sein.

Für Ingress konnte Niantic drei Werbepartner gewinnen: AXA, Mitsubishi Financial Group und Softbank. Letzteres ist eine japanische Software-Firma. Alle Werbekunden tauchen im Spiel mit Items auf, die nach ihnen benannt sind und besonders wertvolle Eigenschaften haben.

Von AXA kommt der „AXA-Shield“ und das ist natürlich der beste Schutzschild im Spiel. Passender geht es ja wohl nicht mehr. Mitsubishi Financial Group stellt die „MUFG-Kapsel“, in der sich Items vermehren, also sozusagen verzinsen.

Wirklich cool ist, dass alle AXA-Filialen in Deutschland Spiele-Lokationen sind, an denen man besonders leicht AXA-Schilde bekommt. Glauben Sie mir, alle Ingress-Spieler kennen die AXA-Filialen in ihrer Stadt.

Weiterlesen

PSD2 Artikel97

PIN/TAN mit PSD2: Klarheit oder neue Unsicherheit?

Was geht mit PIN und TAN? Schafft die PSD2 hier mehr Klarheit oder eben nicht? Derzeit sieht es für mich so aus, als würden Zahlungsauslösedienste (wie SOFORT) profitieren, während Kontoinformationsdienste (wie figo.io  oder finapi.de) erst mal verunsichert werden.

Aktuell ziehen die Deutsche Kreditwirtschaft (DK) und das Kartellamt ihren Streit um die Sofortüberweisung gnadenlos durch: Das Kartellamt hält die AGBs der Banken für wettbewerbswidrig, wogegen die DK wiederum gerichtlich vorgehen wird. Dabei würden auch etliche deutsche Banken selber gern Multibanking anbieten, wofür sie die Zugangsdaten zu anderen Banken speichern müssten. Da machen ihnen jetzt die eigenen Verbände mit den starren AGB einen Strich durch die Rechnung.

Und zumindest das Kartellamt weist in seiner Pressemitteilung wenigstens darauf hin, dass die PSD2 das Thema Sofortüberweisung ja einer neuen Regulierung zuführt, durch die sich der ganze Streit erledigen wird. Zahlungsauslösedienste sind in der PSD2 ausdrücklich vorgesehen. Wenn sich SOFORT an die Spielregeln hält, können die Banken sie nicht mehr stoppen. Das ganz Hin und Her zwischen DK und Kartellamt ist also ohnehin nur noch ein Spiel auf Zeit. Haben wir wirklich nichts Wichtigeres zu tun?

Was mich aber noch viel mehr irritiert, sind die Vorgaben der PSD2 zum Thema starke Authentisierung. Artikel 97 Absatz (1) sagt eindeutig, dass eine starke Authentisierung nötig ist, wenn ein Kunde online auf sein Zahlungskonto zugreift. Starke Authentisierung heißt: Zwei verschiedene Authentisierungsverfahren, etwa Wissen (z.B. PIN), Besitz (z.B. Karte, TAN-Generator) oder Biometrie (z.B. Fingerabdruck).

Das wird lästig für die Kunden, wenn sie zukünftig schon beim reinen Zugriff aufs Konto zwei Merkmale liefern müssen. Nur PIN alleine geht dann dann wohl nicht mehr. Gut, die technische Richtlinie ist noch nicht fertig. Man könnte hoffen, dass hier wieder mal Bagatellgrenzen eingezogen werden, so dass man erst bei Zahlungen ab 50 € wirklich stark authentisieren muss.

Allerdings sagt Artikel 97 Absatz (4) noch mal ausdrücklich, dass die starke Authentisierung auch gilt, wenn der Zugriff über einen Kontoinformationsdienstleister erfolgt. Ein solcher Dienstleister führt gar keine Zahlungen aus! Man muss das also wohl so lesen, dass wirklich jeder Kontozugriff mit zwei Authentisierungsmerkmalen erfolgen muss, auch wenn gar keine Zahlung erfolgt.

Das könnte böse Folgen für figo und Co. haben. Eigentlich will die PSD2 ihnen ja helfen, indem sie einen ordentlich regulierten Status als Kontoinformationsdienstleister für diese APIs einführt. Aber in der Praxis könnte sie ihnen das Leben schwer machen: Bisher reichte eine PIN zum Zugriff aufs Konto, die konnte figo speichern. Zukünftig werden Besitz oder Biometrie hinzukommen, was sich beides nicht speichern lässt. Noch schlimmer: Naheliegend ist, dass die Banken jeweils die etablierten TAN-Verfahren als zweiten Faktor nutzen. Dann muss der Kunde womöglich pro Bank einen separaten TAN-Generator herausholen, nur um sich den Kontostand all seiner Konten über figo anzeigen zu lassen. Und figo müsste all diese Verfahren implementieren, um die Authentifizierungsdaten an die Banken weiter zu leiten.

Ist das so wirklich im Sinne des Erfinders? Kann die technische Richtlinie da noch aus der Patsche helfen? Ich weiß es nicht. Immerhin hat die EBA schon selbst eingestanden, dass die Schwierigkeit bei der Umsetzung der PSD2 darin bestünde, die verschiedenen Ziele der Richtlinie in Balance zu halten. In diesem Fall will der Gesetzgeber mehr Sicherheit für den Kunden einerseits (dafür die starke Authentisierung) und er will den Banken ihr Monopol auf die Kontodaten entziehen (dafür die Einführung der Kontoinformationsdienstleister). Es könnte sein, dass sich die beiden Ziele hier gegenseitig so sehr im Wege stehen, dass weder die Kunden noch die Dienstleister das Ergebnis mögen.

Top