PSD2 Artikel97

PIN/TAN mit PSD2: Klarheit oder neue Unsicherheit?

Was geht mit PIN und TAN? Schafft die PSD2 hier mehr Klarheit oder eben nicht? Derzeit sieht es für mich so aus, als würden Zahlungsauslösedienste (wie SOFORT) profitieren, während Kontoinformationsdienste (wie figo.io  oder finapi.de) erst mal verunsichert werden.

Aktuell ziehen die Deutsche Kreditwirtschaft (DK) und das Kartellamt ihren Streit um die Sofortüberweisung gnadenlos durch: Das Kartellamt hält die AGBs der Banken für wettbewerbswidrig, wogegen die DK wiederum gerichtlich vorgehen wird. Dabei würden auch etliche deutsche Banken selber gern Multibanking anbieten, wofür sie die Zugangsdaten zu anderen Banken speichern müssten. Da machen ihnen jetzt die eigenen Verbände mit den starren AGB einen Strich durch die Rechnung.

Und zumindest das Kartellamt weist in seiner Pressemitteilung wenigstens darauf hin, dass die PSD2 das Thema Sofortüberweisung ja einer neuen Regulierung zuführt, durch die sich der ganze Streit erledigen wird. Zahlungsauslösedienste sind in der PSD2 ausdrücklich vorgesehen. Wenn sich SOFORT an die Spielregeln hält, können die Banken sie nicht mehr stoppen. Das ganz Hin und Her zwischen DK und Kartellamt ist also ohnehin nur noch ein Spiel auf Zeit. Haben wir wirklich nichts Wichtigeres zu tun?

Was mich aber noch viel mehr irritiert, sind die Vorgaben der PSD2 zum Thema starke Authentisierung. Artikel 97 Absatz (1) sagt eindeutig, dass eine starke Authentisierung nötig ist, wenn ein Kunde online auf sein Zahlungskonto zugreift. Starke Authentisierung heißt: Zwei verschiedene Authentisierungsverfahren, etwa Wissen (z.B. PIN), Besitz (z.B. Karte, TAN-Generator) oder Biometrie (z.B. Fingerabdruck).

Das wird lästig für die Kunden, wenn sie zukünftig schon beim reinen Zugriff aufs Konto zwei Merkmale liefern müssen. Nur PIN alleine geht dann dann wohl nicht mehr. Gut, die technische Richtlinie ist noch nicht fertig. Man könnte hoffen, dass hier wieder mal Bagatellgrenzen eingezogen werden, so dass man erst bei Zahlungen ab 50 € wirklich stark authentisieren muss.

Allerdings sagt Artikel 97 Absatz (4) noch mal ausdrücklich, dass die starke Authentisierung auch gilt, wenn der Zugriff über einen Kontoinformationsdienstleister erfolgt. Ein solcher Dienstleister führt gar keine Zahlungen aus! Man muss das also wohl so lesen, dass wirklich jeder Kontozugriff mit zwei Authentisierungsmerkmalen erfolgen muss, auch wenn gar keine Zahlung erfolgt.

Das könnte böse Folgen für figo und Co. haben. Eigentlich will die PSD2 ihnen ja helfen, indem sie einen ordentlich regulierten Status als Kontoinformationsdienstleister für diese APIs einführt. Aber in der Praxis könnte sie ihnen das Leben schwer machen: Bisher reichte eine PIN zum Zugriff aufs Konto, die konnte figo speichern. Zukünftig werden Besitz oder Biometrie hinzukommen, was sich beides nicht speichern lässt. Noch schlimmer: Naheliegend ist, dass die Banken jeweils die etablierten TAN-Verfahren als zweiten Faktor nutzen. Dann muss der Kunde womöglich pro Bank einen separaten TAN-Generator herausholen, nur um sich den Kontostand all seiner Konten über figo anzeigen zu lassen. Und figo müsste all diese Verfahren implementieren, um die Authentifizierungsdaten an die Banken weiter zu leiten.

Ist das so wirklich im Sinne des Erfinders? Kann die technische Richtlinie da noch aus der Patsche helfen? Ich weiß es nicht. Immerhin hat die EBA schon selbst eingestanden, dass die Schwierigkeit bei der Umsetzung der PSD2 darin bestünde, die verschiedenen Ziele der Richtlinie in Balance zu halten. In diesem Fall will der Gesetzgeber mehr Sicherheit für den Kunden einerseits (dafür die starke Authentisierung) und er will den Banken ihr Monopol auf die Kontodaten entziehen (dafür die Einführung der Kontoinformationsdienstleister). Es könnte sein, dass sich die beiden Ziele hier gegenseitig so sehr im Wege stehen, dass weder die Kunden noch die Dienstleister das Ergebnis mögen.

IDNow Patent VideoIdent

IDnow erhält Patent auf Videoidentifikation

IDnow war bisher einer der führenden Anbieter von GWG-konformen Videoidentifikationslösungen – aber nicht der Einzige. Ändert sich das jetzt?

Das europäische Patentamt hat IDnow ein Patent auf ein Verfahren zur Benutzeridentifikation über Video erteilt. Sie finden es hier. Das Verfahren enthält wesentlichen Elemente einer Fernlegitimation, die den Kriterien der BaFin zur GWG-Konformität genügt. IDnow stellt hier einen Vergleich von Patent und Vorgaben der BaFin bereit.

Das Verfahren wurde bereits im Januar 2013 zum Patent angemeldet, also über ein Jahr vor dem entsprechenden Rundschreiben der BaFin. Dementsprechend sind das patentierte Verfahren und die BaFin-Vorgaben nicht identisch. Es sieht aber so aus, als wäre die BaFin eigentlich nur noch etwas spezifischer gewesen. Wenn sich das bestätigt, heißt es: Jede laut BaFin-Kriterien GWG-konforme Videoidentifikation fällt unter den Patentschutz. So sieht das auch IDnow.

Was bedeutet das jetzt für den Wettbewerb? Und für Banken, die Lösungen anderer Anbieter nutzen? Das dürfte davon abhängen, ob und wie sich die Wettbewerber mit IDnow einigen. Grundsätzlich steht einem Patentinhaber das Recht zu, sein Patent ausschließlich selbst zu nutzen, es also anderen vorzuenthalten. Allerdings kann der Patentinhaber gezwungen werden, Lizenzen zu vergeben, wenn der Lizenznehmer die Lizenz für eine wesentliche Weiterentwicklung des Verfahrens benötigt.

Eigentlich steht ja für dieses Jahr die Erweiterung der Videoidentifikation um den Online Vertragsabschluss mit QES auf der Agenda. Durch das Patent könnten sich jetzt erst einmal wieder offene Fragen zur eigentlichen Identifikation in den Vordergrund drängen. Wir werden sehen – die Information ist noch zu frisch, als dass man sie abschließend bewerten könnte.

 

FinovateEurope2016

Finovate Europe 2016: Die wichtigsten Perspektiven

Die Londoner Finovate zeigt, was sie kann: Natürlich gibt es es inzwischen auch in Deutschland genügend FinTech-Konferenzen, aber in dieser Dichte, Internationalität und mit breit gestreutem Publikum ist sie nach wie vor einzigartig in Europa. Immerhin ist London derzeit „King of FinTech“ , die Investitionen in Großbritannien überstiegen in 2015 die im gesamten Rest von Europa.

Statt bahnbrechender Neuerungen gab es vor allem Trends zu entdecken, die sich durch die Veranstaltung zogen. Stark im Fokus stand die Personalisierung und Kontextorientierung des Bankings. Außerdem wurden Gestaltungsprinzipien übertragen, die Nutzer von anderen Apps oder aus dem eCommerce kennen. SwipeStox bezeichnete sich selbst als „Tinder of Social Trading“, eWise als „fitbit of finance“.

Wichtig war immer wieder die Balance zwischen Automatisierung und eigener Kontrolle durch den Kunden. Deutschland FinTech-Szene war stark vertreten unter anderem mit Lendstar, Scalable Capital, Risk Ident und SwipeStox.

Herausheben möchte ich zwei Themen: Neues zum Robo Advisoring und zur Biometrie.
Die Roboter gehen den nächsten Schritt, bei der Biometrie kommen Sprach- und Augen-Erkennung, was insbesondere für die mit PSD II verbundene Zwei-Faktor-Authentisierung spannend ist.

Meetinvest

Meetinvest bietet einen Roboter, der nicht auf Basis von Fonds arbeitet, sondern täglich über 90.000 einzelne Aktien analysiert. Auf Basis der Analysen werden dann Strategien berühmter Anleger umgesetzt (wie Warren Buffet, den das Beitragsbild zeigt). Die Algorithmen der Strategien sind veröffentlicht, hier herrscht Transparenz. Anhand einer Rückwärtsbetrachtung sieht der Kunde, wie die Strategie in der Vergangenheit gewirkt hätte.

Aus meiner Sicht eine spannende Verbindung zwischen voller Automatisierung einerseits und menschlichem Faktor anderseits in Form der der großen Investoren, deren Anlagestrategien den Kern der Plattform bilden.

Scalable Capital

Scalable Capital bietet eine automatisierte Vermögensverwaltung nach dem „Value at Risk“ Prinzip. Roboter arbeiten gerne mit einem schlichten Mix von Aktien und Anleihen entsprechend der Risikoneigung des Kunden. Große Investmentgesellschaften bewerten das tatsächliche Risiko eines Portfolios aber fortlaufend neu und steuern nach, um die Value at Risk im angestrebten Rahmen zu halten. Genau das verspricht Scalable Capital jetzt auch Kunden im mittleren Vermögensbereich. In Deutschland können die die Plattform bereits nutzen, Großbritannien folgt jetzt.

Weiterlesen

Transparenz930

Kein Paradox: So schafft mehr Transparenz mehr Sicherheit

Im Artikel „Wie digitale Transparenz die Welt verändert“ zieht das Magazin „Spektrum der Wissenschaft“ eine hübsche Parallele: Als die Ozeane sich von trüben Gewässern zu klaren, sonnendurchfluteten Meeren wandelten, war das eine enorme Herausforderung für das Leben im Meer. Plötzlich konnten Raubtier und Beute sich sehen. Innerhalb (geologisch gesehen) kurzer Zeit entstand ein Vielzahl von Arten, die auf die neue Transparenz der Meere ganz unterschiedlich reagierten. Muscheln bilden harte Schalen, andere setzen auf Tarnung, gute Augen oder einfach Schnelligkeit.

Die Digitalisierung schafft heute Transparenz über Menschen, Verhalten, Institutionen und Diskussionen. Die Deutschen nehmen vor allem wahr, dass ihre Privatsphäre transparent wird. Aber selbst die NSA, die so geheim ist, dass sie vor wenigen Jahren kaum jemand in Deutschland kannte, muss sich dank Edward Snowdon heute für ihre Tätigkeit öffentlich rechtfertigen.

Digitalisierung schafft Transparenz und gleichzeitig die Frage, wie man damit umgeht. Will ich die Vorteile der Transparenz nutzen? Wie die ersten Fische mit Augen, die ihre Feinde früher sehen konnten? Oder will ich mich vor Transparenz schützen, wie Muscheln in ihren Schalen?

Für die Finanzbranche stellt sich die Frage besonders deutlich. Banken sind klassische Orte der Sicherheit und Verschwiegenheit – wer an Banken denkt, hat immer noch den gepanzerten Tresorraum vor Augen. Und Versicherungen verkaufen Schutz, das ist ihr Kerngeschäft.

Wie reagieren Banken und Versicherungen auf die Möglichkeiten, die digitale Transparenz schafft? Vielleicht ist dies eine der zentralen Fragen für die zukünftige Ausrichtung der Institute. Es wird unterschiedliche Antworten geben, und je nachdem, wie die Antwort ausfällt, entstehen unterschiedliche Arten von Finanzinstituten. So, wie das Leben im Meer sich in unterschiedliche Arten aufteilte.

Dabei sind Transparenz und Sicherheit keine Gegensätze. Transparenz ist nämlich auch das beste Mittel, Betrug zu vermeiden. Dazu zwei Beispiele:

Weiterlesen

bionym2

Wearable Banking kommt tatsächlich

Mit dem iPad hat Apple damals erfolgreich eine ganz neue Gerätekategorie etabliert. Seitdem glauben alle daran, dass weitere Gerätekategorien ebenso erfolgreich sein können. Um Google Glass ist es etwas ruhiger geworden, aktuell stehen andere „Wearable Computing Devices“ im Vordergrund, vor allem Smart Watches. Offenbar ist der Cyborg-Look von Google Glass nicht jedermanns Sache – Armbänder sind da unauffälliger, im besten Fall sogar modische Accessoires. Jetzt starten gleich zwei Initiativen, die solche Armbänder fürs Banking nutzen:

Weiterlesen

EuroCoin

EuroCoin- der bessere Bitcoin?

Am Donnerstag, 25. Sept. 2014 fand erneut die Bitkom Arbeitsgruppe SEPA + Kryptowährungen in Frankfurt/Main statt, diesmal in den Räumen von NTT Data.

Eines der zentralen Themen dieser AG sind Kryptowährungen.

So gibt es Überlegungen, echtes kryptografisches Zentralbankgeld, den EuroCoin, zu schaffen. Hier will sich die Bitkom als High-Tech-Verband maßgeblich engagieren.

Weiterlesen

Joachim-Loew

Customer Onboarding entscheidet den Kampf um die Kunden

Viel Aufwand floss in die Gewinnung dieses Neukunden, jetzt endlich hat er das Webformular ausgefüllt. Nur muss er leider noch durchs PostIdent-Verfahren … und an dieser Stelle bleibt ein zweistelliger Prozentsatz der Kunden hängen.
Das ist ja nun auch wirklich nicht mehr zeitgemäß, findet Brett King: „Application Forms Kill Customer Innovation.“ Er plant mit Moven „Downloadable Accounts“. Auch eine seltsame Vorstellung, schließlich kamen Konten schon immer aus der Cloud (aka Bank), und da gehören sie auch hin.
Nur der Antragsprozess mit Identifikation und Unterschrift ist eine echte Spaßbremse für Kunden und Innovatoren gleichermaßen. Sehr schön hat sich gerade eine LinkedIn-Gruppe darüber aufgeregt:

I think we need Gen-Y regulators to challenge some of the conventional wisdom that has been expired for a while, yet is still in-use. We don’t consume expired foods. Why should we have to be subject to expired customer identification and verification processes? (Ghan Desai)

Die Unterschrift ist immer noch der Klassiker unter den biometrischen Verfahren: Etwas, dass mir kraft endloser Wiederholung so in Fleisch und Blut übergegangen ist, dass es eine einzigartige Form angenommen hat. Nur stimmt dieser Mythos heute weniger denn je: Junge Erwachsene schreiben selten mit der Hand, auch den eigenen Namen. Sie können natürlich ihren Namen schreiben, aber eben nicht auf einzigartige Art und Weise. In diesem Sinne haben sie keine Unterschrift mehr!

Wenn Unterschriften ein Auslaufmodell sind, was können wir dann tun?

Weiterlesen

Display TAN von NFC-TAN

INNOVATIONSforBANKS 2014: Mobile Banking Sicherheit im Fokus

Heute und morgen findet die Konferenz Innovations for Banks des Bankingclub statt. Einen Schwerpunkt bildeten heute Mobile Payment und Mobile Banking, insbesondere die Sicherheitsaspekte.

Mit „Display TAN“ zeigte Dr. Bernd Borchert von der Uni Tübingen das vermutlich handlichste Chipkarten-TAN-Gerät der Welt: Es wird einfach direkt in die Karte integriert (siehe die Grafik oben, von www.nfc-tan.com).  Das Smartphone sendet per Bluetooth oder NFC die Transaktion an die Karte. Ein Display in der Karte zeigt die zu signierende Transaktion an, per OK-Button bestätigt der Nutzer. Der Kartenchip generiert dann die TAN, das tut er schon bei heutigen chipTAN-Verfahren. Wiederum per Bluetooth/NFC gehen die Daten zurück ans Smartphone. Solche Karten existieren bereits, als Kosten wurden 9€ / Stück genannt, das ist im Vergleich mit üblichen Chipkarten-TAN-Geräten eher günstig, um Vergleich mit Standard-Karten natürlich sehr teuer.

Mehr zur Diskussion um Sicherheitsverfahren im Mobile Banking und ums Mobile Payment:

Weiterlesen

Postbank_BestSign_App

Endlich: Mobile Banking ohne TAN-Gerät

Das SMS-TAN-Verfahren ist bei Bankkunden beliebt, aber für mobile Banking leider keine Lösung. Seine einzige Sicherheitsfunktion besteht in der Kanaltrennung zwischen Online und Mobile. Und die ist ja nun nicht wirklich gegeben, wenn beides auf dem Smartphone zusammenläuft.

Die Alternative bestand bisher in zusätzlicher Hardware zur Erzeugung von TANs – „eTAN“, „Smart-TAN“ und wie sich die Geräte alle nennen. Das ist die sicherste Lösung, aber natürlich hat man den Generator nicht immer dabei.  Das hat die mobilen Transaktionen bisher stark limitiert. Nicht umsonst berichten Banken gern die Anzahl der Logins in ihr mobile Banking, aber kaum je die Anzahl der Transaktionen.

Die Postbank hat jetzt ein mobile TAN-Verfahren eingeführt, das ganz ohne Zusatzgerät auskommt. Es basiert auf dem bereits im Postbank Online Banking eingesetzten BestSign-Verfahren.

Weiterlesen

Finovate_Europe_2014_Blog.png

„Best of Show“ der Finovate Europe 2014

Am 11. Und 12.02. fand die Finovate Europe 2014 in London statt. Zum Glück gab es eine Plattform für Bank-basierte Bitcoin-Zahlungen zu sehen und ein BLE-Payment per Smartwatch. Also auch mal wirklich aktuelle Themen. Ansonsten war Finovate 2014 vor allem ein Update der Entwicklungen, die man schon auf der Finovate 2013 gesehen hat.

Das ist nicht unbedingt schlecht: Es kann bedeuten, dass die wesentlichen Ausrichtungen der Next Generation Finance bekannt und konsensfähig sind. Die Entwicklungen laufen derzeit daraus hinaus, die einzelnen Ansätze valider umzusetzen. Plus: Bausteine wachsen zusammen. Die bessere Umsetzung der bekannten Ideen ist jetzt wichtiger als die bessere Idee.

Die wichtigsten Themen waren:

  • Feature Rich Online / Mobile Banking: Online Banking ändert sein Wesen, seine Gestaltung und erweitert seinen Umfang. Über alle Devices hinweg. Das war Konsens, es geht nur noch darum, wer das besser macht.
  • Sicherheit und Betrugserkennung: Mehrere Lösungen befassen sich mit mobile Security und Fraud Detection im eCommerce.
  • Banking für Kleinunternehmen: Die Integration von Business Intelligence Werkzeugen für Kleinunternehmen direkt ins Banking erleichtert den Firmen ihr eigenes Management und gibt der Bank einen tiefen Einblick ins wirkliche Geschäft. Und damit eine bessere Basis für die Kreditvergabe, die vor allem kurzfristige Liquiditätsprobleme lösen muss.
  • Geld bewegen: Bezahlen und Alternativen zum klassischen Zahlungsverkehr waren auch wieder gut vertreten. Aber oft wieder so, dass sie zum Scheitern verurteilt scheinen, weil die Hürden für eine weite Verbreitung zu hoch sind. Eigentlich schauen wir hier gerade alle auf Apple…

Die wichtigsten Ansätze und Technologien waren:

  • UX! User Experience ist weiterhin das zentrale Thema. Attraktive Interfaces, Responsive, Joy of Use. Da ist ja auch wahrlich noch viel zu holen im Finanzbereich!
  • Big Data: Ob für Sicherheit oder Aktienprognosen: Mehr Daten sammeln und auswerten bietet noch jede Menge Potenzial. Zum Nutzen der Kunden, aber manchmal eben auch zum Nutzen von Banken und Händlern … die Datenschutzaspekte muss man erst mal prüfen.
  • Psychologische Analysen: Motivation und Interessen der Kunden werden betrachtet. Wiederum kann man daraus Security Features bauen, oder Ansätze zur automatischen Beratung, oder einfach nur die richtigen Rabatte im richtigen Moment platzieren.

Insgesamt 8 der 68 Beiträge wurden zur „Best of Show“ gewählt. Hier sind sie:

Weiterlesen

Top