Galaxy Note 7

Galaxy Note 7 und PSD2 – Bei Biometrie geht mehr als nur Fingerabdruck

Ein Beitrag von Michael Maleika, SYNGENIO AG.

Schade, dass Samsung solche Probleme mit den Akkus des Galaxy Note 7 hat. Für digitales Banking wäre insbesondere der integrierte Iris-Scan sehr spannend. Doch nicht nur wegen der neuen Technik ist Authentifizierung aktuell im Fokus, sondern vor allem auch wegen der derzeit viel diskutierten Zahlungsdiensterichtlinie PSD2. Ein Novum in der PSD2 ist die Verpflichtung zur starken Kundenauthentifizierung, die durch gleichzeitige Verwendung von 2 der 3 bekannten Authentifizierungsverfahren erreicht wird.

Neben den zwei bereits etablierten Faktoren Wissen und Besitz kann ein dritter Faktor genutzt werden, die sogenannte Inhärenz. Diese wird üblicherweise mit der Messung biometrischer Merkmale wie dem Fingerabdruck abgedeckt. Aber was genau steckt eigentlich hinter den biometrischen Verfahren und welche Alternativen zum Fingerabdruck gibt es?

Weiterlesen

Payment_PSD2_SCA

PSD2 bringt uns fließendes Vertrauen bei Authentisierungen

Mit der PSD2 wird Authentisierung nicht mehr gleich Authentisierung sein. In Zukunft kommt es auf die Abfolge der Authentisierungen an, die ich bereits hinter mir habe. Je nachdem reicht dann eine einfache Identifikation, oder es ist eine starke Authentisierung gefordert, also eine Erkennung anhand von zwei separaten Faktoren.

Klingt kompliziert? Das zu vermeiden, wird die Kunst bei der Nutzung der neuen Rollen sein, die mit PSD2 eingeführt werden.

Alles in Allem hat die EBA hier einen guten Job gemacht. Angesichts der Vorgabe aus Brüssel hatte ich ja bereits befürchtet, dass zukünftig jeder Kontozugriff und jede Zahlung eine starke Authentisierung braucht. Selbst Kleinstzahlungen. Immerhin definierte die Richtlinie, dass auch reine Informationszugriffe stark authentisiert sein müssen. Wie sollte man da die üblichen Bagatellgrenzen für kleinere Zahlungen rechtfertigen?

Aber die EBA hat es geschafft. Sie beruft sich darauf, dass es Ziel der Richtlinie sei, die Entwicklung innovativer benutzerfreundlicher Bezahlverfahren zu fördern. Das rechtfertige die Einführung von Ausnahmen. Ich finde das ja wirklich ausgesprochen gut und richtig, frage mich allerdings, ob die EBA genauso entspannt sein wird, wenn die beaufsichtigten Banken die gleiche Interpretationsfreiheit auf Regeln der EBA anwenden.

Selbst für die reinen Informationszugriffe gibt es jetzt eine Bagatellregelung. Beim ersten Mal und nach einer Pause von mehr als einem Monat muss man sich stark authentisieren, ansonsten reicht die einfache Identifikation. Das hilft allen, die regelmäßig ihre Kontodaten über denselben Weg abrufen.

Bei Zahlungen kann man auf die starke Authentisierung verzichten, wenn sie unter den üblichen Grenzen liegen (10€ bei Online-Zahlungen, 50€ an der Kasse). Aber neben diesen Limits für die einzelne Zahlung gibt es noch Limits für den kumulierten Betrag aller Zahlungen: Ab 100€ online oder 150€ an der Kasse greift dann doch wieder die starke Authentisierung.

Es kommt nicht immer starke Authentisierung zum Einsatz, dass schafft etwas Spielraum. Trotzdem entstehen für die Nutzer neue und erst einmal ungewohnte Situationen. Man weiß jetzt nämlich vorher nicht mehr, wie man sich authentisieren muss. Man muss sich daran gewöhnen, ab und zu nach einem zusätzlichen Identifikationsmerkmal neben dem Üblichen gefragt zu werden. Je nachdem, ob man gerade einen Schwellwert bei den kumulierten Zahlungen überschreitet.

Gerade bei den reinen Informationszugriffen „fließt“ das Vertrauen in die Korrektheit einer Anmeldung sozusagen von einem Login zum anderen. Solange die Kette der Zugriffe nicht abreißt, ist alles in Ordnung. Erst bei einer längeren Pause reißt der Fluss ab, das Vertrauen in den Zugriff muss erst wieder durch die starke Authentisierung hergestellt werden.

Weiterlesen

PSD2 Artikel97

PIN/TAN mit PSD2: Klarheit oder neue Unsicherheit?

Was geht mit PIN und TAN? Schafft die PSD2 hier mehr Klarheit oder eben nicht? Derzeit sieht es für mich so aus, als würden Zahlungsauslösedienste (wie SOFORT) profitieren, während Kontoinformationsdienste (wie figo.io  oder finapi.de) erst mal verunsichert werden.

Aktuell ziehen die Deutsche Kreditwirtschaft (DK) und das Kartellamt ihren Streit um die Sofortüberweisung gnadenlos durch: Das Kartellamt hält die AGBs der Banken für wettbewerbswidrig, wogegen die DK wiederum gerichtlich vorgehen wird. Dabei würden auch etliche deutsche Banken selber gern Multibanking anbieten, wofür sie die Zugangsdaten zu anderen Banken speichern müssten. Da machen ihnen jetzt die eigenen Verbände mit den starren AGB einen Strich durch die Rechnung.

Und zumindest das Kartellamt weist in seiner Pressemitteilung wenigstens darauf hin, dass die PSD2 das Thema Sofortüberweisung ja einer neuen Regulierung zuführt, durch die sich der ganze Streit erledigen wird. Zahlungsauslösedienste sind in der PSD2 ausdrücklich vorgesehen. Wenn sich SOFORT an die Spielregeln hält, können die Banken sie nicht mehr stoppen. Das ganz Hin und Her zwischen DK und Kartellamt ist also ohnehin nur noch ein Spiel auf Zeit. Haben wir wirklich nichts Wichtigeres zu tun?

Was mich aber noch viel mehr irritiert, sind die Vorgaben der PSD2 zum Thema starke Authentisierung. Artikel 97 Absatz (1) sagt eindeutig, dass eine starke Authentisierung nötig ist, wenn ein Kunde online auf sein Zahlungskonto zugreift. Starke Authentisierung heißt: Zwei verschiedene Authentisierungsverfahren, etwa Wissen (z.B. PIN), Besitz (z.B. Karte, TAN-Generator) oder Biometrie (z.B. Fingerabdruck).

Das wird lästig für die Kunden, wenn sie zukünftig schon beim reinen Zugriff aufs Konto zwei Merkmale liefern müssen. Nur PIN alleine geht dann dann wohl nicht mehr. Gut, die technische Richtlinie ist noch nicht fertig. Man könnte hoffen, dass hier wieder mal Bagatellgrenzen eingezogen werden, so dass man erst bei Zahlungen ab 50 € wirklich stark authentisieren muss.

Allerdings sagt Artikel 97 Absatz (4) noch mal ausdrücklich, dass die starke Authentisierung auch gilt, wenn der Zugriff über einen Kontoinformationsdienstleister erfolgt. Ein solcher Dienstleister führt gar keine Zahlungen aus! Man muss das also wohl so lesen, dass wirklich jeder Kontozugriff mit zwei Authentisierungsmerkmalen erfolgen muss, auch wenn gar keine Zahlung erfolgt.

Das könnte böse Folgen für figo und Co. haben. Eigentlich will die PSD2 ihnen ja helfen, indem sie einen ordentlich regulierten Status als Kontoinformationsdienstleister für diese APIs einführt. Aber in der Praxis könnte sie ihnen das Leben schwer machen: Bisher reichte eine PIN zum Zugriff aufs Konto, die konnte figo speichern. Zukünftig werden Besitz oder Biometrie hinzukommen, was sich beides nicht speichern lässt. Noch schlimmer: Naheliegend ist, dass die Banken jeweils die etablierten TAN-Verfahren als zweiten Faktor nutzen. Dann muss der Kunde womöglich pro Bank einen separaten TAN-Generator herausholen, nur um sich den Kontostand all seiner Konten über figo anzeigen zu lassen. Und figo müsste all diese Verfahren implementieren, um die Authentifizierungsdaten an die Banken weiter zu leiten.

Ist das so wirklich im Sinne des Erfinders? Kann die technische Richtlinie da noch aus der Patsche helfen? Ich weiß es nicht. Immerhin hat die EBA schon selbst eingestanden, dass die Schwierigkeit bei der Umsetzung der PSD2 darin bestünde, die verschiedenen Ziele der Richtlinie in Balance zu halten. In diesem Fall will der Gesetzgeber mehr Sicherheit für den Kunden einerseits (dafür die starke Authentisierung) und er will den Banken ihr Monopol auf die Kontodaten entziehen (dafür die Einführung der Kontoinformationsdienstleister). Es könnte sein, dass sich die beiden Ziele hier gegenseitig so sehr im Wege stehen, dass weder die Kunden noch die Dienstleister das Ergebnis mögen.

IDNow Patent VideoIdent

IDnow erhält Patent auf Videoidentifikation

IDnow war bisher einer der führenden Anbieter von GWG-konformen Videoidentifikationslösungen – aber nicht der Einzige. Ändert sich das jetzt?

Das europäische Patentamt hat IDnow ein Patent auf ein Verfahren zur Benutzeridentifikation über Video erteilt. Sie finden es hier. Das Verfahren enthält wesentlichen Elemente einer Fernlegitimation, die den Kriterien der BaFin zur GWG-Konformität genügt. IDnow stellt hier einen Vergleich von Patent und Vorgaben der BaFin bereit.

Das Verfahren wurde bereits im Januar 2013 zum Patent angemeldet, also über ein Jahr vor dem entsprechenden Rundschreiben der BaFin. Dementsprechend sind das patentierte Verfahren und die BaFin-Vorgaben nicht identisch. Es sieht aber so aus, als wäre die BaFin eigentlich nur noch etwas spezifischer gewesen. Wenn sich das bestätigt, heißt es: Jede laut BaFin-Kriterien GWG-konforme Videoidentifikation fällt unter den Patentschutz. So sieht das auch IDnow.

Was bedeutet das jetzt für den Wettbewerb? Und für Banken, die Lösungen anderer Anbieter nutzen? Das dürfte davon abhängen, ob und wie sich die Wettbewerber mit IDnow einigen. Grundsätzlich steht einem Patentinhaber das Recht zu, sein Patent ausschließlich selbst zu nutzen, es also anderen vorzuenthalten. Allerdings kann der Patentinhaber gezwungen werden, Lizenzen zu vergeben, wenn der Lizenznehmer die Lizenz für eine wesentliche Weiterentwicklung des Verfahrens benötigt.

Eigentlich steht ja für dieses Jahr die Erweiterung der Videoidentifikation um den Online Vertragsabschluss mit QES auf der Agenda. Durch das Patent könnten sich jetzt erst einmal wieder offene Fragen zur eigentlichen Identifikation in den Vordergrund drängen. Wir werden sehen – die Information ist noch zu frisch, als dass man sie abschließend bewerten könnte.

 

FinovateEurope2016

Finovate Europe 2016: Die wichtigsten Perspektiven

Die Londoner Finovate zeigt, was sie kann: Natürlich gibt es es inzwischen auch in Deutschland genügend FinTech-Konferenzen, aber in dieser Dichte, Internationalität und mit breit gestreutem Publikum ist sie nach wie vor einzigartig in Europa. Immerhin ist London derzeit „King of FinTech“ , die Investitionen in Großbritannien überstiegen in 2015 die im gesamten Rest von Europa.

Statt bahnbrechender Neuerungen gab es vor allem Trends zu entdecken, die sich durch die Veranstaltung zogen. Stark im Fokus stand die Personalisierung und Kontextorientierung des Bankings. Außerdem wurden Gestaltungsprinzipien übertragen, die Nutzer von anderen Apps oder aus dem eCommerce kennen. SwipeStox bezeichnete sich selbst als „Tinder of Social Trading“, eWise als „fitbit of finance“.

Wichtig war immer wieder die Balance zwischen Automatisierung und eigener Kontrolle durch den Kunden. Deutschland FinTech-Szene war stark vertreten unter anderem mit Lendstar, Scalable Capital, Risk Ident und SwipeStox.

Herausheben möchte ich zwei Themen: Neues zum Robo Advisoring und zur Biometrie.
Die Roboter gehen den nächsten Schritt, bei der Biometrie kommen Sprach- und Augen-Erkennung, was insbesondere für die mit PSD II verbundene Zwei-Faktor-Authentisierung spannend ist.

Meetinvest

Meetinvest bietet einen Roboter, der nicht auf Basis von Fonds arbeitet, sondern täglich über 90.000 einzelne Aktien analysiert. Auf Basis der Analysen werden dann Strategien berühmter Anleger umgesetzt (wie Warren Buffet, den das Beitragsbild zeigt). Die Algorithmen der Strategien sind veröffentlicht, hier herrscht Transparenz. Anhand einer Rückwärtsbetrachtung sieht der Kunde, wie die Strategie in der Vergangenheit gewirkt hätte.

Aus meiner Sicht eine spannende Verbindung zwischen voller Automatisierung einerseits und menschlichem Faktor anderseits in Form der der großen Investoren, deren Anlagestrategien den Kern der Plattform bilden.

Scalable Capital

Scalable Capital bietet eine automatisierte Vermögensverwaltung nach dem „Value at Risk“ Prinzip. Roboter arbeiten gerne mit einem schlichten Mix von Aktien und Anleihen entsprechend der Risikoneigung des Kunden. Große Investmentgesellschaften bewerten das tatsächliche Risiko eines Portfolios aber fortlaufend neu und steuern nach, um die Value at Risk im angestrebten Rahmen zu halten. Genau das verspricht Scalable Capital jetzt auch Kunden im mittleren Vermögensbereich. In Deutschland können die die Plattform bereits nutzen, Großbritannien folgt jetzt.

Weiterlesen

Transparenz930

Kein Paradox: So schafft mehr Transparenz mehr Sicherheit

Im Artikel „Wie digitale Transparenz die Welt verändert“ zieht das Magazin „Spektrum der Wissenschaft“ eine hübsche Parallele: Als die Ozeane sich von trüben Gewässern zu klaren, sonnendurchfluteten Meeren wandelten, war das eine enorme Herausforderung für das Leben im Meer. Plötzlich konnten Raubtier und Beute sich sehen. Innerhalb (geologisch gesehen) kurzer Zeit entstand ein Vielzahl von Arten, die auf die neue Transparenz der Meere ganz unterschiedlich reagierten. Muscheln bilden harte Schalen, andere setzen auf Tarnung, gute Augen oder einfach Schnelligkeit.

Die Digitalisierung schafft heute Transparenz über Menschen, Verhalten, Institutionen und Diskussionen. Die Deutschen nehmen vor allem wahr, dass ihre Privatsphäre transparent wird. Aber selbst die NSA, die so geheim ist, dass sie vor wenigen Jahren kaum jemand in Deutschland kannte, muss sich dank Edward Snowdon heute für ihre Tätigkeit öffentlich rechtfertigen.

Digitalisierung schafft Transparenz und gleichzeitig die Frage, wie man damit umgeht. Will ich die Vorteile der Transparenz nutzen? Wie die ersten Fische mit Augen, die ihre Feinde früher sehen konnten? Oder will ich mich vor Transparenz schützen, wie Muscheln in ihren Schalen?

Für die Finanzbranche stellt sich die Frage besonders deutlich. Banken sind klassische Orte der Sicherheit und Verschwiegenheit – wer an Banken denkt, hat immer noch den gepanzerten Tresorraum vor Augen. Und Versicherungen verkaufen Schutz, das ist ihr Kerngeschäft.

Wie reagieren Banken und Versicherungen auf die Möglichkeiten, die digitale Transparenz schafft? Vielleicht ist dies eine der zentralen Fragen für die zukünftige Ausrichtung der Institute. Es wird unterschiedliche Antworten geben, und je nachdem, wie die Antwort ausfällt, entstehen unterschiedliche Arten von Finanzinstituten. So, wie das Leben im Meer sich in unterschiedliche Arten aufteilte.

Dabei sind Transparenz und Sicherheit keine Gegensätze. Transparenz ist nämlich auch das beste Mittel, Betrug zu vermeiden. Dazu zwei Beispiele:

Weiterlesen

bionym2

Wearable Banking kommt tatsächlich

Mit dem iPad hat Apple damals erfolgreich eine ganz neue Gerätekategorie etabliert. Seitdem glauben alle daran, dass weitere Gerätekategorien ebenso erfolgreich sein können. Um Google Glass ist es etwas ruhiger geworden, aktuell stehen andere „Wearable Computing Devices“ im Vordergrund, vor allem Smart Watches. Offenbar ist der Cyborg-Look von Google Glass nicht jedermanns Sache – Armbänder sind da unauffälliger, im besten Fall sogar modische Accessoires. Jetzt starten gleich zwei Initiativen, die solche Armbänder fürs Banking nutzen:

Weiterlesen

EuroCoin

EuroCoin- der bessere Bitcoin?

Am Donnerstag, 25. Sept. 2014 fand erneut die Bitkom Arbeitsgruppe SEPA + Kryptowährungen in Frankfurt/Main statt, diesmal in den Räumen von NTT Data.

Eines der zentralen Themen dieser AG sind Kryptowährungen.

So gibt es Überlegungen, echtes kryptografisches Zentralbankgeld, den EuroCoin, zu schaffen. Hier will sich die Bitkom als High-Tech-Verband maßgeblich engagieren.

Weiterlesen

Joachim-Loew

Customer Onboarding entscheidet den Kampf um die Kunden

Viel Aufwand floss in die Gewinnung dieses Neukunden, jetzt endlich hat er das Webformular ausgefüllt. Nur muss er leider noch durchs PostIdent-Verfahren … und an dieser Stelle bleibt ein zweistelliger Prozentsatz der Kunden hängen.
Das ist ja nun auch wirklich nicht mehr zeitgemäß, findet Brett King: „Application Forms Kill Customer Innovation.“ Er plant mit Moven „Downloadable Accounts“. Auch eine seltsame Vorstellung, schließlich kamen Konten schon immer aus der Cloud (aka Bank), und da gehören sie auch hin.
Nur der Antragsprozess mit Identifikation und Unterschrift ist eine echte Spaßbremse für Kunden und Innovatoren gleichermaßen. Sehr schön hat sich gerade eine LinkedIn-Gruppe darüber aufgeregt:

I think we need Gen-Y regulators to challenge some of the conventional wisdom that has been expired for a while, yet is still in-use. We don’t consume expired foods. Why should we have to be subject to expired customer identification and verification processes? (Ghan Desai)

Die Unterschrift ist immer noch der Klassiker unter den biometrischen Verfahren: Etwas, dass mir kraft endloser Wiederholung so in Fleisch und Blut übergegangen ist, dass es eine einzigartige Form angenommen hat. Nur stimmt dieser Mythos heute weniger denn je: Junge Erwachsene schreiben selten mit der Hand, auch den eigenen Namen. Sie können natürlich ihren Namen schreiben, aber eben nicht auf einzigartige Art und Weise. In diesem Sinne haben sie keine Unterschrift mehr!

Wenn Unterschriften ein Auslaufmodell sind, was können wir dann tun?

Weiterlesen

Display TAN von NFC-TAN

INNOVATIONSforBANKS 2014: Mobile Banking Sicherheit im Fokus

Heute und morgen findet die Konferenz Innovations for Banks des Bankingclub statt. Einen Schwerpunkt bildeten heute Mobile Payment und Mobile Banking, insbesondere die Sicherheitsaspekte.

Mit „Display TAN“ zeigte Dr. Bernd Borchert von der Uni Tübingen das vermutlich handlichste Chipkarten-TAN-Gerät der Welt: Es wird einfach direkt in die Karte integriert (siehe die Grafik oben, von www.nfc-tan.com).  Das Smartphone sendet per Bluetooth oder NFC die Transaktion an die Karte. Ein Display in der Karte zeigt die zu signierende Transaktion an, per OK-Button bestätigt der Nutzer. Der Kartenchip generiert dann die TAN, das tut er schon bei heutigen chipTAN-Verfahren. Wiederum per Bluetooth/NFC gehen die Daten zurück ans Smartphone. Solche Karten existieren bereits, als Kosten wurden 9€ / Stück genannt, das ist im Vergleich mit üblichen Chipkarten-TAN-Geräten eher günstig, um Vergleich mit Standard-Karten natürlich sehr teuer.

Mehr zur Diskussion um Sicherheitsverfahren im Mobile Banking und ums Mobile Payment:

Weiterlesen

Top