Payment_PSD2_SCA

PSD2 bringt uns fließendes Vertrauen bei Authentisierungen

Mit der PSD2 wird Authentisierung nicht mehr gleich Authentisierung sein. In Zukunft kommt es auf die Abfolge der Authentisierungen an, die ich bereits hinter mir habe. Je nachdem reicht dann eine einfache Identifikation, oder es ist eine starke Authentisierung gefordert, also eine Erkennung anhand von zwei separaten Faktoren.

Klingt kompliziert? Das zu vermeiden, wird die Kunst bei der Nutzung der neuen Rollen sein, die mit PSD2 eingeführt werden.

Alles in Allem hat die EBA hier einen guten Job gemacht. Angesichts der Vorgabe aus Brüssel hatte ich ja bereits befürchtet, dass zukünftig jeder Kontozugriff und jede Zahlung eine starke Authentisierung braucht. Selbst Kleinstzahlungen. Immerhin definierte die Richtlinie, dass auch reine Informationszugriffe stark authentisiert sein müssen. Wie sollte man da die üblichen Bagatellgrenzen für kleinere Zahlungen rechtfertigen?

Aber die EBA hat es geschafft. Sie beruft sich darauf, dass es Ziel der Richtlinie sei, die Entwicklung innovativer benutzerfreundlicher Bezahlverfahren zu fördern. Das rechtfertige die Einführung von Ausnahmen. Ich finde das ja wirklich ausgesprochen gut und richtig, frage mich allerdings, ob die EBA genauso entspannt sein wird, wenn die beaufsichtigten Banken die gleiche Interpretationsfreiheit auf Regeln der EBA anwenden.

Selbst für die reinen Informationszugriffe gibt es jetzt eine Bagatellregelung. Beim ersten Mal und nach einer Pause von mehr als einem Monat muss man sich stark authentisieren, ansonsten reicht die einfache Identifikation. Das hilft allen, die regelmäßig ihre Kontodaten über denselben Weg abrufen.

Bei Zahlungen kann man auf die starke Authentisierung verzichten, wenn sie unter den üblichen Grenzen liegen (10€ bei Online-Zahlungen, 50€ an der Kasse). Aber neben diesen Limits für die einzelne Zahlung gibt es noch Limits für den kumulierten Betrag aller Zahlungen: Ab 100€ online oder 150€ an der Kasse greift dann doch wieder die starke Authentisierung.

Es kommt nicht immer starke Authentisierung zum Einsatz, dass schafft etwas Spielraum. Trotzdem entstehen für die Nutzer neue und erst einmal ungewohnte Situationen. Man weiß jetzt nämlich vorher nicht mehr, wie man sich authentisieren muss. Man muss sich daran gewöhnen, ab und zu nach einem zusätzlichen Identifikationsmerkmal neben dem Üblichen gefragt zu werden. Je nachdem, ob man gerade einen Schwellwert bei den kumulierten Zahlungen überschreitet.

Gerade bei den reinen Informationszugriffen „fließt“ das Vertrauen in die Korrektheit einer Anmeldung sozusagen von einem Login zum anderen. Solange die Kette der Zugriffe nicht abreißt, ist alles in Ordnung. Erst bei einer längeren Pause reißt der Fluss ab, das Vertrauen in den Zugriff muss erst wieder durch die starke Authentisierung hergestellt werden.

Das kann (je nach Interpretation der RTS) einen signifikanten Vorteil für Informationsdienste bedeuten, die in mehrere Apps integriert sind, wie etwa figo oder finapi. Sofern hier figo als Kontoinformationsdienst zählt (und nicht die App selbst, in die figo integriert ist), fällt es einem Nutzer womöglich deutlich leichter, die Kette der Logins nicht abreißen zu lassen. Weil er pro Monat nur eine der Apps nutzen muss, die über figo Informationen abrufen.

Wenn die Apps selber zum Kontoinformationsdienst werden, muss man bei selten genutzten Apps immer zwei Faktoren zur Authentisierung eingeben. Wie lästig. Außerdem müssten die Apps dann auch die Sicherheitsvorgaben einhalten – ISO 27001-Zertifizierung ist dann Pflicht. Das ist nicht gerade die typische Startup-Kultur.

Für Banken stellt sich damit noch einmal mehr die Frage nach einer passenden Bank-API. API-Management ist ohnehin ein Schlüsselelement zur Innovationsfähigkeit der Bank. Aber jetzt kommt noch zusätzlich das Ziel hinzu, die eigene Rolle als Zahlungsdienstleister auch in der Neuordnung des Paymentmarktes attraktiv zu platzieren, die von der PSD2 initiiert wird. Viel genutzte APIs reduzieren den Bedarf an starker Authentisierung, erhöhen damit die Benutzerfreundlichkeit und steigern damit wieder die Nutzung der API. Es entsteht ein sich selbst verstärkender Effekt. Wenn man es richtig macht.

Umgekehrt gibt es auch den Teufelskreis von wenig Zugriffen, ständigem Zwang zum zweiten Faktor und deshalb sinkenden Zugriffen. Das passiert, wenn man sich nicht auf die neue Welt des fließenden Vertrauens einlässt.

Elmar Borgmeier

Gestaltet Online Finance seit 1997. Glaubt an die Symbiose von Finance und IT. Ist Mitgründer und Chief Innovation Officer der syngenio AG. Moderator des JAX Finance Day. Berater für Next Generation Finance. Philosophiert gern über IT und realisiert noch lieber konkrete Lösungen.

Kommentare (3) Schreibe einen Kommentar

  1. Eine schöne Zusammenfassung des (vorläufigen) status quo, lieber Herr Borgmeier, vielen Dank! Was final in den RTS stehen wird, wissen wir aber erst am 13. Januar 2017 wenn der finale Draft veröffentlicht wird. Da in dem aktuellen Entwurf der RTS der Begriff der sensiblen Zahlungsdaten nicht näher definiert ist (wovon die EBA ausdrücklich abgesehen hat, wissen wir auch noch nicht, wann genau eine SCA erforderlich sein wird. Es gab immerhin 230 (!) STellungnahmen im Rahmen des Konsultationsverfahrens, was dafür spricht, dass der EBA Entwurf einigen Gegenwind bekommen hat. Eine Produkt (anonymes E-Geld zur Online-Bezahlung, z. B. eine prepaid Kreditkarte) wäre nach dem derzeitigen Stand der RTS nicht mehr möglich und zwar unabhängig davon, wie die Gespräche zum Entwurf der AMLD 5 verlaufen (dort insbesondere die Diskussion zu Art. 12 Abs. 2). Mich wundert, dass ich hierzu noch nichts – auch nicht in den bisher gesichteten Stellungnahmen zu den RTS gelesen habe. Falls die EBA diesen Punkt nicht von sich aus aufgreift, indem anonymes E-Geld aus dem Anwendungsbereich der SCA ausgenommen wird (so wie in den bisherigen SecuRePay Guidelines der ECB), wäre anonymes E-Geld wohl nur noch dadurch zu retten, dass das EP die RTS ablehnt. Ob es so weit kommen wird…?

    Antworten

    • Da sprechen Sie noch mal viele relevante Aspekte an. Dann kommt noch die Regulierung der Kartenzahlung hinzu, bei der Fraud Management als Sicherheitsfaktor nicht nur zugelassen, sondern gefordert ist – da fangen die Regulatoren an, sich gegenseitig in die Quere zu kommen…

      Antworten

Schreib einen Kommentar

Pflichtfelder sind mit * markiert.


Top