Payment_PSD2_SCA

PSD2 bringt uns fließendes Vertrauen bei Authentisierungen

Mit der PSD2 wird Authentisierung nicht mehr gleich Authentisierung sein. In Zukunft kommt es auf die Abfolge der Authentisierungen an, die ich bereits hinter mir habe. Je nachdem reicht dann eine einfache Identifikation, oder es ist eine starke Authentisierung gefordert, also eine Erkennung anhand von zwei separaten Faktoren.

Klingt kompliziert? Das zu vermeiden, wird die Kunst bei der Nutzung der neuen Rollen sein, die mit PSD2 eingeführt werden.

Alles in Allem hat die EBA hier einen guten Job gemacht. Angesichts der Vorgabe aus Brüssel hatte ich ja bereits befürchtet, dass zukünftig jeder Kontozugriff und jede Zahlung eine starke Authentisierung braucht. Selbst Kleinstzahlungen. Immerhin definierte die Richtlinie, dass auch reine Informationszugriffe stark authentisiert sein müssen. Wie sollte man da die üblichen Bagatellgrenzen für kleinere Zahlungen rechtfertigen?

Aber die EBA hat es geschafft. Sie beruft sich darauf, dass es Ziel der Richtlinie sei, die Entwicklung innovativer benutzerfreundlicher Bezahlverfahren zu fördern. Das rechtfertige die Einführung von Ausnahmen. Ich finde das ja wirklich ausgesprochen gut und richtig, frage mich allerdings, ob die EBA genauso entspannt sein wird, wenn die beaufsichtigten Banken die gleiche Interpretationsfreiheit auf Regeln der EBA anwenden.

Selbst für die reinen Informationszugriffe gibt es jetzt eine Bagatellregelung. Beim ersten Mal und nach einer Pause von mehr als einem Monat muss man sich stark authentisieren, ansonsten reicht die einfache Identifikation. Das hilft allen, die regelmäßig ihre Kontodaten über denselben Weg abrufen.

Bei Zahlungen kann man auf die starke Authentisierung verzichten, wenn sie unter den üblichen Grenzen liegen (10€ bei Online-Zahlungen, 50€ an der Kasse). Aber neben diesen Limits für die einzelne Zahlung gibt es noch Limits für den kumulierten Betrag aller Zahlungen: Ab 100€ online oder 150€ an der Kasse greift dann doch wieder die starke Authentisierung.

Es kommt nicht immer starke Authentisierung zum Einsatz, dass schafft etwas Spielraum. Trotzdem entstehen für die Nutzer neue und erst einmal ungewohnte Situationen. Man weiß jetzt nämlich vorher nicht mehr, wie man sich authentisieren muss. Man muss sich daran gewöhnen, ab und zu nach einem zusätzlichen Identifikationsmerkmal neben dem Üblichen gefragt zu werden. Je nachdem, ob man gerade einen Schwellwert bei den kumulierten Zahlungen überschreitet.

Gerade bei den reinen Informationszugriffen „fließt“ das Vertrauen in die Korrektheit einer Anmeldung sozusagen von einem Login zum anderen. Solange die Kette der Zugriffe nicht abreißt, ist alles in Ordnung. Erst bei einer längeren Pause reißt der Fluss ab, das Vertrauen in den Zugriff muss erst wieder durch die starke Authentisierung hergestellt werden.

Weiterlesen

PSD2 Artikel97

PIN/TAN mit PSD2: Klarheit oder neue Unsicherheit?

Was geht mit PIN und TAN? Schafft die PSD2 hier mehr Klarheit oder eben nicht? Derzeit sieht es für mich so aus, als würden Zahlungsauslösedienste (wie SOFORT) profitieren, während Kontoinformationsdienste (wie figo.io  oder finapi.de) erst mal verunsichert werden.

Aktuell ziehen die Deutsche Kreditwirtschaft (DK) und das Kartellamt ihren Streit um die Sofortüberweisung gnadenlos durch: Das Kartellamt hält die AGBs der Banken für wettbewerbswidrig, wogegen die DK wiederum gerichtlich vorgehen wird. Dabei würden auch etliche deutsche Banken selber gern Multibanking anbieten, wofür sie die Zugangsdaten zu anderen Banken speichern müssten. Da machen ihnen jetzt die eigenen Verbände mit den starren AGB einen Strich durch die Rechnung.

Und zumindest das Kartellamt weist in seiner Pressemitteilung wenigstens darauf hin, dass die PSD2 das Thema Sofortüberweisung ja einer neuen Regulierung zuführt, durch die sich der ganze Streit erledigen wird. Zahlungsauslösedienste sind in der PSD2 ausdrücklich vorgesehen. Wenn sich SOFORT an die Spielregeln hält, können die Banken sie nicht mehr stoppen. Das ganz Hin und Her zwischen DK und Kartellamt ist also ohnehin nur noch ein Spiel auf Zeit. Haben wir wirklich nichts Wichtigeres zu tun?

Was mich aber noch viel mehr irritiert, sind die Vorgaben der PSD2 zum Thema starke Authentisierung. Artikel 97 Absatz (1) sagt eindeutig, dass eine starke Authentisierung nötig ist, wenn ein Kunde online auf sein Zahlungskonto zugreift. Starke Authentisierung heißt: Zwei verschiedene Authentisierungsverfahren, etwa Wissen (z.B. PIN), Besitz (z.B. Karte, TAN-Generator) oder Biometrie (z.B. Fingerabdruck).

Das wird lästig für die Kunden, wenn sie zukünftig schon beim reinen Zugriff aufs Konto zwei Merkmale liefern müssen. Nur PIN alleine geht dann dann wohl nicht mehr. Gut, die technische Richtlinie ist noch nicht fertig. Man könnte hoffen, dass hier wieder mal Bagatellgrenzen eingezogen werden, so dass man erst bei Zahlungen ab 50 € wirklich stark authentisieren muss.

Allerdings sagt Artikel 97 Absatz (4) noch mal ausdrücklich, dass die starke Authentisierung auch gilt, wenn der Zugriff über einen Kontoinformationsdienstleister erfolgt. Ein solcher Dienstleister führt gar keine Zahlungen aus! Man muss das also wohl so lesen, dass wirklich jeder Kontozugriff mit zwei Authentisierungsmerkmalen erfolgen muss, auch wenn gar keine Zahlung erfolgt.

Das könnte böse Folgen für figo und Co. haben. Eigentlich will die PSD2 ihnen ja helfen, indem sie einen ordentlich regulierten Status als Kontoinformationsdienstleister für diese APIs einführt. Aber in der Praxis könnte sie ihnen das Leben schwer machen: Bisher reichte eine PIN zum Zugriff aufs Konto, die konnte figo speichern. Zukünftig werden Besitz oder Biometrie hinzukommen, was sich beides nicht speichern lässt. Noch schlimmer: Naheliegend ist, dass die Banken jeweils die etablierten TAN-Verfahren als zweiten Faktor nutzen. Dann muss der Kunde womöglich pro Bank einen separaten TAN-Generator herausholen, nur um sich den Kontostand all seiner Konten über figo anzeigen zu lassen. Und figo müsste all diese Verfahren implementieren, um die Authentifizierungsdaten an die Banken weiter zu leiten.

Ist das so wirklich im Sinne des Erfinders? Kann die technische Richtlinie da noch aus der Patsche helfen? Ich weiß es nicht. Immerhin hat die EBA schon selbst eingestanden, dass die Schwierigkeit bei der Umsetzung der PSD2 darin bestünde, die verschiedenen Ziele der Richtlinie in Balance zu halten. In diesem Fall will der Gesetzgeber mehr Sicherheit für den Kunden einerseits (dafür die starke Authentisierung) und er will den Banken ihr Monopol auf die Kontodaten entziehen (dafür die Einführung der Kontoinformationsdienstleister). Es könnte sein, dass sich die beiden Ziele hier gegenseitig so sehr im Wege stehen, dass weder die Kunden noch die Dienstleister das Ergebnis mögen.

Top