PSD2 Artikel97

PIN/TAN mit PSD2: Klarheit oder neue Unsicherheit?

Was geht mit PIN und TAN? Schafft die PSD2 hier mehr Klarheit oder eben nicht? Derzeit sieht es für mich so aus, als würden Zahlungsauslösedienste (wie SOFORT) profitieren, während Kontoinformationsdienste (wie figo.io  oder finapi.de) erst mal verunsichert werden.

Aktuell ziehen die Deutsche Kreditwirtschaft (DK) und das Kartellamt ihren Streit um die Sofortüberweisung gnadenlos durch: Das Kartellamt hält die AGBs der Banken für wettbewerbswidrig, wogegen die DK wiederum gerichtlich vorgehen wird. Dabei würden auch etliche deutsche Banken selber gern Multibanking anbieten, wofür sie die Zugangsdaten zu anderen Banken speichern müssten. Da machen ihnen jetzt die eigenen Verbände mit den starren AGB einen Strich durch die Rechnung.

Und zumindest das Kartellamt weist in seiner Pressemitteilung wenigstens darauf hin, dass die PSD2 das Thema Sofortüberweisung ja einer neuen Regulierung zuführt, durch die sich der ganze Streit erledigen wird. Zahlungsauslösedienste sind in der PSD2 ausdrücklich vorgesehen. Wenn sich SOFORT an die Spielregeln hält, können die Banken sie nicht mehr stoppen. Das ganz Hin und Her zwischen DK und Kartellamt ist also ohnehin nur noch ein Spiel auf Zeit. Haben wir wirklich nichts Wichtigeres zu tun?

Was mich aber noch viel mehr irritiert, sind die Vorgaben der PSD2 zum Thema starke Authentisierung. Artikel 97 Absatz (1) sagt eindeutig, dass eine starke Authentisierung nötig ist, wenn ein Kunde online auf sein Zahlungskonto zugreift. Starke Authentisierung heißt: Zwei verschiedene Authentisierungsverfahren, etwa Wissen (z.B. PIN), Besitz (z.B. Karte, TAN-Generator) oder Biometrie (z.B. Fingerabdruck).

Das wird lästig für die Kunden, wenn sie zukünftig schon beim reinen Zugriff aufs Konto zwei Merkmale liefern müssen. Nur PIN alleine geht dann dann wohl nicht mehr. Gut, die technische Richtlinie ist noch nicht fertig. Man könnte hoffen, dass hier wieder mal Bagatellgrenzen eingezogen werden, so dass man erst bei Zahlungen ab 50 € wirklich stark authentisieren muss.

Allerdings sagt Artikel 97 Absatz (4) noch mal ausdrücklich, dass die starke Authentisierung auch gilt, wenn der Zugriff über einen Kontoinformationsdienstleister erfolgt. Ein solcher Dienstleister führt gar keine Zahlungen aus! Man muss das also wohl so lesen, dass wirklich jeder Kontozugriff mit zwei Authentisierungsmerkmalen erfolgen muss, auch wenn gar keine Zahlung erfolgt.

Das könnte böse Folgen für figo und Co. haben. Eigentlich will die PSD2 ihnen ja helfen, indem sie einen ordentlich regulierten Status als Kontoinformationsdienstleister für diese APIs einführt. Aber in der Praxis könnte sie ihnen das Leben schwer machen: Bisher reichte eine PIN zum Zugriff aufs Konto, die konnte figo speichern. Zukünftig werden Besitz oder Biometrie hinzukommen, was sich beides nicht speichern lässt. Noch schlimmer: Naheliegend ist, dass die Banken jeweils die etablierten TAN-Verfahren als zweiten Faktor nutzen. Dann muss der Kunde womöglich pro Bank einen separaten TAN-Generator herausholen, nur um sich den Kontostand all seiner Konten über figo anzeigen zu lassen. Und figo müsste all diese Verfahren implementieren, um die Authentifizierungsdaten an die Banken weiter zu leiten.

Ist das so wirklich im Sinne des Erfinders? Kann die technische Richtlinie da noch aus der Patsche helfen? Ich weiß es nicht. Immerhin hat die EBA schon selbst eingestanden, dass die Schwierigkeit bei der Umsetzung der PSD2 darin bestünde, die verschiedenen Ziele der Richtlinie in Balance zu halten. In diesem Fall will der Gesetzgeber mehr Sicherheit für den Kunden einerseits (dafür die starke Authentisierung) und er will den Banken ihr Monopol auf die Kontodaten entziehen (dafür die Einführung der Kontoinformationsdienstleister). Es könnte sein, dass sich die beiden Ziele hier gegenseitig so sehr im Wege stehen, dass weder die Kunden noch die Dienstleister das Ergebnis mögen.

Joachim-Loew

Customer Onboarding entscheidet den Kampf um die Kunden

Viel Aufwand floss in die Gewinnung dieses Neukunden, jetzt endlich hat er das Webformular ausgefüllt. Nur muss er leider noch durchs PostIdent-Verfahren … und an dieser Stelle bleibt ein zweistelliger Prozentsatz der Kunden hängen.
Das ist ja nun auch wirklich nicht mehr zeitgemäß, findet Brett King: „Application Forms Kill Customer Innovation.“ Er plant mit Moven „Downloadable Accounts“. Auch eine seltsame Vorstellung, schließlich kamen Konten schon immer aus der Cloud (aka Bank), und da gehören sie auch hin.
Nur der Antragsprozess mit Identifikation und Unterschrift ist eine echte Spaßbremse für Kunden und Innovatoren gleichermaßen. Sehr schön hat sich gerade eine LinkedIn-Gruppe darüber aufgeregt:

I think we need Gen-Y regulators to challenge some of the conventional wisdom that has been expired for a while, yet is still in-use. We don’t consume expired foods. Why should we have to be subject to expired customer identification and verification processes? (Ghan Desai)

Die Unterschrift ist immer noch der Klassiker unter den biometrischen Verfahren: Etwas, dass mir kraft endloser Wiederholung so in Fleisch und Blut übergegangen ist, dass es eine einzigartige Form angenommen hat. Nur stimmt dieser Mythos heute weniger denn je: Junge Erwachsene schreiben selten mit der Hand, auch den eigenen Namen. Sie können natürlich ihren Namen schreiben, aber eben nicht auf einzigartige Art und Weise. In diesem Sinne haben sie keine Unterschrift mehr!

Wenn Unterschriften ein Auslaufmodell sind, was können wir dann tun?

Weiterlesen

Display TAN von NFC-TAN

INNOVATIONSforBANKS 2014: Mobile Banking Sicherheit im Fokus

Heute und morgen findet die Konferenz Innovations for Banks des Bankingclub statt. Einen Schwerpunkt bildeten heute Mobile Payment und Mobile Banking, insbesondere die Sicherheitsaspekte.

Mit „Display TAN“ zeigte Dr. Bernd Borchert von der Uni Tübingen das vermutlich handlichste Chipkarten-TAN-Gerät der Welt: Es wird einfach direkt in die Karte integriert (siehe die Grafik oben, von www.nfc-tan.com).  Das Smartphone sendet per Bluetooth oder NFC die Transaktion an die Karte. Ein Display in der Karte zeigt die zu signierende Transaktion an, per OK-Button bestätigt der Nutzer. Der Kartenchip generiert dann die TAN, das tut er schon bei heutigen chipTAN-Verfahren. Wiederum per Bluetooth/NFC gehen die Daten zurück ans Smartphone. Solche Karten existieren bereits, als Kosten wurden 9€ / Stück genannt, das ist im Vergleich mit üblichen Chipkarten-TAN-Geräten eher günstig, um Vergleich mit Standard-Karten natürlich sehr teuer.

Mehr zur Diskussion um Sicherheitsverfahren im Mobile Banking und ums Mobile Payment:

Weiterlesen

Finovate_Europe_2014_Blog.png

„Best of Show“ der Finovate Europe 2014

Am 11. Und 12.02. fand die Finovate Europe 2014 in London statt. Zum Glück gab es eine Plattform für Bank-basierte Bitcoin-Zahlungen zu sehen und ein BLE-Payment per Smartwatch. Also auch mal wirklich aktuelle Themen. Ansonsten war Finovate 2014 vor allem ein Update der Entwicklungen, die man schon auf der Finovate 2013 gesehen hat.

Das ist nicht unbedingt schlecht: Es kann bedeuten, dass die wesentlichen Ausrichtungen der Next Generation Finance bekannt und konsensfähig sind. Die Entwicklungen laufen derzeit daraus hinaus, die einzelnen Ansätze valider umzusetzen. Plus: Bausteine wachsen zusammen. Die bessere Umsetzung der bekannten Ideen ist jetzt wichtiger als die bessere Idee.

Die wichtigsten Themen waren:

  • Feature Rich Online / Mobile Banking: Online Banking ändert sein Wesen, seine Gestaltung und erweitert seinen Umfang. Über alle Devices hinweg. Das war Konsens, es geht nur noch darum, wer das besser macht.
  • Sicherheit und Betrugserkennung: Mehrere Lösungen befassen sich mit mobile Security und Fraud Detection im eCommerce.
  • Banking für Kleinunternehmen: Die Integration von Business Intelligence Werkzeugen für Kleinunternehmen direkt ins Banking erleichtert den Firmen ihr eigenes Management und gibt der Bank einen tiefen Einblick ins wirkliche Geschäft. Und damit eine bessere Basis für die Kreditvergabe, die vor allem kurzfristige Liquiditätsprobleme lösen muss.
  • Geld bewegen: Bezahlen und Alternativen zum klassischen Zahlungsverkehr waren auch wieder gut vertreten. Aber oft wieder so, dass sie zum Scheitern verurteilt scheinen, weil die Hürden für eine weite Verbreitung zu hoch sind. Eigentlich schauen wir hier gerade alle auf Apple…

Die wichtigsten Ansätze und Technologien waren:

  • UX! User Experience ist weiterhin das zentrale Thema. Attraktive Interfaces, Responsive, Joy of Use. Da ist ja auch wahrlich noch viel zu holen im Finanzbereich!
  • Big Data: Ob für Sicherheit oder Aktienprognosen: Mehr Daten sammeln und auswerten bietet noch jede Menge Potenzial. Zum Nutzen der Kunden, aber manchmal eben auch zum Nutzen von Banken und Händlern … die Datenschutzaspekte muss man erst mal prüfen.
  • Psychologische Analysen: Motivation und Interessen der Kunden werden betrachtet. Wiederum kann man daraus Security Features bauen, oder Ansätze zur automatischen Beratung, oder einfach nur die richtigen Rabatte im richtigen Moment platzieren.

Insgesamt 8 der 68 Beiträge wurden zur „Best of Show“ gewählt. Hier sind sie:

Weiterlesen

1016946_1382514351974186_135000037_n

Finance 2.0: Zürich zeigt die Zukunft

Grüezi wohl! Als „Eilmeldung“ der Bericht von der Finance 2.0 – Konferenz, die gestern als erste schweizerische Konferenz dieser Art in Zürich stattfand. Die mehr als ausverkaufte Veranstaltung überzeugte mit einem gut gemischten Strauß an Themen und Referenten – von der UBS über Startups und Blogger Christian König bis zur Uni Zürich.  Inhaltliche Highlights waren sicher die „Sneak Previews“ der kommenden Mobile Angebote von UBS und interactive advice. Außerdem gab es zu sehen: Social Media Analytics, Private Banking 2.0, Social Trading, PFM und Depotvergleiche.

Weiterlesen

NPS_Ertragsrelevanz

Wer Kunden begeistert, begeistert auch die Controller

500 Mio. € zusätzlicher Ertrag. Das ist die Summe, die laut einer Berechnung von Bain & Company eine deutsche Großbank verdienen könnte, wenn sie ihre Kritiker zu Fans macht. Keine schlechte Idee, das mal so platt darzustellen. Denn in den letzten Tagen musste ich wieder erleben, dass die Finanzbranche sich immer noch schwer tut mit dem betriebswirtschaftlichen Nutzen von Kundenzufriedenheit. „Ja, sicher, bessere Online-Services, Joy of Use, alles sehr schön, aber wo ist der Business Case?“ Dabei ist längst definitiv bewiesen: Kundenzufriedenheit rechnet sich. Und Kundenzufriedenheit wird zunehmend durch IT bestimmt.

Weiterlesen

Postbank_Login_Username_Passwort

Einfacher Einloggen

Kennen Sie Websites außerhalb der Finanzbranche, bei denen Sie sich mit einer zig-stelligen Kundennummer anmelden müssen? Ich nicht. Warum kommt alle Welt mit Username/Passwort aus, nur im Finanzbereich muss es Kontonummer/PIN sein? Die Postbank sieht das auch nicht mehr ein und stellt um. Hier sehen Sie das neue Login

Andere gehen noch weiter und zeigen auch ganz ohne Login den Saldo an.

Weiterlesen

Studie_Sicherheit_Onlinebanking_Fiducia_InitiativeD21

Neue Technologien verbinden Sicherheit und Usability

Keine Sicherheit ohne Usability: Banken alleine können Online-Banking nicht absichern, wenn die Kunden nicht mitmachen. Die Kunden wiederum erwarten heute sichere Lösungen, die gleichzeitig einfach nutzbar sind. Genau da liegt die Crux: Wird es Kunden zu umständlich, umgehen sie die Sicherheitstechniken einfach. Bestes Beispiel ist Sofortüberweisung: von den Banken als Verstoß gegen ihre Nutzungsbedingungen gebrandmarkt, aber von hunderttausenden Kunden genutzt. Und wie soll auch ein Kunde verstehen, dass er zwar seine EC-Karten-PIN an jeder Kaufhauskasse eingeben darf, aber nicht die Online-PIN bei Sofortüberweisung? Er versteht es gar nicht und hat damit auch Recht.
In Zukunft wird es darum gehen, Sicherheit kundenfreundlicher zu gestalten. Damit sie Kunden nicht gleich ganz abschreckt. Aber auch, damit sie überhaupt wirkt und nicht umgangen wird. 

Im Folgenden stelle ich einige dazu passende Sicherheitstechnologien, die wir bei syngenio aktuell evaluieren, sowie die Studie „Online-Banking – mit Sicherheit“, der obige Grafik entnommen ist.

Weiterlesen

Top