Die überarbeitete Zahlungsdiensterichtlinie 2 (Payment Services Directive 2, kurz PSD2) stellt hohe Anforderungen an die Finanzbranche. Die neuen Regelungen sollen die Sicherheit erhöhen und den Wettbewerb für „dritte Zahlungsdienstleister“ öffnen. Die detaillierten technischen Standards für die PSD2 wurden kürzlich veröffentlicht. Bjørn Søland, Technikexperte beim Identity- und Security-Spezialisten Nexus Group, erklärt die Bedeutung der neuen Standards und die Voraussetzungen für deren Einhaltung.
Die PSD2 wird elektronische Zahlvorgänge im Internet und in Geschäften sicherer machen und Verbrauchern die Nutzung komfortabler, kostengünstiger und innovativer Lösungen ermöglichen, die von dritten Zahlungsdienstleistern angeboten werden. Am 27. November 2017 hat die EU-Kommission die lang erwarteten Regulatory Technical Standardds (RTS) für die PSD2 veröffentlicht. Diese Standards regeln die technische Implementierung der PSD2 und werden voraussichtlich im September 2019 in Kraft treten.
„Die Regulatory Technical Standards sind das Ergebnis einer langen Entwicklungsphase, in der EU-Kommission, Banken und Zahlungsdienstleister gemeinsam Regeln erarbeitet haben, die hinsichtlich der Sicherheit im Wesentlichen den gesunden Menschenverstand widerspiegeln. Das Ergebnis ist nicht perfekt, aber eindeutig ein Schritt in die richtige Richtung, um Cyber-Risiken zu reduzieren und den Wettbewerb im europäischen Bankensystem zu stärken“, erklärt Søland.
Im Folgenden erläutern wir diese technischen Standards und die Voraussetzung für ihre Einhaltung:
- Die Zwei-Faktor-Authentifizierung (2FA) ist obligatorisch für nahezu alle elektronischen Zahlungen.
„Es gibt nur wenige Ausnahmen: Zahlungen geringer Beträge und besondere Einsatzbereiche wie z. B. die Entrichtung von Parkgebühren“, sagt Søland.
- Das so genannte Screen Scraping ist nicht mehr erlaubt.
„Der Begriff Screen Scraping bezieht sich auf die bisher gängige Praxis, bei der Benutzer Anmeldeinformationen an eine dritte Partei übergeben, die sich dann im Namen des Benutzers anmeldet. Dafür ist es erforderlich, dass diese dritte Partei sämtliche Informationen, die der Benutzer am Bildschirm sieht, auslesen kann“, fährt Søland fort.
Das Screen Scraping ist leicht zu implementieren, doch aus verschiedenen Gründen problematisch. Die Übergabe von Anmeldeinformationen an Dritte ist normalerweise in den Nutzungsbestimmungen der Banken explizit untersagt, weil die Bank in diesem Fall keine Malware-Erkennung auf Kundenseite durchführen kann und es keine Möglichkeit gibt, die von der dritten Partei einsehbaren Informationen zu beschränken.
„Die Lösung: Eine vollständig authentifizierte Server-Server-Kommunikation und exakt definierte APIs (Application Programming Interfaces). Langfristig ist das für alle Beteiligten am besten. Selbst Dritte, die bisher noch auf Screen Scraping setzen, werden davon profitieren“, kommentiert Søland.
- Die APIs der Banken müssen eine hohe Stabilität und eine ebenso starke Authentifizierung bieten wie die Kommunikation mit den eigenen Kunden.
„Die Regulatory Technical Standards legen eindeutig fest, dass die dritten Parteien berechtigt sind, sich auf die Kundenauthentifizierung der Banken zu verlassen. Daher müssen die Banken die Zwei-Faktor-Authentifizierung nicht nur zum Schutz ihrer eigenen Services anbieten, sondern auch für den indirekten Schutz Dritter“, sagt Søland.
- Nahtlose Nutzung unterschiedlicher Technologien.
Die technischen Standards sind technologieneutral und unabhängig vom jeweiligen Geschäftsmodell, um die Nutzung unterschiedlicher Technologien zu ermöglichen. Daher können Banken nicht länger unflexible Plattformen für die Einmal-Authentifizierung verwenden. Häufig unterstützen diese Plattformen nicht die neuen Unternehmensanforderungen und ermöglichen insbesondere keine nahtlose Nutzung unterschiedlicher Technologien“, sagt Søland.
Er empfiehlt daher den Einsatz so genannter Hybrid-Lösungen, die sich für den Zugriff auf lokale Ressourcen ebenso eignen wie für Web- und Cloud-Systeme. Zudem unterstützen sie verschiedene Anmeldeverfahren, zwischen denen Benutzer wechseln können.
„Eine dieser Lösungen ist die Authentifizierungslösung Hybrid Access Gateway von Nexus, die zusammen mit der Authentifizierungs-App Nexus Personal Mobile und vielen anderen komfortablen Anmeldeverfahren eingesetzt werden kann“, sagt Søland.