Die EU-DSGVO und die PSD2 stehen vor der Tür. Beide Verordnungen haben dasselbe Ziel: mehr Sicherheit. Und beide fordern sichere Authentifizierungsmethoden. Deshalb wird das Thema starke Authentifizierung für Unternehmen aller Branchen immer wichtiger.
Was die EU-Zahlungsdienstrichtlinie PSD2 für den Finanzmarkt bedeutet, wird seit längerem eifrig diskutiert. Sie soll für mehr Sicherheit bei elektronischen Zahlungsvorgängen sorgen.
Das muss sie auch. Denn: Die PSD2 beendet das Monopol der Banken auf Kontoinformationen.
Banken droht der Verlust des Kundenkontakts
Bankkunden können ihre Bank anweisen, ihre Kontodaten Fintechs oder Online-Händlern bereitzustellen. Diese können dann Zahlungen im Auftrag der Kunden über die Bank durchführen, ohne selbst ein Konto vorhalten zu müssen.
Bestellung, Lieferung und der Zahlungsvorgang werden komplett von den Händlern abgewickelt. Die Bank selbst tritt überhaupt nicht mehr in Erscheinung. Sie wird für den Kunden völlig unsichtbar.
Aber die PSD2 verlangt starke Authentifizierung, um Zahlungsvorgänge abzusichern.
EU-DSGVO verbessert den Schutz personenbezogener Daten
Die EU-Datenschutz-Grundverordnung regelt EU-weit, wie personenbezogene Daten von privaten Unternehmen und öffentlichen Stellen verarbeitet werden dürfen. Die Intention ist, die Privatsphäre des Einzelnen zu schützen.
Unternehmen und Behörden werden den Zugriff auf personenbezogene Daten für Mitarbeiter und Partner besser schützen müssen. Deshalb wird starke Authentifizierung für Unternehmen und Behörden immer wichtiger.
Stark im Kommen: Zwei-Faktor-Authentifizierung
Gesetzliche Vorgaben wie die PSD2 und die EU-DSGVO fordern also sichere Authentifizierungsmethoden. Die PSD2 sagt auch, was unter einer starken Authentifizierung zu verstehen ist: Die Kombination zweier oder mehr voneinander unabhängiger Faktoren.
Eine solche starke Authentifizierungsmethode ist die Zwei-Faktor-Authentifizierung (2FA). Hier werden zwei der folgenden Faktoren miteinander kombiniert:
- „Wissen“: Etwas, das der Anwender weiß, wie zum Beispiel ein Passwort, ein PIN oder ein gemeinsames Geheimnis.
- „Besitz“: Etwas, das der Anwender besitzt, wie zum Beispiel ein Smartphone, eine Smartcard oder ein Einmal-Passwort (OTP).
- „Sein“: Etwas, das der Anwender „ist“ (biometrisches Merkmal), wie zum Beispiel ein Fingerabdruck, die Stimme oder das Gesicht.
Häufig kombiniert werden die Faktoren PIN-Code (Wissen) und Einmal-Passwort (Besitz).
Im zweiten Teil unseres Blogposts erklären wir,
- wie eine starke Zwei-Faktor-Authentifizierung im Sinne der PSD2 funktioniert,
- was die Stärken und Schwächen der Kombination aus PIN-Code und Einmal-Passwort sind,
- wie sich die Sicherheit der 2FA weiter erhöhen/verbessern lässt.