Mit <kes>+ lesen

Zahlungsdienste : Starke Kundenauthentifizierung nach PSD 2

Mit der EU-Richtlinie über Zahlungsdienste im Binnenmarkt soll der Wettbewerb im europäischen Zahlungsverkehr sicherer, bequemer und billiger werden – daher werden nun auch onlinebasierte Zahlungsdienste betrachtet. Das BSI konkretisiert dabei unter anderem regulatorische Vorgaben wie die starke Kundenauthentifizierung aus technischer Sicht.

Sabine MullBSI-Forum
Lesezeit 4 Min.

Im Januar 2016 wurde die neue Richtlinie des Europäischen Parlaments und des Rates vom 25. November 2015 über Zahlungsdienste im Binnenmarkt – Payment Service Directive, kurz PSD2 [2] – veröffentlicht. Nicht mehr nur Banken haben nunmehr Zugang zu den Kontodaten von Privatkunden, auch Drittanbieter erhalten jetzt diese Möglichkeit: Jeder Kunde kann einen sogenannten „Dritten Zahlungsdienstleister“ beauftragen, in seinem Namen Zahlungsaufträge gegenüber dem eigenen Kreditinstitut auszulösen.

Drittanbieter erhalten so den direkten Zugriff auf Konto- und Kundeninformationen – so wird ihnen der Zugang zum Zahlungsmarkt erleichtert. Dazu ist es erforderlich, die Schnittstelle zwischen Kunden und Kreditinstitut für den „Dritten Zahlungsdienstleister“ zu öffnen. Die PSD2 stellt hier die Anforderung an die Banken, passende Schnittstellen für den Zugang zu Kontodaten bereitzustellen. Wie diese auszusehen hat, ist in der PSD2 allerdings nicht definiert.

Sicherheit verbessern

Doch nicht nur der Wettbewerb soll gestärkt, auch die Sicherheit, vor allem bei der Übermittlung von Daten, soll verbessert werden. Die PSD2 sieht hier eine verstärkte Kundenauthentifizierung vor. Das führt dazu, dass Kreditinstitute ihre bisher genutzten Systeme insoweit überprüfen müssen, ob sie den geforderten Sicherheitsstandards gerecht werden. Zusätzlich müssen die Kreditinstitute sicherstellen, dass die Vertraulichkeit und Integrität der personalisierten Sicherheitsmerkmale der Zahlungsdienstnutzer geschützt werden.

Die PSD2 beschreibt, in welchen Fällen die starke Kundenauthentifizierung einzusetzen ist (Art. 97), konkretisiert die technischen Anforderungen an die Verfahren jedoch nicht. Nach PSD2 Artikel 98 obliegt es der Europäischen Bankenaufsichtsbehörde (EBA) in enger Zusammenarbeit mit der Europäischen Zentralbank (EZB), sogenannte „Technische Regulierungsstandards“ (RTS) für die Authentifizierung und die Kommunikation zu definieren. Dort werden die wesentlichen Grundlagen zur konkreten Umsetzung der Richtlinie vorgegeben. Sie werden durch die EU-Kommission als delegierte Rechtsakte erlassen und im Amtsblatt der Europäischen Union veröffentlicht. Dadurch haben sie eine unmittelbare Wirkung – sie sind jedoch rein technischer Natur und enthalten keine strategischen oder politischen Entscheidungen.

Der RTS für die Authentifizierung und die Kommunikation [3] ist im März 2018 in Kraft getreten und muss ab September 2019 angewendet werden. Eine starke Kundenauthentifizierung nach PSD2 ist immer dann zwingend vorgeschrieben, wenn der Zahler beispielsweise online auf sein Zahlungskonto zugreift oder einen elektronischen Zahlungsvorgang auslöst.

Eine Authentifizierung ist dann „stark“, wenn mindestens zwei Elemente aus den Kategorien Wissen (etwas, das nur der Nutzer weiß), Besitz (etwas, das nur der Nutzer besitzt) oder Inhärenz (etwas, das der Nutzer ist) herangezogen werden (vgl. Abb. 1).

Abbildung 1: Elemente zur starken Kundenauthentifizierung
Abbildung 1: Elemente zur starken Kundenauthentifizierung

Diese Elemente sollen dabei insofern voneinander unabhängig sein, als die Nichterfüllung eines Kriteriums die Zuverlässigkeit der anderen nicht infrage stellt. Durch die Unabhängigkeit der Elemente kann das Betrugsrisiko verringert werden, auch wenn die Sicherheit eines Kriteriums nicht mehr gegeben ist. Gleichzeitig soll die starke Kundenauthentifizierung so konzipiert sein, dass die Vertraulichkeit der Authentifizierungsdaten geschützt ist: Wird ein Element nicht korrekt eingegeben, darf nicht erkennbar sein, um welches Element es sich handelt (Art. 4 PSD2).

Zwei-Faktor-Authentifizierung

Die Forderung der PSD2 nach einer starken Kundenauthentifizierung ist erfüllt, sobald das Authentifizierungsverfahren zwei dieser drei voneinander unabhängigen Elemente kombiniert. Allerdings wird nicht vorgegeben, in welcher Form die Elemente kombiniert werden sollen, um ein angemessenes Maß an Sicherheit beziehungsweise das Vertrauensniveau zu erreichen, das einem Angreifer Widerstand leisten kann.

Dabei sind gerade für Nutzer des Onlinebankings in allen seinen Ausprägungen die Sicherheit der persönlichen Kontodaten und der Schutz vor Angriffen von großer Bedeutung. Hier würde sowohl Herstellern entsprechender Geräte und Verfahren zur Authentifizierung als auch Instituten eine Entscheidungsgrundlage gegeben, wenn die Anforderungen zur Unabhängigkeit der Elemente und damit die Benennung von offensichtlichen Verletzungen der Unabhängigkeit konkretisiert würden, um zukünftige Innovationen auf diesem Gebiet besser bewerten und einordnen zu können. Das aber leistet PSD2 nicht.

Das BSI kümmert sich daher im Rahmen seiner Aufgaben nicht nur in vielfältigen Aktivitäten um die Bewertung von IT-Systemen, die im Kontext des (elektronischen) Zahlungsverkehrs genutzt werden. Es untersucht auch moderne Bezahlverfahren hinsichtlich ihrer Sicherheitseigenschaften, um gegenüber Herstellern und Nutzern Empfehlungen für ihren Einsatz zu geben. Das BSI bietet so in einem häufig unübersichtlichen Umfeld verschiedenster Verfahren, Protokollen und Standards eine Orientierungshilfe auch für Verfahrensanbieter und deren Kunden.

Zusätzlich arbeitet das BSI daran, regulatorische Vorgaben wie die starke Kundenauthentifizierung aus technischer Sicht zu konkretisieren. Dies geschieht in Form von Anforderungspapieren, die Marktteilnehmern Orientierung bei der Umsetzung der regulatorischen Anforderungen bieten.

Ein Papier zur Planung von Leitlinien, wie sich die in der PSD2 geforderte Kontoschnittstelle für Drittanbieter umsetzen lässt, sowie ein Statement zum Thema „Starke Kundenauthentifizierung“ wurden als Ergebnisse bereits auf der Website des BSI unter dem Schlagwort „Elektronischer Zahlungsverkehr“ veröffentlicht [1]. Weitere Papiere in dem Bereich werden in unregelmäßiger Folge veröffentlicht. Ideen für Themen zu weiteren Einzelveröffentlichungen nimmt das BSI gerne entgegen.

Literatur

[1] BSI, Elektronischer Zahlungsverkehr, Themenseite, www.bsi.bund.de/payment

2] Richtlinie (EU) 2015/2366 des Europäischen Parlaments und des Rates vom 25. November 2015 über Zahlungsdienste im Binnenmarkt, zur Änderung der Richtlinien 2002/65/ EG, 2009/110/EG und 2013/36/ EU und der Verordnung (EU) Nr. 1093/2010 sowie zur Aufhebung der Richtlinie 2007/64/EG, in: Amtsblatt der Europäischen Union 2015 L 337, Dezember 2015, S.25, https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32015L2366

[3] Delegierte Verordnung (EU) 2018/389 der Kommission vom 27. November 2017 zur Ergänzung der Richtlinie (EU) 2015/2366 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards für eine starke Kundenauthentifizierung und für sichere offene Standards für die Kommunikation, in: Amtsblatt der Europäischen Union 2018 L 69, März 2018, S. 23, https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32018R0389

Diesen Beitrag teilen: