Ist Ihre Authentifizierungs-Lösung fit für PSD2?

Diese drei wichtigen Aspekte müssen Sie berücksichtigen

Abonnieren Sie den kostenlosen Bank Blog Newsletter

Finanzdienstleister müssen bis September 2019 eine PSD2-konforme Authentifizierungs-Lösung bereitstellen. Aber schon bis zum 14. März 2019 muss eine angemessene Dokumentation der technischen Schnittstelle sowie eine Testumgebung bereitgestellt werden. Bis dahin bleiben weniger als 12 Monate und es ist einiges zu beachten.

Sichere Authentifizierungs-Lösungen im Zuge von PSD2

Im Zuge von PSD2 müssen Authentifizierungs-Lösungen auf Konformität untersucht werden.

Partner des Bank Blogs

YouGov ist Partner des Bank Blogs

Die Authentifizierung ist eine zentrale Schnittstelle zwischen Finanzdienstleistern und Kunden. Funktioniert sie für den Anwender reibungslos, stärken Banken und Kreditkartenherausgeber die Kundenbeziehung, senken ihre Kosten und schaffen die Basis für die Einführung neuer Angebote.

Der 14. September 2019 ist der Stichtag für die Umsetzung der PSD2 (Payment Services Directive). Dann muss Ihre Organisation – gemäß Art. 30 §3–§5, und Art. 33 §6(c) – in der Lage sein, gegenüber den Regulierungsbehörden die Konformität zur Richtlinie nachzuweisen. Jedoch schon sechs Monate vorher, am 14. März 2019, muss eine Dokumentation der technischen Schnittstelle sowie eine entsprechende Testumgebung zur Verfügung stehen.

Die folgenden drei Aspekte sollten dabei berücksichtigt werden:

  1. Audit-fähige SCA-Compliance sicherstellen
  2. Konsistente und überzeugende Anwendungserfahrung bieten
  3. Senkung der Kosten und ermöglichen einer Weiterentwicklung

1. Audit-fähige SCA-Compliance sicherstellen

Dies ist in den Regulatory Technical Standards (RTS) der Europäischen Bankenaufsichtsbehörde festgeschrieben. Sie legen unter anderem fest, welche Anforderungen hinsichtlich starker Kundenauthentifizierung (SCA) erfüllt werden müssen. Dabei sind die folgenden Aspekte zu berücksichtigen:

  • Die starke Kundenauthentifizierung ist für alle Nahfeld- und Online-Transaktionen über sämtliche Kanäle erforderlich. Im Rahmen von SCA werden zwei von drei möglichen Faktoren (Wissen, Besitz und Eigenschaft) zur Authentifizierung eingesetzt. Wir glauben, dass dem Faktor Besitz dabei die wichtigste Rolle zukommt. Das Smartphone eignet sich dafür im besonderen Maße – also ein mobiles Endgerät, das Kunden immer mit sich führen. In Kombination mit anderen Faktoren, wie zum Beispiel PIN/Passwort oder biometrischen Verfahren, entsteht so ein mehrschichtiger Ansatz.
  • Der Authentifizierungs-Code für jede Transaktion muss dynamisch mit dem Betrag und dem Zahlungsempfänger verknüpft sein.
  • SCA-Elemente müssen voneinander getrennt und unabhängig sein. Dies lässt sich durch vollständig verschlüsselte so genannte „Out-of-Band“-Authentifizierungskanäle erzielen. Out-of-Band bedeutet, dass ein unabhängiger zweiter Kommunikationskanal genutzt wird. Dann können sogar Transaktionen in einer einzigen App auf einem einzigen Gerät sowohl initiiert als auch authentifiziert werden.
  • Es muss gewährleistet sein, dass personalisierte Anmeldeinformationen zur Authentifizierung genutzter Geräte sowie jegliche im Authentifizierungsprozess verwendete Software zuverlässig dem jeweiligen Kunden zugeordnet werden können. Anders formuliert: One-Time-Passwörter (OTP) sind keine brauchbare Option mehr – führende Analysten wie Gartner sowie Regulierungs- und Branchenorganisationen bestätigen dies bereits seit Jahren.
  • Der Zugriff von Drittanbietern (TPP= Third-Party Provider) auf Kundendaten muss überwacht und durch Verfahren geschützt werden, die die eindeutige Zustimmung des Kunden einholen. Damit Drittanbieter das Recht zum Datenzugriff erhalten, ist ein verbindlicher und signierter Nachweis der Kundenzustimmung erforderlich. Dies kann durch Einholung digital signierter Kundenmandate für alle Transaktionen erreicht werden.

2. Konsistente und überzeugende Anwendungserfahrung bieten

Bankkunden erwarten eine sichere Lösung, die gleichzeitig einfach zu bedienen ist. Wenn Sie wollen, das die Anzahl der Transaktionen steigt und es nicht zu unnötigen Abbrüchen kommt, stellen Sie sicher, dass Ihre Lösung in folgenden Punkten „State-of-the-Art“ ist. Nur so stärken Sie mit jeder einzelnen Interaktion das Kundenvertrauen und schaffen die Infrastruktur für die Einführung neuer Services und Angebote.

  • Sorgen Sie für eine hohe Konvergenz der Authentifizierung. Verwenden Sie also dieselbe SCA-Methode für mehrere Anwendungsszenarien, sodass die Anwendungserfahrung über alle Kanäle hinweg konsistent ist. Auf diesem Weg wird Authentifizierung nicht nur einfacher, sondern stärkt auch das Anwendervertrauen und führt zu reduzierten Gesamtbetriebskosten (Total Cost of Ownership, TCO), da nur noch eine einzige Authentifizierungsplattform unterstützt werden muss.
  • Stellen Sie sicher, dass Ihre Authentifizierungsmethode so einfach zu bedienen ist wie möglich, sodass Kunden sie für alle Anwendungsfälle nutzen. Anstatt eine Kundeninteraktion bei der Authentifizierung zu vermeiden, sollten Sie sie als Chance begreifen: Jede Kundeninteraktion über Ihren SCA-Kanal stärkt das Vertrauen. Sobald PSD2 in Kraft ist, können viele neue Drittanbieter (TPPs) mit Ihren Anwendern interagieren, deshalb ist die Herstellung eines besonderen Vertrauensverhältnisses so wichtig.
  • Die Verschlüsselung sensibler Daten innerhalb der Mobile-Banking-App sollte selbstverständlich sein. Positionieren Sie sich als vertrauenswürdiger Partner für den Schutz der Vermögenswerte Ihrer Kunden in einer digitalisierten Welt. Ermöglichen Sie Ihren Kunden die volle Kontrolle bei risikobehafteten Interaktionen durch Echtzeit-Eingabeaufforderungen über einen vertrauenswürdigen Kanal.
  • Die meisten Interaktionen mit Drittanbietern, die durch PSD2 möglich werden, erfolgen voraussichtlich über mobile Kanäle. Mobile Interaktion ist deshalb der Schlüssel für den Erfolg Ihrer Organisation.

3. Senkung der Kosten und ermöglichen einer Weiterentwicklung

Kann man verpflichtende Compliance-Anforderungen in einen strategischen Vorteil verwandeln? Das funktioniert, wenn Sie auf folgende Punkte achten:

  • Implementieren Sie eine Lösung, die den gesamten Anwender- und Authentifizierungs-Lebenszyklus abdeckt, von Rollout, Wartung und Kontowiederherstellung bis zum Off-Boarding-Prozess und dem Hinzufügen neuer Kanäle. Investieren Sie in eine Lösung, die von Grund auf für die mobile und Online-Welt entwickelt wurde. Dies gibt Ihnen die nötige Flexibilität, um sich – ohne neue Lösungen implementieren zu müssen – an zukünftige technische Standards der Regulierungsbehörden anzupassen.
  • Senken Sie Kosten durch Nutzung einer einzigen Authentifizierungsplattform für alle Authentifizierungsszenarien. Damit können Sie Kunden schneller, effizienter und damit wirtschaftlicher bedienen. Stärken Sie das Kundenvertrauen durch Aufbau einer konsistenten Anwendungserfahrung für alle Kanäle.
  • Sobald ein sicherer Kanal zum Kunden verfügbar ist, können Sie neue digitale Services einführen, auf die Kunden zu jeder Zeit und an jedem Ort Zugriff haben. Damit stärken Sie die Bindung Ihrer bestehenden Kunden und ziehen gleichzeitig Neukunden an. Ein wesentliches Prinzip von PSD2 ist es, Kunden dabei zu unterstützen, ihre eigenen Daten zu kontrollieren. Indem Sie Kunden die Möglichkeit geben, jede einzelne Banking- oder andere Transaktion auf dem Mobilgerät freizugeben, bieten Sie genau die von PSD2 geforderte Kontrolle.

Fazit: PSD2 ist mehr als nur ein Kostenfaktor

Wenn eine Bank als Wächter der Vermögenswerte ihrer Kunden in einer digitalisierten Welt wahrgenommen wird, verändert sich dadurch ihre strategische Position gegenüber Kunden und Drittanbietern. Die Bank bietet dann mehr als einen alltäglichen Standard-Service und wird zum Verwalter aller aktuellen und zukünftigen Vermögenswerte, welche Form diese auch haben mögen. Durch Services, die auf den Zugriff und das Management dieser Vermögenswerte fokussiert sind, untermauern Banken ihre Positionierung als wichtiger Bestandteil der Wertschöpfungskette. Banken schützen und erhalten ihre Kundenbeziehungen, während Drittanbieter zusätzliche Services bereitstellen.

Auf diesem Weg ist PSD2 nicht länger nur ein Kostentreiber. Stattdessen ist PSD2 eine Chance für Banken, ihr Leistungsversprechen auch in einer digitalen Welt der Zukunft zu unterstreichen. Banken, die diese Chance ergreifen, werden langfristig davon profitieren. Wer diese Gelegenheit hingegen nicht nutzt, befindet sich auf dem Weg zu einem austauschbaren Anbieter von Allerweltsdienstleistungen.


Eine von der Bonner Security Research & Consulting GmbH (SRC) autorisierte Zusammenfassung der aktuellen Untersuchung zur PSD2-Compliance von „Transakt“, der Entersekt-Lösung zur starken Authentifizierung, sowie weitere Dokumente rund um das Thema PSD2-Compliance stehen auf der Entersekt-Website zum Download bereit.

Über den Autor

Jonathan Knoll

Jonathan Knoll ist bei Entersekt als verantwortlicher Country Manager Central Europe tätig. Er bringt über 25 Jahre Erfahrung in den Bereichen Geschäftsentwicklung, Marketing, Strategie und Vertrieb in den USA und Europa mit. Und verfügt über breite Kenntnisse der digitalen Zahlungs- und Finanzdienstleistungsbranche. Zuvor arbeitete Knoll als Director Financial Services Strategic Partnerships bei PayPal, wo er für die strategischen Partnerschaften mit führenden Finanzinstituten in den USA und der EMEA verantwortlich war. Davor hatte Knoll eine Reihe von Führungspositionen bei innovationsgetriebenen Unternehmen wie S1, Sun Microsystems und Ziff-Davis inne.

Vielen Dank fürs Teilen und Weiterempfehlen


Mit dem kostenlosen Bank Blog Newsletter immer informiert bleiben:

Anzeige

Get Abstract: Zusammenfassungen interessanter Businessbücher

Kommentare sind geschlossen

Bank Blog Newsletter abonnieren

Bank Blog Newsletter abonnieren