Im September treten die Zusätze und Ausführungsbestimmungen zu PSD2 in Kraft. Darunter insbesondere die Verpflichtung zu starken Kundenauthentifizierung. Über die Auswirkungen sprach ich mit Uwe Härtel und Melanie Maier von Entersekt.
Noch nicht alle Banken haben ihre Systeme zur „Starken Kundenauthentifizierung“ (SCA) an die Anforderungen der neuen Zahlungsdiensterichtlinie PSD2 und deren Ausführungsbestimmungen (RTS) angepasst. Dabei steht der Stichtag quasi vor der Tür. Was können diese Finanzinstitute jetzt noch tun, um der PSD2-Deadline im September 2019 gelassen entgegenzusehen?
Interview mit Uwe Härtel und Melanie Maier, Entersekt
Hierzu befragte ich Uwe Härtel und Melanie Maier von Entersekt, einem Anbieter von Mobile Security und push-basierten Authentifizierungs-Lösungen. Uwe Härtel ist Country Manager Zentraleuropa, und Melanie Maier Pre-Sales Solution Lead DACH. Beide verfügen über weitreichende Kenntnisse des Markts für Authentifizierungssysteme und der digitalen Sicherheit.
PSD2 hat an Schrecken verloren
Der Bank Blog: In den letzten Monaten hat es viel Diskussion um die PSD2 und ihre Auswirkungen gegeben. Was ist Ihre Einschätzung, hat sich der Umgang mit dem Thema verändert?
Uwe Härtel: Ich glaube, dass das Thema etwas von seinem anfänglichen Schrecken verloren hat und dass mittlerweile die Chancen, die sich dadurch ergeben, mehr diskutiert werden als die Gefahren und Probleme. Im Rahmen der Digitalisierung der Banken müssen alle bisherigen Systeme auf den Prüfstand. Die PSD2 hat diesen Prozess, der gar nicht mehr aufzuhalten ist, nur beschleunigt.
Der Bank Blog: Es sind ja nur noch wenige Monate bis zur PSD2-Deadline am 14. September 2019. Sind die Banken mittlerweile gut vorbereitet?
Uwe Härtel: Lange schon beschäftigen sich die Banken mit den neuen Vorschriften, die sich ja vor allem auf zwei Bereiche beziehen: Einmal müssen sie zum Stichtag Schnittstellen einrichten, die Drittanbietern Zugriff auf Kundendaten ermöglichen. Zum anderen geht es darum, die Kundenauthentifizierung sicherer zu machen und die sogenannte „Starke Authentifizierung“ einzuführen. Unserer Einschätzung nach gibt es besonders bei der Authentifizierung noch Nachholbedarf.
PSD2 noch nicht beim Kunden angekommen
Der Bank Blog: Woran genau hapert es in diesem Bereich noch?
Uwe Härtel: Zum einen scheuen viele Banken davor zurück, ihre Kunden auf ein neues Verfahren umzustellen, auch wenn dieses sicherer und kundenfreundlicher sein sollte. Hier gilt es die Kundenmigration bzw. Neuanmeldung von Kunden so einfach wie möglich zu gestalten, um Kundenfrustration und -verluste definitiv zu vermeiden. Zum anderen besteht teilweise Unklarheit bezüglich der korrekten Umsetzung der PSD2-Richtlinie, die klare Aussagen zu konkreten Authentifizierungsverfahren vermissen lässt. Auch hier können wir sehr gute Hilfestellung auf Basis von Best Practice-Erfahrungen leisten.
Push-Verfahren am bequemsten für den Kunden
Der Bank Blog: Welche Verfahren stehen den Banken für die Umsetzung der SCA in Zukunft zur Verfügung?
Melanie Maier: Die Ära der Einmalpasswörter per SMS (One Time Password OTP), die immer noch viele Banken nutzen, ist definitiv vorbei. SMS per Mobilfunk ist eine Technik der frühen Neunzigerjahre. Damals wurde auf Verschlüsselung und Sicherheit wenig Wert gelegt, so dass heute quasi jede App auf dem privaten Smartphone den Inhalt der TAN-Nachricht auslesen und manipulieren kann. Es gibt andere, viel sicherere und zeitgemäßere Ansätze, um die geforderten zwei Faktoren zu gewinnen. Dazu zählen Token-basierte Verfahren, Photo-TAN oder Push-Benachrichtigungen über eine App.
Der Bank Blog: Photo-TAN ist ja nicht gerade das nutzerfreundlichste System. Und noch eine App, die Kunden installieren müssen? Das schreckt doch eher ab?! Gibt es hier keine besseren Optionen?
Melanie Maier: Die bequemste Lösung für den Kunden ist ein Push-Verfahren, das Bestandteil seiner Banking-App ist. Dann braucht er weder ein externes Lesegerät noch eine zweite App, die er erst öffnen muss. Bei diesem Verfahren erhält er eine Nachricht auf sein Mobilgerät, bei der alle Transaktionsdetails noch einmal angezeigt werden. Er wird dann aufgefordert, die Transaktion mit einem einzigen Klick zu bestätigen oder abzulehnen. Darüber hinaus entfällt bei den Push-Verfahren die Eingabe einer TAN, die durch die separate Photo-TAN App generiert wird. Dies führt zu höherer Benutzerfreundlichkeit und Schnelligkeit ohne jegliche Einbußen an Sicherheit.
Noch bestehen Unklarheiten bei SMS-TAN
Der Bank Blog: Sind mTan-Verfahren überhaupt noch PSD2-konform?
Melanie Maier: Es ist noch nicht ganz klar, ob SMS-TAN-Verfahren letztendlich tatsächlich konform sind, da der Gesetzestext nicht frei von Interpretationsspielraum ist. Aber es gibt viele Gründe, die gegen eine Konformität dieses Verfahrens sprechen. Beispielsweise verlangt die Regulatorik, dass die Banken die Kontrolle über die Kanäle haben müssen, was beim SMS-Versand nicht der Fall ist. Beim mTAN-Verfahren prüft die Bank das Mobiltelefon des Kunden nicht auf Sicherheitslücken, obwohl es grundsätzlich genauso wie ein PC durch Angreifer mit Schadsoftware infiziert werden kann. Im Prinzip sind sich in dieser Frage die Experten einig: So stuft der aktuelle BSI-Leitfaden zum Online-Banking die SMS-TAN als unsicher ein und auch das BSI empfiehlt, auf den Einsatz von mTAN-Verfahren zu verzichten.
Der Bank Blog: Wird durch die von PSD2 geforderte Zwei-Faktoren-Lösung der gesamte Authentifizierungsprozess für den Kunden nicht furchtbar aufwendig und unbequem?
Uwe Härtel: Viele Organisationen haben davor gewarnt, dass die SCA-Anforderungen von PSD2 dem Zahlungsökosystem schaden und den Einsatz von mobilen Geräten behindern werden. Dem stimmen wir nicht zu. Es ist im Gegenteil sogar möglich, durch die Freigabe von Banktransaktionen und Zahlungen über das Mobiltelefon die Prozesse zu beschleunigen. Die Herausforderung ist, eine Lösung zu finden, die bei allen verschärften Sicherheitsvorschriften für den Kunden am Ende trotzdem einfach und bequem ist. Und es gilt, vor allem Lösungen für mobile Geräte zu entwickeln, denn Kunden nutzen für ihre Bankgeschäfte immer häufiger ihr Smartphone.
2-Faktor-Authentifizierung ist zwingend
Der Bank Blog: Wie kann eine PSD2-konforme Authentifizierung erfolgen, die sicher und gleichzeitig bequem für den Kunden ist?
Melanie Maier: Das Thema „Sicherheit“ wird ganz klar in den RTS beschrieben: Es müssen zwei von drei Faktoren (Wissen, Besitz und Eigenschaft) eingesetzt werden, der Authentifizierungs-Code muss dynamisch mit dem Betrag und dem Zahlungsempfänger verknüpft sein und die SCA-Elemente müssen voneinander getrennt und unabhängig sein.
Der Aspekt der Bequemlichkeit wird hier jedoch nicht thematisiert. Dabei ist der für den Kunden ganz entscheidend. Bequemlichkeit bedeutet auch, dass das System über alle Kanäle hinweg konsistent sein sollte.
Die Frustration, die Konsumenten bereits bei der Durchführung sicherer Zahlungen auf dem Desktop-Computer empfinden, multipliziert sich bei der Durchführung derselben Aktionen auf mobilen Geräten mit kleineren Bildschirmen und Touchpads. Dies ist ein Problem für Service Provider, die ihre Authentifizierung nicht für mobile Geräte optimiert haben. Denn die Mehrzahl der digitalen Interaktionen europäischer Konsumenten mit Finanzinstitutionen und Drittanbietern wird in Zukunft über Mobilgeräte erfolgen.
Der Bank Blog: Was können Banken in Puncto Authentifizierung jetzt noch tun, um die PSD2-Deadline einzuhalten?
Uwe Härtel: Selbst entwickelte Lösungen fallen aufgrund der engen zeitlichen Vorgaben aus. Aber ohnehin ist die zuverlässige Identifikation und Authentifizierung von Anwendern über mobile und Online-Kanäle eine sehr komplexe Aufgabe. Durch den konstanten Wandel von Technologien und Anwenderverhalten entstehen fortlaufend veränderte Anforderungen. Die wenigsten Banken haben die Möglichkeit, selbst eine solche Lösung zu entwickeln und sollten sich jetzt nach schlüsselfertigen Konzepten am Markt umschauen.
Der Bank Blog: Schlüsselfertige Authentifizierungslösungen – sind diese für jede Bank geeignet?
Melanie Maier: Tatsächlich gibt er hierfür am Markt Plug-and-Play-Lösungen, zum Beispiel die von Entersekt. Sie kommt als SDK (Software Development Kid) und kann kurzfristig in jede Mobile-Banking-App integriert werden. Der Kunde merkt am Ende gar nicht, dass er eine extern zugekaufte Lösung nutzt. Er muss lediglich einmalig sein Mobilgerät registrieren, dann läuft die Anwendung komplikationslos. Durch das neue System erhält der Kunde bei jeder Transaktion, die eine Starke Authentifizierung erfordert, in der App eine Push-Nachricht auf sein Mobilgerät. Diese bestätigt er mit einem Klick: „annehmen“ oder „ablehnen“ – und schon ist die PSD2-konforme starke Authentifizierung erledigt.
Banken dürfen ihren Wettbewerbsvorteil nicht verspielen
Der Bank Blog: Was passiert mit den Banken, die zum Stichtag nicht alle Anforderungen erfüllen?
Uwe Härtel: Diese Banken verspielen ihren Wettbewerbsvorteil. PSD2 ist eine Chance, Bankprozesse sicher UND nutzerfreundlich zu gestalten. Reduktion von Komplexität und eine einfache Nutzerführung sind ganz starke Kundenbindungsinstrumente – das haben Unternehmen wie Apple eindrücklich gezeigt. Darüber hinaus kann es auch zu Strafen für die Institute kommen, die die Auflagen nicht einhalten. Wie diese im Detail aussehen werden, ist zurzeit nicht klar.
Der Bank Blog: Welche Rolle spielt das Thema Authentifizierung im Gesamtkontext der Digitalisierung im Bankenbereich?
Uwe Härtel: Eine sehr große. Es ist Dreh- und Angelpunkt für den Aufbau von Vertrauen bei den Kunden und ihre Bereitschaft, die angebotenen Services Ihrer Bank teilweise mehrmals täglich zu nutzen. Weil es einfach, sicher und bequem ist. So entstehen Wettbewerbsvorteile durch stärkere Kundenzufriedenheit. Außerdem können dadurch zusätzliche Umsätze generiert und Kosten reduziert werden.
Der Bank Blog: Vielen Dank für das Gespräch.