apiOmat & Microsoft: Mach mit beim Hololens Hackathon!
STRATEGIE12. Dezember 2016

PSD2 und die starke Authentifizierung: Auch am Smartphone realisierbar?

Rudolf LinsenbarthRudolf Linsenbarth
Rudolf LinsenbarthRudolf Linsenbarth

Um die aktuelle Version PSD II gibt es derzeit viel Aufregung, besonders die dort geforderte starke Authentifizierung ist ein Reizthema. Artikel 98 dieser Richtlinie enthält einen Arbeitsauftrag an die European Banking Authority (EBA), genaue Standards für eine starke Kundenauthentifizierung zu definieren. Aber: Was ist eigentlich – im Sinne der PDS2 – eine starke Kundenauthentifizierung?

von Rudolf Linsenbarth

Mit der Payment Service Directive (PSD) schafft der Gesetzgeber die rechtliche Grundlage für einen EU-weiten Binnenmarkt im Zahlungsverkehr. Die Richtlinie soll für alle Zahlungsdienstleistungen in der Europäischen Union gelten. Ziel ist es, dass grenzüberschreitende Zahlungen so einfach, effizient und sicher werden, wie Zahlungen innerhalb eines Mitgliedslandes. Weiterhin soll der Wettbewerb verbessert werden, indem die Zahlungs­ver­kehrs­märkte für neue Anbieter geöffnet werden. Aus diesen Maßnahmen verspricht man sich höhere Effizienz und geringere Kosten für die Nutzer.

Außerdem soll die EBA auch die Ausnahmen festlegen, in welchen Fällen auf diese starke Kunden­au­then­ti­fi­zierung verzichtet werden kann. Der Verhandlungsentwurf der EBA wird ebenfalls sehr kontrovers diskutiert. Dazu gibt es einen sehr informativen Beitrag auf dem Bargeldlosblog von Hanno Bender.

Was ist starke Kundenauthentifizierung wirklich?

In diesem Artikel soll zunächst erklärt werden, was eine starke Kundenauthentifizierung ist. Im Allgemeinen versteht man darunter den Einsatz mehrerer Komponenten, die voneinander unabhängig sind. Meistens findet eine zwei von drei Auswahl aus den Bereichen
1. Wissen
2. Besitz
3. Inhärenz (Biometrie)
statt. Landläufig spricht man dann auch von einer 2-Faktor-Authentifizierung. Die Vorteile des Verfahrens liegen auf der Hand. Nur in der kombinierten Anwendung ist die Authentifizierung gültig und somit auch sicherer. Neben der Unabhängigkeit der eingesetzten Verfahren ist eine weitere Forderung, dass der Faktor Besitz fälschungssicher sein muss. Es soll also niemand einfach eine Kopie anfertigen können.

Autor Rudolf Linsenbarth
Linsenbarth-Rudolf-516Rudolf Linsenbarth ist Seni­or Consultant für den Be­reich Mobile Payment und NFC bei COCUS Con­sul­ting. Zuvor war er elf Jah­re im Bank­bereich als Seni­or Technical Specia­list bei der TARGO IT Consulting (Crédit Mutuel Banken­gruppe). Linsenbarth ist ei­ner der pro­fi­lier­tes­ten Blog­ger der Fi­nanz­szene und kommentiert bei Twit­ter un­ter @holimuk die aktuellen Entwicklungen. Alle Beiträge schreibt Rudolf Linsenbarth im eigenen Namen.

PIN/TAN … und das Smartphone

Die verbreitetste 2-Faktor-Authentifizierung ist wohl die Kartenzahlung mit PIN-Eingabe. Nur wer die PIN kennt und gleichzeitig die Karte besitzt, kann einen Bezahlvorgang am POS auslösen oder am Geldautomaten Bargeld beziehen. In Deutschland kennen wir die starke Authentifizierung auch als PIN/TAN-Verfahren beim Zugriff auf das Girokonto.

Der vermehrte Smartphone-Einsatz zur Überweisung und Auslösung von Zahlungsvorgängen bringt aber neue Probleme. In den meisten Lösungen soll das Smartphone den Faktor Besitz repräsentieren. Zugleich ist es auch das Eingabemedium für das Passwort. Damit ist systemtheoretisch die Unabhängigkeit der beiden Faktoren Wissen und Besitz nicht mehr zwingend garantiert.

Eine Software kann kopiert werden, Fingerabdrücke werden lokal gespeichert

Ein weiteres Problem mit der Repräsentierung des Faktors Besitz durch das Smartphone ist die Tatsache, dass hierzu nur eine Software aufgespielt wird (z.B. Push-TAN). Während eine Smartcard nach dem EMV-Standard nicht kopiert werden kann, ist das bei diesen Lösungen nicht ausgeschlossen. Wirkliche Sicherheit bieten hier z.B. externe Token-Lösungen.

Auch die Biometrie-Verifikation über den Fingerprintleser des Smartphones zu bewerkstelligen, ist nicht sinnvoll. Der Fingerabdruck wird hier nur lokal im Gerät gespeichert und hat als Rückfallebene immer die Geräte-PIN. Somit wird aus der Biometrie wieder der Faktor Wissen.

Für die biometrische Authentifizierung am Smartphone ist möglicherweise nur die Verifizierung der Stimme geeignet.“

Bevor also die Diskussion über die Ausnahmen von starker Authentifizierung beginnen, wäre eine Definition der starken Authentifizierung aus wissenschaftlicher Sicht im Allgemeinen und deren Einsatz am Smartphone im Besonderen wünschenswert.

Die PSD II verlangt nämlich auch, dass dritte Zahlungsdienstleister im Einverständnis mit den Kunden Zugriff auf deren Konten erhalten.“

Es ist kaum vorstellbar, dass diese Anbieter ihre Angebote auf den Markt bringen können, ohne dabei die starke Authentifizierung zu nutzen. Dazu gehört auch eine Regelung über eine Kosten- und Risikoverteilung dieses Verfahrens. Wenn hier nicht von Beginn an klare Standards und Definitionen verwendet werden, besteht die Gefahr, dass PSD II eine Dauerbaustelle mit permanentem Nachbesserungsbedarf wird.Rudolf Linsenbarth

Sie finden diesen Artikel im Internet auf der Website:
https://www.it-finanzmagazin.de/?p=41711
1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (18 Stimmen, Durchschnitt: 4,28 von maximal 5)
Loading...

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

260 Stellungnahmen zur PSD2: Streit über technische Standards (RTS) führt zu weiterer Verzögerung!

Die European Banking Authority (EBA) hat am 12. August 2016 ein Konsultationspapier sowie Entwürfe der RTS zur starken Kunden­au­then­ti­fi­zierung sowie zur gemeinsamen sicheren Kommunikation...

Schließen