14. März 2019 – die PSD2-Uhr tickt: Die Kunden­identifizierung ist der Schlüssel

Die Begeisterung der Finanz­dienst­leister, ihre Schnittstellen Drittanbietern zur Verfügung zu stellen, hält sich gefühlt in Grenzen. Vielleicht liegt es auch daran, dass man mit verschiedenen PSD2-Fragestellungen und Problemen kämpft, die sich hier und da vielleicht einfacher lösen ließen. Jetzt hat man sich schon ein Jahr mehr Zeit gegönnt, als die EU das ursprünglich vorsah und noch sind nicht alle Finanzdienstleister online.

von Thomas Widmann, CEO WidasConcepts

Die PSD2 wird Pflicht. Von den Vorteilen hört man aber wenig. Dabei hat die von der EU vorgegebene Normierung Vorteile für Alle:

1. Geldtransfers in Deutschland und Europa werden bequemer, billiger, sicherer und mobiler.
2. Neue Zahlungs- und Abrechnungsmöglichkeiten werden geschaffen, Plastik-Kredit- oder Kundenkarten und auch das Bargeld können langsam verschwinden
3. Finanzdienstleister gehen den wichtigen Schritt weg von einer „kontenorientierten Sicht“ hin zu einer „kunden- und personenbezogenen Sicht“, um Kunden zu identifizieren und damit den Zugriff auf Konten exakt steuern zu können. Damit kann ein Finanzdienstleister obendrein eine deutlich bessere Customer Experience schaffen und gleichfalls neue Geschäftsmodelle gestalten
4. Einheitlichere Bank-APIs werden geschaffen, die die Interoperabilität von Finanzdienstleistern mit Dritten, auch anderen Finanzdienstleistern, fördert
5. Finanzdienstleister könnten Ihre historisch gewachsenen IT-Systeme sukzessive konsolidieren

Gerade die letzten drei Punkte benötigen eine klare Fokussierung, denn diese Vorteile gibt es nicht gratis.

Aus dem Grund sollten Finanzdienstleister die Fertigungstiefe in ihrer IT genau im Auge behalten, denn jetzt ist die Zeit, wo ein Sprung in die Cloud und damit die Nutzung solcher Plattformen und Dienste viel Zeit und Geld sparen kann.”

Eine sichere und eindeutige Kundenidentifizierung (BaFin) in Verbindung mit einer möglichst serviceorientierten User Experience wird zum Schlüssel des Erfolgs im Wettbewerb der Zahlungsdienstleister, Banken und Sparkassen. Nachdem Finanzdienstleister nicht die Ersten sind, die sichere und moderne APIs Dritten zur Verfügung stellen und eine sichere Kun­den­iden­ti­fi­zie­rung be­nö­ti­gen, ha­ben an­de­re schon vor­ge­ar­bei­tet und es gibt Platt­for­men, Ser­vices und Stan­dards, die ei­ne ra­sche Im­ple­men­tie­rung von PSD2 ermöglichen.

PSD2 … die Zeit drängt: 14. März 2019

Nun muss bis September 2019 eine PSD2-konforme Authentifizierungs-Lösung bereitgestellt werden. Dies bedeutet, die Organisationen müssen zu diesem Zeitpunkt gemäß Art. 30 §3–§5, und Art. 33 §6(c) in der Lage sein, gegenüber den Regulierungsbehörden die Konformität zur Richtlinie nachzuweisen.

Aber bereits am 14. März 2019 geht die Umsetzung der Payment Service Directive (PSD2) in die heiße Phase: Zahlungsdienste müssen bis dahin für Kontoinformations- und Zahlungsauslösedienste eine Testumgebung ihrer technischen Schnittstellen inklusive Dokumentation bereitstellen.”

Im Klartext bedeutet dies, wer bisher nicht schon seine IT entsprechend umgestellt hat, der sollte sich dringendst nach einem Partner umsehen, der ein professionelles Customer Identity and Access Management umgehend in die bestehenden Strukturen integrieren kann.

Nur so können Banken und Sparkassen im Übrigen auch der Verpflichtung nachkommen, Drittanbietern (TPPs) Schnittstellen (APIs) zur Verfügung zu stellen, die den Zugang zu Bankdaten gewähren.

Der zentrale Punkt, welches Tool ein Unternehmen auswählt, lässt sich klar benennen: Eine starke Authentifizierung der Identität muss gewährleistet sein.”

Denn diese starke Authentifizierung spielt eine besondere Rolle im Rahmen der PSD2. Gefordert ist sie zum Beispiel, wenn der Zahler einen elektronischen Zahlungsvorgang auslöst oder wenn er online auf sein Zahlungskonto zugreift. In den Regulatory Technical Standards (RTS) der Europäischen Bankenaufsichtsbehörde ist festgeschrieben, welche Anforderungen hinsichtlich starker Kundenauthentifizierung (SCA) erfüllt werden müssen.

Die Pflicht zur starken Kundenauthentifizierung nach PSD2 verlangt eine Authentifizierung, die nicht nur aus einem, sondern aus mindestens zwei Elementen besteht. Diese Elemente müssen aus zwei der drei Kategorien Wissen, Besitz und Inhärenz stammen. Ein Beispiel welches BaFin hier nennt, ist für die Kategorie Besitz das Mobiltelefon. Der Besitz des Telefons lässt sich zum Beispiel durch Eingabe einer Transaktionsnummer (TAN) nachweisen, die mittels einer SMS an das Telefon geschickt wurde. Elemente der Kategorie Inhärenz sind dem Nutzer persönlich beziehungsweise körperlich zu eigen, zum Beispiel sein Fingerabdruck.

Ein solche Authentifizierungs-Lösung muss zahlreichen Anforderungen entsprechen. Professionelle Customer Identity and Access Management Tools bieten:

1. verlässliche Endgeräte-Erkennung
2. ortsbasierte Erfassung bei Registrierung, Login
3. Durchführen von Adress-Checks bei der Kunden-Registrierung
4. Management der Login/Registrierung UIs
5. kontinuierliches Profiling der Benutzeraktionen
6. Zwei-Faktor-Authentifizierungen durch biometrische Verfahren.
7. Per Dashboards und Reports sehr gute Übersichten zum Benutzerverhalten.

Zudem werden mit einer starken, verlässlichen Authentifizierung TAN-basierte Legitimationsprüfungen bald der Vergangenheit angehören, weil in Verbindung mit nachgelagerten Fraud-Detection-Systemen das Kundenverhalten bestens validiert ist und Betrug keine Chance hat.aj