PSD2: Dynamic Linking – geht das bitte auch Compliance konform und bequem?

Eine der am meisten diskutierten Anforderungen der finalen technischen Regulierungsstandards (Regulatory Technical Standards, RTS) für starke Kundenauthentifizierung (SCA) und sichere Kommunikation (Common and Secure Communication, CSC) unter PSD2 ist der Einsatz des sogenannten Dynamic Linking zur Authentifizierung von Finanztransaktionen. Und das hat es in sich.

von Frederik Mennes, Senior Manager Market & Security Strategy

Die Anforderung an das Dynamic Linking besteht aus drei Teilen:

1. Erstens muss ein Zahlungspflichtiger eine Finanztransaktion authentifizieren, indem er einen Authentifizierungscode für definierte Transaktionsdaten berechnet (zumindest für den Betrag und einige Informationen, die den Empfänger identifizieren), so dass der Authentifizierungscode mit diesen Daten verknüpft ist.

2. Zweitens sollen Vertraulichkeit und Integrität der Transaktionsdaten während des Authentifizierungsprozesses geschützt werden.

3. Drittens sollte der Anwender die authentifizierten Transaktionsdaten kennen. Dies wird häufig als “What You See Is What You Sign” (WYSIWYS) bezeichnet. Damit wird impliziert, dass die Anzeige eines Hashs der Transaktionsdaten oder einer Sitzungs-ID nicht ausreicht.

Bei der Ausarbeitung von PSD2 haben die europäischen Gesetzgeber die Notwendigkeit für Dynamic Linking festgelegt, um Man-in-the-middle-Angriffe abzuwehren.”

Bei dieser Attacke, auch Mittelsmanangriff genannt, ändert ein Angreifer Details einer Transaktion, nachdem der Zahler diese bereits authentisiert hat. So könnte beispielsweise eine geplante Überweisung von 100 Euro an einen bekannten Empfänger unbemerkt in einen betrügerischen Transfer von 1000 Euro an einen Gauner abgeändert werden.

Die WYSIWYS-Anforderung zielt darauf ab, Social-Engineering-Attacken zu verhindern, bei denen Bankkunden dazu gebracht werden, unverständliche Daten zu authentifizieren, die sich später als betrügerische Transaktion entpuppen. PSD2 geht aber noch einen Schritt weiter als die endgültigen Leitlinien der Europäischen Bankenaufsichtsbehörde zur Sicherheit von Internet-Zahlungen. Diese gelten aktuell in den meisten EU-Mitgliedstaaten, erfordern aber kein Dynamic Linking.

Für Banken wirft die Einhaltung dieser PSD2-Anforderungen mehrere Fragen auf: Wie kann eine Bank Dynamic Linking in ihre Online- oder Mobile-Banking-Anwendung so implementieren, dass Sie für den Kunden komfortabel ist? Kann SMS zur Implementierung von Dynamic Linking verwendet werden? Und was ist mit Batch-Transaktionen?

Lassen Sie uns diese Themen genauer untersuchen.

Komfortables Dynamic Linking

Betrachten wir ein Szenario, in dem ein Anwender eine Finanztransaktion über eine Online-Banking-Anwendung initiiert, die im Browser des PCs läuft. Zur Authentifizierung der Transaktion wird ein dediziertes Hardware-Token oder eine Mobile-Banking-App verwendet. Eine komfortable Möglichkeit zur Implementierung von Dynamic Linking ist die Nutzung von farbigen QR-Codes oder CRONTO-Codes. Und so initiieren Anwender eine Transaktion:

1. Die Transaktionsdaten werden in die Online-Banking-Anwendung im Browser eingegeben. Auf Basis dieser Informationen generiert der Bankserver einen Farbcode, der die verschlüsselten Transaktionsdaten repräsentiert und im Browser anzeigt.

2. Anschließend wird der Farbcode mit der Kamera des Hardware-Tokens oder eines mobilen Gerätes gescannt. Das Gerät dekodiert den Code, entschlüsselt die Transaktionsdaten und zeigt sie dem Kunden im Klartext auf dem Bildschirm an.

3. Nachdem der Anwender sich bei seinem Gerät authentifiziert hat, berechnet dieses den Authentifizierungscode aus den Transaktionsdaten mithilfe eines gespeicherten kryptografischen Schlüssels.

Dieser Ansatz erfüllt alle oben beschriebenen Anforderungen für Dynamic Linking und vermeidet die aufwändige manuelle Eingabe von Transaktionsdaten auf dem Mobilgerät durch den Benutzer.

Kommt ein mobiles Endgerät zum Einsatz, können die Transaktionsdaten alternativ vom Bankserver mithilfe einer verschlüsselten Push-Benachrichtigung an die Mobile-Banking-App gesendet werden:

– Der Benutzer erhält direkt auf sein Smartphone eine Push-Benachrichtigung.
– Wird die Benachrichtigung angenommen, öffnet sich die Mobile-Banking-App und zeigt die Transaktionsdaten an.
– Der Benutzer authentifiziert sich mit einem Fingerabdruck oder einem Gesichtsscan.
– Das Gerät berechnet den Authentifizierungscode aus den Transaktionsdaten.
– Die Mobile-Banking-App sendet den Authentifizierungscode online zurück an den Kunden.

Dieser Ansatz entspricht ebenfalls den Anforderungen an das Dynamic Linking. Dabei ist es nicht erforderlich, dass der Benutzer manuell Daten auf seinem mobilen Endgerät eingibt.

Batch-Transaktionen

Die Notwendigkeit für Dynamik Linking besteht auch für Batch-Transaktionen oder Bulk-Überweisungen, bei denen mehrere Bezahlvorgänge für unterschiedliche Begünstigte in einem Auftrag zusammengefasst werden. Die finalen Anforderungen der technischen Regulierungsstandards schreiben vor, dass der Authentifizierungscode für Batch-Transaktionen sowohl für die Gesamtsumme aller Zahlungen als auch für die aufsummierten Beträge einzelner Begünstigter spezifisch sein muss.

Bei einer sehr großen Anzahl von Begünstigten ist es nicht praktikabel, dem Anwender jeden Einzelnen von ihnen zur Validierung anzuzeigen. Stattdessen können die folgenden Ansätze verwendet werden, um die richtige Balance zwischen Sicherheit und Benutzerfreundlichkeit zu erreichen:

1. Dem Benutzer werden nur die Begünstigten von Hochrisikotransaktionen angezeigt.
2. Dem Benutzer werden nach dem Zufallsprinzip ausgewählte Begünstigte angezeigt.
3. Namen von Begünstigten auf einer Positivliste werden nicht angezeigt.

Um die Integrität aller Transaktionen zu schützen, ist es in jedem Fall empfehlenswert, einen Hash aller Transaktionen in die Berechnung des Authentifizierungscodes mit aufzunehmen.

Dynamic Linking mittels SMS?

Es stellt sich die Frage, ob Dynamic Linking auch mittels SMS umgesetzt werden kann. In diesem Fall würde der Benutzer eine SMS-Nachricht mit den Transaktionsdaten sowie dem Authentifizierungscode, berechnet aus den Transaktionsdaten, erhalten. Angesichts der Notwendigkeit, die Vertraulichkeit und Integrität der Transaktionsdaten zu schützen, würde dies bedeuten, dass die Transaktionsdaten innerhalb einer SMS-Nachricht verschlüsselt werden müssen. Es ist nicht klar, wie die Nachricht dann auf dem mobilen Gerät entschlüsselt werden kann, ohne eine dedizierte App dafür zu verwenden. Die Notwendigkeit einer mobilen App zur Verarbeitung von SMS-Nachrichten untergräbt einen der Hauptvorteile von SMS.

PSD2 nicht nur aus der Compliance-Perspektive

Zusammengefasst lässt sich sagen, dass Banken PSD2 nicht nur aus der Compliance-Perspektive betrachten sollten. Es ist wichtig, im Vorfeld zu überlegen, wie die Benutzerfreundlichkeit mittels einer komfortablen, aber starken Authentifizierung und Dynamic Linking optimiert werden kann.

Mehr dazu bietet Vasco in seinem Whitepaper über die finalen technischen Regulierungsstandards für starke Kundenauthentifizierung unter PSD2 an.aj