Neue EU-Richtlinie für Zahlungsdienste bereitet Multifaktor-Authentifizierung den Weg

Die Europäische Union greift die Themen Cyber-Kriminalität und -Sicherheit in immer stärkerem Maße auf. Aktuelles Beispiel ist eine neue Richtlinie über Zahlungsdienste im Binnenmarkt. Mit der neuen Richtlinie (EU) 2015/2366 des Europäischen Parlaments und des Rates vom 25. November 2015 über Zahlungsdienste im Binnenmarkt soll ein einheitlicher Rechtsrahmen im EU-Binnenmarkt für Internet- und mobile Zahlungen geschaffen werden. 

von Dirk Losse, Pre-Sales Manager HID Global

Die neue Richtlinie sei eine Verbesserung des Verbraucherschutzes bei Zahlungen und eine Förderung der Entwicklung und Nutzung innovativer Technologien für mobile und Online-Zahlungen. Sie wurde am 23. Dezember 2015 veröffentlicht. Bis zum 13. Januar 2018 müssen die Mitgliedstaaten entsprechende Rechts- und Verwaltungsvorschriften erlassen, die zur Umsetzung der Richtlinie erforderlich sind. Soweit die Theorie.

Wichtige Weichenstellung für die Authentifizierung

Die Richtlinie bringt einige wichtige neue Weichenstellungen, was unter anderem den Bereich Authentifizierung betrifft. So heißt es explizit: „Die Mitgliedsstaaten stellen sicher, dass ein Zahlungsdienstleister eine starke Kundenauthentifizierung verlangt, wenn der Zahler
a. online auf sein Zahlungskonto zugreift,
b. einen elektronischen Zahlungsvorgang auslöst,
c. über einen Fernzugang eine Handlung vornimmt, die das Risiko eines Betrugs im Zahlungsverkehr oder anderen Missbrauchs birgt.“

Starke Kundenauthentifizierung

Unter starker Kundenauthentifizierung versteht die Richtlinie „eine Authentifizierung unter Heranziehung von mindestens zwei Elementen der Kategorien Wissen (etwas, das nur der Nutzer weiß), Besitz (etwas, das nur der Nutzer besitzt) oder Inhärenz (etwas, das der Nutzer ist), die insofern voneinander unabhängig sind, als die Nichterfüllung eines Kriteriums die Zuverlässigkeit der anderen nicht in Frage stellt, und die so konzipiert ist, dass die Vertraulichkeit der Authentifizierungsdaten geschützt ist“.

Die „starke Authentifizierung“ geht somit deutlich über die Sicherheit eines einzelnen statischen Passworts hinaus. Sie erfordert weitere Komponenten (Faktoren), um die Identität des Benutzers zweifelsfrei zu bestimmen. Der Faktor „Wissen“ (Passwort oder PIN) wird zum Beispiel um den Faktor „Besitz“ (Smartphone, Smartcard, Authentifizierungs-Token etc.) und eventuell noch um den Faktor „Eigenschaft“ (Biometrie) oder „Verhalten“ erweitert.

Einfache, Zwei-Faktor- oder Multi-Faktor-Authentifizierung?

Es liegt auf der Hand, dass die Zwei-Faktor-Authentifizierung besser als eine Ein-Faktor-Authentifizierung ist. Klar ist aber auch, das zusätzliche Sicherheit nur durch eine Multi-Faktor-Authentifizierung gewährleistet ist. Deshalb ist es gerade für Unternehmen der Finanzdienstleistungsbranche empfehlenswert, eine solche Lösung zu nutzen, um vertrauliche Daten zuverlässig zu schützen und sichere Finanztransaktionen zu ermöglichen.

Neben traditionellen besitz- und wissensbasierten Faktoren unterstreicht die neue EU-Richtlinie deshalb auch die Bedeutung von persönlicher Eigenschaft als zusätzlichem Faktor: er bezieht sich auf einzigartige physische Merkmale einzelner Personen.

An diesem Punkt kommen somit biometrische Verfahren wie Fingerabdruck oder Gesichtserkennung ins Spiel.”

Die konkreten technischen Regulierungsstandards für die Authentifizierung und Kommunikation werden auf Basis der neuen Richtlinie noch von der Europäischen Bankenaufsichtsbehörde (EBA) in enger Kooperation mit der Europäischen Zentralbank (EZB) ausgearbeitet. Finanzdienstleister sollten aber bereits heute Sicherheitslösungen implementieren, die einerseits skalierbar und kosteneffizient sind und andererseits einen maximalen Schutz der Kundendaten sicherstellen. Eine wasserdichte Strategie muss dabei auf mehreren Sicherheits-Ebenen basieren. Diese Ebenen können traditionelle Nutzer- und Geräte-basierte Authentifizierungsmethoden enthalten, aber auch andere Aspekte wie Browsersicherheit oder Geolokation (geografische Position des Anwenders) umfassen.

Fazit: Es geht um die Akzeptanz der Nutzer

Die neue Richtlinie zeigt in aller Deutlichkeit, dass die Europäische Kommission dabei gerade dem Thema Authentifizierung eine herausragende Bedeutung beimisst. Die Zwei-Faktor-Authentifizierung kann sehr effektiv sein, allerdings hat sie auch ihre Grenzen: Durch das Hinzufügen der Eigenschaft als drittem Faktor und die Implementierung einer mehrstufigen Strategie können Zahlungsdienstleister ein deutlich höheres Maß an Datensicherheit realisieren. Geeignete Verfahren müssen dabei gleichzeitig garantieren, dass der Bedienungskomfort erhalten oder sogar optimiert werden kann – ein nicht zu unterschätzender Faktor, geht es doch um die Akzeptanz der Nutzer für das eine oder das andere mobile oder Internet-Banking-Verfahren.aj