PSD2 und die starke Authentifizierung: Auch am Smartphone realisierbar?
Um die aktuelle Version PSD II gibt es derzeit viel Aufregung, besonders die dort geforderte starke Authentifizierung ist ein Reizthema. Artikel 98 dieser Richtlinie enthält einen Arbeitsauftrag an die European Banking Authority (EBA), genaue Standards für eine starke Kundenauthentifizierung zu definieren. Aber: Was ist eigentlich – im Sinne der PDS2 – eine starke Kundenauthentifizierung?
von Rudolf Linsenbarth
Mit der Payment Service Directive (PSD) schafft der Gesetzgeber die rechtliche Grundlage für einen EU-weiten Binnenmarkt im Zahlungsverkehr. Die Richtlinie soll für alle Zahlungsdienstleistungen in der Europäischen Union gelten. Ziel ist es, dass grenzüberschreitende Zahlungen so einfach, effizient und sicher werden, wie Zahlungen innerhalb eines Mitgliedslandes. Weiterhin soll der Wettbewerb verbessert werden, indem die Zahlungsverkehrsmärkte für neue Anbieter geöffnet werden. Aus diesen Maßnahmen verspricht man sich höhere Effizienz und geringere Kosten für die Nutzer.Außerdem soll die EBA auch die Ausnahmen festlegen, in welchen Fällen auf diese starke Kundenauthentifizierung verzichtet werden kann. Der Verhandlungsentwurf der EBA wird ebenfalls sehr kontrovers diskutiert. Dazu gibt es einen sehr informativen Beitrag auf dem Bargeldlosblog von Hanno Bender.
Was ist starke Kundenauthentifizierung wirklich?
In diesem Artikel soll zunächst erklärt werden, was eine starke Kundenauthentifizierung ist. Im Allgemeinen versteht man darunter den Einsatz mehrerer Komponenten, die voneinander unabhängig sind. Meistens findet eine zwei von drei Auswahl aus den Bereichen
1. Wissen
2. Besitz
3. Inhärenz (Biometrie)
statt. Landläufig spricht man dann auch von einer 2-Faktor-Authentifizierung. Die Vorteile des Verfahrens liegen auf der Hand. Nur in der kombinierten Anwendung ist die Authentifizierung gültig und somit auch sicherer. Neben der Unabhängigkeit der eingesetzten Verfahren ist eine weitere Forderung, dass der Faktor Besitz fälschungssicher sein muss. Es soll also niemand einfach eine Kopie anfertigen können.
Rudolf Linsenbarth ist Senior Consultant für den Bereich Mobile Payment und NFC bei COCUS Consulting. Zuvor war er elf Jahre im Bankbereich als Senior Technical Specialist bei der TARGO IT Consulting (Crédit Mutuel Bankengruppe). Linsenbarth ist einer der profiliertesten Blogger der Finanzszene und kommentiert bei Twitter unter @holimuk die aktuellen Entwicklungen. Alle Beiträge schreibt Rudolf Linsenbarth im eigenen Namen.PIN/TAN … und das Smartphone
Die verbreitetste 2-Faktor-Authentifizierung ist wohl die Kartenzahlung mit PIN-Eingabe. Nur wer die PIN kennt und gleichzeitig die Karte besitzt, kann einen Bezahlvorgang am POS auslösen oder am Geldautomaten Bargeld beziehen. In Deutschland kennen wir die starke Authentifizierung auch als PIN/TAN-Verfahren beim Zugriff auf das Girokonto.
Der vermehrte Smartphone-Einsatz zur Überweisung und Auslösung von Zahlungsvorgängen bringt aber neue Probleme. In den meisten Lösungen soll das Smartphone den Faktor Besitz repräsentieren. Zugleich ist es auch das Eingabemedium für das Passwort. Damit ist systemtheoretisch die Unabhängigkeit der beiden Faktoren Wissen und Besitz nicht mehr zwingend garantiert.
Eine Software kann kopiert werden, Fingerabdrücke werden lokal gespeichert
Ein weiteres Problem mit der Repräsentierung des Faktors Besitz durch das Smartphone ist die Tatsache, dass hierzu nur eine Software aufgespielt wird (z.B. Push-TAN). Während eine Smartcard nach dem EMV-Standard nicht kopiert werden kann, ist das bei diesen Lösungen nicht ausgeschlossen. Wirkliche Sicherheit bieten hier z.B. externe Token-Lösungen.
Auch die Biometrie-Verifikation über den Fingerprintleser des Smartphones zu bewerkstelligen, ist nicht sinnvoll. Der Fingerabdruck wird hier nur lokal im Gerät gespeichert und hat als Rückfallebene immer die Geräte-PIN. Somit wird aus der Biometrie wieder der Faktor Wissen.
Für die biometrische Authentifizierung am Smartphone ist möglicherweise nur die Verifizierung der Stimme geeignet.”
Bevor also die Diskussion über die Ausnahmen von starker Authentifizierung beginnen, wäre eine Definition der starken Authentifizierung aus wissenschaftlicher Sicht im Allgemeinen und deren Einsatz am Smartphone im Besonderen wünschenswert.
Die PSD II verlangt nämlich auch, dass dritte Zahlungsdienstleister im Einverständnis mit den Kunden Zugriff auf deren Konten erhalten.”
Es ist kaum vorstellbar, dass diese Anbieter ihre Angebote auf den Markt bringen können, ohne dabei die starke Authentifizierung zu nutzen. Dazu gehört auch eine Regelung über eine Kosten- und Risikoverteilung dieses Verfahrens. Wenn hier nicht von Beginn an klare Standards und Definitionen verwendet werden, besteht die Gefahr, dass PSD II eine Dauerbaustelle mit permanentem Nachbesserungsbedarf wird.Rudolf Linsenbarth
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/41711
Schreiben Sie einen Kommentar