PSD2 und DSGVO fordern die starke Authentifizierung – Von den Schweden lernen: die BankID!

Neue regulative Anforderungen und strengere Regeln für den Schutz personenbezogener Daten schaffen auch im zunehmend digitalisierten Finanz- und Versicherungssektor Handlungsdruck. Sichere Authentifizierungsmethoden spielen dabei eine entscheidende Rolle. Das klassische Duo Benutzername und Passwort hat damit endgültig ausgedient.

von Andreas Vollmert, Key Account Manager bei Nexus Technology

Die wachsende Zahl an Cyberangriffen – mit „WannaCry“ als dem letzten spektakulären Fall – hat verschiedene politische Initiativen zum Schutz personenbezogener Daten und zur Anpassung des gesetzlichen Rahmens an die veränderte Bedrohungslage ausgelöst. Auf EU-Ebene sind für den Finanz- und Versicherungssektor aktuell vor allem zwei Neuerungen maßgeblich: …

… die EU-Datenschutzgrundverordnung (DSGVO) regelt die Verarbeitung personenbezogener Daten durch Unternehmen und öffentliche Stellen; die erweiterte Zahlungsrichtlinie PSD2 will mehr Sicherheit im elektronischen Zahlungsverkehr und beendet gleichzeitig das Monopol der Banken auf die Kontoinformationen ihrer Kunden.”

Für die Kunden soll elektronisches Bezahlen bequemer und günstiger werden. Beide Regelwerke wollen mehr Sicherheit für den Endanwender schaffen, ohne die Entwicklung eines florierenden digitalen Binnenmarktes zu blockieren.

Starke Authentifizierung wird zum Muss

Die neuen Vorgaben nehmen Unternehmen und Behörden beim Schutz sensibler Daten in die Pflicht. Ein zentrales Element für die Übersetzung dieser Anforderungen in konkrete Maßnahmen ist die starke Authentifizierung, speziell die Zwei-Faktor-Authentifizierung (2FA). Mit den neuen EU-Richtlinien hat die immer noch häufig eingesetzte Ein-Faktor-Authentifizierung, die sich typischerweise aus Benutzername und Passwort zusammensetzt, endgültig ausgedient. Sie ist schlicht zu unsicher, wie zahllose Angriffe auf E-Mail-Dienste beweisen. Sowohl die DSGVO, als auch die PSD2 fordern sichere Authentifizierungsmethoden.

Die PSD2 definiert sogar, was unter einer starken Authentifizierung zu verstehen ist: die Kombination von zwei oder mehr voneinander unabhängigen Faktoren. Diese Faktoren sind: „Wissen“ (beispielsweise ein Passwort oder eine PIN), „Besitz“ (ein Smartphone oder eine Karte) und „Sein“ (beispielsweise biometrische Merkmale wie Fingerabdruck, Stimmerkennung oder Iris-Scan). Was also gibt es bei der Umsetzung zu beachten, um Konformität mit den neuen EU-Regelungen zu gewährleisten?

Schwachstelle Einmal-Passwort, Königsklasse PKI

Laut PSD2 müssen die Aufforderung zur Authentifizierung und die Authentifizierung selbst über getrennte Kanäle stattfinden. Ein Beispiel: Ein Zahlungsvorgang wird initiiert, indem Kontodaten in eine App eingegeben werden. Für die Anmeldung wird ein PIN-Code benötigt.

Die eingegebenen Daten werden an ein anderes Gerät – das des entsprechenden Anbieters – übertragen. Auf diesem Gerät wird ein Einmal-Passwort (OTP) generiert und an den Kunden gesendet, der die Transaktion bestätigen muss. Diese Abfolge ist sehr viel sicherer als die Ein-Faktor-Authentifizierung. Trotzdem  sollten Unternehmen wissen, dass bei der 2FA nicht alle Kombinationen gleich einzuordnen sind.

OTPs sind deutlich sicherer als „statische“ Passwörter, haben aber auch Nachteile. Sie werden oft unverschlüsselt per SMS oder E-Mail versendet und die Algorithmen für ihre Berechnung sind nicht grundsätzlich sicher. Darüber hinaus ist jedes OTP nur so sicher, wie das E-Mail-Konto, an das es gesendet wird. Eine bessere Wahl für die 2FA ist das sogenannte „Challenge-Response-Verfahren“. Der Anwender muss durch Lösen einer Aufgabe beweisen, dass er eine bestimmte Information kennt, ohne diese selbst übertragen zu müssen.

Die Information kann also nicht von Externen abgefangen werden. Der „Goldstandard“ in Sachen sichere Authentifizierung sind jedoch Public Key Infrastructures, kurz PKI. Die PKI-Technologie ist seit langem erprobt und kann vielfältig eingesetzt werden. Dank der dabei verwendeten asymmetrischen Kryptographie-Verfahren sind PKIs hochsicher und hochskalierbar, was sie vor allem für große Netzwerke und Firmen interessant macht. Zu den wichtigsten Funktionen, die auf Basis einer PKI sicher umgesetzt werden können, zählen die Authentifizierung, aber auch die Verschlüsselung von Daten sowie digitalen Signaturen.

Smartphones statt Smartcards

Sicherheit bei der Authentifizierung hängt jedoch nicht nur von den richtigen Technologien, sondern auch von der Anwenderfreundlichkeit einer Lösung ab. Denn bei komplizierten Prozessen besteht die Gefahr, dass Sicherheitsrichtlinien umgangen werden. Gleichzeitig sind Passwörter für viele Anwender ein notwendiges Übel, auf das sie gerne verzichten, wenn sie die Möglichkeit dazu haben. Gerade im Hinblick auf die Usability einer 2FA-Lösung ergeben sich durch die weite Verbreitung mobiler Endgeräte ganz neue Möglichkeiten.

Schon heute lassen sich Smartphones dank entsprechender Apps wie Smartcards nutzen, was zusätzliche Identitätsträger wie Hardware-Tokens obsolet macht.”

Passwörter haben sich mit mobilen Lösungen für die Authentifizierung ebenfalls erledigt, denn biometrische Erkennungsfunktionen des Smartphones können auch für die Authentifizierung, beispielweise im Online-Banking oder E-Commerce, genutzt werden.

Ein weiterer Vorteil: eine mobile Lösung erhöht die Sicherheit, denn je weniger „Dinge“ Anwender im Alltag griffbereit haben müssen, desto geringer das Risiko, dass sie etwas verlieren oder vergessen. Und das Smartphone ist längst zum alltäglichen Begleiter geworden.”

Ein Blick in den Norden: Von den Schweden lernen

Verordnungen wie die PSD2 und die DSGVO belegen, dass die Politik die wachsende Bedeutung digitaler Identitäten erkannt hat und handelt. Bereits in Kraft getreten ist die eIDAS-Verordnung, die die europaweite Anerkennung von nationalen elektronischen Identitäten (eIDs) weiter vorantreibt. Nationale eIDs, die in sämtlichen europäischen Mitgliedsstaaten akzeptiert werden, haben das Potenzial, eine Vielzahl an Prozessen zu vereinfachen. Ein Blick nach Schweden zeigt, wo die Entwicklung bei der Nutzung elektronischer Identitäten hingehen könnte. Dort ist die sogenannte BankID zum de facto Standard für die sichere Online-Authentifizierung geworden und wird von mehr als 7,5 Millionen Menschen genutzt.

Mit der BankID lassen sich Kita-Plätze oder Baugenehmigungen online beantragen, ohne dass dafür ein Besuch beim zuständigen Amt nötig ist.”

Viele Unternehmen in Schweden nutzen die Popularität und Verbreitung der BankID für ihre eigenen Online-Services. Ein Beispiel ist die schwedische SBAB: die Bank ist einer der größten Teilnehmer auf dem schwedischen Hypothekenmarkt und verwaltet über 300.000 aktive Sparkonten sowie rund 250.000 Baufinanzierungen. Im Gegensatz zu vielen anderen Finanzinstituten, die nach wie vor auch auf das stationäre Geschäft setzen, hat die SBAB sämtliche Dienstleistungen erfolgreich digitalisiert. Kunden der Bank können ihre Sparkonten und Hypotheken über Self-Service-Anwendungen rund um die Uhr und ortsunabhängig online verwalten. Mit ihrer BankID können sie sich dafür ganz einfach an einem Online-Portal anmelden und per Computer oder Smartphone Transaktionen vornehmen.

Der Vorteil: die BankID ist in Schweden ein anerkannter elektronischer Identitätsnachweis auf dem Vertrauensniveau von Ausweis oder Führerschein, auf den die SBAB bei der Implementierung ihres Login-Systems nur aufsetzen musste.”

In Kombination mit einer starken Authentifizierung sorgt das für ein hohes Level an Sicherheit für sensible Kundendaten. Zudem können die Kunden der Bank auch online rechtswirksame Unterschriften tätigen.

Was die SBAB in Schweden bereits umgesetzt hat, treibt auch viele Banken und Versicherer hierzulande um, denn Fakt ist: insbesondere jüngere Kunden erwarten von ihnen, dass sie ihre Services online zur Verfügung stellen. Deshalb wird die elektronische Authentifizierung mit vertrauenswürdigen Identitäten in Zukunft eine große Rolle im öffentlichen Leben spielen. In Deutschland kann mit dem neuen Personalausweis zwar bereits seit 2010 eine elektronische Identität genutzt werden, aber von den rund 45 Millionen Bürgern, die einen neuen Ausweis besitzen, nutzen nur knapp 15 Millionen diese Möglichkeit.

eID könnte so nützlich wie die BankID werden

Vor kurzem hat die Politik einen neuen Anlauf genommen, die Verbreitung der eIDs in Deutschland zu steigern. In Zukunft erhält jeder neue Ausweisinhaber die Online-Funktion automatisch, und sie wird erst auf Wunsch deaktiviert. Die Zunahme der Nutzung wäre wünschenswert, ermöglicht doch die eID für Sender und Empfänger einen abgesicherten Nachweis der Identität. Spannend für die Entwicklung in Deutschland ist auch die neue PostID der Deutschen Post. Ihre Sicherheit und Anwenderfreundlichkeit macht sie zu einem aussichtsreichen Kandidaten für eine nationale ID. Für Finanzinstitute und Versicherer käme eine solche Lösung, die Sicherheit und Usability kombiniert, gerade zur rechten Zeit.aj