PSD2 (European Payment Services Directive)

Probleme durch Bereitstellung von APIs für Drittanbieter

| Autor / Redakteur: Martin Kuppinger* / Peter Schmitz

Die PSD2 zwingt in Kombination mit der DSGVO Unternehmen dazu, sich nicht nur im Bereich der IT-Sicherheit, sondern der gesamten IT-Architektur und im Umgang mit Kunden zu verändern.
Die PSD2 zwingt in Kombination mit der DSGVO Unternehmen dazu, sich nicht nur im Bereich der IT-Sicherheit, sondern der gesamten IT-Architektur und im Umgang mit Kunden zu verändern. (Bild: Pixabay)

Während die Änderungen bei den Authentifizierungsverfahren im Rahmen der PSD2 (European Payment Services Directive) aktuell viel Aufmerksamkeit erhalten, geht ein wesentlich heikleres Thema mit viel größeren und komplexeren Auswirkungen auf die IT-Sicherheit beinahe unter: Die verpflichtende Bereitstellung von APIs für Drittanbieter.

Neben den Änderungen bei den Authentifizierungsverfahren verlangt die PSD2 (European Payment Services Directive), dass APIs (Application Programming Interfaces) zu verschiedenen Aspekten rund um den Zahlungsverkehr für Drittanbieter bereitgestellt werden. Das hat faktisch zwei wesentliche Konsequenzen. Die eine ist, dass man solche APIs definieren, verwalten, bereitstellen und absichern muss. Die zweite ist, dass sich auch die Zugriffe auf die Kernsysteme von Finanzunternehmen verändern können, wenn hier nun Dritte mit ihren Apps und Diensten zugreifen.

Der zweite Aspekt beeinflusst unmittelbar die bisher eher intern getriebene Diskussion in vielen Unternehmen, wie man in einer „bimodalen“ IT mit unterschiedlichen Entwicklungsgeschwindigkeiten arbeiten kann, um die Kernsysteme (die sich oft nicht ohne Weiteres und nur mit massivem Aufwand verändern lassen) stabil zu halten und auf der anderen Seite mit hoher Entwicklungsgeschwindigkeit neue Anwendungen zu entwickeln, mit denen die Anforderungen der „Digitalen Transformation“ bedient werden, also beispielsweise die Unterstützung neuer Geschäftsmodelle und neuer Schnittstellen wie Apps für die Interaktion mit Kunden.

Ergänzendes zum Thema
 
European Identity & Cloud Conference (EIC) 2017

Die IT der zwei Geschwindigkeiten

Mit der PSD2 gibt es nun weitere Anforderungen an eine solche IT mit zwei Geschwindigkeiten, weil die internen Systeme stabil bleiben müssen, aber zwangsläufig ein Ökosystem von Drittanbietern entstehen wird, das sich mit unterschiedlicher Geschwindigkeit entwickelt und über Schnittstellen zugreift. Hier ist es wichtig, über klar definierte Architekturen zu verfügen, aber auch Aspekte wie die Authentifizierung solcher Zugriffe Ende-zu-Ende zu verstehen und zu adressieren, ebenso wie die sich verändernden Anforderungen an die Skalierbarkeit und Lastverteilung. Entsprechende Architektur- und Sicherheitsmodelle müssen zeitnah entwickelt werden.

Außerdem müssen die Schnittstellen verwaltet und gesichert werden. Hier wird es aus unserer Sicht entscheidend sein, ein Konzept und technische Lösungen für das API-Management und die API-Sicherheit zu implementieren.

Problem: Kunde

PSD2 und DSGVO setzen Unternehmen unter Druck, sich zu verändern. Martin Kuppinger: „Viel Zeit dafür ist nicht mehr – schnelles, aber dennoch durchdachtes Handeln ist hier gefordert!"
PSD2 und DSGVO setzen Unternehmen unter Druck, sich zu verändern. Martin Kuppinger: „Viel Zeit dafür ist nicht mehr – schnelles, aber dennoch durchdachtes Handeln ist hier gefordert!" (Bild: KuppingerCole)

Beide Themen stehen dann auch in unmittelbarem Zusammenhang mit dem Thema KYC (Know Your Customer) aus regulatorischer Sicht ebenso wie dem Thema Customer/Consumer Identity Management. Während es bei KYC im engeren Sinne zunächst um die den regulatorischen Vorgaben entsprechende Identifikation von Kunden geht, rückt zunehmend auch die optimale Bedienung des Kunden ins Blickfeld.

Dazu gehört beispielsweise die flexible Unterstützung von Authentifizierungsmechanismen, der sichere Rollout solcher Verfahren an einen identifizierten Kunden, aber auch die Schaffung einer Kundenbindung und das Schaffen und Nutzen von Wissen über den Kunden, mit dem dieser Kunde auch in einer Welt an das Unternehmen gebunden wird, in der immer mehr Drittanbieter mit ihm zusammenarbeiten. Darüber hinaus zwingt die parallele EU-GDPR auch dazu, den Umgang mit dem Kunden beispielsweise bezüglich der Zustimmung zur Nutzung von Kundendaten (Consent Management) zu verändern.

Strategien für eine adaptive Authentifizierung

PSD2 (European Payment Services Directive)

Strategien für eine adaptive Authentifizierung

31.03.17 - PSD2, die European Payment Services Directive soll Kunden bei Online-Zahlungen besser schützen, bei Zahlungen über europäische Grenzen hinweg mehr Sicherheit bieten und die Entwicklung und Nutzung von innovativen mobilen und Online-Zahlungen fördern. Damit hat die ab dem 13.01.2018 wirksame EU-Direktive auch unmittelbare Auswirkungen auf die IT-Sicherheit bei den betroffenen Payment-Providern. lesen

Finanzunternehmen, aber auch – gerade mit Blick auf KCY und Consumer Identity Management – andere Firmen im PSD2-Umfeld wie Online-Handelsunternehmen müssen hier aktiv werden und neue Konzepte für KYC und das Consumer Identity Management entwickeln und umsetzen. Bei KYC können beispielsweise auch Blockchains für das Management der Identität und der damit verknüpften Dokumente eine Option sein, wie sie schon heute von einzelnen Unternehmen eingesetzt wird.

PSD2, noch mehr in Kombination mit der DSGVO, zwingt die Unternehmen, im Bereich nicht nur der IT-Sicherheit, sondern der gesamten IT-Architektur und im Umgang mit Kunden zu verändern. Viel Zeit dafür ist nicht mehr – schnelles, aber dennoch durchdachtes Handeln ist hier gefordert.

* Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole, das sich mit digitalen Identitäten, Identity und Access Management, GRC (Governance, Risk Management, Compliance) und Cloud Computing beschäftigt.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44614722 / Softwareentwicklung)