PSD2 (European Payment Services Directive)

Strategien für eine adaptive Authentifizierung

| Autor / Redakteur: Martin Kuppinger* / Peter Schmitz

PSD2 in Kombination mit GDPR zwingt Unternehmen, sich im Bereich der IT-Sicherheit, der IT-Architektur und im Umgang mit Kunden zu verändern.
PSD2 in Kombination mit GDPR zwingt Unternehmen, sich im Bereich der IT-Sicherheit, der IT-Architektur und im Umgang mit Kunden zu verändern. (Bild: Pixabay)

PSD2, die European Payment Services Directive soll Kunden bei Online-Zahlungen besser schützen, bei Zahlungen über europäische Grenzen hinweg mehr Sicherheit bieten und die Entwicklung und Nutzung von innovativen mobilen und Online-Zahlungen fördern. Damit hat die ab dem 13.01.2018 wirksame EU-Direktive auch unmittelbare Auswirkungen auf die IT-Sicherheit bei den betroffenen Payment-Providern.

Für Zahlungsdienstleister lassen sich im Wesentlichen drei Themenblöcke identifizieren, die beachtet und für die geeignete Lösung umgesetzt werden müssen. Einer ist die sichere Authentifizierung von Kunden, wobei die PSD2 eine Mehrfaktor-Authentifizierung (MFA) fordert. Der zweite Bereich ist die Bereitstellung von Schnittstellen für Dritte, mit denen zum Beispiel neue Apps für Konsumenten auf Daten zugreifen können. Der dritte Bereich ist das Themenfeld KYC (Know Your Customer), das durch PSD2 zumindest nicht weniger wichtig wird, gleichzeitig aber durch den ebenfalls ab nächsten Jahren durchgesetzte GDPR-Regulierung (General Data Protection Regulation) der EU an Bedeutung gewinnt, aber auch von den neuen Möglichkeiten durch die eIDAS-Regulierung profitiert.

Für viele der von PSD2 betroffenen Unternehmen sind dabei im ersten Moment die geänderten Anforderungen an die Authentifizierung von Bedeutung. Dabei soll nach dem Stand der Dinge bei Zahlungen ab 30€ mit einer „MFA“ gearbeitet werden, wobei es einige Ausnahmen beispielsweise für die Bezahlung an Parkscheinautomaten geben wird. Darüber hinaus gibt es auch eine Ausnahmeregelung für die Kombination von Ein-Faktor-Authentifizierung mit risikobasierender Authentifizierung, wobei hier für 18 Monate beobachtet wird, ob damit das Risiko von Missbrauch ausreichend reduziert werden kann.

Ergänzendes zum Thema
 
European Identity & Cloud Conference (EIC) 2017

Bedauerlicherweise ist dabei eher unscharf definiert, welche Anforderungen an eine solche Authentifizierung gestellt werden. Es gibt zwar Aussagen der EBA dazu, was sie unter einer 2FA versteht, aber eine exakte Spezifikation zulässiger Kombinationen in ausreichender Detaillierung fehlt noch.

Faktisch wird der Trend für die Authentifizierung von Kunden und ihren Transaktionen, auch als SCA (Strong Customer Authentication), nach dem Stand der Dinge in Richtung einer 2-Faktor-Authentifizierung gehen, auch als 2FA bezeichnet. Wie hoch die Anforderungen an die eingesetzten Authentifizierungsmethoden sind, die dann aus einer Kombination von zwei der drei Faktoren Wissen, Besitz und Sein (Biometrie) bestehen müssen, ist aber wie ausgeführt noch etwas vage. Dennoch bedeutet das eine Veränderung, deren Auswirkungen sich teilweise bereits zeigen, wenn Banken Briefe bezüglich der Veränderungen bei der Authentifizierung von Online-Zahlungen per Kreditkarte versenden.

Wichtig ist auch, dass eine Ein-Faktor-Authentifizierung (1FA), also beispielsweise nur mit Benutzername und Kennwort oder den von einer Kreditkarte abgelesenen Kreditkartennummern und Sicherheitscodes, nur noch eingeschränkt ausreichend sein wird. Zum einen gibt es einige definierte Ausnahmen.

Zum anderen wird die risikobasierende Authentifizierung (RBA) kritisch betrachtet, bei der bei verdächtigen Transaktionen dann eine stärkere Authentifizierung gefordert wird. Die Kombination 1FA+RBA wird für Zahlungen ab 30€ nur noch eingeschränkt ausreichend sein und, wie ausgeführt, unter Beobachtung stehen. Eventuell wird sie nach dieser Frist von 18 Monaten dann untersagt. Das bedeutet aber nicht, dass die risikobasierende Authentifizierung obsolet wird – zum Schutz vor Fraud ist sie weiterhin essentiell.

Adaptive Authentifizierung ermöglicht es, sowohl die Anforderungen der PSD2 zu erfüllen, als auch die internen Anforderungen an ein adäquates Risikomanagement umzusetzen.
Adaptive Authentifizierung ermöglicht es, sowohl die Anforderungen der PSD2 zu erfüllen, als auch die internen Anforderungen an ein adäquates Risikomanagement umzusetzen. (Bild: KuppingerCole)

Aus unserer Sicht ist die wichtigste Maßnahme, eine Strategie für die adaptive Authentifizierung (AA) zu entwickeln. Die adaptive Authentifizierung ist eine Kombination aus der flexiblen Nutzung von Authentifizierungsmethoden und der risikobasierenden Authentifizierung. Es gibt also sowohl die Adaptivität bezüglich der unterstützen Verfahren für die Anmeldung als auch bezüglich der geforderten Verfahren – je höher das identifizierte Risiko, desto höher die Anforderungen.

Adaptive Authentifizierung ermöglicht es, sowohl die Anforderungen der PSD2 – in der Tendenz mehr als ein Faktor – zu erfüllen, als auch die internen Anforderungen an ein adäquates Risikomanagement (die ja ebenfalls letztlich durch Regulierungen erforderlich sind) umzusetzen. Vielleicht noch wichtiger ist aber, dass man damit unterschiedliche Verfahren einsetzen kann und auf diese Weise den Kunden optimal bedienen kann, indem man ihm die Authentifizierungsverfahren anbietet, die für ihn bequem sind. Dazu gehört beispielsweise die Unterstützung von in Smartphones integrierten biometrischen Verfahren. Die Adaptivität erlaubt es auch, neue Verfahren flexibel zu unterstützen.

* Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole, das sich mit digitalen Identitäten, Identity und Access Management, GRC (Governance, Risk Management, Compliance) und Cloud Computing beschäftigt.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44602882 / Authentifizierung)