Suchen

PSD2 (European Payment Services Directive) Strategien für eine adaptive Authentifizierung

| Autor / Redakteur: Martin Kuppinger* / Peter Schmitz

PSD2, die European Payment Services Directive soll Kunden bei Online-Zahlungen besser schützen, bei Zahlungen über europäische Grenzen hinweg mehr Sicherheit bieten und die Entwicklung und Nutzung von innovativen mobilen und Online-Zahlungen fördern. Damit hat die ab dem 13.01.2018 wirksame EU-Direktive auch unmittelbare Auswirkungen auf die IT-Sicherheit bei den betroffenen Payment-Providern.

Firmen zum Thema

PSD2 in Kombination mit GDPR zwingt Unternehmen, sich im Bereich der IT-Sicherheit, der IT-Architektur und im Umgang mit Kunden zu verändern.
PSD2 in Kombination mit GDPR zwingt Unternehmen, sich im Bereich der IT-Sicherheit, der IT-Architektur und im Umgang mit Kunden zu verändern.
(Bild: Pixabay)

Für Zahlungsdienstleister lassen sich im Wesentlichen drei Themenblöcke identifizieren, die beachtet und für die geeignete Lösung umgesetzt werden müssen. Einer ist die sichere Authentifizierung von Kunden, wobei die PSD2 eine Mehrfaktor-Authentifizierung (MFA) fordert. Der zweite Bereich ist die Bereitstellung von Schnittstellen für Dritte, mit denen zum Beispiel neue Apps für Konsumenten auf Daten zugreifen können. Der dritte Bereich ist das Themenfeld KYC (Know Your Customer), das durch PSD2 zumindest nicht weniger wichtig wird, gleichzeitig aber durch den ebenfalls ab nächsten Jahren durchgesetzte GDPR-Regulierung (General Data Protection Regulation) der EU an Bedeutung gewinnt, aber auch von den neuen Möglichkeiten durch die eIDAS-Regulierung profitiert.

Für viele der von PSD2 betroffenen Unternehmen sind dabei im ersten Moment die geänderten Anforderungen an die Authentifizierung von Bedeutung. Dabei soll nach dem Stand der Dinge bei Zahlungen ab 30€ mit einer „MFA“ gearbeitet werden, wobei es einige Ausnahmen beispielsweise für die Bezahlung an Parkscheinautomaten geben wird. Darüber hinaus gibt es auch eine Ausnahmeregelung für die Kombination von Ein-Faktor-Authentifizierung mit risikobasierender Authentifizierung, wobei hier für 18 Monate beobachtet wird, ob damit das Risiko von Missbrauch ausreichend reduziert werden kann.

Ergänzendes zum Thema
European Identity & Cloud Conference (EIC) 2017

Die European Identity & Cloud Conference 2017 ist Europas führendes Event für Identity and Access Management (IAM), Governance, Risk Management and Compliance (GRC), sowie Cloud Security. Die EIC 2017 findet vom 9. Bis 12. Mai 2017 im Infinity Ballhaus Forum in Unterschleißheim bei München statt.

KuppingerColes EIC ist bekannt für ihre einzigartige Kombination aus Thought Leadership, Best Practices, Diskussionen und strategischen Leitlinien für die Zukunft der IT-Sicherheit. Mehr als 700 Teilnehmer versammeln sich jedes Jahr in München, um sich von einer zukunftsorientierten, weltweiten Community rund um das Thema Digitale Transformation inspirieren zu lassen.

Als Leser von Security-Insider erhalten Sie 10 % Rabatt auf den Ticketpreis mit folgendem Buchungscode: 10SecInseic17. Registrieren Sie sich jetzt!

Bedauerlicherweise ist dabei eher unscharf definiert, welche Anforderungen an eine solche Authentifizierung gestellt werden. Es gibt zwar Aussagen der EBA dazu, was sie unter einer 2FA versteht, aber eine exakte Spezifikation zulässiger Kombinationen in ausreichender Detaillierung fehlt noch.

Faktisch wird der Trend für die Authentifizierung von Kunden und ihren Transaktionen, auch als SCA (Strong Customer Authentication), nach dem Stand der Dinge in Richtung einer 2-Faktor-Authentifizierung gehen, auch als 2FA bezeichnet. Wie hoch die Anforderungen an die eingesetzten Authentifizierungsmethoden sind, die dann aus einer Kombination von zwei der drei Faktoren Wissen, Besitz und Sein (Biometrie) bestehen müssen, ist aber wie ausgeführt noch etwas vage. Dennoch bedeutet das eine Veränderung, deren Auswirkungen sich teilweise bereits zeigen, wenn Banken Briefe bezüglich der Veränderungen bei der Authentifizierung von Online-Zahlungen per Kreditkarte versenden.

Wichtig ist auch, dass eine Ein-Faktor-Authentifizierung (1FA), also beispielsweise nur mit Benutzername und Kennwort oder den von einer Kreditkarte abgelesenen Kreditkartennummern und Sicherheitscodes, nur noch eingeschränkt ausreichend sein wird. Zum einen gibt es einige definierte Ausnahmen.

Zum anderen wird die risikobasierende Authentifizierung (RBA) kritisch betrachtet, bei der bei verdächtigen Transaktionen dann eine stärkere Authentifizierung gefordert wird. Die Kombination 1FA+RBA wird für Zahlungen ab 30€ nur noch eingeschränkt ausreichend sein und, wie ausgeführt, unter Beobachtung stehen. Eventuell wird sie nach dieser Frist von 18 Monaten dann untersagt. Das bedeutet aber nicht, dass die risikobasierende Authentifizierung obsolet wird – zum Schutz vor Fraud ist sie weiterhin essentiell.

Adaptive Authentifizierung ermöglicht es, sowohl die Anforderungen der PSD2 zu erfüllen, als auch die internen Anforderungen an ein adäquates Risikomanagement umzusetzen.
Adaptive Authentifizierung ermöglicht es, sowohl die Anforderungen der PSD2 zu erfüllen, als auch die internen Anforderungen an ein adäquates Risikomanagement umzusetzen.
(Bild: KuppingerCole)

Aus unserer Sicht ist die wichtigste Maßnahme, eine Strategie für die adaptive Authentifizierung (AA) zu entwickeln. Die adaptive Authentifizierung ist eine Kombination aus der flexiblen Nutzung von Authentifizierungsmethoden und der risikobasierenden Authentifizierung. Es gibt also sowohl die Adaptivität bezüglich der unterstützen Verfahren für die Anmeldung als auch bezüglich der geforderten Verfahren – je höher das identifizierte Risiko, desto höher die Anforderungen.

Adaptive Authentifizierung ermöglicht es, sowohl die Anforderungen der PSD2 – in der Tendenz mehr als ein Faktor – zu erfüllen, als auch die internen Anforderungen an ein adäquates Risikomanagement (die ja ebenfalls letztlich durch Regulierungen erforderlich sind) umzusetzen. Vielleicht noch wichtiger ist aber, dass man damit unterschiedliche Verfahren einsetzen kann und auf diese Weise den Kunden optimal bedienen kann, indem man ihm die Authentifizierungsverfahren anbietet, die für ihn bequem sind. Dazu gehört beispielsweise die Unterstützung von in Smartphones integrierten biometrischen Verfahren. Die Adaptivität erlaubt es auch, neue Verfahren flexibel zu unterstützen.

* Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole, das sich mit digitalen Identitäten, Identity und Access Management, GRC (Governance, Risk Management, Compliance) und Cloud Computing beschäftigt.

Artikelfiles und Artikellinks

(ID:44602882)