Zusammen bilden die zweite Zahlungsdiensterichtlinie (PSD2) der EU und die technischen Regulierungsstandards (RTS) der Europäischen Bankenaufsichtsbehörde (EBA) einen Wendepunkt im Zahlungsverkehr in Europa.
Das Ziel ist es, die starke Kundenauthentifizierung (SCA) sowie sichere offene Kommunikationsstandards zu etablieren. PSD2 und die RTS fordern Banken auf, ihre Systeme für Drittanbieter (TPPs) zum Austausch von Kontoinformationen, zur Zahlungseinleitung und Bestätigung von Kontoverfügbarkeiten über Anwendungs-Programmier-Schnittstellen (APIs) zu öffnen.
Zudem sollen die hohen Sicherheitsanforderungen, die für die Kundenauthentifizierung in der EU vorgesehen sind, stärker harmonisiert werden. Denn in einigen EU-Mitgliedstaaten ist die SCA nicht mehr zeitgemäss. Dies bedeutet, dass die RTS eine Anpassung der Authentifizierungsmethoden mit sich bringen wird, wenn sie am 14. September 2019 in Kraft tritt.
2-Faktor-Authentifizierung (2FA)
Die RTS definiert die drei Elemente Wissen, Besitz und Inhärenz, von denen mindestens zwei im Rahmen der 2-Faktor-Authentifizierung (2FA) kombiniert werden müssen. "Wissen" kann durch ein Passwort, der "Besitz" über Smartphones oder Hardware-Tokens und die "Inhärenz" durch biometrische Merkmale wie Fingerabdrücke abgedeckt werden.
Einige Banken unterstützen 2FA, die auf einem Passwort und einem separaten Endgerät oder einer Banking-App zur Generierung und zum Empfang von Authentifizierungscodes beruht. In einigen Fällen sind diese 2FA-Formen allerdings voraussichtlich nicht konform. Ein Beispiel ist der Empfang eines Authentifizierungscodes per SMS auf einem Smartphone, das auch zur Initiierung einer Zahlung verwendet wurde.
Andere Banken vertrauen sogar nur auf einen Faktor – in der Regel eine Kombination aus zwei Passwörtern. Bereits jetzt ist klar, dass diese Ein-Faktor-Methode nicht RTS-konform sein wird.
Vom negativen Nutzererlebnis...
Da die oben genannten Zwei-Faktor-Methoden relativ umständlich sind, beeinträchtigen sie ein reibungsloses Nutzererlebnis im heutigen Multikanal-Ökosystem. Darüber hinaus sind diese Authentifizierungsmethoden keine "one-size-fits-all"-Lösungen für Kanäle wie E-Commerce, Mobile Banking oder physische In-Store-Zahlungen am Point of Sale (POS).
In einer zunehmend mobilen Welt würde das Auffordern des Benutzers während des Kaufvorgangs einen Authentifizierungscode zu erhalten und ihn einzugeben, das Nutzererlebnis negativ beeinträchtigen. Dies ist insbesondere problematisch, da die Nutzer nun erwarten, dass Transaktionen nahtlos, reibungslos, in Echtzeit und unsichtbar durchgeführt werden. Wie können die strengen SCA-Anforderungen also mit einem positiven Nutzererlebnis kombiniert werden?
...zum positiven Nutzererlebnis
Erfreulicherweise bietet PSD2 ein Werkzeug, um dieses Problem zu lösen: Inhärenz. Dies ermöglicht dem Benutzer, Transaktionen über biometrische Daten authentifizieren zu lassen. Das funktioniert ohne das mühsame Empfangen, Generieren und Eingeben von Authentifizierungscodes oder ohne die Eingabe von PINs durchlaufen zu müssen. Biometrische Authentifizierungslösungen müssen die gleichen RTS-Sicherheitskriterien erfüllen wie die etablierten Lösungen.
Heute werden bereits biometrische Verfahren im Banking verwendet. Diese basieren weitestgehend auf proprietären Lösungen der Smartphone-Hersteller. Diese Lösungen führen den Abgleich von Fingerabdrücken oder Gesichtsdaten nur auf dem Gerät durch. Dabei entscheidet das Verfahren des Smartphone-Herstellers, ob es sich hierbei um den Bankkunden handelt. Es liegt somit nicht innerhalb der Kontrolle der Banken – wie in der RTS gefordert.
Gleiches gilt für die Registrierung und Ausstellung der Legitimationsmittel. Des Weiteren kommen unter anderem die fehlende RTS-Anforderung des Dynamic Linkings und bankgesicherte Registrierungs- und Abgleichsprozesses hinzu. Beim Dynamic Linking muss ein Authentifizierungscode mit dem zu autorisierenden spezifischen Betrag verknüpft und in allen Phasen der Authentifizierung nachprüfbar sein. Einen Authentifizierungscode im biometrischen Verfahren gibt es im klassischen Sinne nicht. Hier könnte zum Beispiel, basierend auf Datenpunkten des Fingerabdrucks, dynamisch eine Art Authentifizierungscode auf dem Smartphone generiert und friktionslos von der Bank validiert werden.
Insgesamt sind die aktuell verwendeten auf Smartphone-Herstellern basierenden biometrischen Verfahren nicht ohne Weiteres RTS-konform.
Biometrie als zentraler Faktor
Obgleich die Authentifizierung der Smartphone-Hersteller einige Anforderungen nicht erfüllt, muss anerkannt werden, dass diese den Massstab für kundenfreundliche, reibungslose Authentifizierung und schnelle Zahlungen gesetzt haben. Banken sollten auf diesen Trend reagieren.
In Zukunft wird die Innovation im Bereich der reibungslosen und unsichtbaren Zahlungen ein wichtiges Unterscheidungsmerkmal sein. Dazu wird die Biometrie einen wichtigen Beitrag leisten. Banken sollten sich bei einer Umsetzung auf fünf Prioritäten konzentrieren:
- Den Zweck und nicht nur die Mittel berücksichtigen
Anpassung biometrischer Methoden an die Bedürfnisse der Bank und ihrer Kunden - Multikanal ist der Schlüsselfaktor
Erarbeitung einer Omnichannel-Vision, bevor Biometrie ins Spiel kommt - Eine risikobasierte Authentifizierung implementieren
Verbindung von biometrischen Verfahren mit Betrugserkennungssystemen und in einigen Fällen Abfrage weiterer biometrischer Sicherheitsfaktoren - Die richtige Lösungsarchitektur auswählen
Serverseitig oder auf dem Endgerät - Die Lösungen im Hinblick auf die RTS-Konformität sorgfältig auswählen
Berücksichtigung der regulatorischen Anforderungen zur Vermeidung von Problemen mit Aufsichtsbehörden
PSD2 ist einer der ersten Eckpfeiler einer vom Regulator initiierten Öffnung von Bankendienstleistungen. Es ist mit weiteren Öffnungen von zusätzlichen Diensten zu rechnen – entweder durch freiwillige Initiativen der Banken oder durch den Regulator. Datensicherheit und der Schutz vor Betrugsfällen und Identitätsdiebstahl werden in einem offenen Ökosystem an Bedeutung noch zunehmen.
Auf der anderen Seite bewegt sich der Markt in der Richtung zu immer nutzerfreundlicheren Diensten mit weniger "lästigen" Sicherheitsüberprüfungen. Banken können diese Herausforderung als Chance betrachten, indem sie höhere Sicherheit und Nutzerfreundlichkeit kombinieren. Mit biometrischen Verfahren als Differenzierungsfaktor im Wettbewerb können Banken hier einen Schritt in diese Richtung gehen.