Ralph Horner über PSD2 und die Zukunft der Authentifizierung

Kaum eine Branche ist durch den rapiden technologischen Wandel so in Bewegung geraten wie der Finanzsektor. Die Digitalisierung ermöglicht innovative Bezahl- und Servicemodelle, aber auch völlig neue Geschäftsansätze. Quer zu all diesen Innovationsbestrebungen verläuft das Thema Sicherheit.

Diese ist eine Grundvoraussetzung für den Einsatz elektronischer Finanzprozesse. Gleichzeitig wird die Sicherheit digitaler Vorgänge im Finanzsektor immer stärker von nationalen bzw. internationalen Vorgaben geregelt – ein aktuelles Beispiel ist die erweiterte Zahlungsrichtlinie PSD2, die Anfang 2018 in Kraft tritt. Diese schreibt Banken vor, künftig sichere Schnittstellen für Drittanbieter zur Verfügung zu stellen – und setzt zudem eine starke Authentifizierung der Kunden voraus, wenn elektronisch bezahlt werden soll. Für viele Banken und Versicherer schafft die Richtlinie Handlungsdruck: Sie müssen ihre IT-Systeme entsprechend anpassen. Ich habe mit Ralph Horner, Regional Director DACH bei Nexus über das Spannungsfeld zwischen Sicherheit und Usability im Kontext der Digitalisierung gesprochen.

Was bedeutet PSD2 für Unternehmen, Banken und Online-Händler?

PSD2 will zunächst für mehr Sicherheit im elektronischen Zahlungsverkehr sorgen. Gerade mit Blick auf die wachsende Zahl an Cyberangriffen – man denke etwa an die Ransomware „WannaCry“ – ist eine umfassende Richtlinie für elektronische Zahlungsdienste dringend notwendig. Neben dem Aspekt der Sicherheit soll PSD2 aber auch den Wettbewerb innerhalb des Finanzsektors erhöhen, indem das bestehende Monopol der Banken auf den Zugriff auf Kontodaten reduziert wird. Dadurch werden zum Teil die neuen Akteure der Finanzindustrie wie FinTechs gestärkt. Für die Kunden soll das elektronische Bezahlen bequemer und günstiger werden. Entsprechend wird PSD2 ganz besonders den Online-Handel beeinflussen und ihm neue Chancen und Entwicklungsmöglichkeiten bieten. Denn ein Plus an Sicherheit und Komfort bedeutet idealerweise auch ein Plus an Kunden. Weil PSD2 besonders die Sicherheit bei der Kundenauthentifizierung erhöhen will, werden Banken, Zahlungsdienstleister und Online-Händler verstärkt nach innovativen und komfortablen Lösungen suchen müssen, die die erhöhten Sicherheitsanforderungen erfüllen.

Welche Anforderungen ergeben sich daraus für die Finanzbranche?

Durch PSD2 werden die Karten innerhalb der Finanzbranche in gewisser Hinsicht neu gemischt. PSD2 sieht vor, dass FinTechs und andere Finanzdienstleister auf die Kontodaten von Bankkunden mittels einer Schnittstelle zugreifen können. Unternehmen, die keine Banken im klassischen Sinne sind, sollen stärker mitmischen dürfen, wenn sie als sogenannte Zahlungsauslösedienstleister innovative Bezahlmethoden anbieten oder als Kontoinformationsdienstleister Zahlungsdaten der Verbraucher aufbereiten, beispielsweise zur Finanzplanung. Die Kunden können so Überweisungen und andere Bankdienstleistungen nicht mehr nur über ihre Bank abwickeln, sondern auch über andere Anbieter. Dies mag aus Sicht der Banken zunächst wie ein Nachteil erscheinen, jedoch ergeben sich durchaus zahlreiche neue Chancen: In der Zusammenarbeit mit FinTechs kann die Bank beispielsweise innovative Produkte anbieten und entwickeln. Aber auch für ihre „innere Sicherheit“ kann PSD2 viel Gutes bewirken. Denn die Verordnung bietet den richtigen Anlass, um die bestehende Sicherheitsinfrastruktur zu überdenken und das gesamte Identitäts- und Access-Management (IAM) auf den neusten Stand der Technik zu bringen. Trends wie beispielsweise das Customer Identity Management, also die Verwaltung von Kunden-Identitäten, können mit der richtigen IAM-Lösung schnell und direkt umgesetzt werden.

Welche Optionen bestehen konkret im Zusammenhang mit der starken Authentifizierung – und worauf ist zu achten?

Durch P2DS gewinnt die sogenannte starke Authentifizierung noch mehr an Bedeutung. Gleichzeitig wird sich die immer noch weit verbreitete Ein-Faktor-Authentifizierung, die sich typischerweise aus Benutzername und Passwort zusammensetzt, durch die neue EU-Richtlinie endgültig verabschieden müssen. Denn PSD2 gibt vor, was unter einer starken Authentifizierung zu verstehen ist: Die Kombination zweier oder mehrer voneinander unabhängiger Faktoren. Diese Faktoren lassen sich in drei Kategorien einteilen: „Wissen“, beispielsweise ein Passwort oder eine PIN, „Besitzen“, beispielsweise ein über ein externes Gerät erstelltes Einmal-Passwort, und „Sein“. Die Zwei-Faktor-Authentifizierung (2FA) soll Zahlungsvorgänge sicher machen, gleichzeitig müssen Banken den Zugriff auf die Kontodaten absichern und gewährleisten, dass nur berechtigte Parteien zugreifen können. Nennenswert sind in diesem Kontext insbesondere sogenannte Public Key Infrastructures (PKIs). Starke Authentifizierung, Datenverschlüsselung und digitale Signaturen sind die wesentlichen Funktionen, die mit einer PKI umgesetzt werden. Eine PKI wird immer dort eingesetzt, wo ein Höchstmaß an Sicherheit und vertrauenswürdige Identitäten benötigt werden.

Welche Rolle spielt das Identitäts- und Access-Management (IAM) generell für den Finanzsektor? In welchem größeren Kontext ist das Thema PSD2 zu sehen?

Die Experten von Gartner definieren IAM wie folgt: „IAM ensures the right people to get the right access to the right resources at the right times for the right reasons, enabling the right business outcomes.“ Sicherheit muss demnach als Gesamtkomplex betrachtet werden. Im Kontext von PSD2 liegt der Fokus zwar auf dem Thema IT-Sicherheit, es wäre jedoch fahrlässig, die analogen Räume zu vernachlässigen. Die physische Zugangskontrolle wird im Finanzsektor noch immer häufig getrennt vom Schutz der IT-Infrastruktur gedacht – und das, obwohl die analoge und die digitale Welt zunehmend verschmelzen. Die Digitalisierung und die neuen Formen der Zusammenarbeit erfordern eine 360-Grad-Perspektive und Lösungen, mit denen physische und digitale Identitäten zentral verwaltet werden können. Gerade Banken kommen nicht umhin, ein zentrales System zu implementieren, das Sicherheit, Nutzerfreundlichkeit und eine serviceorientierte Betreuung von Mitarbeitern, aber auch Besuchern und Kunden, optimal miteinander in Einklang bringt. Ziel eines modernen IAMs ist es, die über verschiedene Systeme verteilten Berechtigungen zu harmonisieren und zusammenzuführen. So können die Identitäten von Kunden, Partnern und Mitarbeitern einfach im System „geführt“ werden. Jeder Identität wird eine spezifische Berechtigung zugewiesen, was bestehende Prozesse drastisch vereinfacht. Ein solches System ermöglicht auch die Integration bestehender Zutrittskontrollsysteme und verhindert die Entstehung ungesicherter Schnittstellen. Relevant werden Identitäts- und Zugangsaspekte im Bankenwesen auch beispielsweise im Hinblick auf Video-Chats, die den Weg zur nächsten Bankfiliale überflüssig machen. Zahlreiche Banken und FinTechs bieten bereits die sichere Video-Identifizierung und zeigen, dass ein zentrales IAM nicht nur mit dem Unternehmen selbst, sondern auch mit dem technologischen Wandel und politischen Veränderungen mitwachsen muss.

Welche Rolle spielt in diesem Kontext die Usability?

Für Unternehmen ist es wichtig, Lösungen zu implementieren, die Sicherheit und Usability optimal miteinander verbinden. Ein einfaches Handling und eine hohe Nutzerfreundlichkeit reduzieren den administrativen Aufwand und erhöhen die Akzeptanz des Systems bei den Mitarbeitern. Das ist wichtig, denn wenn Mitarbeiter nicht mit dem System zurechtkommen, steigt die Gefahr, dass definierte Abläufe umgangen werden. Die Risiken, die so entstehen, können sich am Ende jeglicher Kontrolle entziehen. Insofern sollten Unternehmen Richtlinien und Prozesse, die dem System zugrunde liegen, klar definieren und verständlich kommunizieren. Self-Service-Funktionen, beispielsweise für das Beantragen von Zugriffsrechten, sind hilfreich, denn Mitarbeiter können so bestimmte Prozesse einfach selbst übernehmen. Auf Kundenseite haben sich durch die mobilen Endgeräte ganz neue Möglichkeiten bezüglich der Usability von 2FA-Lösungen ergeben; so lassen sich Smartphones heute durch entsprechende Apps als Smartcards verwenden, zusätzliche Identitätsträger wie Hardware-Tokens werden quasi überflüssig. Klassische Passwörter haben sich dank mobiler Authentifizierungslösungen erledigt, denn biometrische Erkennungsfunktionen des Smartphones können auch für die Authentifizierung im Online-Banking oder E-Commerce genutzt werden. Solche Funktionen bieten Endanwendern gleichermaßen Sicherheit und Komfort.

Wohin geht die Reise? Gibt es Leuchtturmprojekte?

Hier lohnt ein Blick nach Skandinavien, denn dort wird zum Teil bereits umgesetzt, was in Deutschland noch abstrakt diskutiert wird. Die sogenannte BankID ist in Schweden inzwischen praktisch zum Standard für die sichere Online-Authentifizierung geworden und wird dort von mehr als 7,5 Millionen Menschen genutzt. Sie ist ein anerkannter elektronischer Identitätsnachweis auf dem Vertrauensniveau eines Ausweises. Die ID beinhaltet ein Bündel an Funktionen: Mit ihr lassen sich beispielsweise Kita-Plätze oder Baugenehmigungen einfach und sicher online beantragen, ohne dass dafür der Besuch beim zuständigen Amt nötig ist. Ein besonders spannendes Kundenbeispiel: Die schwedische Bank SBAB hat bereits heute sämtliche Dienstleistungen für ihre Kunden erfolgreich digitalisiert. Die Bank erkannte den wachsenden Bedarf an benutzerfreundlichen digitalen Services. Gerade junge Menschen wollen ihren Alltag nicht mehr nach den Öffnungszeiten der Bank gestalten und ihre Zeit nicht mehr in Telefonschleifen verbringen. Das Resultat: Die Kunden der SBAB sind die zufriedensten des Landes. Ein solches Ergebnis kann aber letztlich nur dann erzielt werden, wenn die genannten Self-Services auch durch eine zuverlässige Sicherheitsplattform optimal unterstützt werden.