PSD2 & SCA – Sicherheit versus Nutzererlebnis

Ein Artikel von Ingo Deutschmann, SVP Development bei BehavioSec | 29.11.2021 - 11:07
VB_news_88571579_16c3955b84.jpg

© olly - Fotolia

PSD2 ist eine Richtlinie der Europäischen Union (EU) zur Regulierung von Zahlungsdiensten und -anbietern in der EU und im entsprechenden Wirtschaftsraum. Ihr Ziel ist es, Marktzutrittsschranken zu verringern und einen stärker integrierten Markt zu fördern sowie Innovationen zu unterstützen und den Zugang der Verbraucher zu sicheren Zahlungen zu verbessern. Während die europäischen Banken die Richtlinie und ihre Open-Banking-Anforderungen unterstützen, bereiten sich auch die globalen Finanzinstitute darauf vor, diese zu unterstützen. Die Auswirkungen von PSD2 sind in den großen Finanzzentren weltweit zu spüren, egal ob für ihre europäische Präsenz oder für Open Banking.

PSD2 und die Ausweitung der starken Kundenauthentifizierung

Eine der wichtigsten PSD2-Anforderungen ist die starke Kundenauthentifizierung (SCA). Das Hinzufügen zusätzlicher Faktoren verkompliziert jedoch auch die Authentifizierung und die Checkout-Prozesse. Salesforce hat, in Bezug auf Open Banking, herausgefunden, dass 76 Prozent der Kunden angeben, es sei momentan einfacher als je zuvor, ihre Geschäfte woanders zu tätigen, wenn sie ihre Erwartungen nicht erfüllt sehen.

Die PSD2 führte bereits zu einer Umgestaltung des Bankwesens in der Europäischen Union, indem sie den Bankenmarkt für Drittanbieter öffnete und strengere Sicherheitsstandards zur Absicherung von Transaktionen aus verschiedenen Währungen und Regionen festlegte. Mit der PSD2 soll der Markteintritt für neue Akteure vereinfacht und die digitale Transformation in ganz Europa gefördert werden. Um die Sicherheit der Verbraucher zu gewährleisten, schreibt die PSD2 einen stärkeren Kundenschutz durch strenge Authentifizierungsvorschriften für die meisten digitalen Transaktionen vor.

Aufgrund der verheerenden Auswirkungen von Covid-19 verschieben einige Regionen, die Durchsetzung von SCA Dieser Aufschub gibt Unternehmen die Möglichkeit, ihre SCA-Implementierung effektiv zu gestalten und konforme Lösungen zu finden, die sowohl den Anforderungen der Verordnung als auch den Ansprüchen an das Nutzererlebnis gerecht werden.

Die Bedeutung einer starken Kundenauthentifizierung

Starke Kundenauthentifizierung erfordert eine Kombination aus mindestens zwei von drei verschiedenen Elementen: Wissen, Besitz und Inhärenz. Das Wissenselement ist etwas, das ein Benutzer weiß, wie ein Passwort. Besitz ist etwas, das ein Benutzer hat, wie ein Hardware-Token oder ein SMS-Einmal-Passwort (OTP). Inhärenz ist etwas, das den Benutzer eindeutig charakterisiert, zum Beispiel verhaltensbiometrische Daten. Finanzinstitute und Zahlungsdienste müssen diese SCA-Faktoren für Online-Authentifizierungen verwenden, um das Risiko von Betrug im Zusammenhang mit digitalen Transaktionen zu verringern.

Die Zwei-Faktor-Authentifizierung, die auf Wissen und Besitz basiert, wird derzeit häufig von Online-Zahlungsanbietern verwendet, um die SCA-Anforderungen zu erfüllen. Dies geschieht häufig in Form eines Benutzernamens und eines Passworts - Wissen - in Kombination mit einem Einmalpasswort (One-Time Password, OTP), das per Textnachricht an ein Telefon gesendet wird - Besitz.

SIM-Swapping, Credential Stuffing und Social Engineering ermöglichebn es Betrügern, diese Sicherheitsstufen zu umgehen, deshalb werden Inhärenz-Elemente zu einer immer weiter verbreiteten Methode, die SCA-Anforderungen zu erreichen. Dieser Trend ist sowohl in Deutschland als auch im Vereinigten Königreich zu beobachten, wo die Banken OTPs und andere aufwendige Authentifizierungsmethoden zugunsten der Verhaltensbiometrie (Inhärenz) ersetzen.

Stärkung der SCA mit der Hilfe von verhaltensbiometrischen Daten

Die SCA-Elemente der PSD2 lassen sich in voller Übereinstimmung mit Artikel 97 der Richtlinie (EU) 2015/2366 erfüllen, ohne dabei die Benutzer mit weiteren Tokens, Fingerabdruck-Scans, SMS-Codes oder anderen umständlichen Schritten zu belasten.

Eine bewährte Lösung hierfür ist die Erfassung und Auswertung von verhaltensbiometrischen Daten, was sich problemlos in Plattformen, Anwendungen und Dienste integrieren lässt, um kontinuierlich verfolgen und profilieren zu können, wie Benutzer tippen, wischen und sich bewegen.

Der Prozess der Verhaltensbiometrie sammelt und analysiert die individuellen, nicht kopierbaren Attribute der Mensch-Digital-Interaktion, um zu überprüfen, ob eine digitale Identität, die ist, die sie vorgibt zu sein. Bei der Verwendung einer verhaltensbiometrischen Plattform als zusätzliche Authentifizierungsmethode, kann das Unternehmen SCA unsichtbar einsetzen und sicher sein, dass die Online-Kunden, die sind, für die sie sich ausgeben - ohne sie unnötig durch umständliche Prozesse zu verärgern.

Durch die unsichtbare Authentifizierung mit einem anderen unabhängigen Element zur Implementierung von SCA kann die Sicherheit und die Einhaltung von Vorschriften verbessert werden. Dies allein sichert jedoch nicht die Wettbewerbsfähigkeit. Open Banking bringt zwar viele Vorteile mit sich, aber jedes Mal, wenn Kunden die Bequemlichkeit eines Drittanbieters (TPP) den eigenen Diensten vorziehen, besteht das Risiko, diese Kundenbeziehungen für immer zu verlieren.

 

Digitale Transformation

Deutschmann_Ingo.jpg

Autor: Ingo Deutschmann, SVP Development bei BehavioSec. Das Unternehmen ist Anbieter einer verhaltensbiometrischen Plattform und hat im Laufe der Jahre Milliarden von Interaktionen beobachtet und auf Grundlage dessen ist eine prädiktive Modellierung (Prozess, der Data Mining und Wahrscheinlichkeitsrechnung zur Vorhersage von Ergebnissen verwendet) möglich. Dies erlaubt die Erstellung individueller Nutzerprofile und tiefe Einblicke in die genutzten Transaktionen/Dienste. Die prädiktive Modellierung erleichtert die Suche nach neuen Datentrends und ist ein adäquates Tool für die Zuordnung und Kategorisierung von TPPs, die auf die Kundenkonten zugreifen. 

Die Digitalisierung aller Geschäftsbereiche ist einerseits bereits heute Realität, anderseits wird sie in noch stärkerer Ausprägung auch die Zukunft des Bankenwesens prägen. Dabei ist ein erstklassiges Online-Kunden- und Nutzererlebnis eines der wichtigsten Ziele von digitalen Transformationsprojekten. Die PSD2 räumt den Verbrauchern das Recht ein, jeden beliebigen Drittanbieter für ihr Online-Banking oder ihre Zahlungsdienste zu nutzen. Deshalb sind die Dienstleister verpflichtet, offene Anwendungsprogrammierschnittstellen (APIs) bereitzustellen. Diese APIs müssen Dritten den Zugang zu Zahlungskontoinformationen (für AISPs) und zur Zahlungsauslösung (für PISPs) ermöglichen.    

Anstatt diese Drittanbieter als Bedrohung zu sehen, bietet sich innovativen Unternehmen eine große Chance, ihre Daten für neue und verbesserte Finanzdienstleistungen zu öffnen. Durch die Einführung benutzerfreundlicher Sicherheitslösungen und die Zusammenarbeit mit TPPs können Finanzinstitute mit den Marktveränderungen Schritt halten und Kundenbedürfnisse proaktiv erkennen, bevor ihre Kunden auf modernere Dienste umsteigen. Es ist wichtig zu erkennen, welche Drittanbieter die Kunden nutzen, und gleichzeitig die Transparenz und Sicherheit während der gesamten Sitzungen zu unterstützen. Dies bildet die Grundlage für den Erfolg in einer Open-Banking-Welt.

Fazit: Unternehmen, die in einem überfüllten und anspruchsvollen Markt konkurrieren wollen, verschaffen sich einen klaren Wettbewerbsvorteil, indem sie eine effektive Sicherheitsarchitektur bieten, ohne das Nutzererlebnis zu beeinträchtigen. Eine umfangreiche Lösung kann in neue oder bestehende Anwendungen von Zahlungsanbietern integriert werden, um die Anforderungen der PSD2 ohne Reibungsverluste zu erfüllen, das Betrugsrisiko zu reduzieren und gleichzeitig das digitale Erlebnis der Kunden zu verbessern.

Ein starkes Sicherheitskonzept und ein einwandfreies Nutzererlebnis sollten Hand in Hand gehen, um Bedrohungsakteure aufzuspüren und schnellstmöglich zu stoppen, ohne dabei die engen Kundenbeziehungen mit ausufernden Authentifizierungsverfahren zu belasten.