Starke Authentifizierung für PSD2-Services kundenfreundlich gestalten

Bedeutung des FIDO-Standards für das Open Banking

Die Payment Service Directive 2 stellt die Finanzwelt der EU vor neue Herausforderungen. Die Banken müssen Drittanbietern u.a. ermöglichen, Kontoinformationen zur Weiterverarbeitung zu beziehen. Dies erfordert die Einwilligung der Kontoinhaber, und zwar mittels starker Authentifizierung.

teaser_psd2_287x191

Die Payment Service Directive 2 (PSD2) schreibt den Banken in der EU vor, Schnittstellen für den Zugriff auf Kundenkonti anzubieten. Dies ermöglicht es Drittanbietern, neue, bankenübergreifende Services bereitzustellen. Mit dieser Öffnung der Banken hofft die EU, Anreize zu schaffen für mehr Innovation und Wettbewerb. Die Schweiz zielt mit den Open-Banking-Bestrebungen ebenfalls Richtung Öffnung. Auch wenn diese auf Selbstregulierung basiert, wird man sich den gleichen Herausforderungen wie die EU stellen müssen.

 

Damit Drittanbieter diese Schnittstellen verwenden dürfen, muss das Einverständnis des Kontoinhabers eingeholt werden. Der technische Regulierungsstandard (RTS), der PSD2 ergänzt, zwingt die Banken, den Kunden für solche Einwilligungen stark zu authentifizieren. Das heisst, die Authentizität wird mittels zweier voneinander unabhängiger Sicherheitsmerkmale aus den Bereichen Wissen (z.B. Passwort), Besitz (z.B. Handy) und Inhärenz (z.B. Fingerabdruck) bewiesen.

 

Herausforderungen beim Zugriff von Dritten

Während der Kunde Kontoinformationen früher direkt bei seiner Bank abrufen musste, wird dies auch über Dritte möglich werden. Hierbei ergeben sich neue Herausforderungen für die involvierten Parteien, insbesondere wenn die Informationen von mehreren Banken parallel bezogen werden.

 

Angenommen ein Kunde möchte die Kontoinformationen seiner drei Bankbeziehungen über einen Kontoinformationsservice eines Drittanbieters verwalten. Dann müsste jede der drei Banken sein Einverständnis mittels starker Authentifizierung einholen. Da es bei den verschiedenen Banken heute eine Vielfalt von starken Authentisierungsmechanismen gibt, könnte sich das Einholen des Einverständnisses wegen der vielen unterschiedlichen Methoden (PhotoTAN, mTAN, SecureID usw.) umständlich gestalten.

 

Ein solches Unterfangen ist für die meisten Kunden nicht nachvollziehbar und wahrscheinlich gar inakzeptabel. Es ist deshalb davon auszugehen, dass das Bestreben, eine Angleichung in den Authentisierungsmitteln zu erreichen, mit PSD2 wachsen wird.

 

Standards tragen zur Vereinfachung bei

Die Verwendung von Standards und der Einsatz von Smartphones als Sicheheitstoken könnte eine Vereinfachung bringen. Hier könnte FIDO (Fast Identity Online) Hand bieten. Dieser Standard basiert auf Public-Key-Verschlüsselung. Die Serverseite, hier die Bank, kennt den öffentlichen Schlüssel des Kunden. Das Schlüsselpaar des Kunden wird auf seinem Smartphone in einem sicheren Bereich generiert, wobei der private Schlüssel diesen Bereich nie verlässt. Der Zugriff auf den privaten Schlüssel wird mittels Authenticator geschützt. Um den privaten Schlüssel zu verwenden, verlangt der Authenticator ein Merkmal aus dem Bereich Wissen oder Inhärenz. Zusammen mit dem Besitz des Geräts wären damit die Vorgaben des RTS erfüllt.

 

Wie sähe das nun im beschriebenen Szenario aus? Wenn die involvierten drei Banken FIDO unterstützen würden, könnte der Kunde jede Einwilligung einfach mittels Fingerabdruck bestätigen.

 

consent_access_bank_account_fido
Zoom
Einwilligung für Zugriff auf Bankkonto via FIDO-Standard

PSD2 und Open Banking eröffnen neue Möglichkeiten für Bankkunden. Benutzerfreundliche starke Authentisierungsmechanismen können Innovation in diesem Umfeld fördern. Dabei wird FIDO dank der breiten nativen Unterstützung durch die Geräteherstellerindustrie eine entscheidende Rolle spielen.

Dieser Artikel ist in der Netzwoche Nr.12 vom 4. Juli 2018 unter dem Focus Fintech erschienen.

Links