Kommentar zur PSD2
Die digitale Identität wird zum wichtigsten Sicherheitsmerkmal
Die Payment Services Directive 2, kurz PSD2, verknüpft digitale Identitäten und Transaktionen. Warum das eine gute Entscheidung ist, erläutert Roman Brunner von Digicert.
Unsere Identität war noch nie so wichtig wie heute. Wir erledigen immer mehr im Internet und nutzen unsere digitalen Identitäten für Verabredungen mit Freunden, Gesprächen mit Familienmitgliedern, den Einkauf, Reisen, Behördengänge und unsere Finanzen. Doch die digitalen Identitäten sind nicht nur für uns praktisch und wertvoll. Wie immer in der Cybersicherheit gilt: Alles, was die Nutzer verwenden, ist auch für die Hacker interessant. Und digitale Identitäten sind ein äußerst begehrtes Gut. Die meisten Cyberkriminellen verbringen einen Großteil ihrer Zeit damit, an digitale Identitäten zu kommen. Denn die Kombination aus Benutzername und Passwort kann ihnen Root-Zugriff auf ein Unternehmensnetzwerk verschaffen, mit einer Sozialversicherungsnummer ist der Identitätsdiebstahl nahezu ein Kinderspiel und mit gefälschten Zertifikaten lässt sich ein ganzes Netzwerk lahmlegen.
Die digitale Identität
2007 wurde die EU-Zahlungsdiensterichtlinie (Payment Services Directive, PSD) eingeführt, um europäische Bankkunden besser zu schützen und den Wettbewerb in der Finanzbranche zu fördern. Die zweite Version dieser Richtlinie, PSD2, wurde 2015 verabschiedet und trat im September 2019 in Kraft. Gemäß dieser Richtlinie müssen europäische Finanzinstitute und Zahlungsdienstleister ihre Kunden- und Kontodaten offenlegen und an FinTech-Unternehmen, Softwareentwickler und Start-ups weitergeben, damit diese neue Produkte und Services für die Kunden entwickeln können. Die Kunden können jetzt wählen, ob sie ihre Kontodaten mit Drittanbietern teilen möchten, um deren Apps und Services für die Verwaltung ihrer Finanzen zu nutzen.
Mit der PSD2 wird die digitale Identität zum wichtigsten Sicherheitsmerkmal bei Finanztransaktionen – sowohl für Kunden als auch für Zahlungsdienstleister. Für die Datenfreigabe ist der Einsatz starker digitaler Identitäten erforderlich. Statt Anmeldedaten für das Onlinebanking, die bisher von den Finanzinstituten gespeichert wurden, werden jetzt flexibel einsetzbare Identitäten genutzt, die der Kunde selbst verwaltet. Sie funktionieren ähnlich wie eine digitale Identität, die bei der Interaktion mit verschiedenen Behörden genutzt werden kann.
Auf Kundenseite fordert die PSD2 eine „starke Kundenauthentifizierung“. In Artikel 4 der PSD2 ist sie folgendermaßen definiert: „eine Authentifizierung unter Heranziehung von mindestens zwei Elementen der Kategorien Wissen (etwas, das nur der Nutzer weiß), Besitz (etwas, das nur der Nutzer besitzt) oder Inhärenz (etwas, das der Nutzer ist), die insofern voneinander unabhängig sind, als die Nichterfüllung eines Kriteriums die Zuverlässigkeit der anderen nicht in Frage stellt, und die so konzipiert ist, dass die Vertraulichkeit der Authentifizierungsdaten geschützt ist“. Das bedeutet, dass Kunden für den Zugriff auf Online-Konten, für elektronische Zahlungen oder für indirekte Aktionen, bei denen ein gewisses Betrugsrisiko gegeben ist, die Multi-Faktor-Authentifizierung verwenden müssen. Anmeldedaten oder die Eingabe einer PIN, Kartennummer oder Bankleitzahl reichen nicht mehr aus, da diese Faktoren zu einfach gefälscht, gestohlen oder bei Betrugskampagnen abgefangen werden können. Zahlungsdienstleister ziehen jetzt auch andere Authentifizierungsmethoden wie biometrische Daten oder die Verifizierung über das Telefon in Betracht.
Auf Unternehmensseite werden ebenfalls starke digitale Identitäten für die gemeinsame und sichere Kommunikation zwischen Finanzinstituten, Zahlungsdienstleistern und Kunden vorgeschrieben.
- Die digitale Identität wird zum wichtigsten Sicherheitsmerkmal
- Sicherer Datenaustausch notwendig
Lesen Sie mehr zum Thema
