Kommentar zur PSD2
Die digitale Identität wird zum wichtigsten Sicherheitsmerkmal
Fortsetzung des Artikels von Teil 1
Sicherer Datenaustausch notwendig
Zahlungsdienstleister werden Kundendaten (einschließlich Kontoständen und Zahlungsvorgängen) untereinander und mit Drittanbietern austauschen. Zur Umsetzung der PSD2-Vorschriften ist daher ein System notwendig, über das diese sensiblen Daten und die Identitäten sicher übertragen werden können.
Laut den technischen Regulierungsstandards der PSD2 müssen Daten mithilfe von qualifizierten digitalen Zertifikaten geschützt werden, die gemäß der EU-Verordnung über elektronische Identifizierung und elektronische Transaktionen (eIDAS) ausgestellt wurden. Dazu gehören zum einen qualifizierte Zertifikate für die Website-Authentifizierung (QWAC), in denen die Anbieter und ihre lizenzierten Rollen identifiziert werden und mit denen die Kommunikation durch TLS/SSL-Verschlüsselung (Transport Layer Security) geschützt wird. Für diese Standards wurden die Vorgaben für Zertifikate mit Extended Validation des CA/Browser Forum berücksichtigt, die nach wie vor zu den besten Identitätsprüfungen im Internet gehören.
Zum anderen werden auf Anwendungsebene qualifizierte Zertifikate für elektronische Siegel (QSiegel) verwendet, um digitale Signaturen zu erstellen. Dadurch sind die Datensätze vor Manipulationen geschützt und ihr Ursprung wird belegt. Diese Nachweisketten helfen staatlichen Stellen, potenziellen Betrug aufzudecken, und die Finanzinstitute können sich darauf verlassen, dass sie es mit einem vertrauenswürdigen Akteur zu tun haben. Da diese beiden Zertifikate unterschiedliche Funktionen erfüllen, empfiehlt die Europäische Bankenaufsichtsbehörde (EBA) die parallele Nutzung.
Durch die starken Identitäten sollen Kunden unter anderem vor den zunehmenden Angeboten an Zertifikaten mit schwacher Authentifizierung geschützt werden, die nur die Domain verifizieren und häufig in Online-Betrugskampagnen ausgenutzt werden.
Vorbildcharakter inklusive
Die Standardisierung dieser Sicherheitsvorgaben für Identitäten in der EU hat Vorbildcharakter für die Finanzbranche weltweit. Die Vorgaben der PSD2 erscheinen vielleicht sehr strikt, haben aber ausgesprochen positive Auswirkungen auf die Sicherheit in der Finanzbranche. Viele Länder haben die Fristen (ursprünglich September 2019) um mehr als ein Jahr verlängert, damit die Unternehmen die Änderungen umsetzen können, denn diese werden für viele Organisationen, Zahlungsdienstleister und Drittanbieter aufwendig und zeitintensiv sein. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) kündigte im September ebenfalls an, für bestimmte Aspekte der PSD2 einen Aufschub zu gewähren. Zahlungsdienstleister dürfen somit Zahlungen vorerst auch ohne starke Kundenauthentifizierung verarbeiten. Die deutschen Finanzinstitute scheinen aber in Bezug auf QWAC für die sichere Kommunikation mit Zahlungsdienstleistern besser vorbereitet zu sein als Banken in anderen Ländern.
Banken und Finanzinstitute in Europa müssen zwar für diese Initiativen Investitionen tätigen, aber Verzögerungen oder die Nichteinhaltung der Vorschriften würden sie weitaus teurer zu stehen kommen. Die Regulierungsbehörden der EU-Mitgliedstaaten sollten weiterhin auf PSD2-Compliance drängen, damit der grenzüberschreitende Zahlungsverkehr tatsächlich effizienter und für Kunden sicherer wird und um den Markt für Zahlungsdienstleister weiter zu öffnen.
Mit der PSD2 wird die Identitätsprüfung zum wichtigsten Sicherheitsmerkmal bei Finanztransaktionen in ganz Europa. Davon sind nicht nur Banken und ihre Kunden betroffen, sondern die Bank-ID wird zu einer flexibel einsetzbaren Identität, die in zahlreichen unterschiedlichen Services verwendet werden kann. Diese Änderung zeugt von einem neuen Trend: der zunehmenden Bedeutung der digitalen Identität bei Aktionen im Internet.
- Die digitale Identität wird zum wichtigsten Sicherheitsmerkmal
- Sicherer Datenaustausch notwendig
Lesen Sie mehr zum Thema
