Payment Services Directive 2
Mehr Sicherheit für Banken-APIs
Seit dem 14.9. müssen Banken externen Finanzdienstleistern Zugriff auf Kundendaten geben, insofern es der Kunde wünscht. Über APIs werden die Kundendaten übertragen. Diese Schnittstellen bieten allerdings neue Angriffspunkte. Absichern lassen sie sich nur mit speziellen IT-Sicherheitsstrategien.
Die zweite Zahlungsdiensterichtlinie der EU – kurz PSD2 – öffnet den Zahlungsverkehr gegenüber Drittparteien. Durch dieses „Open Banking“ können Kunden beim Einkauf im Internet Zahlungsauslösedienste (ZAD) beauftragen. Das ermöglicht eine Bezahlung per Sofort-Überweisung. Zudem können Kunden, die Konten bei verschiedenen Banken haben, durch die neuen Regularien Kontoinformationsdienste (KID) nutzen: Diese zeigen alle Umsätze und Kontostände in einer zentralen Übersicht an. Damit die Kundendaten übertragen werden können, definiert die PSD2 sogenannte Application Programming Interfaces (APIs).
Eine API dient dem Austausch und der Weiterverarbeitung von Daten und Inhalten zwischen verschiedenen Websites, Programmen und Anbietern, und ermöglicht so Dritten den Zugang zu vorher verschlossenen Datenpools und Benutzerkreisen. Streng genommen ist die API keine Schnittstelle. Sie ist vielmehr der Anfang zu jeder Schnittstelle und ohne eine API kann demnach auch keine Schnittstelle existieren. Wenn von APIs im Zuge von PSD2 die Rede ist, sind sogenannte Webservice APIs oder Web APIs gemeint, also APIs, die über das Internet kommunizieren.
Strenge Authentifizierung
Für die Kunden bedeutet Open Banking mehr Komfort, für Fintechs bedeutet es einen besseren Zugang in den Markt. Online Banking soll aber nicht nur bequemer, sondern auch sicherer werden. Aus diesem Grund verpflichtet die PSD2 Zahlungsdienstleister dazu, eine sogenannte starke Kundenauthentifizierung – abgekürzt SCA – zu entwickeln. In den technischen Regulierungsstandards (RTS) wird dafür eine Kombination aus mindestens zwei voneinander unabhängigen Elementen vorgegeben: Kombiniert werden kann beispielsweise etwas, das der Kunde weiß, also ein Passwort, mit etwas, das er besitzt – also zum Beispiel einer TAN – oder mit einem biometrischen Merkmal, wie einem Fingerabdruck.
Banken müssen zukünftig gewährleisten, dass die neuen Authentifizierungsverfahren bei der Anbindung der Drittparteien umgesetzt werden. Zudem müssen sie die neuen APIs absichern, denn diese sind einer Vielzahl von Angriffsszenarien ausgesetzt – gleichzeitig bieten sie Zugang zu sensiblen Informationen. APIs verbinden Maschinen und Softwareanwendungen wie Puzzleteile miteinander. Da es dabei ihre Aufgabe ist, Zugang zu sensible Daten zu verschaffen, sind APIs heute zunehmend im Visier von Hackern. Wird eine API nicht abgesichert, erhält der Hacker außerdem Zugriff auf weitere Applikationen, die mit ihr verbunden sind.
Kurz gefasst: Payment Services Directive 2 (PSD2)
Mit der Payment Services Directive 2 gibt es klare Regeln für die Nutzung von Zahlungsauslösediensten für das Initiieren von Überweisungen im Online Banking oder von Kontoinformationsdiensten zur Abfrage und Auswertung von Kontodaten. Das bedeutet, dass Verbraucher sich zum Beispiel bei einem Einkauf im Internet nicht extra in das Online Banking ihres Kreditinstituts einloggen müssen, sondern die Überweisung über einen auf der Händlerseite angebotenen Zahlungsauslösedienst beauftragen können. Durch die Nutzung eines Kontoinformationsdienstes haben sie die Möglichkeit sich für alle Zahlungskonten, die sie bei verschiedenen Banken haben, die Kontostände und Umsätze in aufbereiteter Form anzeigen zu lassen.
Damit die Zahlungsauslöse- sowie Kontoinformationsdienstleister diese Services anbieten können, brauchen diese aber die Erlaubnis und den Zugang zum Konto des Nutzers. Die PSD2 regelt den Zugang dieser „dritten Zahlungsdienstleister“ auf die Zahlungskonten bei den kontoführenden Zahlungsdienstleistern. Zugang wird diesen Anbietern aber nur gewährt, wenn der Nutzer als Kontoinhaber dem explizit zustimmt. Ohne ausdrückliche Zustimmung ändert sich nichts: Es wird keine Zahlung ausgeführt und es darf kein Drittdienstleister auf die Kontodaten des Nutzers zugreifen. Die Umsetzung der PSD2 erfolgt in zwei Stufen. Die erste Stufe trat zum 13. Januar 2018 in Kraft und enthielt unter anderem die Senkung der verschuldensunabhängigen Haftungsobergrenze bei missbräuchlichen Kartenverfügungen, das sogenannnte Surcharching-Verbot und die Ausweitung des Anwendungsbereiches auf Nicht-EU/EWR-Währungen. Die Verpflichtung zur starken Kundenauthentifizierung und die Öffnung der Zahlungskonten für „Dritte“ wurden zunächst noch in Technischen Regulierungsstandards der Europäischen Kommission (RTS, Regulatory Technical Standards) näher spezifiziert. Sie traten mit der zweiten Stufe am 14. September 2019 in Kraft.
- Mehr Sicherheit für Banken-APIs
- Sintflutartige Anfragen
Lesen Sie mehr zum Thema
