Expertenplattform für den  Europäischen Zahlungsverkehr

Elektronischer Zahlungs­verkehr: Starke Kunden­authentifizierung und sichere Kommunikation

Diese Frist gilt für alle Bestimmungen der PSD2. In einigen Bereichen existieren allerdings Ausnahmen, da die European Banking Authority (EBA) weitere Standards und Leitlinien definiert hat bzw. noch definieren wird. Für diese gelten separate Umsetzungsfristen zwischen sechs 6 und 18 Monaten. Von großer Bedeutung für Zahlungsdienstleister ist der Technische Regulierungsstandard (RTS) zur starken Kundenauthentifizierung und sicheren Kommunikation. 

Dieser Standard ergänzt und konkretisiert die Anforderungen der PSD2, stellt aber keine technische Spezifikation dar. Der RTS beschreibt zusätzliche Sicherheitsanforderungen z.B. durch die Ausweitung der starken Kundenauthentifizierung und regelt den Zugriff zu Zahlungskonten durch Dritte. Dieser Zugriff ist durch die PSD2 ausdrücklich vorgesehen. Innovative Zahlungsdienstleistungen wie Zahlungsauslöse- oder Kontoinformationsdienste sind bereits am Markt vertreten und nutzen schon heute verschiedene Wege des Zugangs zu Konten, jedoch sind diese Dienstleistungen bisher nicht reguliert. Der RTS unterstützt das Ziel der Förderung dieser Innovationen im Zahlungsverkehr und fordert die Erhöhung der Sicherheit und den Schutz des Verbrauchers.

Zu Fragen nach einer einheitlichen, europaweiten Schnittstelle oder der verpflichtenden Nutzung schweigt sich die PSD2 allerdings aus.

RTS erweist sich als komplizierte regulatorische Anforderung

Die Verunsicherung im Markt war daher groß, als die EBA den ersten Entwurf der RTS veröffentlichte und zur Konsultation in den Markt gab. 

Dies spiegelte sich insbesondere in den Diskussionen und der Anzahl der Kommentare zur Erstellung des RTS wider. Mit 224 Antworten auf das Consultation Paper im August 2016 erreichte die EBA die bisher höchste Anzahl an Antworten von allen bisher durchgeführten Konsultationen. Außer einem großen Interesse ließen sich aus den Rückmeldungen auch die Irritationen und Sorgen vieler Marktteilnehmer herauslesen. 

Mit noch größerer Spannung wurde dann der finale Entwurf des RTS erwartet. Der nun vorliegende finale Entwurf der EBA (EBA/RTS/2017/02) dient der Vorlage bei der Europäischen Kommission, die diesen billigen muss. Im Falle einer nicht oder nur teilweisen Billigung erfolgt eine erneute Überarbeitung durch die EBA. In Kraft treten wird der RTS 18 Monate nach der Veröffentlichung im Amtsblatt der Europäischen Union, also frühestens Ende 2018. 

Aktuell wird jedoch die finale Veröffentlichung erst im Herbst dieses Jahres erwartet, so dass die Umsetzungsfrist vermutlich (erst) 2019 enden wird.

Inhalte im Detail

Allgemeines

Grundsätzlich wird beim eBanking eine umfangreichere Überwachung des Zahlungsverkehrs gefordert, vergleichbar mit der, wie sie aus dem Kartengeschäft bereits bekannt ist. Zahlungsdienstleister müssen Sicherheitsmechanismen vorweisen, die sicherstellen, dass nicht autorisierte und betrügerische Zahlungen unmittelbar erkannt werden. Hierfür ist es notwendig, das typische Nutzerverhalten der Kunden zu kennen. Außerdem müssen bekannte Betrugsszenarien, Hinweise auf Schadsoftware, die Höhe der Zahlungen sowie eine Übersicht gestohlener Autorisierungselemente berücksichtigt werden.

Falls für die Auslösung der Zahlungen Ausnahmen von der starken Kundenauthentifizierung angeboten werden, sind weitere Anforderungen an die Überwachung von Zahlungen gestellt. So müssen das Monitoring in Echtzeit erfolgen, ungewöhnliche Verhaltensmuster des Zahlers erkannt, Ort des Zahlers und Empfängers berücksichtigt und ungewöhnliche Nutzung von Zugangsgeräten und Software erkannt werden. Überwachungsmethode, Sicherheitsmaßnahmen sowie Betrugsraten müssen dokumentiert und jährlich überprüft werden. Audits durch unabhängige Prüfer sind vorgeschrieben und mindestens einmal jährlich durchzuführen. Der Bericht ist auf Nachfrage der zuständigen Behörde, in Deutschland der BaFin, vorzulegen.

Starke Kundenauthentifizierung im Zahlungsverkehr

Die PSD2 fordert eine starke Kundenauthentifizierung beim Zugriff auf ein Zahlungskonto, bei der Auslösung eines elektronischen Zahlungsvorgangs oder bei einer Handlung über einen Fernzugang, der das Risiko eines Betrugs im Zahlungsverkehr oder anderen Missbrauch birgt. 

Eine starke Kundenauthentifizierung setzt sich aus zwei von drei Elementen aus den Bereich Wissen, Besitz und Inhärenz zusammen. Die Kombination dieser Elemente bildet den Authentifizierungscode. Aus dem Authentifizierungscode darf es nicht möglich sein, einen Rückschluss auf die verwendeten Elemente zu bilden oder einen weiteren Authentifizierungscode abzuleiten. Im Falle einer nicht korrekten Eingabe eines Elements darf kein Hinweis erfolgen, welches Element nicht korrekt war. Eine mehrmalige Falscheingabe führt zur Sperrung. Zusätzlich wird das Timeout nach der erfolgreichen Anmeldung bei Inaktivität auf fünf Minuten festgesetzt.

Im Fall der Einleitung elektronischer Fernzahlungsvorgänge fordert die PSD2 die dynamische Verknüpfung eines Elements mit dem Betrag und dem Zahlungsempfänger. Der RTS konkretisiert diese Anforderungen der PSD2 nur dahingehend, dass diese Verknüpfung und somit auch der erzeugte Authentifizierungscode einmalig zu sein hat und Vertraulichkeit und Echtheit der Daten sichergestellt sind. Die EBA verzichtet an dieser Stelle bewusst auf weitere Vorgaben, um eine Technologieneutralität zu gewährleisten und somit offen für zukünftige technologische Entwicklungen zu bleiben. 

Im Alltag ist die Nutzung von mobilen Geräten bei Zahlern zur Auslösung von Zahlungen beliebt und verbreitet. Nach den RTS bleibt die Nutzung von zwei Elementen auf ein und demselben Mehrzweckgerät (z.B. Tablet oder Smartphone) ausdrücklich möglich. Die Nutzung von zwei Elementen auf dem gleichen Gerät erfordert aber die Nutzung von zwei getrennten, sicheren Umgebungen sowie Mechanismen zur Erkennung, ob die Software oder das Gerät durch Dritte geändert wurde, bzw. Mechanismen, um die Folgen einer solchen Änderung zu entschärfen.

Weitere wichtige Ausnahmen von der starken Kundenauthentifizierung gibt es im Bereich der Informationsabfrage zum Zahlungskonto. Der RTS versucht hier dem Konflikt zwischen den erhöhten Sicherheitsanforderungen einerseits und der vom Zahler häufig gewünschten Usability andererseits gerecht zu werden.

Abgesehen von der initialen Anmeldung ist eine starke Kundenauthentifizierung lediglich alle 90 Tage gefordert, wenn beim Zugriff auf das Zahlungskonto kein Zugriff auf sensible Zahlungsdaten möglich ist, etwa weil nur der Kontostand sowie die ausgeführten Zahlungen der vergangenen 90 Tage abgefragt werden (ausdrücklich ausgenommen von den sensiblen Zahlungsdaten). Der Aufruf durch Kontoinformationsdienste ist grundsätzlich auf vier Aufrufe pro Tag beschränkt, wenn der Zahlungsdienstnutzer nicht aktiv am Aufruf beteiligt ist. Abweichende Absprachen zwischen Kontoinformationsdienstleistern und kontoführenden Zahlungsdienstleistern sind möglich.

Im Fall der Auslösung einer Zahlung wurden ebenfalls Ausnahmen spezifiziert. 

  • Kontaktlose Zahlungen sind bis zu einem Betrag von 50 € ohne einen zweiten Faktor möglich, jedoch nur bis zu einer Gesamtsumme von 150 € oder fünf 5 aufeinanderfolgenden Zahlungen (ein Zeitraum ist nicht definiert)
  • Zahlungen von Transport- und Parkgebühren sind ausgenommen, wenn die Zahlung an einem unbedienten Zahlungsterminal erfolgt. Die Intention ist z.B. Staus an Mautterminals zu verhindern oder die Sicherheit bei der Zahlung von Parkgebühren zu erhöhen („Shoulder Surfing“)
  • Zahlungen an Empfänger, die über eine Whitelist gepflegt werden, jedoch nicht die Erstellung oder Pflege der Liste
  • Wiederkehrende Zahlungen, jedoch nicht die erste Zahlung
  • Zahlungen an ein eigenes Konto beim gleichen Zahlungsdienstleister
  • Kleinbetragszahlungen bis 30 €, jedoch nur bis zu einer Gesamtsumme von 150 € oder fünf aufeinanderfolgenden Zahlungen (ein Zeitraum ist nicht definiert)
  • Zahlungen mit geringem Risiko, welches durch eine Risikoanalyse zu belegen ist

Die Risikoanalyse basiert zum einen auf durch die RTS definierten Fraudraten und zum anderen auf einem ausführlichen Risikoscoring. Die Bewertung des Risikolevels erfolgt u.a. über Abweichungen zum gewöhnlichen Zahlungsverhalten, ungewöhnliche Informationen zu genutzten Geräten oder Software, den Ort des Zahlers und auch den Ort des Zahlungsempfängers, der kein hohes Risiko aufweisen darf.

Die Nutzung von risikobasierten Ausnahmen von der starken Kundenauthentifizierung ist laufend zu überwachen. Die Ergebnisse sind auf Nachfrage der zuständigen Behörde zu übermitteln.

Zusätzlich darf die Fraudrate definierte Schwellwerte in einem Zeitraum von 180 Tagen nicht überschreiten, ansonsten sind die Ausnahmen nicht weiter erlaubt und die vollständige starke Kundenauthentifizierung mit zwei Faktoren durchzuführen. Bei der Reaktivierung der Ausnahmen ist die zuständige Behörde zu informieren, zudem sind Maßnahmen zu benennen, wie die Anforderungen eingehalten werden können.

Vertraulichkeit und Integrität der persönlichen Zugangsdaten

Die persönlichen Zugangsdaten wie auch der daraus erzeugte Authentifizierungscode müssen durch den Zahlungsdienstleister jederzeit geschützt sein. 

Die Eingabe eines Faktors hat maskiert zu erfolgen, und Eingaben dürfen niemals komplett lesbar sein. Auch sind Zugangsdaten sowie die zugehörigen Verschlüsselungen niemals im Klartext zu speichern. Alle Daten sind vor unbefugten Zugriffen zu schützen. Die Verarbeitung hat nur in sicheren Umgebungen und nach anerkannten Industriestandards zu erfolgen. Auch hier bleibt der RTS technologieneutral, um zukünftigen Entwicklungen folgen zu können.

Sichere Kommunikation 

Zahlungsdienstleister werden nach der PSD2 in kontoführende Zahlungsdienstleister, Kontoinformationsdienstleister, Zahlungsauslösedienstleister und Drittkartenemittenten unterschieden. Alle Zahlungen und sonstigen Interaktionen mit dem Zahler, Zahlungsdienstleister oder auch sonstigen Akteuren, wie z.B. Händlern, müssen inkl. aller Zwischenschritte nachvollziehbar sein. Jede Session muss eindeutig identifiziert werden, und der Zeitstempel muss sich nach einem offiziellen Zeitsignal richten. Eine Session ist nicht länger als notwendig aufrecht zu erhalten und im Falle vom Drittdienstleistern von diesen zu beenden.

Die Kommunikation zwischen den beteiligten Zahlungsdienstleistern hat über die im RTS benannte Schnittstelle zu erfolgen. Der RTS lässt die Wahl, ob eine dezidierte Schnittstelle oder eine bereits vorhandene Schnittstelle zur Kundenkommunikation genutzt werden soll. Es wird allerdings ausdrücklich klargestellt, dass „Screen Scraping“ nicht länger erlaubt ist.

Um auch hier die Technologieneutralität zu wahren, wird lediglich auf europäische und internationale Standards verwiesen. Ausdrücklich genannt wird nur der ISO 20022, der internationale Standard für Nachrichten im Zahlungsverkehr. Die Spezifikation der Schnittstelle muss vom kontoführenden Zahlungsdienstleister dokumentiert und verfügbar gemacht werden. Zur Veröffentlichung auf der Website ist eine Zusammenfassung ausreichend. Zugang zur vollständigen Spezifikation erhalten zugelassene Zahlungsdienstleister sowie diejenigen, die eine Zulassung beantragt haben. Die Spezifikation ist kostenlos zur Verfügung zu stellen und Änderungen sind rechtzeitig zu kommunizieren. Zusätzlich ist eine Testmöglichkeit, inkl. Support bereitzustellen.

Die angebotene Schnittstelle muss die gleiche Erreichbarkeit und Performance aufweisen, wie die Schnittstelle, welche der Kunde direkt nutzen kann. Die Erreichbarkeit und Performance ist zu überwachen und das Ergebnis auf Nachfrage der zuständigen Behörde mitzuteilen. Bei Einschränkungen hat eine Meldung an die zuständige Behörde durch den kontoführenden Zahlungsdienstleister zu erfolgen. Zusätzlich sind auch die übrigen Beteiligten aufgefordert, Einschränkungen zu melden. Der kontoführenden Zahlungsdienstleister hat einen Notfallplan vorzuhalten, falls die Schnittstelle nicht verfügbar ist. Dieser Plan enthält u.a. den Kommunikationsprozess und Maßnahmen zum weiteren Vorgehen.

Als weitere Sicherheitsmaßnahme wird auf qualifizierte Zertifikate für elektronische Siegel verwiesen, die in der Verordnung 910/2014 beschrieben sind. Die Registrierungsnummer des Zertifikates soll im EBA Register der Zahlungsdienstleister eingetragen werden.

Fazit

Der RTS verschafft Klarheit in vielen Punkten. Die Ausnahmen von der starken Kundenauthentifizierung betreffen einige wichtige Bereiche, wie z.B. das kontaktlose Bezahlen. Ob sich der geforderte Aufwand lohnt, die Ausnahmen zu nutzen, ist in einigen Bereichen sicherlich fraglich. Kunden sind es heute in der Regel gewohnt, bei jeder Auslösung einer Zahlung im eBanking einen zweiten Faktor einzugeben, unabhängig von der Höhe der Zahlung oder des Empfängers.

Artikel als PDF

Autoren

Kommentare

Schreiben Sie den ersten Kommentar.