Sponsored Content: Ist Ihre Authentifizierungs-Lösung fit für PSD2?

Von Jonathan Knoll, Direktor Zentral-Europa Entersekt

Bei der Umsetzung der PSD2-Richtlinie läuft den Banken die Zeit davon. Stichtag für die Umsetzung der PSD2 (Payment Services Directive) ist der 14. September 2019. Dann muss Ihre Organisation in der Lage sein, gegenüber den Regulierungsbehörden die Konformität zur Richtlinie nachzuweisen. Jedoch schon sechs Monate vorher, am 14. März 2019, muss eine Dokumentation der technischen Schnittstelle sowie eine entsprechende Testumgebung zur Verfügung stehen. Dies ist in den Regulatory Technical Standards (RTS) der Europäischen Bankenaufsichtsbehörde festgeschrieben. Sie legen unter anderem fest, welche Anforderungen hinsichtlich starker Kundenauthentifizierung (SCA) erfüllt werden müssen.

Neben den reinen Compliance-Aspekten sollten Sie bei der Überprüfung Ihrer Authentifizierungs-Lösung auf folgende Punkte achten: Bietet Ihre SCA-Lösung eine konsistente und überzeugende Anwendungserfahrung, trägt sie dazu bei, Kosten zu senken und ermöglichst sie die Weiterentwicklung digitaler Services.

  1. Audit-fähige SCA-Compliance sicherstellen

Bei der Umsetzung der PSD2-Anforderungen im Bereich starke Kundenauthentifizierung müssen Banken folgende Aspekte berücksichtigen:

  • Die starke Kundenauthentifizierung ist für alle Nahfeld- und Online-Transaktionen über sämtliche Kanäle erforderlich. Im Rahmen von SCA werden zwei von drei möglichen Faktoren (Wissen, Besitz und Eigenschaft) zur Authentifizierung eingesetzt. Wir glauben, dass dem Faktor Besitz dabei die wichtigste Rolle zukommt. Das Smartphone eignet sich dafür im besonderen Maße – also ein mobiles Endgerät, das Kunden immer mit sich führen. In Kombination mit anderen Faktoren, wie zum Beispiel PIN/Passwort oder biometrischen Verfahren, entsteht so ein mehrschichtiger Ansatz.
  • Der Authentifizierungs-Code für jede Transaktion muss dynamisch mit dem Betrag und dem Zahlungsempfänger verknüpft sein.
  • SCA-Elemente müssen voneinander getrennt und unabhängig sein. Dies lässt sich durch vollständig verschlüsselte so genannte „Out-of-Band“-Authentifizierungskanäle erzielen. Out-of-Band bedeutet, dass ein unabhängiger zweiter Kommunikationskanal genutzt wird. Dann können sogar Transaktionen in einer einzigen App auf einem einzigen Gerät sowohl initiiert als auch authentifiziert werden.
  • Es muss gewährleistet sein, dass personalisierte Anmeldeinformationen zur Authentifizierung genutzter Geräte sowie jegliche im Authentifizierungsprozess verwendete Software zuverlässig dem jeweiligen Kunden zugeordnet werden können. Anders formuliert: One-Time-Passwörter (OTP) sind keine brauchbare Option mehr – führende Analysten wie Gartner sowie Regulierungs- und Branchenorganisationen bestätigen dies bereits seit Jahren.
  • Der Zugriff von Drittanbietern (TPP= Third-Party Provider) auf Kundendaten muss überwacht und durch Verfahren geschützt werden, die die eindeutige Zustimmung des Kunden einholen. Damit Drittanbieter das Recht zum Datenzugriff erhalten, ist ein verbindlicher und signierter Nachweis der Kundenzustimmung erforderlich. Dies kann durch Einholung digital signierter Kundenmandate für alle Transaktionen erreicht werden.
  1. Konsistente und überzeugende Anwendungserfahrung bieten

Bankkunden erwarten eine sichere Lösung, die gleichzeitig einfach zu bedienen ist. Wenn Sie wollen, das die Anzahl der Transaktionen steigt und es nicht zu unnötigen Abbrüchen kommt, stellen Sie sicher, dass Ihre Lösung in folgenden Punkten „State-of-the-Art“ ist. Nur so stärken Sie mit jeder einzelnen Interaktion das Kundenvertrauen und schaffen die Infrastruktur für die Einführung neuer Services und Angebote.

  • Sorgen Sie für eine hohe Konvergenz der Authentifizierung. Verwenden Sie also dieselbe SCA-Methode für mehrere Anwendungsszenarien, sodass die Anwendungserfahrung über alle Kanäle hinweg konsistent ist. Auf diesem Weg wird Authentifizierung nicht nur einfacher, sondern stärkt auch das Anwendervertrauen und führt zu reduzierten Gesamtbetriebskosten (Total Cost of Ownership, TCO), da nur noch eine einzige Authentifizierungsplattform unterstützt werden muss.
  • Stellen Sie sicher, dass Ihre Authentifizierungsmethode so einfach zu bedienen ist wie möglich, sodass Kunden sie für alle Anwendungsfälle nutzen. Anstatt eine Kundeninteraktion bei der Authentifizierung zu vermeiden, sollten Sie sie als Chance begreifen: Jede Kundeninteraktion über Ihren SCA-Kanal stärkt das Vertrauen. Sobald PSD2 in Kraft ist, können viele neue Drittanbieter (TPPs) mit Ihren Anwendern interagieren, deshalb ist die Herstellung eines besonderen Vertrauensverhältnisses so wichtig.
  • Die Verschlüsselung sensibler Daten innerhalb der Mobile-Banking-App sollte selbstverständlich sein. Positionieren Sie sich als vertrauenswürdiger Partner für den Schutz der Vermögenswerte Ihrer Kunden in einer digitalisierten Welt. Ermöglichen Sie Ihren Kunden die volle Kontrolle bei risikobehafteten Interaktionen durch Echtzeit-Eingabeaufforderungen über einen vertrauenswürdigen Kanal.
  • Die meisten Interaktionen mit Drittanbietern, die durch PSD2 möglich werden, erfolgen voraussichtlich über mobile Kanäle. Mobile Interaktion ist deshalb der Schlüssel für den Erfolg Ihrer Organisation.
  1. Kosten senken und Weiterentwicklung ermöglichen

Kann man verpflichtende Compliance-Anforderungen in einen strategischen Vorteil verwandeln? Das funktioniert, wenn Sie auf folgende Punkte achten:

  • Implementieren Sie eine Lösung, die den gesamten Anwender- und Authentifizierungs-Lebenszyklus abdeckt, von Rollout, Wartung und Kontowiederherstellung bis zum Off-Boarding-Prozess und dem Hinzufügen neuer Kanäle. Investieren Sie in eine Lösung, die von Grund auf für die mobile und Online-Welt entwickelt wurde. Dies gibt Ihnen die nötige Flexibilität, um sich – ohne neue Lösungen implementieren zu müssen – an zukünftige technische Standards der Regulierungsbehörden anzupassen.
  • Senken Sie Kosten durch Nutzung einer einzigen Authentifizierungsplattform für alle Authentifizierungsszenarien. Damit können Sie Kunden schneller, effizienter und damit wirtschaftlicher bedienen. Stärken Sie das Kundenvertrauen durch Aufbau einer konsistenten Anwendungserfahrung für alle Kanäle.
  • Sobald ein sicherer Kanal zum Kunden verfügbar ist, können Sie neue digitale Services einführen, auf die Kunden zu jeder Zeit und an jedem Ort Zugriff haben. Damit stärken Sie die Bindung Ihrer bestehenden Kunden und ziehen gleichzeitig Neukunden an. Ein wesentliches Prinzip von PSD2 ist es, Kunden dabei zu unterstützen, ihre eigenen Daten zu kontrollieren. Indem Sie Kunden die Möglichkeit geben, jede einzelne Banking- oder andere Transaktion auf dem Mobilgerät freizugeben, bieten Sie genau die von PSD2 geforderte Kontrolle.

Fazit:

Wenn eine Bank als Wächter der Vermögenswerte ihrer Kunden in einer digitalisierten Welt wahrgenommen wird, verändert sich dadurch ihre strategische Position gegenüber Kunden und Drittanbietern. Die Bank bietet dann mehr als einen alltäglichen Standard-Service und wird zum Verwalter aller aktuellen und zukünftigen Vermögenswerte, welche Form diese auch haben mögen. Durch Services, die auf den Zugriff und das Management dieser Vermögenswerte fokussiert sind, untermauern Banken ihre Positionierung als wichtiger Bestandteil der Wertschöpfungskette. Banken schützen und erhalten ihre Kundenbeziehungen, während Drittanbieter zusätzliche Services bereitstellen.

Auf diesem Weg ist PSD2 nicht länger nur ein Kostentreiber. Stattdessen ist PSD2 eine Chance für Banken, ihr Leistungsversprechen auch in einer digitalen Welt der Zukunft zu unterstreichen. Banken, die diese Chance ergreifen, werden langfristig davon profitieren. Wer diese Gelegenheit hingegen nicht nutzt, befindet sich auf dem Weg zu einem austauschbaren Anbieter von Allerweltsdienstleistungen.

Verwandter Link: SRC bestätigt PSD2-Konformität von Transakt