Gastbeitrag: Starke Kundenauthentifizierung
Durch die zweite Zahlungsverkehrsdirektive (PSD2) wird der starken Kundenauthentifizierung aktuell viel Aufmerksamkeit geschenkt. Während mit den „Mindestanforderungen an die Sicherheit von Internetzahlungen" bereits seit 2015 für die Auslösung von Internetzahlungen der Schutz durch eine starke Kundenauthentifizierung bis auf definierte Ausnahmen grundsätzlich verpflichtend war, werden nun alle elektronischen Zahlungsvorgänge betrachtet. Ein Gastbeitrag von Dr. Beate Schmitz, Managementberaterin der Fachgruppe Payment - Standards und Services bei der SIZ GmbH.
Mit den Änderungen des Zahlungsdiensteaufsichtsgesetzes (ZAG) werden in § 55 diese Anforderungen ab dem 13.1.2018 sogar in das deutsche Recht aufgenommen.
Es ist somit gesetzlich verankert, wann zur Identitätsprüfung des Kunden grundsätzlich eine starke Kundenauthentifizierung angewendet werden muss, nämlich
- wenn ein elektronischer Zahlungsvorgang erfolgt,
- wenn der Kunde online auf sein Konto zugreift oder
- wenn ein Kunde über einen Fernzugang sicherheitsrelevante Handlungen vornimmt, wie z.B. die Änderung eines Kennworts.
Bei der Prüfung müssen Faktoren zur Anwendung kommen, die aus mindestens zwei verschiedenen Kategorien stammen:
- Wissen: Etwas, das nur der Kunde weiß, z.B. ein Kennwort oder eine PIN
- Besitz: Etwas, das nur der Kunde besitzt, z.B. eine Chipkarte, ein Token oder ein Smartphone
- Inhärenz: Eine biometrische Eigenschaft des Kunden, z.B. ein Fingerabdruck, die Stimme oder Iris-Scan
Um diese Vorgaben weiter zu konkretisieren, wurde die EBA (European Banking Authority) innerhalb der PSD2 damit beauftragt, einen technischen Regulierungsstandard zu den Anforderungen an die starke Kundenauthentifizierung und die Ausnahmeregelungen vorzuschlagen. Dieser Vorschlag der EBA liegt seit dem 23. Februar 2017 als Entwurf „Regulatory Technical Standards on Strong Customer Authentication and common and secure communication" (RTS SCA und CSC) vor. Sobald durch die Europäische Kommission eine finale Textfassung vorliegt, ist der RTS durch die EU-Gremien zu ratifizieren. Im Anschluss haben die Zahlungsdienstleister achtzehn Monate Zeit zur Umsetzung der erforderlichen Maßnahmen.
Von der grundsätzlichen Anforderung, eine starke Authentifizierung anzuwenden, lässt die Regulierung eine Reihe von Ausnahmen zu. Beispielsweise können Kleinbetragszahlungen im Internet oder bei kontaktloser Nutzung der Karte unter bestimmten Rahmenbedingungen auf eine starke Authentifizierung verzichten. An Einsatzfeldern mit besonders hohem Durchsatz wie dem ÖPNV oder Maut-Stationen kann die Zahlung am Automaten ohne PIN-Eingabe erfolgen. Wenn der Zahlungsdienstleister in Echtzeit eine risikobasierte Transaktionsanalyse durchführt, kann er bei Einhaltung vorgegebener Quoten für als sicher eingestufte Zahlungen auf die starke Kundenauthentifizierung verzichten. Für den Kontozugriff gelten ebenfalls eine Reihe von Ausnahmen, z.B. durch die Pflege von Positiv-Listen durch den Kunden oder für regelmäßige Zahlungen.
Jenseits grundlegender Diskussionen um den Interpretationsspielraum der regulatorischen Vorgaben wird künftig im Einzelfall zu prüfen sein, ob ein Authentifizierungsverfahren als stark anerkannt wird, und durch die Anwendung welcher Ausnahmeregeln ein Zahlungsvorgang ggf. durch den Verzicht auf eine zusätzliche aktive Handlung des Kunden beschleunigt und vereinfacht werden kann. Egal ob Kontozugriff, die Auslösung einer Überweisung durch den Kunden oder die Zahlung im Internet - die Bedeutung biometrischer Verfahren und der Risikoüberwachungssysteme durch die gesetzlichen Vorgaben werden zunehmen. Alle Zahlungsdienste müssen sich weiterhin der Herausforderung stellen, sichere Verfahren mit Handhabbarkeit und Bequemlichkeit für den Kunden zu verbinden, um Erfolg zu haben.