SRC Newsletter
HOME | UNSUBSCRIBE
 
 

Willkommen zur Sonderausgabe unseres Newsletters zu MaSI und ITSiG

Liebe Leserinnen und Leser,

zum Ende des Jahres 2017: Ein Newsletter auf Deutsch!

In dieser Sonderausgabe geht es um europäische Gesetzgebung (PSD2 und EBA RTS) und die daraus resultierenden Herausforderungen für die deutsche Kreditwirtschaft und alle, die Zahlungsverkehr betreiben. Daher haben wir uns in diesem besonderen Fall auch für die deutsche Sprache entschieden.

In den letzten Wochen und Monaten haben wir im Rahmen die Berlin Group bei ihren intensiven Konsultationen unterstützt und die Ergebnisse im Rahmen der NextGenPSD2 Conference in Berlin vorgestellt. Neben den technischen Implikationen kommen im Windschatten von PSD2 aber auch eine Vielzahl an regulatorischen und organisatorischen Herausforderungen auf den Zahlungsverkehr zu.

Da wir wissen, dass viele unserer Kunden den Anforderungen der PSD2 und der EBA RTS genügen müssen, möchten wir daher über unseren Newsletter und unsere Webseite einen strukturierten und praxisorientierten Ansatz vorstellen, der Ihnen den Umgang mit diesem Themenkomplex erleichtern soll. Gerne stehen wir natürlich für individuelle Gespräche zu Spezifikation, Implementierung, Test und Compliance zur Verfügung.

Zu guter Letzt möchten wir diese Sonderausgabe nutzen, um Ihnen und Ihren Familien einen ersten Weihnachtsgruß und die besten Wünsche für eine besinnliche Adventszeit zu übermitteln.

Viel Spaß beim Lesen!
Gerd Cimiotti

 

SRC Newsletter Sonderausgabe zu PSD2 und EBA RTS

Europäische Kommission konkretisiert PSD2 mit dem technischen Regulierungsstandard RTS

Am 27. November 2017 hat die Europäische Kommission den finalen technischen Regulierungsstandard (Regulatory Technical Standards/RTS) mit wegweisenden Regelungen für den elektronischen Zahlungsverkehr verabschiedet. Der RTS konkretisiert die Zweite Zahlungsdiensterichtlinie (Payment Service Directive 2/PSD2), die europaweit zum 13. Januar 2018 in Kraft tritt. Mit der Zustimmung des Europäischen Rates und des Europäischen Parlaments und der offiziellen Veröffentlichung des RTS im Amtsblatt der EU wird aktuell für Februar/März 2018 gerechnet. Danach müssen die Anforderungen des RTS innerhalb von 18 Monaten umgesetzt werden, also voraussichtlich bis September 2019.

Online-Zugang zum Zahlungskonto für Drittdienstleister

Zum einen konkretisiert der RTS die Anforderungen an den durch die PSD2 geforderten Online-Zugang zum Zahlungskonto für sogenannte Drittdienste (sog. Zahlungsauslösedienste und Kontoinformationsdienste). Mit Zustimmung des Kunden soll es solchen Diensteanbietern möglich sein, im Auftrag des Kunden Zahlungen zu veranlassen oder Kontoinformationen abzurufen. Hierzu müssen Institute den Drittdienstleistern eine geeignete Schnittstelle zur Verfügung stellen.

Auch wenn die Bezeichnung dies nahelegt, gibt der RTS keine konkreten technischen Schnittstellenstandards vor. Stattdessen werden Anforderungen formuliert, die ein technischer Schnittstellenstandard zu erfüllen hat. Die von der Deutschen Kreditwirtschaft maßgeblich mitgetragene europäische Standardisierungsinitiative „Berlin-Group“ hat daher im Vorgriff auf die Vorgaben des RTS eine technische Schnittstellenspezifikation entwickelt und bereits am 25. Oktober 2017 in einer Konferenz vor großem Publikum vorgestellt.

Der RTS stellt hohe Anforderungen an die technische Leistungsfähigkeit der neuen Schnittstelle. Kontoführende Institute müssen bis September 2019 nicht nur eine entsprechende technische Schnittstelle umsetzen, sondern auch gegenüber der nationalen Aufsichtsbehörde unter Beweis stellen, dass die Schnittstelle eine ausreichend hohe technische Leistungsfähigkeit gewährleistet. Hierzu soll ein dreimonatiger „Prototype-Test“ und ein anschließender dreimonatiger „Live-Test“ unter Marktbedingungen durchgeführt werden. Die sogenannten Key Performance-Indikatoren, deren Einhaltung dann nachzuweisen ist, sind noch nicht abschließend definiert. Bezüglich der Leistungsfähigkeit muss die Schnittstelle aber mindesten die Performanz des heutigen Online-Banking gewährleisten. Ist dies nicht der Fall besteht für das kontoführende Institut das Risiko, dass es noch einen zweiten Zugang vorhalten muss, der bei nicht ausreichender Leistungsfähigkeit des primären Zugangs von Drittdienstleistern als Fallback genutzt werden kann.

Für Institute bedeutet dies, dass die Zeit zur Umsetzung der neuen Schnittstelle relativ kurz ausfällt und dass sie – wenn sie die zusätzlichen Kosten für den Unterhalt einer zweiten Fallback-Schnittstelle vermeiden möchten – relativ früh in 2019 damit beginnen müssen, entsprechende Performance-Tests durchzuführen.

Institute, die sich für die Berlin Group-Schnittstelle als neue Schnittstelle für Drittdienstleister interessieren, können von SRC umfassend sowohl in Bezug auf die Umsetzung der Schnittstelle als auch auf die Durchführung von Performance-Tests für die neue Schnittstelle unterstützt werden.

Berechtigungsnachweis durch qualifizierte Zertifikate

Damit Institute nur von Aufsichtsbehörden zugelassenen Drittdiensten den Zugriff auf das Konto gewähren, müssen sich in Zukunft alle für den Kontozugriff zugelassenen Dienstleister durch qualifizierte Zertifikate ausweisen. Diese Zertifikate müssen strengen Sicherheitsvorgaben gehorchen, die durch die europäische eIDAS-Verordnung vorgegeben werden. Zumindest in Deutschland stehen schon Anbieter für solche Zertifikate in den Startlöchern. Auf Grundlage der Registrierungsnummer des Zahlungs- bzw. Drittdienstes soll das Zertifikat gesichert darüber Auskunft geben, ob es sich bei dem Kommunikationspartner um ein kontoführendes Institut, einen Kontoinformationsdienst oder einen Zahlungsauslösedienst handelt, und welche Behörde den Dienstleister zugelassen hat. Drittdienstleister und Institute, die selbst auch entsprechende Drittdienste anbieten wollen, die den Zugriff auf Konten bei anderen Instituten voraussetzen, müssen sich daher um die Erteilung eines entsprechenden Zertifikats kümmern. Gleichzeitig müssen alle kontoführenden Institute bei der Umsetzung ihrer Schnittstelle für Drittdienstleister sicherstellen, dass sie in der Lage sind, die Zertifikate von Drittdienstleistern zu verifizieren. Denn neben der PSD 2 sind auch die Anforderungen der EU-Datenschutzgrundverordnung einzuhalten, nach denen kontoführende Institute sicherstellen müssen, dass sie Kontoinformationen nicht an unberechtigte Dritte weitergeben.

Starke Authentikation

Darüber hinaus formuliert der RTS sicherheitstechnische Vorgaben für Authentifikationsverfahren, die Institute ihren Kunden im elektronischen Zahlungsverkehr zur Verfügung stellen. Diese Anforderungen gelten nicht nur für das Bezahlen im Internet oder für Transaktionen im Online-Banking, sondern auch für das Bezahlen mit Karte am Terminal oder für Verfügungen am Geldautomat. Die Verfahren müssen den Anforderungen der sogenannten „starken Kundenauthentifizierung“ genügen, was in erster Linie bedeutet, dass mindestens zwei der drei Faktoren „Wissen“ (z.B. PIN), „Besitz“ (z.B. Karte) oder „Biometrie“ (z.B. Fingerabdruck am Smartphone) zwingend zu verwenden sind. Der RTS formuliert die bereits in der PSD2 genannten Anforderungen weiter aus, in dem er z.B. Vorgaben für Verfahren macht, die in mobilen Endgeräten wie Smartphones zum Einsatz kommen. Der RTS sagt aber nichts darüber aus, welchen Widerstand die Verfahren gegen einen Angreifer leisten müssen, wie schwer sie also zu überwinden sind. Es werden vielmehr abstrakte Anforderungen definiert, deren Einhaltung nachzuweisen ist. Gemäß Artikel 3 des RTS sollen die zum Einsatz kommenden Sicherheitsmaßnahmen dokumentiert und von einem sachverständigten Dritten überprüft werden. SRC verfügt aufgrund seiner langjährigen Erfahrungen aus der Sicherheitsüberprüfung von Zahlungsverkehrskomponenten über umfassende Kenntnisse, um Institute sowohl bei der Dokumentation der von ihnen eingesetzten starken Authentifizierungsverfahren als auch bei deren Sicherheitsüberprüfung zur Umsetzung der Vorgaben des RTS zu unterstützen.

Verfahren: Dokumentieren und Prüfen

Dies gilt übrigens nicht nur für die Dokumentation und die Sicherheitsüberprüfung der starken Authentifizierungsmechanismen (gem. Kapitel 2 des RTS), sondern auch für die Dokumentation und Überprüfung der Sicherheitsanforderungen an den Lebenszyklus personalisierter Sicherheitsmerkmale (gem. Kapitel 4 des RTS). Auch hier sind die zum Einsatz kommenden Verfahren zu dokumentieren und regelmäßig auf ihre Wirksamkeit hin zu überprüfen.

Um weniger risikobehaftete Zahlungen möglichst bequem abwickeln zu können, lässt der RTS aber auch Ausnahmen von der Verwendung der „starken Kundenauthentifizierung“ zu. So kann z.B. bei kontaktlos abgewickelten Zahlungen am POS unterhalb bestimmter Betragsgrenzen auf die Eingabe der PIN verzichtet werden. Gleiches gilt z.B. bei Online-Zahlungen an Zahlungsempfänger, die in einer "Whitelist" gespeichert sind, bei niedrig-wertigen Zahlungen im Internet oder bei Zahlungen, bei denen im Rahmen einer Online durchgeführten Transaktionsanalyse ein geringes Risiko festgestellt wurde. Speziell für die Ausnahme von der starken Kundenauthentifizierung aufgrund einer Transaktionsanalyse gilt aber, dass dies nur so lange genutzt werden kann, wie die Missbrauchsrate nicht in zwei aufeinanderfolgenden Quartalen oberhalb einer im RTS festgelegten Grenze liegt.

Kontoführende Institute müssen handeln

Für kontoführende Institute ergibt sich hieraus gleich mehrfacher Handlungsbedarf: einmal sind die Methoden zur Nutzung der Ausnahmen von der starken Kundenauthentifizierung zu dokumentieren und Verfahren zur regelmäßigen Wirksamkeitsprüfung der getroffenen Festlegungen festzulegen. Da die Bequemlichkeit bei der Zahlung sicher ein wichtiger Faktor für die Akzeptanz von Zahlungsverfahren im Markt ist, wird die Optimierung der Ausnahmen von der starken Kundenauthentifizierung in Zukunft möglicherweise zum Wettbewerbsfaktor. Gleichzeitig ist aber auch sicherzustellen, dass die im RTS genannten Grenzwerte für die Missbrauchsquote nicht in zwei aufeinanderfolgenden Quartalen überschritten werden. Hierfür ist zunächst einmal sicherzustellen, dass alle Missbrauchsinformationen im Institut zeitnah zu der vom RTS geforderten Statistik zusammengeführt werden.

Die relativ kurze Zeit zur Umsetzung der Anforderungen des RTS stellt große Herausforderungen an die kontoführenden Institute und es dürfte erforderlich sein, bereits frühzeitig mit Umsetzungsprojekten zu starten. Dabei ist zu berücksichtigen, dass verschiedene Einzelaspekte, wie z.B. die Key Performance- Indikatoren für die Leistungsfähigkeit der Schnittstelle für Drittdienstleister erst noch geklärt werden müssen. Es bietet sich daher an, sich jetzt vor allem mit den folgenden Punkten zu befassen:

  • Dokumentation und Evaluierung der zum Einsatz kommenden starken Authentifizierungsverfahren einschließlich der Maßnahmen zur Absicherung des Lebenszyklus der genutzten personalisierten Sicherheitsmerkmale,
  • Etablierung des Prozesses zur Zusammenführung von Informationen über Missbrauchsmeldungen,
  • Optimierung und Dokumentation der Verfahren zur Nutzung von Ausnahmen von der starken Kundenauthentifizierung sowie mit ersten konzeptionellen Überlegungen zur Umsetzung der Drittdienstleisterschnittstelle.

Als im Zahlungsverkehr verankerter Sicherheitsgutachter verfügt SRC über umfangreiche Erfahrungen, um interessierte Institute und Lösungsanbieter bei all diesen Aufgaben und bei der Erbringung der gemäß Artikel 3 des RTS künftig zu erbringenden Nachweise zu unterstützen.

 
 

Imprint

SRC Security Research & Consulting GmbH
Emil-Nolde-Str. 7
D-53113 Bonn
Tel. +49(0)228 / 2806 - 0
Fax +49(0)228 / 2806 - 199
www.src-gmbh.de
info@src-gmbh.de

Handelsregister Bonn HRB 9414
General Manager: Gerd Cimiotti

SRC respects your privacy and will only send this newsletter to registered readers. To view our Privacy Policy please click here. You receive this newsletter because you are subscribed to our mailing list. To unsubscribe from this newsletter click here.

Copyright - SRC Security Research & Consulting GmbH. All rights reserved.