Ein Bankkonto benötigt Jeder. Auf das Bankkonto zugreifen darf selbstverständlich nur der Berechtigte. Doch wie erkenne ich den Berechtigten zuverlässig? Das funktioniert mit Hilfe starker Kundenauthentifizierung. Stark wird die Kundenauthentifizierung in der Regel durch die Verwendung der Elemente Besitz, Wissen oder Biometrie.
Beispiel: Zusätzlich zum Besitz der fälschungssicheren Chipkarte muss der Bankkunde die zugehörige PIN wissen. Der Zugriff auf das Konto ist immer nur mit beiden Elementen möglich. Oder ein anderes Beispiel: Mittels des Besitzes einer App auf einem mobilen Endgerät und der Betätigung des Fingerabdrucksensors (Biometrie) durch den Bankkunden können Zahlungen freigegeben werden.
Neben der Sperrung nach mehrfacher Falschverwendung und Timeout bei Inaktivität stehen zusätzliche Anforderungen. Beispielsweise muss es unmöglich sein, dass die PIN aus dem zugehörigen Besitz-Element (z.B. die Chipkarte) abgeleitet werden kann.
Ziel ist, den Bankkunden beim Zugriff auf digitale Kontoinformationen und dem Auslösen von Zahlungsvorgängen über das Internet bestmöglich vor dem unbefugtem Zugriff auf sein Konto und vor Missbrauch zu schützen. Deshalb haben die Mitgliedsstaaten der Europäischen Union (EU) den vielfältigen organisatorischen und technischen Lösungen für starke Kundenauthentifizierung einen gesetzlichen Rahmen gegeben. Die Zahlungsverkehrsdienstrichtlinie 2 (PSD2) fordert von den Banken, eine nachvollziehbare Dokumentation der Sicherheitseigenschaften, den regelmäßigen Test und die Bewertung der eingesetzten Gesamtlösung. All das ist Gegenstand einer Prüfung, deren Durchführung die Bank ihrer Aufsichtsbehörde auf Anforderung nachweisen muss.
SRC unterstützt Sie bei der Erbringung der regelmäßig erforderlichen Nachweise. Die SRC Prüfer verfügen über das vom Gesetzgeber geforderte Fachwissen auf den Gebieten IT-Sicherheit und Zahlungsverkehr. Sie verschaffen sich einen Überblick über alle Komponenten der eingesetzten Lösungen, sichten die Dokumentation und bewerten ihre korrekte Einordnung in den Nachweisprozess. SRC gibt Ihnen die Sicherheit, mit den regulatorischen Anforderungen zur starken Kundenauthentifizierung im Rahmen von PSD2 übereinzustimmen.
Weitere Informationen
PSD2
Die Europäische Kommission hat im Dezember 2015 eine neue Richtlinie über Zahlungsdienste im Binnenmarkt („Payment Service Directive 2“, kurz PSD2) erlassen. Die PSD2 ist seit 2018 in den einzelnen Mitgliedsstaaten in nationales Recht überführt worden. In Deutschland wird die PSD2 durch Anpassungen des Gesetzes über die Beaufsichtigung von Zahlungsdiensten (ZAG) und der relevanten Artikel des BGB umgesetzt.
Neben Anforderungen an die Zulassung von Zahlungsdienstleistern enthält die PSD2 auch Anforderungen, die bei Konzeption und Betrieb technischer Anwendungen eines kontoführenden Instituts zu berücksichtigen sind. Hierbei spielen insbesondere Sicherheitseigenschaften der Zahlungsanwendungen eine wichtige Rolle. Zu nennen sind hier unter anderem Sicherheitsvorgaben zur Nutzung von Authentifikationslösungen, nämlich die Anforderungen zur starken Kundenauthentifizierung, zur Transaktionsanalyse und zur Sicherheit von Personalisierungsmerkmalen.
Regulatory Technical Standard (RTS)
Eine Besonderheit bei der PSD2 ist, dass die genannten Anforderungen gemäß Artikel 98 der PSD2 durch einen Regulatory Technical Standards (RTS) konkretisiert werden. Die EBA (Europäische Bankenaufsicht) hatte den Auftrag, entsprechende Entwürfe in Kooperation mit der EZB (Europäische Zentralbank) auszuarbeiten und der Europäischen Kommission vorzulegen. Der RTS wurde durch die Europäische Kommission veröffentlicht und dieser ist bindender Bestandteil der PSD2. Vor dem Hintergrund der Anforderungen des RTS stellt sich Lösungsanbietern nun die Aufgabe, die Erfüllung der Anforderungen aus dem RTS gegenüber den Instituten nachzuweisen.
Vorgehensweise zum Nachweis der PSD2-Anforderungen für die Authentifikationslösung
SRC analysiert Ihre Sicherheitslösung mit dem Ziel, die relevanten Anforderungen des RTS nachzuweisen. Hierfür werden SRC Dokumente zur Realisierung der Sicherheitslösung vorgelegt. Die Prüfung erfolgt auf konzeptioneller und wo notwendig auch auf Designebene. Auf Wunsch schließt SRC eine Code-Analyse mit ein. In die Interpretation der Anforderungen fließen die Erfahrungen von SRC aus Projekten mit anderen Partnern ein.
Gegenstand der Prüfung ist das Authentifikationsmedium, z.B. eine App, im Zusammenspiel mit dem Server im Hintergrundsystem. Im Mittelpunkt stehen hierbei nicht nur „Man-in-the-Middle-Angriffe“, sondern auch direkte Angriffe auf die benutzten Komponenten, z.B. auf das Smartphone im Falle einer App-Lösung.
Wenn gewünscht, macht SRC eine Aussage darüber, ob die Sicherheitsmechanismen dem Stand der Technik entsprechen.
SRC fasst die Ergebnisse in einem Bericht zusammen.