Online Zahlungen im Licht der PSD2 – wie sicher ist sicher genug?

Juni 25, 2019 | News & Trends
Mit 14. September 2019 tritt die PSD2 in Kraft (Novellierung der Zahlungsdiensterichtlinie der EU).

Was genau bedeutet das für Banken und weitere Zahlungsdienstleister? Und vor allem: Welche Authentifizierungslösungen sind sicher genug im Hinblick auf die PSD2? Lesen Sie hier, was technische Experten und Studien zu Zwei-Faktor-Authentifizierungen mittels SMS und Push-Lösungen (auch) im Hinblick auf die Richtlinie raten.

Was ist PSD2 und wen betrifft sie?

PSD2 wird die Novellierung der Zahlungsdienste-Richtlinie der EU genannt, die den Zahlungsverkehr im europäischen Wirtschaftsraum neu regelt.
Ziel: den europäischen Zahlungsverkehr sicherer, bequemer und billiger zu machen. Die sogenannten RTS (technische Regulierungsstandards) geben schließlich konkret vor, wie die neue Richtlinie umgesetzt werden muss.

Von den Neuregelungen betroffen sind insbesondere Banken und Zahlungsdienstleister, wie z.B. Kreditkartengesellschaften – allerdings fallen nur Online Zahlungen darunter, die vom Kunden ausgehen und innerhalb von Europa abgewickelt werden.

Welche Neuerungen ergeben sich durch PSD2?

Die wesentliche Neuerung für Banken und Zahlungsdienstleister ist die SCA (Strong Customer Authentication), die besagt, dass zur Identifikation eines Käufers ab in Kraft treten der Richtlinie MINDESTENS zwei der folgenden Elemente bei JEDER Online-Zahlung mit MODERNEN Authentifizierungsverfahren verifiziert werden müssen:

  • Etwas, das der Kunde WEISS (z.B. Passwort)
  • Etwas, das der Kunde HAT (z.B. Mobiltelefon)
  • Etwas, das der Kunde IST (z.B.Fingerabdruck, Gesichtserkennung)

PSD2 im Bankensektor: SMS versus Push-TAN

Konkret bedeutet die Umsetzung dieser Vorgaben für Banken, dass das iTAN-Verfahren („indizierte Transaktionsnummer“) verschwindet und moderne Zwei-Faktor-Authentifizierungen wie TAN-Generator, Photo-TAN und mobile-TAN zukünftig verwendet werden müssen.

Für die Zwei-Faktor-Authentifizierung gilt der TAN-Generator als technisch sicherste Lösung, da hier ein zweites unabhängiges Gerät verwendet wird, dessen Daten direkt vor Ort generiert werden. Offensichtlicher Nachteil: Für jede Transaktion ist ein zusätzliches Gerät erforderlich.

Mobile TAN Lösungen sind die bequemste und beliebteste Art der Nutzer, ihre Zahlungen zu authentifizieren. Hier variieren die Meinungen zur Sicherheit von SMS-TAN versus PUSH-TAN.

Beim SMS-TAN Verfahren wird eine SMS an die am jeweiligen Nutzerkonto hinterlegte Mobilfunknummer gesandt, um auf diese Weise die Identität des Zahlungsanweisenden mittels TAN (Transaktionsnummer) zu verifizieren. Beim Push-TAN Verfahren wird eine zusätzliche App am Smartphone des Nutzers installiert, die durch ein weiteres Passwort geschützt ist und an die der Verifizierungscode geschickt wird.

Die technische Meinung der websms Experten favorisiert die SMS als Authentifizierungs-Variante aus mehreren Gründen:

  • SMS-TAN machen unabhängig vom Mobiltelefon
    Jedes Handy ist SMS-fähig. Für die Push-TAN Variante ist jedoch ein Smartphone oder Tablet erforderlich.

    Senioren: Gerade für die sehr umfassende ältere Zielgruppe somit ein nicht zu unterschätzendes Problem. Der Großteil der Senioren legt nämlich Wert darauf, eigenständig zu agieren, fühlt sich aber mit Smartphones technisch überfordert, so eine Smartphone Studie. Online-Geschäfte mittels SMS-TAN auf einem einfachen Mobiltelefon zu erledigen, ist dagegen für die meisten älteren Personen bereits mühelos durchführbar.

    Handywechsel: Neues Handy? Bei SMS-TAN kein Problem – einfach SIM-Karte umstecken und fertig. Es ist kein technisches Verständnis erforderlich. Wohingegen für die Nutzung der Push-TAN App durch die Bindung der App an Ihr Smartphone und Ihre Verfügernummer wieder viele Schritte notwendig sind, bevor man Überweisungen durchführen kann (Download der App, Registrierungsprozess etc.).
    Auch in Unternehmen, bei denen bei Überweisungen i.d.R. das 4-Augen-Prinzip gilt, sind der Wechsel eines Mitarbeiters und damit eines Mobilgerätes oder einer Mobilfunknummer an der Tagesordnung.
  • Flexibilität von TAN-SMS
    Für die SMS-Zustellung ist keine Datenverbindung erforderlich und sie sind weltweit verfügbar – Push-Notifizierungen bedürfen hingegen einer bestehenden Datenverbindung.
    IPsec, HTTPS, Direktanbindungen zu den Mobilfunkbetreibern und Ausweichrouten machen websms zum verlässlichen Partner im mobilen Bereich. So kommen SMS über websms sicher und ohne Zeitverzögerung an.
  • App-Unmut: „Nicht schon wieder eine App“
    Die App hat ihren Zenit bereits überschritten – die Nutzung weltweit geht zurück. Immer mehr Menschen reduzieren ihre Apps am Smartphone – auch aufgrund sinkender Performance und Speicherkapazitäten wenn eine große Anzahl an Apps installiert ist.
  • TAN Apps: Zu bequem um sicher zu sein
    Das Push-TAN Verfahren setzt auf den Bequemlichkeits-Faktor: also dass nur EIN Gerät, nämlich das Smartphone, für jede Transaktion notwendig ist. Aber Transaktion und TAN-Empfang auf ein und demselben Gerät? Sicherheitsexperten raten mit Nachdruck, bei der Zwei-Faktor-Authentifizierung immer zwei getrennte Geräte zu benutzen. Nur auf diese Weise wird eine Transaktion zu einem echten Zwei-Faktor-Verfahren, bei dem Angreifer zwei Geräte in Besitz nehmen müssen.
    Vor ein paar Jahren demonstrierten Vincent Haupert und Tilo Müller von der Forschungsgruppe Systemsicherheit und Softwareschutz, dass es bei der Verwendung einer TAN-App genügt einen Trojaner auf dem Gerät einzuschleusen, um betrügerische Transaktionen durchzuführen (zB erhöht der Trojaner den eigentlichen Überweisungsbetrag und leitet diesen auf ein anderes Konto um).
  • Regionalität
    SMS laufen über heimische Mobilfunkbetreiber, im Gegensatz dazu geht jede PUSH-Nachricht entweder über Google- und Apple. Denn Voraussetzung für den Empfang von Push-Nachrichten ist die Anmeldung beim jeweiligen Service des Betriebssystem-Herstellers: Für Android Geräte der Google Cloud Messaging Service, für iOS-Geräte der Apple Push-Notification Service.
  • Niedriger Zugriffsschutz von TAN-Apps
    Ein verstärkter Sicherheitsaspekt beim Push-TAN Verfahren, nämlich die zusätzliche Eingabe eines Passworts bei App-Öffnung, wird durch die Endkonsumenten leider ad absurdum geführt. Wie eine Infografik von TeleSign zeigt, verwendet jeder zweite User immer dieselben Passwörter über mehrere Jahre hinweg. Die am häufigsten verwendeten Passwörter sind „123456“, „password“ oder das eigene Geburtsdatum und sind somit sehr einfach hackbar.
  • Unabhängigkeit von SMS-TAN
    Erstens sind SMS unabhängig vom jeweiligen Mobiltelefon, denn jedes Handy ist SMS-fähig. Für die Push-TAN Variante ist jedoch ein Smartphone oder Tablet erforderlich.
    Zweitens sind SMS ortsunabhängig: Sie sind weltweit verfügbar.
    Drittens ist für die SMS-Zustellung keine Datenverbindung erforderlich – Push-Notifizierungen bedürfen hingegen einer bestehenden Datenverbindung.
  • 2 Apps – ein Dienstleister?
    TAN-App und Banking-App von demselben Dienstleister erzeugt Abhängigkeit. Die Aufteilung der Leistungen auf zwei unterschiedliche Dienstleister (wie bisher Banking App von der Bank und SMS über websms oder Mobilfunkbetreiber) und damit unterschiedliche Server löst mögliche Abhängigkeiten auf.

Erfüllt ein SMS als Authentifizierungs-Faktor die Anforderungen der PSD2?

Die Meinung der European Banking Authority (EBA) auf die Frage, ob das SMS den Anforderungen der PSD2 zur Authentifizierung von Zahlungen genügt, bestätigt den Standpunkt der websms Sicherheitsexperten:

„Ein Einmal-Passwort (OTP), das via SMS geschickt wird, kann den Besitz des Gerätes bestätigen und erfüllt somit die Anforderungen aus Artikel 7 der RL. Der Besitzgegenstand ist hier nicht die SMS selbst, sondern die SIM-Karte mit der jeweiligen Mobilfunknummer.“

Die desweiteren von der EU geforderten Sicherheitsaspekte erfüllt websms als technischer Dienstleister: „Zahlungs-Service-Anbieter müssen sicherstellen, dass die Verarbeitung und das Routing dieser persönlichen Sicherheitsnachweise und der Authentifizierungs-Codes, […], in sicheren Umgebungen stattfinden in Abstimmung mit starken und allgemein anerkannten Industriestandards durchgeführt werden.“

IPsec, HTTPS, Direktanbindungen zu den Mobilfunkbetreibern und Ausweichrouten machen websms zum verlässlichen Partner im mobilen Bereich.

PSD2 für Kreditkartengesellschaften und weitere Zahlungsdienstleister

Kreditkartengesellschaften setzen schon seit Jahren auf Sicherheitslösungen beim Checkout einer Zahlung. Beispielsweise wird beim 3D Secure Verfahren (zB Mastercard SecureCode, Verified by VISA von CardComplete) der Kunde beim Checkout erneut authentifiziert, indem die Bank zusätzliche Infos abfragt, die nur der Kartenbesitzer hat (zB mobile TAN/OTP wird an das Handy geschickt oder ein Fingerabdruck über die Mobile Banking App gefordert). Welche Art der Authentifizierung gewählt wird, obliegt dem bevorzugten System der jeweiligen Bank (siehe oben). Denn die Sicherheitsprüfung während der Zahlung erfolgt in den Systemen der Bank, sodass der Händler diese Daten nicht sieht.

FAZIT

Mit Inkrafttreten der PSD2 werden die Sicherheitsvorkehrungen von Zwei-Faktor-Authentifizierungen im Online-Zahlungsverkehr noch verstärkt, gesetzlich verankert und europaweit angeglichen.

Bei Fragen der Praktikabilität und Unabhängigkeit (von Mobiltelefon aber auch technischem Dienstleister) ist der SMS als Authentifizierungs-Komponente ganz klar der Vorrang zu geben.

Vom technischen Aspekt her sind Lösungen, bei denen die Verifizierung des Kunden nicht nur über einen zweiten Faktor, sondern auch über ein zweites Gerät/Hardware erfolgt und bei dem die Daten lokal verarbeitet werden, klar zu favorisieren. Unsere Experten geben auch hier der SMS den Vorrang vor einer App-Push-TAN-Lösung.

Wie nicht anders zu erwarten bestätigt schließlich auch die European Banking Authority (EBA) den rechtmäßigen und sicheren Einsatz von SMS zur Zwei-Faktor-Authentifizierung laut PSD2.

Last but not least sollte vor allem auch der Kunde bei der Erledigung seiner Bankgeschäfte online ein gutes Gefühl haben: Laut einer neuen Studie des Marktforschungsinstituts MindTake Research wird das SMS-TAN Verfahren bei 60% der Befragten als die sichereste Verifizierungsmethode im Online-Banking empfunden (Push-Tan belegt mit 18% nur den dritten Platz).



Zwei-Faktor-Authentifizierung testen

Integrieren Sie die SMS-Schnittstelle einfach in Ihre Systeme & testen Sie kostenlos.


websms verwendet Cookies zur besseren Bedienbarkeit. Mit der weitern Nutzung von websms stimmen Sie der Verwendung von Cookies ausdrücklich zu. Weitere Informationen

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close