PSD2? EU-Richtlinie? Darum geht es überhaupt!
Millionenfach versenden die Banken und Sparkassen im Sommer 2019 Briefe an ihre Kunden. Inhalt: Ab dem 14. September 2019 gilt die sogenannte “PSD2”-Richtlinie. Die Abkürzung steht für Payment Services Directive 2, zu Deutsch: Zweite Zahlungsdiensterichtlinie. Auf dem Finanzmarkt soll sich dadurch vieles ändern. Bei der Hanseatic Bank sind Nico Koller und Matthias Minar für die Umsetzung verantwortlich. Vier Monate bevor es ernst wird, erzählen die beiden, was die PSD2 für Bankkunden bedeutet – und wie sie ihren Alltag bestimmt.
Das Gespräch haben wir im Frühjahr 2019 geführt. Mittlerweile ist die PSD2 in Kraft und die damals offenen Fragen sind geklärt. Mehr dazu finden Sie zum Beispiel in unseren Artikeln zu den TAN-Verfahren oder zur Zwei-Faktor-Authentifizierung.
Herr Koller, Sie sollen als Projektleiter bei der Hanseatic Bank für die Umsetzung der PSD2 sorgen, eine Richtlinie der EU. Was wird sich durch die PSD2 in unserem Alltag konkret ändern?
Nico Koller: Sie können dadurch neue Dienste rund um Ihre Geldgeschäfte nutzen – auch von anderen Anbietern als Ihrer eigenen Bank. Zum Beispiel könnte ein solcher Dienstleister sagen: “Melde dich bei mir an und erlaube mir Einblick in deine Konten. Dann sage ich dir aufgrund deines Kaufverhaltens und deines Vermögens, welche Anlageprodukte anderer Banken zu dir passen könnten.” Solchen neuen Dienstleistern soll die EU-Richtlinie den Weg frei machen. Diese Öffnung der Banken gegenüber Drittanbietern wird auch als “Open Banking” bezeichnet. Was für Finanzdienstleister das sind und was sie alles anbieten, kann man aber noch nicht genau sagen – es gibt sie ja noch nicht.
Und was hat das mit Ihnen bzw. Ihrer Bank zu tun?
Nico Koller: Diese Dienstleister brauchen für ihre Angebote Zugang zu Ihrem Bankkonto. Diesen Zugang müssen wir technisch bereitstellen, dazu verpflichtet uns die PSD2. Bislang läuft das so, etwa bei einer Sofortüberweisung: Sie geben auf einer extra Webseite Ihre Zugangsdaten ein, und der Anbieter nutzt dann im Grunde genommen das normale Online-Banking. Die Richtlinie wird die Sicherheit des Kunden maßgeblich erhöhen.
Inwiefern?
Nico Koller: Indem die Anbieter jetzt eine andere Zugangsmöglichkeit erhalten, eine eigene Schnittstelle. In Zukunft läuft das so: Sie wollen eine spezielle Finanzdienstleistung nutzen. Der Anbieter stellt dann über die neue Schnittstelle eine Verbindung zu Ihrer Bank her. Dort geben Sie Ihre Zugangsdaten ein und verschaffen dem externen Finanzdienstleister damit Zugriff auf Ihre Kontodaten. Sie bringen ihn also quasi in Ihr Online-Banking rein, aber er kennt Login und Passwort nicht.
Matthias Minar: Und selbst wenn jemand die Zugangsdaten zu Ihrem Online-Banking hat, würde ihm das nach dem Start der PSD2 auch nichts nützen. Denn damit werden gleichzeitig auch die Sicherheitsstandards erhöht. In Zukunft gibt es drei Kategorien von Sicherheitsmerkmalen. Um auf ein Konto zuzugreifen, müssen mindestens zwei Sicherheitsmerkmale aus verschiedenen Kategorien erfüllt sein. Das gilt übrigens auch beim Online-Shopping. Auch da müssen Sie auf zweierlei Weise belegen, dass Sie der rechtmäßige Kontoinhaber oder Kreditkarten-Besitzer sind.
Das sind die drei Sicherheitskategorien beim Online-Banking
Das sind die drei Sicherheitskategorien beim Online-Banking
- Wissen = Informationen, die nur der Nutzer hat: Auf dieses Merkmal setzt das Login per Passwort oder per PIN. Denn nur Sie allein sollten den richtigen Zugang kennen bzw. wissen.
- Besitz = Dinge, die dem Nutzer gehören: Bei Sicherheitsverfahren wie smsTAN oder chipTAN müssen Sie das dafür nötige Gerät besitzen, also z. B. das Smartphone mit entsprechender SIM-Karte oder die Karte samt Kartenlesegerät.
- Inhärenz = persönliche Merkmale des Nutzers: Das sind die biometrischen Merkmale, wie sie etwa bei Login per Touch ID (Fingerabdruck) oder Face ID (Gesichtserkennung) abgefragt werden.
Laut PSD2 müssen mindestens zwei Methoden aus diesen drei Sicherheitskategorien genutzt werden, um auf ein Bankkonto zuzugreifen oder etwas in einem Onlineshop zu bezahlen. Mit anderen Worten: Nur ein Passwort oder nur der Fingerabdruck reichen in Zukunft nicht mehr. Sondern es wäre beides nötig. Diese doppelte Absicherung wird auch Zwei-Faktor-Authentifizierung genannt.
Das bedeutet, ich muss dann jedes Mal eine umso längere Anmeldeprozedur hinter mich bringen?
Nico Koller: Nicht jedes Mal. Sie können einem Drittanbieter auch den mehrmaligen Zugriff ohne neue Authentisierung erlauben. Sprich: Ohne immer wieder neu zu beweisen, dass wirklich Sie es sind, der den Zugriff gestattet. Diese Erlaubnis ist dann 90 Tage gültig.
Matthias Minar: Wenn Sie selbst statt ein Drittanbieter auf Ihr Konto zugreifen wollen, ist das übrigens genauso. Zum Beispiel bei Ihrem Hanseatic Bank Kreditkartenkonto: Beim Online-Banking benutzen Sie Benutzernamen und Passwort, in der App Ihren Fingerabdruck oder die Gesichtserkennung. Alle 90 Tage müssen Sie dann aber nochmal zusätzlich einen Code eingeben, den Sie per SMS bekommen.
Und beim Online-Shopping? Ich will ja nicht einem Händler für 90 Tage immer wieder den Einblick in mein Konto gestatten.
Matthias Minar: Den braucht er ja auch nicht, da soll ja nur einmalig das Geld für Ihren Kauf angewiesen werden. Doch auch dafür müssen Sie sich zukünftig mit mindestens zwei Sicherheitsmerkmalen ausweisen. Wie das in der Praxis läuft, müssen wir noch sehen. Eine Möglichkeit für eine solche Zwei-Faktor-Authentifizierung ist ja zum Beispiel das 3D-Secure-Verfahren. Doch das bieten viele Händler gar nicht an. Dann müssen wir als Kreditkartenherausgeber – als sogenannter Issuer – entscheiden, ob wir die Zahlung trotzdem anweisen. Zum Beispiel, weil der Betrag vergleichsweise niedrig ist, also vielleicht unter 30 Euro liegt. Der Kunde könnte Händler auch auf eine Art “Whitelist” setzen, also eine Positivliste. Das wäre dann so ähnlich wie eine dauerhafte Erlaubnis, sodass nicht jedes Mal die komplette Anmeldeprozedur nötig wird. Das alles ist noch nicht endgültig entschieden.
“Die Richtlinie wird die Sicherheit des Kunden maßgeblich erhöhen.”
Und wie ist das bei einem Abo, zum Beispiel für Netflix?
Matthias Minar: Das ist auch so eine Ausnahme. Wenn ich das Abo abschließe, gebe ich meine Kreditkartendaten ein und muss mich einmalig authentifizieren. Zu diesem Zeitpunkt wird meist noch gar nichts abgebucht. Und bei den monatlichen Abbuchungen ist der Kunde dann nicht mehr involviert. Da brauchen wir aber nicht jedes Mal eine Genehmigung von unseren Kunden, die Zahlung läuft dann auch ohne. Quasi wie bei einem Dauerauftrag, da müssen Sie ja auch nicht jeden Monat eine neue TAN-Nummer eingeben. Wir schätzen: Nur bei rund der Hälfte aller Transaktionen wird wahrscheinlich eine Authentifizierung nötig. Alle anderen Fälle werden Ausnahmen sein, bei denen es auch ohne geht.
Netflix und meine bevorzugten Online-Shops kenne ich und weiß, dass sie vertrauenswürdig sind. Wie aber erkenne ich bei den neuen Drittanbietern, dass es sich um einen seriösen Dienstleister handelt, der den Zugriff auf mein Konto nicht missbraucht?
Nico Koller: Jedes Unternehmen, das Finanzprodukte mit Kontozugriff anbieten will, muss sich zertifizieren lassen. Das geht bei der zuständigen Bankenaufsicht. In Deutschland ist das die Bundesanstalt für Finanzdienstleistungsaufsicht, kurz BaFin. Beim Lizensierungsverfahren werden zum Beispiel seine Sicherheitssysteme überprüft. Mit der Lizenz erhält der Anbieter dann eine Art digitalen “Generalschlüssel”, ein Zertifikat, mit dem er über die Schnittstellen bei den Banken jeweils auf die Konten zugreifen kann. Natürlich nur, wenn der Besitzer ihn wie gesagt dazu autorisiert.
Wir als Bank prüfen also: Hat der Anmelder ein gültiges Zertifikat, und hat ihm der Kontobesitzer den Zugriff gestattet? Nur wenn beides erfüllt ist, ermöglichen wir den Kontozugang. Übrigens: Banken sind mit ihrer BaFin-Lizenz automatisch auch für das Open Banking lizenziert. Wir als Hanseatic Bank können also auch neue Angebote entwickeln, die bislang nicht möglich waren.
Wie aufwendig ist die Umsetzung der PSD2? Nimmt es Ihre gesamte Zeit in Anspruch?
Matthias Minar: Zu 150 Prozent! Das liegt daran, dass wir im letzten Jahr für unsere Kunden Apple Pay entwickelt und im Dezember eingeführt haben. Entsprechend schneller müssen wir jetzt eben arbeiten.
Nico Koller: Ich bin schon länger damit beschäftigt. Die Vorbereitungen laufen seit Anfang 2018, mit der Umsetzung haben wir im Sommer 2018 begonnen.
Authentisierung oder Authentifizierung: Was ist was?
Authentisierung oder Authentifizierung: Was ist was?
Auch wenn die beiden Begriffe häufig gleich benutzt werden: Authentisierung und Authentifizierung sind streng genommen nicht dasselbe.
- Bei der Authentisierung weisen Sie nach, dass Sie tatsächlich die Person sind, die Sie vorgeben zu sein. Etwa weil Sie das richtige Passwort eingeben, das nur Sie kennen können, oder Ihren Fingerabdruck abgeben.
- Bei der Authentifizierung wird geprüft, ob die “Beweismittel” von der Authentisierung überhaupt richtig sind. Ist das Passwort tatsächlich das Passwort des Kontoinhabers? Ist das wirklich der richtige Fingerabdruck?
- Bei der PSD2 ist auch noch die Autorisierung wichtig. Wenn Sie jemanden autorisieren, erlauben Sie ihm damit, zum Beispiel in Ihrem Namen auf Ihr Konto zuzugreifen.
Ganz schön lange. Was ist denn so schwierig daran?
Nico Koller: Was die Schnittstelle angeht, macht die PSD2-Richtlinie nur Vorgaben: Welche Daten müssen zur Verfügung gestellt werden, wie werden sie abgesichert? Aber wie das technisch umgesetzt wird, ist nicht vorgegeben. Jetzt könnte sich jede Bank einzeln hinsetzen und sagen: Das sind die Vorgaben, jetzt schreiben wir mal eine Software, die das macht. Wenn das aber 5.000 EU-Banken machen, dürfte es für die Drittanbieter schwierig werden, ihre Systeme darauf anzupassen.
Wir orientieren uns deshalb an den selbstgesetzten Standards der sogenannten Berlin Group, einem Zusammenschluss verschiedener europäischer Banken. Damit haben wir aber immer noch nicht die nötige Software. Die muss von Grund auf neu programmiert werden. Und das Thema ist ja noch ganz neu, es gibt noch keinen Software-Entwickler, der sagen kann: “Guckt mal, wir haben hier eine Top-Lösung, die sich bewährt hat. Nehmt das, die funktioniert, fertig.” Es ist auch bei den Software-Entwicklern ein "work in progress”, bei PSD2 gibt es noch nichts von der Stange.
Und das dauert länger als ein Jahr?
Nico Koller: Na ja, es war leider nicht so, dass wir mit dem Gesetzesbeschluss einfach loslegen konnten. Die Vorgaben der PSD2 waren lange Zeit noch im Fluss. Vieles wurde erst mit der Zeit konkretisiert. Oder die BaFin musste erst einmal festlegen, was welche Vorgaben in der Praxis bedeuten. Nicht zuletzt sind wir eine kleine Bank mit einem sehr spezialisierten Produktangebot. Wir haben zum Beispiel kein klassisches Girokonto. Über die Schnittstelle erhält der Drittanbieter Zugriff auf das Kreditkartenkonto des Kunden. Überweisungen aber sind in unserem speziellen Fall nur auf ein fest hinterlegtes Referenzkonto möglich. Das passt nicht 100-prozentig zu den Vorgaben der Berlin Group. Wir müssen also eine eigene Abwandlung für unser spezielles Angebot bauen.
Matthias Minar: Bei den Kreditkarten-Transaktionen stellen sich parallel unzählige Fragen. Welche Ausnahmen von der Zwei-Faktor-Authentifizierung lassen wir zu? Wie lösen wir das technisch? Die Antworten auf diese Fragen liegen nicht nur bei uns. Es gibt einen Dienstleister, den sogenannten Acquirer, über den die Autorisierung eines Online-Einkaufs zu uns gelangt. Dann gibt es noch den sogenannten Prozessor, der die jeweiligen Autorisierungen prüft. Die Systeme von Acquirer, Prozessor und uns müssen dabei natürlich perfekt zusammenspielen. Das muss ich koordinieren. Denn die Gefahr ist, dass der eine sonst mit einer dreieckigen Lösung um die Ecke kommt und der andere mit einer quadratischen.
“Die Gefahr ist, dass ein Dienstleister mit einer dreieckigen Lösung kommt und der andere mit einer quadratischen.”
Außerdem tauchen immer neue Fragen auf, je tiefer man in das Thema einsteigt. Zum Beispiel: Was passiert mit Kunden, die kein Smartphone haben? Denen dürfen wir dann keine SMS für die smsTAN schicken. Dafür haben wir verschiedene Lösungsansätze, aber die sind entweder für den Kunden zu kompliziert oder entsprechen nicht den Regeln. Oder: Wie läuft es mit PayPal? Da ist PayPal das Zahlungsinstrument und für eine Zwei-Faktor-Authentifizierung verantwortlich – aber was ist, wenn da eine Kreditkarte hinterlegt ist?
Dann müssen wir auch noch unsere Allgemeinen Geschäftsbedingungen anpassen, unseren Kundendienst schulen und die Kunden informieren. Und schließlich will die BaFin auch noch eine Aufstellung haben, bei wie vielen Transaktionen es Ausnahmen ohne Zwei-Faktor-Authentisierung gegeben hat. Wir müssen also einen Weg finden, diese Informationen zu sammeln.
Klappt es denn mit dem Stichtag 14. September 2019?
Matthias Minar: Es gibt zwar noch einige Fragezeichen. Aber der Druck auf die verschiedenen Acquirer und Prozessoren ist hoch, schließlich brauchen alle Banken rechtzeitig eine Lösung. Deswegen wird das klappen, auch wenn es knapp wird.
Nico Koller: Was die Schnittstelle angeht, sind wir schon weiter. Seit Mitte März läuft die schon im Testbetrieb. Die ist zwar noch nicht an unsere Systeme angeschlossen. Aber die möglichen Drittanbieter können darauf zugreifen und sehen, welche Anforderungen sie erfüllen müssen, damit die Anfrage für den Kontozugriff funktioniert. Nun gilt es, Feedback einzuarbeiten und das System an die Hanseatic Bank-IT anzuschließen. Aus unserer Sicht kann der September dann kommen.