Bundesamt für Sicherheit in der Informationstechnik

Starke Authentifizierung von Kunden und Kontoschnittstelle für Zahlungsdienstleister

Die Art und Weise wie Bankgeschäfte und Zahlungen abgewickelt werden hat sich durch das Aufkommen von neuen Produkten und Dienstleistungen im Internet in den vergangenen Jahren stärker geändert als jemals zuvor.

Deshalb wurde bereits im Dezember 2015 die rechtlich verbindliche EU-Richtline über Zahlungsdienste (Payment Services Directive 2, kurz PSD2) von der EU verabschiedet. Die Richtlinie muss in nationales Gesetz umgesetzt werden. Sie beinhaltet rechtliche Vorgaben für Banken und Zahlungsdienstleister.

Mit ihr werden vom 18. Januar 2018 an wesentliche Schnittstellen zwischen Kunde und Bank sowie zwischen den Banken und weiteren Finanzdienstleistern neu geordnet. Dabei wird der Tatsache Rechnung getragen, dass sowohl Zahlungsdienstleistungen als auch Bankgeschäfte inzwischen in wesentlichen Teilen im Internet stattfinden, was Risiken im IT-Bereich mit sich bringt. Um diesen Risiken zu begegnen, stellen die PSD2 und nachgelagerte regulatorische Normen höhere Standards an die IT-Sicherheit der beteiligten Prozesse. Zwei zentrale Punkte sind hierbei von besonderer Relevanz:

  • Starke Kundenauthentifizierung
    Banken müssen Ihre Kunden mit einem Verfahren authentifizieren, welches den Anforderungen einer starken Kundenauthentifizierung (entspricht im Wesentlichen einer Zwei-Faktor-Authentifizierung ) genügt.
  • Kontoschnittstelle für Zahlungsdrittdienstleister
    Banken müssen eine offen dokumentierte Schnittstelle im Internet bereitstellen, die es Zahlungsdrittdienstleistern erlaubt, im Kundenauftrag auf Kundenkonten zuzugreifen. Auch hierbei gelten IT-Sicherheitsvorgaben.

Gemäß der PSD2 soll die European Banking Authority (EBA) in Kooperation mit der Europäischen Zentralbank (EZB) Regulierungsstandards (Regulatory Technical Standards, kurz RTS, wie z.B. EBA 2017/05) zur Konkretisierung der Vorgaben der PSD2 erstellen. Von EBA 2017/05 sind unter anderem Ausnahmetatbestände bzw. Konkretisierungen für die starke Authentifizierung sowie die Anforderungen an die Kontoschnittstelle für Zahlungsdrittdienstleister betroffen. In Vorbereitung auf EBA 2017/05 hat die EBA im Januar 2016 eine Marktbefragung durchgeführt, die unter anderem vom BSI und von der Deutschen Kreditwirtschaft, aber auch von vielen anderen Marktteilnehmern beantwortet wurde und das Zwischenergebnis in Form des Consultation Papers einer Kommentierung unterzogen. Am 23.02.2017 wurde der Final Report zum RTS vorgelegt und der Entwurf EBA 2017/05 im Mai 2017 verfügbar gemacht. Am 27.11.2017 hat die Europäische Kommission eine veränderte Fassung COM 2017/11 zum RTS veröffentlicht, der nun vom Europäischen Rat und dem Europäischen Parlament endgültig zu verabschieden ist.

Das BSI bewertet mit seiner technischen Expertise im Einzelnen die Umsetzung dieser und weiterer Punkte, und hilft so, Risiken zu minimieren und Online-Banking und andere Zahlungsdienstleistungen hinsichtlich IT-Sicherheit ein Stück weit sicherer zu machen.

Starke Kundenauthentifizierung

Die genaue Definition der oben bereits erwähnten starken Kundenauthentifizierung lautet in der PSD2 wie folgt:
"Starke Kundenauthentifizierung" ist eine Authentifizierung unter Heranziehung von mindestens zwei Elementen der Kategorien Wissen (etwas, das nur der Nutzer weiß), Besitz (etwas, das nur der Nutzer besitzt) oder Inhärenz (etwas, das der Nutzer ist), die insofern voneinander unabhängig sind, als die Nichterfüllung eines Kriteriums die Zuverlässigkeit der anderen nicht in Frage stellt, und die so konzipiert ist, dass die Vertraulichkeit der Authentifizierungsdaten geschützt ist.

Für Remote-Transaktionen umfasst die Starke Kundenauthentifizierung Elemente, die den Zahlungsvorgang dynamisch mit einem bestimmten Betrag und einem bestimmten Zahlungsempfänger verknüpfen.

Mit der PSD2 wurde im Vergleich zu den vorangegangenen Normen MaSI, SecuRePay und EBA 2014 die Definition für die "Starke Authentifizierung" weiterentwickelt. Auch wenn der Kunde sich stark authentifiziert, könnten Transaktionsbetrag und das Konto des Empfängers ohne zusätzliche Sicherheitsmaßnahmen manipuliert werden. Dieses Angriffsszenario wurde im Rahmen der PSD2 erkannt. Hinzugekommen ist in der PSD2 daher für Remote-Transaktionen, dass die "Starke Kundenauthentifizierung" "Elemente umfasst, die den Zahlungsvorgang dynamisch mit einem bestimmten Betrag und einem bestimmten Zahlungsempfänger verknüpfen."

Die PSD2 enthält keine Vorgaben, wie groß der Widerstand sein muss, den ein Verfahren zur starken Kundenauthentifizierung einem Angreifer leisten muss. Gleichwohl zeigt das BGH-Urteil vom 26.01.2016 (XI ZR 91/14), dass die Sicherheitseinstufung der Authentifizierungsverfahren vor dem Hintergrund der verschärften Haftung eine große Rolle spielt.

Kontoschnittstelle für Zahlungsdrittdienstleister

Die PSD2 reguliert neue Dienste und öffnet somit den Markt für Zahlungsdienstleister (Payment Service Provider, kurz PSP), die im Auftrag des Kunden Dienstleistungen erbringen. Diese umfassen

  • Zahlungsauslösedienst (Payment Initiation Service, kurz: PIS) gemäß Artikel 66 der PSD2,
  • Kontoinformationsdienst (Account Information Service, kurz: AIS) gemäß Artikel 67 der PSD2 und
  • Dienst zur Bestätigung der Verfügbarkeit eines Geldbetrags (Payment Instrument Issuer Payment Service Provider, kurz: PIISP) gemäß Artikel 65 der PSD2.

Für die Erbringung solcher Dienstleistungen benötigt der Dienstleister Zugriff auf das Konto des Kunden, das durch das kontoführende Institut (Account Servicing Payment Service Provider, kurz: ASPSP) verwaltet wird. Das Institut muss den Dienstleistern eine Schnittstelle zu seinen Systemen bereitstellen (sogenannte "access to account" Schnittstelle, kurz XS2A) um die gemäß PSD2 regulierten Zugriffe zu gewähren. Weitere Anforderungen an die Realisierung und Verwendung dieser Schnittstelle sind durch den RTS festgelegt und veröffentlicht worden.

Gemäß PSD2 muss sich ein Zahlungsdienstleister bei jedem Zugriff auf ein Konto, der ihm durch ein kontoführendes Institut gewährt wird, identifizieren. Artikel 29 des RTS konkretisiert diese Anforderung dahingehend, dass zur Identifizierung qualifizierte Zertifikate gemäß der EU-Verordnung "Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG" (kurz, eIDAS-Verordnung) zu verwenden sind.

Qualifizierte Zertifikate werden durch qualifizierte Vertrauensdiensteanbieter ausgegeben. Die Beaufsichtigung und Qualifizierung des Vertrauensdiensteanbieters unterliegt den Regularien der zuvor genannten eIDAS-Verordnung. Grundsätzlich kommt jeder qualifizierte Vertrauensdiensteanbieter, der qualifizierte Zertifikate ausgibt, in Frage, um den Zahlungsdienstleister mit dem für seine Zugriffe über die XS2A-Schnittstelle erforderlichen Zertifikat auszustatten. Zur Identifizierung des Zertifikatsinhabers und zur Sperrung von Zertifikaten, die an Zahlungsdiensteanbieter ausgegeben wurden, sind gemäß PSD2 und RTS jedoch zusätzliche, neue Anforderungen durch den qualifizierten Vertrauensdiensteanbieter zu berücksichtigen. Einerseits darf ein Zertifikat nur dann an einen Zahlungsdiensteanbieter ausgegeben werden, falls dieser die hierzu notwendige Autorisierung als ein neuer Zahlungsdiensteanbieter (gemäß PSD2, Artikel 66, 67 oder 65) erhalten hat. Andererseits muss ein ausgestelltes Zertifikat gesperrt werden sobald der Zahlungsdiensteanbieter nicht mehr über eine gültige Autorisierung verfügt.

Jeder qualifizierte Vertrauensdiensteanbieter verfügt über eine Richtlinie zur Ausgabe und Verwaltung von Zertifikaten (Certificate Policy), die den Anforderungen der eIDAS-Verordnung genügt. Diese Richtlinie muss durch zusätzliche Angaben ergänzt werden, um auch die Anforderungen der PSD2 und des RTS zu erfüllen. Das BSI hat mit der Richtlinie "Proposal for a Policy for the compliance of a qualified trust service provider with PSD2-specific requirements, PSD2-specific requirements defined by PSD2 and EBA RTS - Draft (PDF, 710KB, Datei ist barrierefrei⁄barrierearm)" diese zusätzlich erforderlichen Angaben identifiziert.

Diese Richtlinie zeigt auf, dass qualifizierte Vertrauensdiensteanbieter gemäß eIDAS-Verordnung die notwendige Grundlage einer Public Key Infrastruktur bilden, die zur Identifizierung eines Zahlungsdiensteanbieters an der XS2A-Schnittstelle erforderlich sind. Nur wenige zusätzliche Anforderungen sind durch den qualifizierten Vertrauensdiensteanbieter umzusetzen, um auch die Anforderungen der PSD2 zu erfüllen. Hierzu gehören insbesondere Anforderungen an die Identifizierung des Zertifikatsinhabers, die Sperrung von Zertifikaten und die Erweiterung von Zertifikaten durch die Angabe PSD2 spezifischer Attribute. Es muss jedoch berücksichtigt werden, dass zur Umsetzung dieser Anforderungen der Vertrauensdiensteanbieter auf die Verfügbarkeit von Informationen nationaler Stellen (Autorisierung von Zahlungsdienstleistern) gemäß PSD2 angewiesen ist.