Das Thema mit dem zweiten Faktor in der PSD2-Richtlinie

Zuletzt hat es bei vielen Banken noch zu einer Menge Überstunden geführt und so richtig glücklich sind nur die wenigsten Verantwortlichen bei zusätzlichen Sicherheitsmaßnahmen innerhalb der PSD2-Richtlinie.

Eigentlich schienen wir die Zeiten der unterschiedlichen und oftmals inkompatiblen Banking-Systeme hinter uns zu haben. Während einige Banken von Anfang an auf ein proprietäres PIN/TAN-System setzten, arbeiteten andere Banken mit HBCI und FinTS in unterschiedlichsten Ausführungen. Sogar die HBCI-Diskette war noch bis in die 2000er Jahre zu sehen, bis schließlich der Abschied der Diskettenlaufwerke für den notwendigen Zugzwang sorgten und immer mehr Banken auf FinTS einschwenkten. Ein Standard, mit dem Banken, Banking-Dienstleister und Kunden leben und arbeiten können.

Mit der Umsetzung der PSD2-Richtlinie bekommen die Zweifaktor-Methoden noch mehr Bedeutung, da neben der Freigabe der Transaktionen beispielsweise auch die Abfrage von Umsätzen (je nach Einstellung) durch einen zweiten Faktor autorisiert werden muss. Und die althergebrachten TAN-Listen haben hier als Zweifaktor-Methode endgültig ausgedient.

Herausfordernd wird es zusätzlich auf Portalen, die die Verwaltung verschiedener Bankverbindungen (Multi-Banken-Fähigkeit) ermöglichen. Je nach Anzahl der integrierten Banken wird der Kunde dann mit unterschiedlichen Zweifaktor-Methoden wie Secure-Apps, MTAN, Chip-TAN oder elektronischen TAN-Generatoren konfrontiert. Dabei soll die Ablösung der althergebrachten TAN-Liste für mehr Sicherheit im Onlinebanking sorgen.

Neben einem immer noch fehlenden Zahlungssystem für Mikrotransaktionen kommt so mit PSD2 eine neue Schnittstelle hinzu, welche aber den Wildwuchs in Sachen Zweifaktor-Authentifizierung auch nicht bändigt. Das Onlinebanking, das mit der breiten Implementierung von HBCI/FinTS vereinheitlicht schien, wird nun künftig für Transaktionskonten (Girokonten) von der PSD2 dominiert – die Kontoinformationen für weitere Bankdienstleistungen (z.B. Spar- und Kreditkonten, etc.) bleiben weiterhin in der Hand von FinTS.

Es wird sicherlich noch einige Zeit brauchen, bis sich die Vorteile von PSD2 in Europa durchsetzen werden. Eine weitere Vereinheitlichung der Zweifaktor-Methoden sowie die Bereitstellung aller Bankinformationen via PSD2 würden den zentralen Nutzen für den Kunden, aber auch für die Third Party Provider deutlich erhöhen.