Accenture Banking Blog

Mit PSD2 kommen auf die Banken ganz neue Herausforderungen zu. Damit meine ich nicht nur die Business-Implikationen für den Zahlungsverkehr und die neue Konkurrenz aus den Reihen der FinTechs. Die diskriminierungs- und kostenfreie Öffnung der Banksysteme für Zahlungsauslöse- und Kontoinformationsdienste Dritter aus der EU sorgt auch für neue Anforderungen in punkto Datensicherheit und starke Kunden-Authentifizierung (Strong Customer Authentication).

Zugriff auf kritische Banksysteme durch Dritte erfordert neue Sicherung

Lesen Sie unsere Publikation

Mit PSD2 werden neue Drittanbieter über die Banken-APIs Zugang zu sensiblen Kundendaten erlangen und Zahlungen im Namen des Kunden auslösen können. Je mehr Drittparteien auf diese Schnittstellen zugreifen können, desto mehr Angriffsflächen entstehen dabei auch für Cyberattacken auf die Banksysteme. Die Wahrscheinlichkeit von Datendiebstählen oder gar Geldabflüssen von Konten wird insofern deutlich wahrscheinlicher. Kritische Bankensysteme könnten durch technische Cyberattacken aber auch insgesamt lahmgelegt werden. Jedoch zwingen nicht allein die neuen Zahlungsverkehrsregeln Banken zum Handeln: Die Sicherheitsanforderungen steigen auch im Zuge der Europäischen Datenschutzrichtlinie. Bis Mitte 2018 müssen Finanzinstitute diese weit strengeren Regeln zum Schutz persönlicher Daten implementieren.

Neue Sicherheitsverfahren mit innovativer Customer Experience verbinden

Betroffen ist davon auch die gängige 2-Faktor-Authentifizierung über SMS-TAN oder Push-TAN, besonders was die geforderte technische Kanaltrennung angeht. Bei Nutzung eines Smartphones oder Tablets müssen die Initiierung der Transaktion und der Empfang der TAN technisch unabhängig voneinander stattfinden. Lösungen, die dieses Problem berücksichtigen, haben aber wiederum Einschnitte bei der Nutzerfreundlichkeit zur Folge. Sogar sichere Alternativen wie das Chip-TAN-Verfahren entsprechen möglicherweise nicht vollumfänglich den Anforderungen der neuen Zahlungsdiensterichtlinie, weil TANs dynamisch mit der zu autorisierenden Transaktion inhaltlichverknüpft auf dem Display angezeigt werden müssen. Allein die technische Trennung der Kanäle, Geräte und mobilen Apps sowie die neuen Anforderungen an Sicherheitsverfahren erfordern Anpassungen in den Systemen der meisten europäischen Banken. Gefragt sind daher neue Verfahren, welche die erhöhten Anforderungen mit innovativer Customer Experience verbinden. Hier geht es nicht nur um bloße Compliance. Datensicherheit hat in der Paarung mit Nutzerorientierung durchaus das Potenzial zum differenzierenden Faktor im Markt. Banken sollten diese Chance ergreifen, um sich einen Wettbewerbsvorteil zu verschaffen.

Hohe Dynamik gefragt

Unabhängig von der Herausforderung durch neue Authentifizierungsverfahren müssen Banken künftig aber auch weit besser in der Lage sein, Betrugsfälle nahezu in Echtzeit zu identifizieren. Dazu gehört neben der Sperrung des Zugangs für zugelassene, aber unseriöse Drittanbieter die Erstellung von Erkennungsmustern über ausgeklügelte Payments Analytics-Systeme in viel kürzeren Abständen. Der Aufbau digitaler Payments Analytics-Systeme wird damit auch für die Betrugsprävention hoch relevant. Schließlich können Finanzinstitute die wachsende Anzahl angeschlossener Anbieter von Dienstleistungen und Transaktionen nur so überhaupt bewältigen und Erkennungsmuster dynamisch sowie in Echtzeit anpassen. Bei all diesen Aufgaben ist schnelles Handeln gefragt. Schließlich drohen bei Nichterfüllung der PSD2 und Datenschutzregeln neben den realen Gefahren durch Kriminelle auch aufsichtsrechtliche Konsequenzen. Im Falle der Datenschutzbestimmungen können Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Umsatzes fällig werden.

Doch wo können Banken konkret ansetzen, um ihre Sicherheitsarchitektur an das künftig weit offenere digitale Ökosystem anzupassen? Vor allem folgende Aspekte stehen dabei im Fokus:

  • Umbau der bankübergreifenden Sicherheitsarchitektur von einer oft monolithischen in eine standardisierte Struktur, die an bestimmte Bankdienste angelehnt ist
  • Aufbau eines Security Gateways zur sicheren Vorvalidierung von API-Aufrufen, die den kritischen Banksystemen vorgelagert ist
  • Berücksichtigung der Europäischen Datenschutzrichtlinie bei der Umsetzung von APIs im Rahmen von PSD2
  • Einführung PSD2-konformer und innovativer Sicherheitsverfahren – z.B. unter Berücksichtigung von Biometrie – zur besseren Kombination von Sicherheit und Customer Experience
  • Nutzung von Payments Analytics, auch für eine verbesserte Betrugsprävention in Echtzeit

Die PSD2 ist der Wegbereiter für das Open Banking und digitale Finanz-Ökosysteme. Eine bloße Richtlinienumsetzung greift jedoch zu kurz. Banken müssen ihrer zentralen Rolle als Hüter der sensiblen Kundendaten künftig noch weit stärker gerecht werden. In der digitalen Ära entwickeln sich Datensicherheit und -kontrolle zu einem echten Asset im Wettbewerb. Diese Chance sollten Finanzinstitute nutzen.

 

 

Kommentar schreiben

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.