Von Karin Böhmert, FrankfurtIn weniger als einem Jahr soll die europäische Zahlungsdienste-Richtlinie “Payment Services Directive” (PSD 2) in nationales Recht umgesetzt werden. Auf die damit verbundene Öffnung des Zahlungsverkehrs für Drittanbieter an der Schnittstelle zum Kunden müssen sich Banken längst einstellen. Zwei Aspekte treten in den Fokus: zum einen eine stärkere Kundenauthentifizierung und zum anderen die Haftung in Betrugsfällen. Zugang für alleGerade die Haftungs- und Sicherheitsfrage sei für Banken brisant, weil künftig alle, die im erweiterten Zahlungsverkehrsraum Europa als Dienstleister (Payment Services Provider, PSP) zugelassen sind, Zugang zur Kundenschnittstelle erhalten, unterstreicht Zahlungsverkehrsexperte Hakan Eroglu von Accenture im Gespräch mit der Börsen-Zeitung. “Banken können nicht überprüfen, ob der im jeweiligen EU-Staat zugelassene PSP-Dienstleister auch seriös ist”, mahnt Eroglu.Die zu erwartenden vielen PSP-Teilnehmer aus ganz Europa würden zudem auf eine große Angriffsfläche treffen, da bei Zahlungsverkehrstransaktionen oder beim Abruf von Kontoinformationen mehrere Schnittstellen geöffnet werden. Erforderlich seien deshalb bessere Mechanismen und neue Sicherheitsverfahren in den Banken, um Betrug abzuwenden.Ganz wesentlich sei dies insbesondere mit Blick auf die Europäische Datenschutzrichtlinie, die von den nationalen Gesetzgebern Mitte nächsten Jahres umgesetzt werden muss. Infolgedessen müssten Banken sicherstellen, dass der Kunde weiß, wer und auch wie oft ein Drittanbieter die Kundendaten an den Schnittstellen zu den Banken abruft, um etwa Kontoinformationsdienstleistungen zu erbringen.”Kunden müssen dies wissen, damit sie jederzeit den Zugriff Dritter auf ihre Daten unterbinden und die volle Kontrolle über die Datenverwendung behalten können”, betont Eroglu. “Ist der Datenschutz aber unzureichend, hat ein Verstoß hohe Strafen zur Folge”, mahnt der Accenture-Experte. Die Strafen betragen 2 bis 4 % des weltweiten Umsatzes einer Bank. “Die PSD 2 öffnet infolge des Zugangs zur Schnittstelle zum Kunden ein Scheunentor für Datenschutzklagen, wenn Banken nicht genau aufpassen und frühzeitig handeln”, warnt Eroglu.Bei der Schnittstelle zum Kunden liegt die Tücke zudem im Detail, wie der Zahlungsverkehrsexperte unterstreicht. Denn die Europäische Bankenaufsicht EBA (European Banking Authority) fordert den Schutz von Kundendaten beim elektronischen Bezahlen durch eine “starke Kundenauthentifizierung”. Das soll mittels zweier von drei Identifikationsmöglichkeiten (Faktoren) erfolgen: etwas, das nur der Nutzer kennt (Passwort, Code), das nur er besitzt (Token, Smartcard, Mobiltelefon) oder das er selbst ist (biometrisch, zum Beispiel Fingerabdruck oder Iris-Erkennung).Die Zwei-Faktor-Authentifizierung hat es in sich, denn die Authentifizierungen sollen über getrennte Kanäle laufen. “Das ist zwar sicherer, allerdings für den Kunden wenig praktikabel”, erklärt Eroglu. Wird eine Transaktion beispielsweise über ein Smartphone ausgelöst, auf dem die erforderlichen Zahlungsverkehrsdaten hinterlegt sind, dann darf der zweite Faktor der Authentifizierung – wie etwa ein Passwort oder eine TAN-Nummer – nicht über dasselbe Handy übermittelt werden. “Bleibt der Regulierer dabei, müssen Banken neue Sicherheitsverfahren entwickeln und erhöhte Sicherheit mit Nutzerfreundlichkeit verbinden”, sagt Eroglu. Authentifizierung umstrittenHier kommen die technischen Regulierungsstandards ins Spiel, an denen die EBA intensiv arbeitet. Die “Regulatory Technical Standards” (RTS), an die sich alle Banken in der Europäischen Union halten müssen, sollen nach einer Verschiebung des ursprünglichen Termins nun Ende Februar verbindlich festgelegt werden, wie es in der Branche heißt. Die technischen Standards treten dann wiederum erst 18 Monate nach der Verabschiedung durch die Europäische Kommission in Kraft. In den technischen Standards wird unter anderem festgelegt, ab welcher Grenze die Zwei-Faktor-Authentifizierung gelten soll – ein Thema, um das in der Branche heftig gerungen wird.Im stationären Handel, also am Point-of-Sale (POS) im Rahmen des Mobile Payment, könnte die EBA eine Abschwächung zulassen. So soll für Beträge unter 50 Euro keine zweifache Authentifizierung erforderlich sein, wie Eroglu erwartet. Im E-Commerce soll die Grenze, ab der sich ein Kunde über zwei voneinander getrennte Kanäle authentifizieren muss, dem ursprünglichen EBA-Entwurf zufolge bereits bei 10 Euro gezogen werden. “Das ist viel zu niedrig”, sagt Eroglu. Ob die Grenze nun erst bei 500 Euro gezogen wird, wie in der Branche vermutet wird, ist noch offen. Gefahr für Mobile PaymentEroglu regt zudem an, die Erfüllung des zweiten Faktors flexibler zu gestalten. “Das sollte in einigen Fällen im Ermessensspielraum der Bank liegen, die das Risikoprofil ihrer Kunden kennt.” Schließlich wäre der Zwang zur Zwei-Faktor-Authentifizierung ein “Riesenhemmnis für Mobile Payments, wenn man nicht dasselbe Gerät benutzen darf, auf das beispielsweise eine TAN geschickt wird”.