Mit PSD2: Zugang zum heiligen Gral

Inhaltsübersicht:

Wie gestaltet sich der Prozess für die Banken: APIs, XS2A, SCA?

Wenn über das Thema PSD2 gesprochen wird, ist auf Seite der Banken vor allem die Frage nach den Schnittstellen laut geworden. Dies ist verständlich, da es operativ eines der offensichtlichsten Veränderungsareale ist. In den Hintergrund gerät dabei, dass sich häufig ein größerer Anpassungsprozess im IT-System und bei den Bankingverfahren anschließt.

Konkret setzt sich bei vielen Finanzinstituten die Implementierung der PSD2 aus zwei Bereichen zusammen: der Strong Customer Authentification (SCA) und dem Access to Accounts (XS2A).

Mit Strong Customer Authentification (SCA) soll die Sicherheit der Nutzeraktivitäten erhöht werden. Erreicht wird dies durch eine Zwei-Faktor-Authentifizierung (2FA), mit der Zugriffe und Zahlungen eines Nutzers bestätigt werden müssen. In Deutschland ist dies für Zahlungsauslösungen bereits bekannt, für die Abfrage von Kontodaten ist es dagegen nicht verbreitet.

Eine erfolgreiche 2FA besteht immer aus zwei von drei Teilbereichen:

  • Wissen: etwas, was nur der Nutzer weiß, wie eine PIN oder ein Passwort
  • Besitz: etwas, was nur der Nutzer besitzt, wie ein Token oder ein Mobiltelefon
  • Inhärenz: etwas, was untrennbar mit dem Nutzer verknüpft ist, wie Gesichtserkennung oder Fingerabdruck

Grob gesagt, der Nutzer muss demnach Kenntnis, Haben oder Sein nachweisen.

Den klaren Vorteilen in der Bekämpfung von Betrugsversuchen stehen ebenso Einschränkungen entgegen. Selbst wenn die Banken Ausnahmen definieren können, z.B. Kleinstbeträge unter 30 Euro, so stehen sie vor der Herausforderung, eine besonders im digitalen Bereich übliche, nahtlose und reibungsfreie Customer Journey zur Verfügung zu stellen.

Der Access to Accounts (XS2A) ist Teil einer größeren Regelung der Kommunikation zwischen Kunden, Drittanbietern und Banken. Diese Regelung (Common and Secure Communication) schreibt eine explizite Zustimmung des Kunden zur Verwendung seiner Daten vor (Consent).

Ist der Consent erteilt, kann der Drittanbieter entweder mit Hilfe einer vom Finanzinstitut bereitgestellten Schnittstelle (API) auf die Kundendaten zugreifen oder er nutzt das Online-Banking-Interface der Bank selbst. Die APIs sind hierbei sowohl aus Sicht der Banken-IT als auch auf der Ebene des Geschäftsmodells der kritische Punkt.

Technisch müssen diese Schnittstellen nicht nur in der Lage sein, den Consent des Kunden zu verarbeiten, sondern Drittanbietern auch den Anschluss an das Kernbankensystem ermöglichen – zum Beispiel für Authentifizierungsvorgänge und Buchungsabfragen.

Genauer sind es sogar drei APIs, die eine Bank benötigt:

  • eine Schnittstelle für Kontoinformationen (AIS – Account Information)
  • eine Schnittstelle für Deckungsabfragen (FCS – Confirmation of the Availability of Funds)
  • eine Schnittstelle für die Zahlungsauslösung (PIS – Payment Initiation)

Es stehen massive Veränderungen für die Banken an, IT-Systeme und -Prozesse umzugestalten. Wie gut sie diese bewältigen, wird sich Ende 2019 zeigen, wenn die Vorschriften in Kraft treten.