"Authentifizieren Sie sich!" - RTS zu PSD II soll Wettbewerb und Innovation fördern

Herunterladen
22.12.2017

KEY FACTS

  • Finale Anforderungen an starke Kundenauthentifizierung veröffentlicht – ohne die gewünschte Klarheit mit Blick auf die Umsetzung
  • Regelungen kombinieren unterschiedliche Sicherheitsparadigmen
  • Verallgemeinerung des Bankzugangs auf Internet-Zahlungsdienste wird Anforderungen digitaler Ökosysteme nicht gerecht
  • Anforderungen begünstigen kartenbasierte Zahlungsinstrumente sowie Zahlungsdienstleister mit großen Umsätzen
  • Anwendung der Regelungen auf innovative Entwicklungen ist Herausforderung für die Aufsicht und Marktteilnehmer gleichermaßen

REPORT

Am Ende ein Kompromiss

Die neuen Regelungen zur starken Kundenauthentifizierung und Kommunikation (RTS SCA & SC) der PSD II sind am 27. November 2017 durch die EU-Kommission veröffentlicht worden. Auf den ersten Blick stechen insbesondere zwei Punkte ins Auge: Zum einen sind die Anforderungen so allgemein formuliert, dass die Anwendung auf konkrete Zahlverfahren eine große Herausforderung für viele Marktteilnehmer darstellt. Zum anderen scheinen die zugrundeliegenden Sicherheitsparadigmen inkonsistent zueinander zu sein. Obwohl diese Punkte im langen Entstehungsprozess immer wieder diskutiert wurden – es gab Konsultationen, öffentliche Anhörungen, zahlreiche Gespräche der Marktteilnehmer mit der Europäischen Bankenaufsicht –, schafft auch die finale Version des RTS keine ausreichende Klarheit.

Auf Grund dieser Unklarheiten wird der RTS in der nun vorliegenden finalen Version den an ihn gestellten Ansprüchen nicht gerecht. Denn nach jahrelangem Ringen um die gesetzlichen Formulierungen in der PSD II hatte sich die EU-Kommission bei der Delegation des Mandats an die EBA genau eine solche Klarstellung erhofft. Die SCA als zentrales Element bei der Umsetzung der Zielvorgaben der PSD II soll folgende Ansprüche im gleichen Maße unterstützen:

  1. Schaffung fairer Wettbewerbsbedingungen (level playing field)
  2. Förderung von Innovation im Markt
  3. Aufbrechen verkrusteter Strukturen durch Incentivierung einer verbesserten Kooperationsfähigkeit der Banken

Der RTS soll mit den konkretisierten regulatorischen Anfoderungen an die SCA die Voraussetzungen dafür schaffen, dass der Markteintritt neuer Spieler gefördert und die Sicherheit an der Kundenschnittstelle gewährleistet wird. Faktisch hat der RTS die Problemstellung jedoch lediglich umformuliert und gibt wenig Hilfestellung für die konkrete Umsetzung. Diese Unschärfe wird signifikante Auswirkungen auf die Marktentwicklung haben.

So wurde beispielsweise das Konzept eines Authentifizierungs-Codes eingeführt, um die Übermittlung von Autorisierungsdaten auch über Dritte abzusichern. Allerdings wurde die Einbettung dieses Codes in das Gesamtkonzept unterlassen: Ist der Authentifizierungs-Code immer noch ein Geheimnis und wie ein persönliches Sicherheitsmerkmal zu schützen? Oder wird durch die Bindung an eine konkrete Transaktion und die Tatsache, dass man vom Code nicht auf die zugrundeliegenden persönlichen Sicherheitsmerkmale rückschließen kann, aus dem Authentifizierungs-Code eine öffentliche Information? Dann kann ein Authentifizierungs-Code guten Gewissens auch Dritten überlassen werden. Diese werden lediglich zum Überbringer der Autorisierung, denn sie können selber keine solche ausstellen. Eine konkrete Antwort auf diese oft gestellte Frage im Rahmen der Konsultationen ist ganz wesentlich für das Risikomanagement und die Haftungsfragen, jedoch ist sie auch in der finalen Version des RTS nicht zu finden.

Ähnlich unkonkret bleibt der Punkt der dynamischen Verknüpfung der Authentifizierung mit den Transaktionsdaten. Wesentlich wäre eine Darstellung, was mit „Verknüpfung“ genau gemeint ist. Ist dies ein technischer oder organisatorischer Vorgang oder ein kryptografisches Verfahren? Viele Hersteller von Authentifizierungsverfahren und auch Zahlungsdienstleister versuchen, Verfahren nach eigenem Ermessen umzusetzen. Das Risiko, später nachbessern zu müssen, ist dementsprechend groß. Hier stellt sich auch die Frage, wer die Verantwortung trägt, wenn die Rollen mehrdeutig benannt sind. In Artikel 5 zum Beispiel wird auch in der finalen Version vom Payment Service Provider gesprochen, der die Sicherheitsmaßnahmen zur Autorisierung einer Zahlung umzusetzen hat. Damit kann das kontoführende Institut gemeint sein, aber auch der Zahlungsauslösedienst, der im Regime der Zahlungsdiensterichtlinie ein Payment Service Provider ist. Bedeutet dies nun, dass der Zahlungsauslösedienst ebenfalls Zugriff auf die persönlichen Zugangsdaten des Zahlungsdienstnutzers erhält? Oder nicht? Auch dies ist eine ganz wesentliche Frage, die an die finale Überarbeitung des RTS gestellt wurde und nun im Rahmen der Umsetzung geklärt werden muss.

Der verwunderlichste Punkt ist jedoch die Bevorzugung der kartenbasierten Systeme. Im Bericht der EZB zum Betrug bei Internetzahlungen – der urspüngliche Auslöser der EBA-Leitlinien zur Sicherheit von Internetzahlverfahren und Vorlage des RTS zur SCA – waren es die Kartenzahlungen im Internet, die den weitaus größten Anteil am Zahlungsbetrug ausmachten. Ausgerechnet Kartensysteme erhalten nun bessere Bedingungen (höhere Grenze für Kleinbetragszahlungen, signifikant höhere Grenzwerte für Betrugsraten) im Vergleich zu überweisungsbasierten Zahlverfahren. Es gibt keinen Hinweis im RTS, was genau diese unterschiedliche Risikostruktur rechtfertigt. Dies würde jedoch helfen, die Anforderungen auf Verfahren anzuwenden, die auf neuen Verfahrensregeln – nicht Karte und nicht SEPA-Überweisung – beruhen.

Rückblick: Motivation für die SCA

Die verschiedenen Anforderungen des RTS wirken mit Blick auf die oben genannten Beispiele wie ein Patchwork unterschiedlicher Sicherheitsparadigmen. Vor dem Hintergrund der Entstehungsgeschichte des RTS und insbesondere der Anforderungen an die SCA erklärt sich dieses Bild: Die in den Jahren zuvor unter Leitung der Europäischen Zentralbank entwickelten fakultativen Leitlinien zur Sicherheit von Zahlungen im Internet wurden zunächst von der EBA in obligatorische Leitlinien überführt und sollten anschließend durch die PSD II in Form gesetzlicher Vorgaben für alle Zahlungsdienste einheitlich formuliert werden. Gleichzeitig sollte die PSD II das Problem von Drittparteien mit Zugriff auf das Kundenkonto durch einen neuen Rechtsrahmen lösen. Dieser Rechtsrahmen soll trotz Öffnung der Bankkonten für Dritte für mehr Sicherheit an der Kundenschnittstelle sorgen.

Die Problematik des Kontenzugriffs durch Drittdienstleister reicht beinahe 15 Jahre zurück. Das damalige Problem: Schon zur Jahrtausendwende standen die damals als Zentraler Kreditausschuss (ZKA) agierenden deutschen Kreditinstitute vor der Frage, ob und wie den neu aufkommenden Online-Überweisungsdiensten begegnet werden sollte. Diese Dienste füllen die Überweisungsformulare im Onlinebanking für den Kunden mit den Daten des Händlers als Zahlungsempfänger aus. Da die Deutsche Kreditwirtschaft sich aus verschiedenen Gründen damit schwer tat, vorrangig aus sicherheitstechnischen Bedenken, griff erst die deutsche und dann die europäische Regulierung das Thema auf. Der starre und wenig innovative Markt des Retail Payments sollte aufgebrochen werden. Vor dem Hintergrund der neuen SEPA-Verfahren bot sich für die Europäische Kommission die Chance, die Digitale Agenda der EU mit einem marktfördernden Programm zu unterstützen. Digitale Zahlverfahren sollten den digitalen Binnenmarkt unterstützen.

Die Überweisungsdienste kamen als Vorlage für das Aufbrechen der verkrusteten Bankenstrukturen gerade recht. Die Kernfrage jedoch war, wie ein Dritter auf ein Konto zugreifen kann, ohne die Sicherheit zu gefährden. Das Konzept der starken Kundenauthentifizierung (SCA) ist seither ein zentrales Element der PSD II. Doch obwohl als tragende Säule der Regulierung neuer Dienste in der PSD II ausgemacht, konnten die grundverschiedenen Positionen der Marktteilnehmer nur schwer vereint werden. Der Interessenausgleich ist insbesondere deshalb eine Herausforderung, da die PSD II aus aufsichtsrechtlichen Gründen nicht zu konkret bezüglich der technischen Ausgestaltung werden darf. Aus diesem Grund wurde das Problem in Form eines Mandats an die Europäische Bankenaufsicht übergeben. Die Europäische Bankenaufsicht soll die durch die PSD II definierten Sollbruchstellen in der Wertschöpfungskette der Banken in Form von offenen Bankschnittstellen absichern. Diese Sollbruchstellen sollen günstige Voraussetzungen für neue Ökosysteme schaffen (siehe Abbildung 1). An diesen Schnittstellen entstehen nun tatsächlich neue Dienstleistungen, die sich ergänzen, aufeinander aufbauen oder gegenseitig anreichern (Mash-ups). Es entstehen eigene Wertschöpfungsketten auf Grundlage der Zahlungsdaten und Zahlungsauslösedienste – und das lange, bevor die neuen Regelungen in Kraft treten.

 

Abbildung 1: EBA RTS sichert die neuen Sollbruchstellen

B6.1_DE_1.jpg

 

Vor diesem Hintergrund ist die Europäische Bankenaufsicht mandatiert, die Anforderungen zwar spezifischer zu formulieren, dabei aber weitgehend technologieneutral zu bleiben. Im Ergebnis sind die Anforderungen so formuliert, dass Grundsatzfragen offen bleiben: Ist ein Authentifizierungstoken vertraulich? Was sind sensible Zahlungsdaten? Ist der Überbringer der Zahlungsdaten an die Bank bereits ein Zahlungsauslösedienst? Darf ein Zahlungsauslösedienst Zugriff auf die geheimen Zugangsdaten erhalten? Wie werden Zahlungsdaten technisch an den Authentifzierungstoken geknüpft? Ungeachtet der langjährigen Diskussion um diese Fragen lassen sich die Antworten nicht eindeutig aus der finalen Version der Regelungen herauslesen. Diese Uneindeutigkeit wurde jedoch in Kauf genommen, um möglichst großen Spielraum für neue Entwicklungen und den Wettbewerb zu öffnen.

Die Regelungsmechanismen und deren Auswirkung

Die Entwicklung des RTS war demnach ein Prozess der Verallgemeinerung eines konkreten Wettbewerbsproblems sowie der Schwierigkeit zunehmenden Kartenbetrugs bei Internetzahlungen. Die Lösung dieser Problemstellungen in Form der SCA orientiert sich jedoch sehr stark an der Initierung einer Banküberweisung. Mit Blick auf Internetzahlungen ist die Leitindustrie aber eben nicht die Kreditwirtschaft, sondern der E-Commerce. Der Transfer der Zahlung im Banksystem ist nur ein kleiner Zwischenschritt in dieser Wertschöpfungskette.

Ein Zahlvorgang beginnt bei der Warenauswahl und endet im Warenwirtschaftssystem des Händlers. Onlineüberweisungsdienste, die sich im Wesentlichen auf die Vereinfachung dieses Zwischenschritts konzentrieren, sind nur eines von zahlreichen Zahlverfahren und machen 15 Jahre nach Markteintritt lediglich einen einstelligen Prozentsatz am Internetumsatz aus. Weitaus größeren Anteil haben Zahlungsinstrumente, die weitere Dienste im Umfeld der Zahlungsabwicklung anbieten und auf die Bedürfnisse des Händlers und Käufers eingehen. Diese Zahlungsinstrumente werden vom RTS nicht ähnlich explizit wie Kartensysteme und Überweisungen angesprochen, müssen jedoch ebenso die regulatorischen Anforderungen umsetzen. Folgende Zahlungsinstrumente lassen sich dabei nennen:

  1. Kartenbasierte Zahlungsinstrumente (z.B. Kreditkarte, Debitkarte)
  2. Überweisungsbasierte Zahlungsinstrumente (z.B. SEPA Credit Transfer)
  3. Lastschriftbasierte Zahlungsinstrumente (z.B. SEPA Direct Debit)
  4. E-Geld-basierte Zahlungsinstrumente (z.B. PayPal)

Aufgrund der Inkonsistenzen im RTS verfügen die einzelnen Zahlungsinstrumente über unterschiedliche Startpositionen. Zum Beispiel sind lastschriftbasierte Verfahren von der SCA ausgenommen. Es sei denn, die Bank des Kunden spielt eine aktive Rolle bei der Erstellung des Lastschriftmandats, und der Zahlungsempfänger bindet dieses Bankverfahren in die Mandatserteilung ein. Diesen Aufwand werden Internethändler kaum realisieren wollen, da die Conversion dann zusätzlich von der Bank abhängt. Und wenn eine Bank eine E-Mandatslösung anbietet, wird dies für jede Bank eine andere sein. Das ist praktisch ein Ausschlusskriterium für E-Mandate bzw. für eine Beteiligung der Bank bei elektronischen Lastschriftlösungen im E-Commerce. Allerdings sind auf Lastschriften basierende Zahlverfahren wesentlich flexibler in der Wahl der Mittel und werden sich daher bevorzugt ohne direkte Einbindung der Bank weiterentwickeln. Da Lastschriften rückabgewickelt werden können, haben Händler jedoch in der Regel keine Zahlungsgarantie.

Um eine garantierte Zahlung zu erhalten, hat der Händler die Wahl zwischen kartenbasierten, überweisungsbasierten und E-Geld-basierten Zahlverfahren. Zwar haben diese Verfahren die SCA umzusetzen, es gibt jedoch für jedes dieser Verfahren unterschiedliche Spielräume. Bei kartenbasierten Systemen können die höheren Limits für Ausnahmen von der SCA genutzt werden. Für Ausnahmen von der SCA bei Zahlungen bis zu 250 EUR muss zum Beispiel ein überweisungsbasiertes Zahlungssystem sechsfach geringere Betrugsraten haben, um mit Kartensystemen gleichgestellt zu werden. Ein Zahlungsauslösedienst, der sich gegenüber einem Kartendienst am Markt behaupten muss, wird aufgrund der dann wahrscheinlich immer zum Einsatz kommenden SCA aus Conversion-Gesichtspunkten benachteiligt. Denn die Kundenauthentifizierung ist ein äußerst sensibler Schritt im Zusammenhang mit der Conversion-Rate. Die Conversion-Rate wiederum ist eine kritische Kenngröße für Internethändler. Wird eine Transaktion abgebrochen, geht das damit verbundene Geschäft verloren. Wenn für bestimmte Zahlverfahren zusätzliche Schritte notwendig sind und die Conversion leidet, wird der Händler in der Regel andere Zahlverfahren incentiveren. Die SCA wird somit zum Zünglein an der Waage, welche Zahlverfahren zum Einsatz kommen. Die Warenkorbgröße und die Ausnahmeregelungen für Limits werden entscheidend dafür sein, ob ein bestimmtes Zahlverfahren überhaupt noch zum Einsatz kommt. Eine Verlagerung der Umsätze innerhalb der Zahlungsinstrumente ist durchaus zu erwarten.

Neben einer Verlagerung innerhalb der Zahlungsinstrumente ist eine Verlagerung von kleinen zu großen Zahlungsdienstleistern abzusehen. Dieser Zusammenhang resultiert aus der Einführung von Schwellwerten für Betrugsraten (Exemption Threshold Value) eines Zahlungsdienstleisters. Je geringer die Betrugsrate eines Zahlungsdienstleisters (ZDL), desto flexibler darf er beim Einsatz der Ausnahmen von der SCA sein. Zunächst sind Kleinbetragszahlungen von 30 Euro grundsätzlich von der SCA ausgenommen, unabhängig von der Betrugsrate. Bei einer Betrugsrate eines Kartenzahlungsdienstes unter 13 Basispunkten (= 0,13%) zählen bereits Beträge bis zu 100 Euro zu den risikoarmen Transaktionen. Überweisungsbasierte Dienste dürfen sich übrigens für das gleiche Limit nur eine Betrugsrate von 1,5 Basispunkten erlauben. Wird dieses Limit jedoch eingehalten, sind bei einem angenommenen durchschnittlichen Warenkorb von 65 Euro (= 50% der Zahlungen sind kleiner oder gleich 65 Euro) risikobasierte Ausnahmen für die überwiegende Mehrheit der Zahlungen erlaubt. Liegt die Betrugsrate unter 1 Basispunkt – das Limit liegt für Kartenzahlungen dann bei 500 EUR und bei Überweisungen bei 250 EUR –, wird die SCA in der Praxis nur im Ausnahmefall angewandt.

An dieser Stelle wird das Gesetz der großen Zahlen wirksam. Ein einzelner Betrugsfall in der Höhe des Limits wirkt sich bei großen Volumina geringer aus als bei kleinen. Etablierte Zahlungsdienstleister mit großen Umsätzen und großen Kundenzahlen können ihre Risikosysteme zudem besser schärfen und werden hierbei zweifach signifikant bevorzugt. E-Geld-Zahlungen zählen hier übrigens in der Regel zu den überweisungsbasierten Verfahren. Diese werden also versuchen, die Risikosysteme auf diese Grenzwerte hin zu optimieren, um im Wettbewerb mit den Kartensystemen gleichzuziehen. Das Potenzial mit Blick auf die großen Datenbestände haben sie. Ob jedoch auch Banken sich darauf einlassen und zugunsten der Conversion auf die SCA bei einer Überweisung von 500 EUR verzichten, darf angezweifelt werden.

Fazit

Dem RTS ist deutlich anzumerken, dass er sehr verschiedene Problemstellungen und Lösungsansätze vereinen sollte. Aus regulatorischer Sicht gäbe es zwei Möglichkeiten, damit umzugehen: Es werden Zielvorgaben gesetzt, ähnlich wie bei der Abgasnorm in der Autoindustrie oder bei den Schadstoffgrenzen in der Lebensmittelindustrie, und es wird den Herstellern überlassen, auf welchem Wege sie das Ziel erreichen. Oder aber es werden prozedurale Vorgaben gemacht und dem Dienstleister kaum Spielräume zugebilligt. Die EBA hat mit dem RTS eine Kombination beider Ansätze versucht und lediglich einen Kompromiss erreicht.

Zudem orientiert sich der RTS an einem Problem von vor 10 Jahren, das sich durch neue Technologietrends und deren Auswirkungen auf Zahlverfahren bereits überlebt hat. Neben den neuen Wertschöpfungsketten in digitalen Ökosystemen mit der Problemstellung, wie man Autorisierungen und Rollenmodelle untereinander weiterreicht, hat sich beispielsweise der mobile Markt rasant weiterentwickelt. Die interaktive Kundenauthentifizierung, wie sie der RTS mit der SCA fordert, spielt auf Grund der Einschränkungen auf mobilen Endgeräten nur eine untergeordnete Rolle bei aktuellen Sicherheitssystemen. Moderne Verfahren beziehen den Kontext einer Zahlung ein und setzen auf multiple Datenpunkte sowie deren intelligente Kombination, um den Kunden sicher zu identifizieren.

Der RTS in der vorliegenden Form stellt die nationalen Aufsichtsbehörden vor die enorme Herausforderung, eine Botschaft aus einer anderen Zeit an die Marktteilnehmer zu vermitteln. Einerseits werden dabei sehr detaillierte Vorgaben zur SCA gemacht, andererseits wird deren Einsatz mit Ausnahmen wieder relativiert, und schließlich werden systemische Unterschiede mit Blick auf die Zahlungsinstrumente eingeführt. Die Umsetzung des RTS im Rahmen heutiger Anwendungen ist vor diesem Hintergrund sehr aufwendig und wird im Ergebnis den eigenen Zielvorgaben kaum gerecht.

SOURCES

Internet

http://ec.europa.eu/finance/docs/level-2-measures/psd2-rts-2017-7782_en.pdf

https://www.ecb.europa.eu/pub/pdf/other/4th_card_fraud_report.en.pdf

Vorausgehende Posts der Serie

COREinstitute

https://www.coretechmonitor.com/de/public-hearing-der-eba-zu-starker-authentifizierung-und-sicherer-kommunikation-im-rahmen-der-psd-ii/

https://www.coretechmonitor.com/de/auswirkungen-rts-psd-ii/

Unsere Autoren