Sponsored Post: „Anpacken und schon jetzt testen, wo es hakt“

Umsetzung der PSD2

Bundesdruckerei-Experte Christian Seegebarth erklärt im Interview, mit welchen Tools die PSD2 bis September sicher und rechtskonform umgesetzt werden kann.

Bundesdruckerei-Experte Christian Seegebarth

Bundesdruckerei-Experte Christian Seegebarth

Die Payment Services Directive (PSD2) erlaubt digitalen Zahlungsdiensten über eine Schnittstelle (API) Zugriff auf Online-Zahlungskonten. Bundesdruckerei-Experte Christian Seegebarth sprach zuletzt bei der NextGenPSD2 Conference über die technische Umsetzung der Richtlinie. Im Interview erklärt er, wer besonders von der PSD2 profitiert und mit welchen Tools man trotz straffen Zeitplans gut gerüstet ist.

Wie gut ist die PSD2 unter Banken und FinTechs bekannt?
Banken wissen sicher bestens Bescheid. Sie stehen dauernd mit der BaFin und den entsprechenden Regulatoren im Austausch, die sich mit der Einrichtung der notwendigen Schnittstelle (API) befassen. Bei den Zahlungsdiensten entscheidet wohl die Größe. Etablierte FinTechs sollten informiert sein und kaum Probleme bei der Umsetzung haben. Bei kleineren Zahlungsdienstleistern dürfte dagegen weniger Klarheit herrschen.

Für die FinTechs ist die PSD2 aber ungleich vorteilhafter.
Genau, denn der Zugang zur Bankenschnittstelle spart ihnen viel Geld für Personal. Die größeren Player haben ja bisher schon auf Kontoinformationen zugegriffen – durch Screen Scraping, das Auslesen der Kundeninformationen auf der Bankenwebsite. Bei Änderungen der Website vonseiten des Geldinstituts programmierte man einfach hinterher. Die Schnittstelle macht Screen Scraping obsolet – sie gibt Unternehmen die Chance, ihre Services ohne hohen Aufwand anzubieten. Damit Drittanbieter diese Chance nutzen, muss man sie für die PSD2 an sich, aber auch für die technischen Anforderungen der Richtlinie sensibilisieren.

Wie das?
Gerade die Banken müssten als Anbieter der Schnittstelle doch bestens über die technischen Anforderungen informiert sein. Nicht unbedingt. Die PSD2 enthält regulatorische technische Standards zur starken Kundenauthentifizierung (RTS on SCA). Diese schreiben etwa den Einsatz qualifizierter Website-Zertifikate (QWACs) fest, mit denen die Unternehmen ihre Identität und ihre Rolle im Zahlungsprozess nachweisen. Allerdings sind die recht neuen QWACs weder flächendeckend verbreitet noch scheinen sie besonders bekannt, was auch daran liegt, dass die „RTS on SCA“ noch nicht lange besteht. Ein echtes Problem.
Andere Zertifikate, wie beispielsweise die EV-Zertifikate für das Kunden-Login, sind zwar schon recht etabliert, aber in diesem Zusammenhang ist ihre Verwendung neu. Entwickler brauchen Zeit, um Erfahrungen mit den Zertifikaten im Zusammenhang mit der Schnittstelle zu sammeln. Und der Zeitplan ist mehr als eng.

Am 14. September startet der Echtbetrieb. Funktionieren müssen die Zertifikate früher.
Schon am 14. Juni startet ein dreimonatiger Markttest, in dem Banken die QWACs unter Realbedingungen nutzen müssen. Nur wenn die Banken diesen Test bestehen, können sie sich von der Fallback-Lösung befreien lassen.
Alles in allem bleibt wenig Zeit – auch für die Drittanbieter, deren Geschäftsmodell von der PSD2 abhängt.

Wie sollten Banken und Drittanbieter Ihrer Meinung nach vorgehen?
Anpacken. Wir, die Bundesdruckerei, geben beispielsweise schon jetzt  kostenlose Testzertifikate heraus, damit Entwickler damit „spielen“ können. Ab März sind sie dann sogar validierbar, das heißt, sie stammen aus einer Referenzumgebung unseres Tochterunternehmens D-TRUST. Banken und Drittanbieter von Payment Services können damit bereits wie mit produktiven Zertifikaten arbeiten. Das erlaubt ihnen, wichtige Einschätzungen darüber zu treffen, wo es hakt und wie man Mängel behebt.

Worauf kommt es bei der Wahl der Website-Zertifikate an?
Es müssen qualifizierte Website-Zertifikate nach eIDAS* sein (QWACs). Alle Anbieter qualifizierter eIDAS-Vertrauensdienste (Trust Service Provider) stehen auf einer EU-Vertrauensliste (Trusted List). Sie sind von den jeweiligen nationalen Aufsichtsstellen für die Herausgabe der qualifizierten Zertifikate zugelassen.

Also gibt es unter den Vertrauensdiensteanbietern keinerlei technologische Unterschiede?
Nein, die technische Sicherheit ist gleich hoch. Bei der Investitionssicherheit sieht es anders aus. Ein Platz auf einer Vertrauensliste schützt einen Vertrauensdiensteanbieter weder vor Insolvenz noch vor der Übernahme durch eine Firma, die nicht aus Europa stammt. Bei der D-TRUST als Tochter eines Staatsunternehmens ist beides ziemlich unwahrscheinlich. Wir erstellen neben vielen anderen Sicherheitslösungen für den Bund seit über 20 Jahren Zertifikate und werden damit sicher so schnell nicht aufhören.

Neben den QWACs können Banken auch den Einsatz qualifizierter Siegel fordern, so wie es die European Banking Authority (EBA) empfiehlt. Wo liegt hier der Mehrwert?
QWACs sind SSL-Zertifikate und sichern die Datenübermittlung ab. Sie schaffen eine durchgehende Ende-zu-Ende-Verschlüsselung. Qualifizierte Siegel (QSiegel) signieren einen Dateninhalt, zum Beispiel die Überweisung von 3,90 Euro. Auch nach Jahren könnte eine Bank im Backend nachvollziehen, wer was wann besiegelte.

Mehr Informationen zur Umsetzung der PSD2 und zu qualifizierten Zertifikaten finden Sie unter bdr.de/psd2

 

*EU-Verordnung Nr. 910/2014

Bildquelle: Bundesdruckerei GmbH

 

 

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok