ArtikelDE – KEEP

Lassen die Entwicklungen der PSD2 und die Abschaffung des SMS-OTP neue Praktiken für die elektronische Signatur erwarten?

DSP2 OTP SMS

Eine der Folgen vonInkrafttreten der PSD2 (2. Zahlungsdiensterichtlinie) am 13. Januar 2018 und der Veröffentlichung der zugehörigen technischen Vorschriften (RTS), die ab dem 14. September 2019 gelten werden), ist der Tod des SMS-OTP („One Time Password“). Abgesehen von den Einschränkungen für den Bankensektor in Bezug auf die Zahlungsproblematik stellt sich die Frage, wie sich der Text auf andere Vorschriften auswirkt, insbesondere auf diejenigen, die die elektronische Signatur einrahmen.

Das Ende des SMS-PSP?

Seit vielen Jahren haben sich die Verbraucher daran gewöhnt, sich bei Online-Zahlungen mit einem per SMS erhaltenen Code zu authentifizieren (sog. „3D-Sicherheitsmerkmal“). Diese Art der Authentifizierung, mit der sichergestellt werden soll, dass der Karteninhaber die Zahlung tätigt, ist zwar nicht unfehlbar (eine Handynummer kann missbraucht werden) und hat Auswirkungen auf die Konversionsrate der Kundenreise, wird aber mittlerweile sowohl von Kunden als auch von Händlern akzeptiert.

Über ihren Jahresbericht 2018 der Beobachtungsstelle für die Sicherheit von Zahlungsmitteln hat die Banque de France die operativen Auswirkungen des Inkrafttretens des Textes insbesondere in Bezug auf die Modalitäten für den Zugang zu einem Online-Zahlungskonto ausführlich dargelegt.

Sie besagt, dass eine starke Authentifizierung erforderlich ist, wenn der Inhaber sein Konto abfragen, eine Überweisung tätigen, eine Zahlung per Bankkarte vornehmen oder eine Reihe sensibler Vorgänge durchführen möchte.

In Artikel 4 der PSD2 wird starke Authentifizierung definiert als „basierend auf zwei oder mehr Elementen der Kategorien Wissen, Besitz und Inhärenz (Biometrie) und führt zur Generierung eines Authentifizierungscodes“. Und in Artikel 9 schreibt die Richtlinie vor, dass die verschiedenen Elemente unabhängig voneinander sein müssen, um zu gewährleisten, „dass auf der Ebene der Technologie, der Algorithmen und der Parameter die Kompromittierung eines Elements die Zuverlässigkeit der anderen nicht in Frage stellt“.

Der SMS-OTP stellt jedoch nur einen Faktor dar, nämlich den Besitz des Handys, das den Code empfängt. Da der empfangene Code nicht unabhängig vom Handy ist, kann er nicht als zweiter Faktor betrachtet werden. Kartennummer, Gültigkeit und Kryptogramm gelten nicht als Wissensfaktor, da sie „im Klartext“ auf der Karte erscheinen und de facto leicht kopiert werden können.

Auf dem Weg zu einer neuen Authentifizierungsmethode?

Die Banken werden also einen neuen Weg finden müssen, um ihre Kunden bei den von der PSD2 erfassten Transaktionen zu authentifizieren, d. h. bei Transaktionen, die die Kontoführung im weitesten Sinne betreffen. Es gibt noch einen weiteren Moment im Leben, in dem das SMS-PSP heute häufig verwendet wird: bei der Aufnahme von Beziehungen zur Fernauthentifizierung von Interessenten oder Kunden im Rahmen der elektronischen Unterzeichnung eines Kontoeröffnungsvertrags und eines kommerziellen Kreditangebots zum Beispiel.

Damit eine elektronische Signatur gültig ist, muss der Unterzeichner identifiziert und authentifiziert werden. Heute hat der Markt zwei Praktiken favorisiert: das Sammeln (und Analysieren) eines Identitätsdokuments und die Eingabe eines SMS-OTPs.

Die elektronische Signatur wird seit dem1. Juli 2016 durch die europäische eIDAS-Verordnung geregelt. Bei einer Fernsignatur besteht diese Verpflichtung in der Aufforderung, einen Einmalcode per SMS einzugeben, den nur der Unterzeichner zum Zeitpunkt der Unterzeichnung eingeben kann.

Dieser „Aktivierungscode“ ist seit Jahren ein unumgänglicher Schritt auf dem Weg zur elektronischen Signatur. Die Frage, die sich nun stellt, ist, ob er die PSD2 überleben wird.

Ein erstes Element der Antwort ist die Harmonisierung der europäischen Texte zur Regulierung des Finanzsektors, die man mit Begriffen beobachten kann, die in den verschiedenen Texten umgesetzt werden. So fanden beispielsweise die in der eIDAS-Verordnung festgelegten Identifikationsschemata sehr schnell ihren Platz in der Umsetzung der Vierten Richtlinie zur Bekämpfung der Geldwäsche und der Terrorismusfinanzierung. So erwähnt Artikel R561-20 des Code Monétaire et Financier diese Identifikationsmittel als neue, zusätzliche Sorgfaltsmaßnahmen bei der Aufnahme einer Geschäftsbeziehung auf Distanz (5. und 6. Maßnahme).

Die Hauptantriebskraft für diese Veränderungen dürfte die Risikoaversion der Branche sein. Wenn sich auf dem Markt ein glaubwürdiger Ersatz für das SMS-OTP in Bezug auf Einsatz, Nutzbarkeit und Sicherheit für die Sicherung von Zahlungen durchsetzt, wird es sehr schnell auch für andere Verwendungszwecke wie die elektronische Signatur eingesetzt werden.

Erfahren Sie mehr über Netheos

Demo anfordern

Autor des Artikels
Picture of David

David

Product manager | Produktmanager bei Netheos, interessiere ich mich für alle Probleme der digitalen Kundenbeziehung und nutze diesen Blog, um meine Analysen mit Ihnen zu teilen.
Artikel teilen
Interview

Pierre Pontier Generaldirektor von Namirial Frankreich

Weiße Bücher
Newsletter

Infografiken