Sicherung der PSD2 Vorgaben
Alle Banken in Europa mussten bis zum 15. September 2019 die neuen Vorgaben zur PSD2 umgesetzt haben. Dieser Blogbeitrag analysiert die rechtliche Grundlage und die technischen Auswirkungen auf die Sicherheitsmassnahmen, die sich um die PSD2 herum entwickelt haben.
PSD2 - was gibt es für einen Kick?
Die Finanzindustrie hat ein starkes Interesse daran, ihren Kundenstamm zu erhalten, und sie schützt die Beziehung zu ihren Kunden mit aller Härte. Mit PSD2 müssen die Banken Mitte September 2019 Kontoinformationen und die Funktionalität zur Zahlungsauslösung an Dritte in der laufenden Geschäftstätigkeit zur Verfügung stellen. Dies ermöglicht es Dritten, Finanzinformationen und die Verwaltung von Zahlungsanweisungen über mehrere Banken hinweg im Namen ihrer Kunden zu sammeln und so effektiv zur ersten Anlaufstelle für diese Kunden zu werden. Erschwerend kommt hinzu, dass die Kosten für die Führung der Kundenkonten und die Ausführung der Kontoinformationen und Zahlungsanweisungstransaktionen einschließlich aller damit verbundenen Verbindlichkeiten bei der Bank verbleiben und von den Dritten nicht kompensiert werden.
Die Europäische Union schuf die Zahlungsdienste-Richtlinie im Jahr 2015, um die Banken zu zwingen, ihre De-facto-Monopole bei der Bereitstellung von Finanzdienstleistungen aufzubrechen. Dies sollte es kleineren, aber innovativeren Organisationen ermöglichen, an diesem Markt teilzunehmen, so dass die Endkunden von flexibleren, bequemeren und innovativeren Finanzprodukten profitieren können. Als Ziel hat die EU nicht nur Fälle der Nutzung durch Unternehmen aufgenommen, sondern speziell auch Fälle der Nutzung durch Verbraucher und besondere Bestimmungen für kleine Transaktionen vorgesehen.
Man könnte argumentieren, dass die Schweiz nicht Teil der Europäischen Union ist und die Schweizer Banken daher nicht direkt von diesen Gesetzen betroffen sind. Während diese Aussage rechtlich korrekt ist, trifft es auch zu, dass viele Schweizer Banken Niederlassungen in EU-Mitgliedsstaaten haben und daher gezwungen sind, die PSD2-Verordnung einzuhalten.
PSD2 - Rechtliche und technische Anforderungen
Aus rechtlicher Sicht erscheint PSD2 eher einfach und unkompliziert: Banken müssen Schnittstellen für Drittanbieter (TPP in PSD2 Sprache) bereitstellen. Um auf solche Schnittstellen zugreifen zu dürfen, verlangt das Gesetz, dass die TPP bestimmte Kriterien erfüllen und als Nachweis eine Zertifizierung vorweisen müssen. Dies gleicht die Anteile zwischen TPP und Banken aus. Alle TPPs, die an PSD2 teilnehmen wollen, müssen die Haftung übernehmen, die Eigenkapitalziele erfüllen und die Anforderungen an Rerporting und Audits erfüllen.
Die technischen Aspekte von PSD2 waren im Gesetz nicht geregelt, und dies liess viel Interpretationsspielraum, wie Schnittstellen gestaltet werden sollten, die den gesetzlichen Anforderungen entsprechen. Um die Lücke zu füllen, wurden verschiedene Organisationen gegründet, und einige bestehende haben das Thema der Schnittstellenspezifikation von PSD2 übernommen. Infolgedessen gibt es nun eine Reihe von Standards, die alle ähnlich sind, da sie versuchen, das gleiche Problem zu lösen, aber gleichzeitig sind sie alle leicht unterschiedlich und daher nicht miteinander kompatibel.
Erschwerend kommt hinzu, dass die meisten Standards keine Einzelheiten zu den Sicherheitsaspekten der PSD2-Schnittstelle enthalten und sich eher auf die Geschäftsfunktionalität konzentrieren, die die Schnittstelle bieten muss.
Gegenseitig authentifiziertes TLS
Alle PSD2-Spezifikationen stimmen überein, dass die gegenseitige Authentifizierung aller Teilnehmer und die TLS 1.2-Verschlüsselung eine Voraussetzung ist. Es ist unklar, warum die Spezifikationen TLS 1.2 explizit spezifizieren, obwohl TLS 1.3 bereits verfügbar ist, aber im Moment scheint dies ein kleineres Problem zu sein, das durch eine Überarbeitung der Spezifikationen leicht gelöst werden kann.
Die Grundlage für die gegenseitige Authentifizierung ist eine neue Klasse von qualifizierten Zertifikaten, die nur von Banken und TPPs für den Zweck der Verwendung von PSD2-Schnittstellen erhalten werden können. Diese Zertifikate werden als Qualifizierte Website-Authentifizierungszertifikate oder kurz QWAC bezeichnet. Aus der Sicherheitsperspektive entsteht so ein Geflecht von vertrauenswürdigen Verbindungen zwischen Banken und TPPs, bei dem jede einzelne Verbindung mit Hilfe der qualifizierten Zertifikate, die zum Aufbau der Verbindungen verwendet werden müssen, sicher authentifiziert werden kann.
Einer der positiven Nebeneffekte der Verwendung von X.509-Zertifikaten ist, dass die Lösung gegen Man-in-the-Middle-Angriffe widerstandsfähig ist.
Sobald die gegenseitige TLS-Authentifizierung erreicht ist, weichen die PSD2-Spezifikationen allmählich voneinander ab. Während einige keine Angaben dazu machen, wie die TPP-Clientregistrierung implementiert werden muss, übernehmen andere die dynamische Clientregistrierung aus der OIDC-Spezifikation. Dies ist bedauerlich, da sich viele Spezifikationen darin einig sind, dass OAuth 2.0 für die Autorisierung des Zugriffs auf die PSD2-Schnittstelle verwendet werden sollte und dass die Bereiche des OAuth 2.0-Zugriffstokens definieren müssen, auf welche Ressourcen-Endpunkte ein TPP zugreifen darf.
Vererben von Vertrauen - eIDAS und PSD2
Die "Richtlinie (EU) 2015/2366 über Zahlungsdienste im Binnenmarkt", wie die PSD2 (siehe PSD2) offiziell genannt wird, ist ein Gesetz, das auf europäischer Ebene definiert wird und von den Mitgliedsstaaten in nationales Recht umgesetzt werden muss. Als Teil der Übernahme in nationales Recht muss der Mitgliedsstaat eine nationale zuständige Behörde einrichten, die TPPs zertifiziert, die der PSD2-Verordnung entsprechen und daher zur Teilnahme an PSD2 berechtigt sind. In vielen Mitgliedsstaaten wird diese Rolle der Finanzmarktbehörde zugewiesen, so dass Banken ihre Banklizenz von derselben Behörde erhalten, wie TPPs ihre PSD2-Zertifizierung erhalten.
Die "Verordnung (EU) Nr. 910/2014 über elektronische Identifikations- und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt" oder kurz eIDAS (eIDAS und eid.as) ist eine wichtige Grundlage für die Vertrauensbildung für PSD2. eIDAS ist ein weiteres Gesetz, das auf europäischer Ebene definiert wird und von den Mitgliedsstaaten in nationales Recht übernommen werden muss. Es regelt die organisatorische, prozedurale und technische Umsetzung verschiedener Arten von Zertifikaten und per Definition muss jeder Mitgliedsstaat in einem Zertifizierungsprozess überprüfen, ob die Aussteller von eIDAS-konformen Zertifikaten die mit eIDAS verbundenen Zertifizierungskriterien erfüllen.
Im Rahmen der PSD2 sind zwei Arten von Zertifikaten erforderlich, die sowohl von Banken als auch von vertrauenswürdigen Dritten verwendet werden müssen (siehe ETSI TS 119.499). Das QWAC oder Qualified Website Authentication Certificate ist das erste und wird zur Einrichtung einer gegenseitigen TLS-Authentifizierung verwendet, um die gesamte Kommunikation zwischen den Teilnehmern des PSD2-Geflechts zu sichern. Da sich das eIDAS-Gesetz auf europäischer Ebene befindet, sind die Zertifikate innerhalb der EU gültig und die Kommunikation zwischen Organisationen unterschiedlicher Mitgliedsstaaten ist ein integraler Bestandteil von PSD2.
Das zweite Zertifikat wird als QSealC oder Qualified Seal Certificate bezeichnet. Es wird zum Signieren von Transaktionen im Rahmen von PSD2 verwendet. QSealC ist nicht zu verwechseln mit QSigC (Qualified Signature Certificates). Obwohl sie einem ähnlichen Zweck dienen, ist ein QSealC für die Verwendung durch Organisationen vorgesehen, während QSigC von natürlichen Personen verwendet wird. Dank QSealC ist es Banken und TPPs möglich, die Verarbeitung von Transaktionen ohne menschliches Eingreifen vollständig zu automatisieren.
Um ein QSealC und/oder QWAC von einem zertifizierten Aussteller ausgestellt zu bekommen, muss eine Organisation den Nachweis erbringen, dass sie als Akteur gemäß der PSD2-Verordnung zertifiziert wurde. Sobald der Nachweis erbracht ist, stellt der Aussteller nicht nur das Zertifikat aus, sondern das Zertifikat enthält auch eine weltweit eindeutige Kennung für die Organisation, und die Rollen, die diese Organisation im PSD2-Netzwerk innehaben kann, werden in einer Erweiterung namens qcStatement kodiert.
PSD2 in der Schweiz
PSD2 und eIDAS werden per Definition in das nationale Recht der EU-Mitgliedsstaaten übernommen. Eine Organisation (Bank oder TPP), die PSD2-konforme Lizenzen, Zertifizierungen und Zertifikate erhalten möchte, muss dies nach dem nationalen Recht des EU-Mitgliedsstaates tun, in dem die Organisation gegründet wurde.
Als Folge der Verstaatlichung der PSD2-Rechtsgrundlage sind alle Organisationen, die keine Büros in einem EU-Mitgliedsstaat haben, von der Teilnahme an PSD2 ausgeschlossen. Ob und wann die Schweiz die eIDAS- und PSD2-Regelungen in das Schweizer Recht übernehmen kann oder will, ist unklar. Dies mag einer der Gründe sein, warum die Schweizer Banken eine Reihe von Alternativen zum PSD2-Gesetz diskutieren, um eine ähnliche Funktionalität zu bieten, die jedoch außerhalb des PSD2-Gesetzes liegt.
PSD2 - Kundenperspektive
Bei PSD2 bleibt die Situation des Kunden weitgehend unverändert. Der Kunde muss einen Vertrag mit der Bank und einen Vertrag mit dem TPP haben. Dies mag zwar etwas umständlich klingen, aber man sollte bedenken, dass aus rechtlicher Sicht der Kauf einer Fahrkarte für öffentliche Verkehrsmittel als Transportvertrag oder der Kauf eines Lebensmittels als Kaufvertrag gilt. Im Wesentlichen kann die Kundenerfahrung die gleiche bleiben, wie sie heute mit normalen NFC-Zahlungsmethoden ist. PSD2 wirkt sich in erster Linie auf die Beziehung zwischen Bank und TPP aus, weil sie alle Teilnehmer zwingt, sich gegenseitig zu akzeptieren, unabhängig davon, in welchem EU-Mitgliedstaat sie ihre PSD2-Zertifizierung oder ihre Banklizenz erhalten haben. Ein zertifizierter TPP ist nicht mehr verpflichtet, mit Anbietern von Zahlungsdienstleistungen, die er in seinem Geschäft unterstützen möchte, Verträge abzuschließen.
Im Hinblick auf PSD2 ist die wichtigste Rolle des Kunden die Verwaltung der Zustimmungen. Der Kunde muss der Bank die Zustimmung erteilen, bevor die Bank Transaktionen akzeptieren darf, die eine TPP im Namen dieses Kunden anfordert. Um dies zu gewährleisten, verlangt das PSD2-Gesetz, dass die Bank entweder eine starke Kundenauthentifizierung bei der Erteilung der Zustimmung durchsetzen oder die Haftung übernehmen und alle finanziellen Verluste abdecken muss, die einem Kunden durch eine betrügerische Transaktion entstehen. Starke Kundenauthentifizierung oder SCA wird im PSD2-Gesetz als Multi-Faktor-Authentifizierung mit mindestens zwei unabhängigen Faktoren (Wissen, Besitz, Verhalten/Biometrie) definiert.
PSD2 unterscheidet drei Arten von Funktionen, die Banken bereitstellen müssen: Kontoinformationen, Verfügbarkeit von Geldmitteln und Zahlungsanweisungen. Dies ist zwar im Wesentlichen eine geschäftliche Funktionalität, hat aber einige Sicherheitsimplikationen im Hinblick auf das Zustimmungsmanagement. Ein Kunde kann einer TPP zustimmen, um Kontoinformationen und die Verfügbarkeit von Geldtransaktionen auszuführen. Sobald die erste Zustimmung unter Verwendung von SCA erteilt wurde, muss die Bank die Zustimmung speichern und der TPP kann diese Zustimmung ohne weitere SCA weiter verwenden. Der Ablauf der Einwilligung ist gesetzlich nicht vorgesehen, aber bei den derzeitigen Umsetzungen scheint eine Erneuerung der Einwilligung in der Regel alle 3 bis 6 Monate erforderlich zu sein.
Die dritte Funktion: Die Zahlungsanweisung erfordert für jede einzelne Transaktion eine explizite SCA gemäß PSD2-Gesetz. Wie bereits erwähnt, kann die Bank die Durchsetzung der SCA vermeiden, wenn sie die Haftung übernimmt. Natürlich können moderne Maßnahmen zur Betrugserkennung in Banksystemen beurteilen, ob eine Transaktion in das normale Zahlungsverkehrsmuster eines Kunden passt, und ein risikobasierter Ansatz kann ohne Konflikt mit dem PSD2-Gesetz umgesetzt werden.
IT-Security für Banken
Blognews direkt in Ihr Postfach
Der Airlock Newsletter informiert Sie laufend über neue Blogartikel.