BANKINGNEWS: Wie bewerten Sie den Erfolg der PSD2 im Hinblick auf die erklärten Ziele?
Christian Seegebarth: Für eine Bewertung über den Erfolg ist es noch zu früh. Denn einige Anforderungen des Zahlungsdiensteaufsichtsgesetzes (ZAG), wie zum Beispiel die starke Kundenauthentifizierung, müssen erst bis September 2019 umgesetzt werden. Die Ziele der PSD2, die es dann zu bewerten gilt, sind im Groben: Harmonisierung des Markts, Verbesserung des Wettbewerbs, Schaffung neuer Geschäftsmodelle und Etablierung von Sicherheit und Verbraucherschutz. Die PSD2 bietet vor allem Drittanbietern wie beispielsweise Fintechs neue Chancen. Doch auch Banken können die PSD2 nutzen, um neue Geschäftsmodelle zu entwickeln und erhalten Möglichkeiten, an der API-Economy teilzuhaben.
„Man kann argumentieren, dass durch die PSD2 Risiken für Banken gesenkt werden“
Können durch die Öffnung der Schnittstellen Risiken für Banken entstehen?
Durch Veränderungen entstehen immer auch neue Risiken. Die Möglichkeit des Screen Scrapings, welches viele Fintechs seit langem nutzen, wird mit der PSD2 jedoch durch eine kontrollierbare Schnittstelle ersetzt. Eigentlich gibt die PSD2 also Banken ein Stück Kontrolle zurück und ermöglicht dadurch einen höheren Verbraucherschutz. Die Bank erfährt die Identität des Zugreifenden und kann im Missbrauchsfall entsprechend reagieren. Unter Berücksichtigung dieser Aspekte kann man sogar argumentieren, dass durch die PSD2 Risiken für Banken eher gesenkt werden.
Was ist das Besondere an den qualifizierten Website-Zertifikaten, die von der PSD2 vorausgesetzt werden und welche Anforderungen müssen sie erfüllen?
Die qualifizierten Website-Zertifikate (Qualified Website Certificate – kurz QWAC) müssen von einem EU-zugelassenen qualifizierten Trust Service Provider herausgegeben werden. Sie enthalten eine geprüfte Identität des Zahlungsdienstleisters und dessen Rolle, d. h. für welche Dienste der Zahlungsdienstleiter von der BaFin oder der nationalen Bankenaufsicht zugelassen wurde. Man kann sich die Zertifikate wie einen Ausweis für Drittanbieter im Zahlungsverkehr vorstellen, mit denen diese sich bei Banken ausweisen. Darüber hinaus kann vom kontoführenden Zahlungsdienstleister der Einsatz von sogenannten qualifizierten Siegeln (QSiegeln) verlangt werden. Diese dienen dazu, die Anfragen der Dienstleister rechtswirksam auf dem Applikationslevel zu siegeln und die signierten Daten vor Veränderungen zu schützen. Die Echtzertifikate und Siegel nach PSD2-Vorgaben werden von der D-TRUST GmbH, dem qualifizierten Vertrauensdiensteanbieter der Bundesdruckerei, ab dem Sommer 2019 bereitgestellt. Derzeit können Banken und Fintechs kostenlose Testzertifikate für den Probebetrieb beziehen.
„Die verschiedenen Interface-Standards sind eine Herausforderung“
Am 14. März 2018 wurden die finalen Regulatory Technical Standards (RTS) zur starken Kundenauthentifizierung und sicheren Kommunikation veröffentlicht, die bis September 2019 umgesetzt werden sollen. Welche Herausforderungen ergeben sich daraus?
Zahlungsdienstleister, die weiterhin auf Online- Zahlungskonten zugreifen wollen, müssen die neue Schnittstelle der Banken nutzen und sich entsprechend mit PSD2-Zertifikaten ausweisen. Eine Herausforderung sind die verschiedenen Interface-Standards, die alternativ unterstützt werden können. Bei den API-Standards hat der Berlin Group Standard europaweit eine große Akzeptanz. Darüber hinaus gibt es noch andere Standards, wie z.B. den Open Banking Europe Standard oder STET. Die zweite Herausforderung ist der enge Zeitplan – ab März 2019 muss eine Testumgebung geöffnet und anschließend ein dreimonatiger Test in der Produktivumgebung nachgewiesen werden.
Christian Seegebarth wird das Thema PSD2 und Qualifizierte Websitezertifikate in seinem Vortrag auf unserem Fachkongress Next Generation Payment am 24.01.2019 weiter vertiefen. Jetzt noch anmelden!
Christian Seegebarth
Bundesdruckerei GmbH
Christian Seegebarth, studierter Diplom-Physiker, ist Senior Expert Trusted Solutions bei der Bundesdruckerei GmbH im Bereich Marketing. Er arbeitet seit 2000 in verschiedenen Rollen in der IT-Sicherheit mit Schwerpunkt Trust Service Provider. Christian Seegebarth ist Certified Information Security System Professional (CISSP) und seine Erfahrung umfasst Projektleitung von großen PKI-Projekten sowie Beratungen in verschiedenen Geschäftsfeldern (öffentliche Auftraggeber, Banken, Versicherungen, Automobilindustrie), Konzeptionierung von kundenspezifischen Public Key Infrastrukturen (PKI) und Beratungen zur Integration von PKI. Er ist engagiert beim Forum elektronische Vertrauensdienste, bei ETSI ESI und bei CEN WG 17.
Über die Bundesdruckerei:
Die Bundesdruckerei GmbH unterstützt Staaten, Organisationen und Unternehmen mit Lösungen und Produkten für sichere Identitäten und sichere Daten. Die Technologien und Dienste zum Schutz sensibler Daten, Kommunikation und Infrastrukturen sind „Made in Germany“. Sie basieren auf der zuverlässigen Identifikation von Personen und Objekten in der analogen und digitalen Welt. Die Bundesdruckerei erfasst, verwaltet und verschlüsselt Daten, produziert ID- und Wertdokumente sowie Prüfgeräte, entwickelt Software für hochsichere Infrastrukturen und bietet Pass- und Ausweissysteme sowie automatische Grenzkontrolllösungen an. Zur Bundesdruckerei-Gruppe gehören die Konzerngesellschaften D-TRUST GmbH, genua GmbH, Maurer Electronics GmbH und iNCO Sp. z o.o. Die Unternehmensgruppe beschäftigt über 2.500 Mitarbeiter und erzielte 2017 einen Umsatz von 520 Millionen Euro. Die Bundesdruckerei hält zudem Anteile an der Veridos GmbH, DERMALOG Identification Systems GmbH, cv cryptovision GmbH und Verimi GmbH. Weitere Infos unter www.bundesdruckerei.de.