PSD2: So führen Sie dynamische Verlinkung auf kompatible und bequeme Weise durch

Frederik Mennes, 29. März 2018
PSD2: How to Perform Dynamic Linking in a Compliant, Convenient Way

Eine der meistdiskutierten Anforderungen in der aktuellen Fassung des regulatorischen technischen Standards (RTS) zur starken Kundenauthentifizierung (SCA) und sicheren Kommunikation (CSC) unter PSD2 ist die Anforderung, eine so genannte „dynamische Verlinkung“ zur Authentifizierung einer Finanztransaktion durchzuführen.

Die Anforderung an die dynamische Verlinkung besteht aus drei Teilen. Erstens muss die zahlende Partei die Finanztransaktion authentifizieren, indem ein Authentifizierungscode für die spezifischen Transaktionsdaten bestimmt wird (Zahlungsbetrag und einige Informationen, die den Begünstigten identifizieren), sodass der Authentifizierungscode mit den spezifischen Daten verknüpft werden kann. Zweitens sind die Vertraulichkeit und die Integrität der Transaktionsdaten während des gesamten Authentifizierungsprozesses zu schützen. Drittens muss der Online-Banking-Benutzer über die von ihm authentifizierten Transaktionsdaten informiert sein. Diese letztere Anforderung wird oft als „What you see is what you sign“ (WYSIWYS) bezeichnet. Dies bedeutet, dass es nicht ausreicht, lediglich ein Fragment der Transaktionsdaten oder eine Sitzungs-ID zu verwenden.

 

Die europäischen Gesetzgeber, die die PSD2-Standards verfasst haben, führten die dynamische Verlinkung ein, um vor Man-in-the-Middle-Angriffen zu schützen, bei denen Betrüger die Details einer Transaktion ändern, nachdem die zahlende Partei die Transaktion authentifiziert hat. Ein solcher Angriff könnte eine authentische Überweisung von 100 Euro an einen Freund in eine gefälschte Überweisung von 1000 Euro an einen Betrüger verwandeln, ohne dass der Auftraggeber dies bemerkt. Mit der WYSIWYS-Anforderung sollen Social-Engineering-Angriffe vermieden werden, bei denen zahlende Parteien dazu verleitet werden, falsche Daten zu authentifizieren, die in weiterer Folge den Weg zu betrügerischen Transaktionen ebnen. Damit gehen die PSD2-Anforderungen einen Schritt weiter als die letztgültigen EBA-Richtlinien zum Thema Sicherheit im Zahlungsverkehr über das Internet, die gegenwärtig in den meisten EU-Mitgliedsstaaten Anwendung finden und keine dynamische Verlinkung vorsehen.

Für Banken werfen diese PSD2-Anforderungen mehrere Fragen auf. Wie kann eine Bank eine dynamische Verlinkung in ihre Online- oder Mobile-Banking-Anwendung so integrieren, dass sie für den Kunden benutzerfreundlich ist? Können SMS genutzt werden, um die dynamische Verlinkung umzusetzen? Und wie sieht es mit Batch-Transaktionen aus?

Sehen wir uns diese Fragen etwas genauer an.

Benutzerfreundliche dynamische Verlinkung

Stellen Sie sich ein Szenario vor, in dem ein Benutzer im Browser seines PCs eine Finanztransaktion über Online-Banking in Auftrag gibt, wobei er zur Authentifizierung der Transaktion ein spezielles Hardware-Token oder eine Mobile-Banking-App verwendet.

Eine bequeme Art, diese dynamische Verlinkung umzusetzen, beruht auf der Nutzung von farbigen QR-Codes oder Cronto Codes. Wenn der Nutzer eine Transaktion initiieren möchte,

  1. gibt er die Transaktionsdaten in die Online-Anwendung der Bank in seinem Browser ein. Anhand dieser Transaktionsdaten generiert der Bankserver einen Farbcode, der die verschlüsselten Transaktionsdaten repräsentiert, und zeigt diesen im Browser an.
     
  2. Der Benutzer scannt den Farbcode mit der Kamera auf seinem Mobilgerät bzw. Hardware-Token ein. Das Gerät entschlüsselt den Farbcode, entschlüsselt dann die Transaktionsdaten und zeigt dem Kunden die Transaktionsdaten im Klartext auf dem Bildschirm an.
     
  3. Die Authentifizierung erfolgt zunächst über das Gerät (z. B. durch Eingabe der Geräte-PIN) und das Gerät erstellt den Authentifizierungscode zu den Transaktionsdaten mit Hilfe eines auf dem Gerät gespeicherten kryptographischen Schlüssels.

Ablauf mit CRONTO

Dieser Ansatz erfüllt alle oben beschriebenen Anforderungen an die dynamische Verlinkung und erfordert zudem keine manuelle Eingabe von Transaktionsdaten auf dem Gerät.

Ein alternativer Ansatz, spezifisch für mobile Geräte, besteht darin, die Transaktionsdaten mit Hilfe einer verschlüsselten Push-Benachrichtigung vom Bankserver zur mobilen Banking-App zu übertragen. So funktioniert das:

  • Der Benutzer erhält eine Push-Benachrichtigung auf seinem Telefon.
  • Wenn er diese akzeptiert, öffnet sich die Banking-App und dem Benutzer werden die Transaktionsdaten angezeigt.
  • Der Benutzer authentifiziert die Daten dann beispielsweise mittels Fingerabdruck oder Gesichtserkennung.
  • Das Gerät bestimmt den Authentifizierungscode für die Transaktionsdaten.
  • Die mobile Banking-App sendet den Authentifizierungscode über das Internet an den Benutzer.

Dieser Ansatz entspricht den Anforderungen der dynamischen Verlinkung und erfordert keine manuelle Eingabe von Daten auf dem mobilen Gerät durch den Benutzer.

Batch-Transaktionen

Das Kriterium der dynamischen Verlinkung gilt auch für Batch-Transaktionen oder Massenüberweisungen, bei denen mehrere Transaktionen an verschiedene Begünstigte zusammengefasst werden. Die letzte RTS-Version sieht vor, dass bei Batch-Transaktionen die Authentifizierungscodes sowohl für den Gesamtbetrag aller Transaktionen insgesamt als auch für die verschiedenen Begünstigten einzeln verifiziert werden müssen.

Bei einer großen Anzahl von Begünstigten wäre es unpraktisch, dem Benutzer alle Einzeldaten zur Validierung vorzulegen. Es können die folgenden Ansätze herangezogen werden, um ein Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit herzustellen:

  1. Dem Benutzer werden nur jene Begünstigten angezeigt, deren Transaktionen mit dem größten Risiko verbunden sind.
     
  2. Dem Benutzer werden zufällig ausgewählte Begünstigte angezeigt.
     
  3. Dem Benutzer werden keine Transaktionen bzw. Daten von jenen Begünstigten angezeigt, die sich auf der Positivliste befinden.

In jedem Fall ist es ratsam, eine Prüfsumme (oder einen „Hashwert“) aller Transaktionen in die Ermittlung des Authentifizierungscodes einzubeziehen, um die Integrität aller Transaktionen insgesamt zu schützen.

PSD2: Welche starken Authentifizierungs- und Transaktionslösungen entsprechen?
WEISSES PAPIER

PSD2: Welche starken Authentifizierungs- und Transaktionslösungen entsprechen?

Entdecken Sie die wichtigsten Anforderungen aus dem endgültigen RTS und welche Authentifizierungslösungen die Anforderungen am wahrscheinlichsten erfüllen.

Jetzt herunterladen

Dynamische Verlinkung mittels SMS?

Es stellt sich auch die Frage, ob eine dynamische Verlinkung mittels SMS umgesetzt werden könnte. Dabei würde der Benutzer eine SMS-Nachricht erhalten, die die Transaktionsdaten sowie den über die Transaktionsdaten berechneten Authentifizierungscode enthält.

Da gemäß den Anforderungen die Vertraulichkeit und Integrität der Transaktionsdaten geschützt werden müssen, würde dies bedeuten, dass die Transaktionsdaten innerhalb dieser SMS-Nachricht verschlüsselt werden müssen. Es ist nicht klar, wie eine solche Nachricht dann auf dem mobilen Gerät entschlüsselt werden könnte, ohne dazu eine spezielle App zu verwenden. Die Notwendigkeit einer zusätzlichen mobilen App zur Weiterverarbeitung von SMS-Nachrichten macht die Vorteile, die mit der SMS-Nutzung theoretisch verbunden sind, wieder zunichte.

Weitere Informationen

Zusammenfassend lässt sich sagen, dass Banken den PSD2-Anforderungen nicht nur unter dem Gesichtspunkt der Compliance begegnen sollten – man muss sich auch überlegen, wie die Benutzererfahrung durch unkomplizierte und gleichzeitig starke Methoden für die Authentifizierung und dynamische Verlinkung optimiert werden kann. Wenn Sie mehr zu diesem Thema erfahren möchten, stellen wir Ihnen gerne folgenden Artikel zum Downloaden zur Verfügung: PSD2: Welche sicheren Authentifizierungs- und Transaktionsüberwachungslösungen erfüllen die gestellten Anforderungen?

 

Frederik leitet das Sicherheitskompetenzzentrum von OneSpan, wo er für die Sicherheitsaspekte der Produkte und der Infrastruktur von OneSpan verantwortlich ist. Er verfügt über fundierte Kenntnisse in den Bereichen Authentifizierung, Identitätsmanagement, Regulierungs- und Sicherheitstechnologien