BANKINGNEWS: Wie gut ist Ihrer Erfahrung nach die PSD2 unter Banken und Fintechs bekannt?
Christian Seegebarth: Banken wissen sicher bestens Bescheid. Sie stehen dauernd mit der BaFin und den entsprechenden Regulatoren im Austausch, die sich mit der Einrichtung der notwendigen Schnittstelle befassen. Bei den Zahlungsdiensten entscheidet wohl die Größe. Etablierte Fintechs sollten informiert sein und kaum Probleme bei der Umsetzung haben. Bei kleineren dürfte dagegen weniger Klarheit herrschen.
Für Fintechs ist die PSD2 aber ungleich vorteilhafter.
Genau, denn der Zugang zur Bankenschnittstelle spart ihnen viel Geld für Personal. Die größeren Player haben ja bisher schon auf Kontoinformationen zugegriffen – durch Screen Scraping, das Auslesen der Kundeninformationen auf der Bankenwebsite. Bei Änderungen der Website vonseiten des Geldinstituts programmierte man einfach hinterher. Die Schnittstelle macht Screen Scraping obsolet. Sie gibt Unternehmen die Chance, ihre Services ohne hohen Aufwand anzubieten. Damit Drittanbieter diese Chance nutzen, muss man sie für die PSD2 an sich, aber auch für die technischen Anforderungen der Richtlinie sensibilisieren.
„Entwickler brauchen Zeit, um Erfahrungen mit den Zertifikaten zu sammeln“
Gerade Banken müssten darüber als Anbieter der Schnittstelle doch bestens informiert sein.
Nicht unbedingt. Die PSD2 enthält regulatorische technische Standards zur starken Kunden-authentifizierung. Diese schreiben etwa den Einsatz qualifizierter Website-Zertifikate – sogenannter QWACs – fest, mit denen die Unternehmen ihre Identität und ihre Rolle im Zahlungsprozess nachweisen. Allerdings sind die recht neuen QWACs weder flächendeckend verbreitet noch scheinen sie besonders bekannt, was auch daran liegt, dass die „RTS on SCA“ noch nicht lange bestehen. Das ist ein echtes Problem. Andere Zertifikate, wie beispielsweise die EV-SSL-Zertifikate für das Kunden-Login, sind zwar schon recht etabliert, aber in diesem Zusammenhang ist ihre Verwendung neu. Entwickler brauchen Zeit, um Erfahrungen mit den Zertifikaten im Zusammenhang mit der Schnittstelle zu sammeln. Und der Zeitplan ist mehr als eng.
Am 14. September startet der Echtbetrieb. Funktionieren müssen die Zertifikate aber schon früher.
Bereits am 14. Juni startet ein dreimonatiger Markttest, in dem Banken die QWACs unter Realbedingungen nutzen müssen. Aber bereits ab 14. März mussten die Banken ein Testsystem bereitstellen. Nur wenn die Banken diese Tests bestehen, können sie sich von der Fallback-Lösung befreien lassen. Alles in allem bleibt wenig Zeit – auch für die Drittanbieter, deren Geschäftsmodell von der PSD2 abhängt.
Wie sollten Banken und Drittanbieter Ihrer Meinung nach vorgehen?
Sie müssen anpacken. Wir, die Bundesdruckerei, geben beispielsweise seit März kostenlose Testzertifikate heraus, damit Entwickler damit Erfahrungen sammeln und die Bankensysteme testen können. Diese Testzertifikate sind sogar validierbar, das heißt, sie stammen aus einer Referenzumgebung unseres Tochterunternehmens D-TRUST. Banken und Drittanbieter von Payment-Services können damit bereits wie mit produktiven Zertifikaten arbeiten. Das erlaubt ihnen, wichtige Einschätzungen darüber zu treffen, wo es hakt und wie man Mängel behebt. Wir bieten im Übrigen unsere Testzertifikate europaweit an. Damit bekommen die Fintechs, die oft auch EU-weit operieren, die einfache Möglichkeit, auf die Bankschnittstellen in anderen Ländern zuzugreifen.
Worauf kommt es bei der Wahl der Website-Zertifikate an?
Es müssen qualifizierte Website-Zertifikate nach eIDAS sein. Alle Anbieter qualifizierter eIDAS-Vertrauensdienste (Trust Service Provider) stehen auf einer EU-Vertrauensliste. Sie sind von den jeweiligen nationalen Aufsichtsstellen für die Herausgabe der qualifizierten Zertifikate zugelassen.
Neben den QWACs können Banken auch den Einsatz qualifizierter Siegel fordern, so wie es die European Banking Authority (EBA) empfiehlt. Wo liegt hier der Mehrwert?
QWACs sind SSL-Zertifikate und sichern die Datenübermittlung ab. Sie schaffen eine durchgehende Ende-zu-Ende-Verschlüsselung. Qualifizierte Siegel (QSiegel) signieren einen Dateninhalt, zum Beispiel die Überweisung von 3,90 Euro. Auch nach Jahren könnte eine Bank im Backend nachvollziehen, wer was wann besiegelte.
Gibt es unter den Vertrauensdiensteanbietern technologische Unterschiede?
Nein, die technische Sicherheit ist gleich hoch. Bei der Investitionssicherheit sieht es anders aus. Ein Platz auf einer Vertrauensliste schützt einen Vertrauensdiensteanbieter weder vor Insolvenz noch vor der Übernahme durch eine Firma, die nicht aus Europa stammt. Bei der D-TRUST als Tochter eines Staatsunternehmens ist beides ziemlich unwahrscheinlich. Wir erstellen neben vielen anderen Sicherheitslösungen für den Bund seit über 20 Jahren Zertifikate und werden damit sicher so schnell nicht aufhören. Zudem hat die Bundesdruckerei eine klare europäische Strategie. Wir stehen in Kontakt mit vielen Banken und Fintechs, sind mit verschiedenen Gremien oder Behörden vernetzt. Wir arbeiten daran, dass die PSD2 ein Erfolg wird.
