Bitte melden Sie sich an

Registrieren Sie Sich als Premium-Mitglied, um Vorträge herunterzuladen.

  • 100% Rabatt auf alle Club-Events und Kongresse
  • Download der Vortragsunterlagen aller Veranstaltungen
  • Zugriff auf Fotogalerie aller Veranstaltungen
Sie sind noch kein Mitglied?

Dann registrieren Sie sich jetzt:

Jetzt Mitglied werden
Sie sind bereits Mitglied oder waren Teilnehmer?

Bitte loggen Sie sich ein:

Jetzt einloggen
Jetzt Mitglied werden

„Wir arbeiten daran, dass die PSD2 ein Erfolg wird“

Die PSD2 erlaubt digitalen Zahlungsdiensten über eine Schnittstelle (API) Zugriff auf Online-Zahlungskonten. Bundesdruckerei-Experte Christian Seegebarth erklärt im Interview, wer besonders von der PSD2 profitiert und mit welchen Tools man trotz straffen Zeitplans gut gerüstet ist.

Von Redaktion - 28. Mai 2019

Christian Seegebarth ist Senior Expert Trusted Solutions bei der Bundesdruckerei GmbH im Bereich Marketing.

BANKINGNEWS: Wie gut ist Ihrer Erfahrung nach die PSD2 unter Banken und Fintechs bekannt?

Christian Seegebarth: Banken wissen sicher bestens Bescheid. Sie stehen dauernd mit der BaFin und den entsprechenden Regulatoren im Austausch, die sich mit der Einrichtung der notwendigen Schnittstelle befassen. Bei den Zahlungsdiensten entscheidet wohl die Größe. Etablierte Fintechs sollten informiert sein und kaum Probleme bei der Umsetzung haben. Bei kleineren dürfte dagegen weniger Klarheit herrschen.

Für Fintechs ist die PSD2 aber ungleich vorteilhafter.

Genau, denn der Zugang zur Bankenschnittstelle spart ihnen viel Geld für Personal. Die größeren Player haben ja bisher schon auf Kontoinformationen zugegriffen – durch Screen Scraping, das Auslesen der Kundeninformationen auf der Bankenwebsite. Bei Änderungen der Website vonseiten des Geldinstituts programmierte man einfach hinterher. Die Schnittstelle macht Screen Scraping obsolet. Sie gibt Unternehmen die Chance, ihre Services ohne hohen Aufwand anzubieten. Damit Drittanbieter diese Chance nutzen, muss man sie für die PSD2 an sich, aber auch für die technischen Anforderungen der Richtlinie sensibilisieren.

„Entwickler brauchen Zeit, um Erfahrungen mit den Zertifikaten zu sammeln“

Gerade Banken müssten darüber als Anbieter der Schnittstelle doch bestens informiert sein.

Nicht unbedingt. Die PSD2 enthält regulatorische technische Standards zur starken Kunden-authentifizierung. Diese schreiben etwa den Einsatz qualifizierter Website-Zertifikate – sogenannter QWACs – fest, mit denen die Unternehmen ihre Identität und ihre Rolle im Zahlungsprozess nachweisen. Allerdings sind die recht neuen QWACs weder flächendeckend verbreitet noch scheinen sie besonders bekannt, was auch daran liegt, dass die „RTS on SCA“ noch nicht lange bestehen. Das ist ein echtes Problem. Andere Zertifikate, wie beispielsweise die EV-SSL-Zertifikate für das Kunden-Login, sind zwar schon recht etabliert, aber in diesem Zusammenhang ist ihre Verwendung neu. Entwickler brauchen Zeit, um Erfahrungen mit den Zertifikaten im Zusammenhang mit der Schnittstelle zu sammeln. Und der Zeitplan ist mehr als eng.

Am 14. September startet der Echtbetrieb. Funktionieren müssen die Zertifikate aber schon früher.

Bereits am 14. Juni startet ein dreimonatiger Markttest, in dem Banken die QWACs unter Realbedingungen nutzen müssen. Aber bereits ab 14. März mussten die Banken ein Testsystem bereitstellen. Nur wenn die Banken diese Tests bestehen, können sie sich von der Fallback-Lösung befreien lassen. Alles in allem bleibt wenig Zeit – auch für die Drittanbieter, deren Geschäftsmodell von der PSD2 abhängt.

Wie sollten Banken und Drittanbieter Ihrer Meinung nach vorgehen?

Sie müssen anpacken. Wir, die Bundesdruckerei, geben beispielsweise seit März kostenlose Testzertifikate heraus, damit Entwickler damit Erfahrungen sammeln und die Bankensysteme testen können. Diese Testzertifikate sind sogar validierbar, das heißt, sie stammen aus einer Referenzumgebung unseres Tochterunternehmens D-TRUST. Banken und Drittanbieter von Payment-Services können damit bereits wie mit produktiven Zertifikaten arbeiten. Das erlaubt ihnen, wichtige Einschätzungen darüber zu treffen, wo es hakt und wie man Mängel behebt. Wir bieten im Übrigen unsere Testzertifikate europaweit an. Damit bekommen die Fintechs, die oft auch EU-weit operieren, die einfache Möglichkeit, auf die Bankschnittstellen in anderen Ländern zuzugreifen.

Worauf kommt es bei der Wahl der Website-Zertifikate an?

Es müssen qualifizierte Website-Zertifikate nach eIDAS sein. Alle Anbieter qualifizierter eIDAS-Vertrauensdienste (Trust Service Provider) stehen auf einer EU-Vertrauensliste. Sie sind von den jeweiligen nationalen Aufsichtsstellen für die Herausgabe der qualifizierten Zertifikate zugelassen.

Neben den QWACs können Banken auch den Einsatz qualifizierter Siegel fordern, so wie es die European Banking Authority (EBA) empfiehlt. Wo liegt hier der Mehrwert?

QWACs sind SSL-Zertifikate und sichern die Datenübermittlung ab. Sie schaffen eine durchgehende Ende-zu-Ende-Verschlüsselung. Qualifizierte Siegel (QSiegel) signieren einen Dateninhalt, zum Beispiel die Überweisung von 3,90 Euro. Auch nach Jahren könnte eine Bank im Backend nachvollziehen, wer was wann besiegelte.

Gibt es unter den Vertrauensdiensteanbietern technologische Unterschiede?

Nein, die technische Sicherheit ist gleich hoch. Bei der Investitionssicherheit sieht es anders aus. Ein Platz auf einer Vertrauensliste schützt einen Vertrauensdiensteanbieter weder vor Insolvenz noch vor der Übernahme durch eine Firma, die nicht aus Europa stammt. Bei der D-TRUST als Tochter eines Staatsunternehmens ist beides ziemlich unwahrscheinlich. Wir erstellen neben vielen anderen Sicherheitslösungen für den Bund seit über 20 Jahren Zertifikate und werden damit sicher so schnell nicht aufhören. Zudem hat die Bundesdruckerei eine klare europäische Strategie. Wir stehen in Kontakt mit vielen Banken und Fintechs, sind mit verschiedenen Gremien oder Behörden vernetzt. Wir arbeiten daran, dass die PSD2 ein Erfolg wird.

Christian Seegebarth

Bundesdruckerei GmbH

Christian Seegebarth, studierter Diplom-Physiker, ist Senior Expert Trusted Solutions bei der Bundesdruckerei GmbH im Bereich Marketing. Er arbeitet seit 2000 in verschiedenen Rollen in der IT-Sicherheit mit Schwerpunkt Trust Service Provider. Christian Seegebarth ist Certified Information Security System Professional (CISSP) und seine Erfahrung umfasst Projektleitung von großen PKI-Projekten sowie Beratungen in verschiedenen Geschäftsfeldern (öffentliche Auftraggeber, Banken, Versicherungen, Automobilindustrie), Konzeptionierung von kundenspezifischen Public Key Infrastrukturen (PKI) und Beratungen zur Integration von PKI. Er ist engagiert beim Forum elektronische Vertrauensdienste, bei ETSI ESI und bei CEN WG 17.

Lesen Sie auch

Offene Fragen bei der Ex-ante-Kostentransparenz

Trotz BaFin-Erläuterungen gibt es immer wieder Unklarheiten bei[…]

Arne Almási

„Erst kam die Finanzkrise, dann der regulatorische Tsunami“

Bei unserem Kongress COMPLAINCEforBANKS 2019 kamen auch dieses[…]

Daniel Fernandez

„Das Netz wird engmaschiger“

Die Bekämpfung von Geldwäsche und Terrorismusfinanzierung nimmt beim[…]

Daniel Fernandez

„Heute geht es vor allem darum, etablierte Standards anzunehmen und effizienter zu werden“

Machine Learning ist aktuell branchenübergreifend in aller Munde.[…]

Redaktion

„Die PSD2 gibt Banken ein Stück Kontrolle zurück“

Die PSD2 öffnet die Schnittstellen von Banken für[…]

Daniel Fernandez

Mit offener Unternehmenskultur zu gutem Compliance-Bewusstsein

Ein gesundes Risiko- und Compliance-Bewusstsein ist elementarer Bestandteil[…]

Redaktion

Der Transparenz verpflichtet

Die regulatorische Belastung auf deutsche Finanzinstitute wächst stetig[…]

Axel Schmale

Mit Fintechs zu besserem Compliance Management

Fintech-Kooperationen sind eine beliebte Methode für Banken, ihre[…]

Dr. Silvana Gangi Chiodo

Die Compliance-Funktion nach MaRisk und ihr Compliance-Life-Cycle

Die BaFin hat mit der 4. Novelle der[…]

Markus Müller

Regulatorik: Synergien nutzen und Ressourcen sparen

Die Notwendigkeit für Banken, trotz wachsender regulatorischer Anforderungen[…]

Luise Fleischmann

Verdachtsmeldung vs. Datenschutz

Mit Inkrafttreten der DSGVO riskieren Unternehmen durch den[…]

Alexander Stehr

Neulich in der Copy-Paste-Abteilung

Fehlerhafte Marketing- und Vertriebsunterlagen führen nicht selten zu[…]

Tobias Schenkel

Datenschutzorganisation wird zur Chefsache

Die seit Ende Mai geltende DSGVO droht mit[…]

Dennis Heinemeyer

„30 Sekunden vor 12“

Regulierung kann für Banken ein wichtiger Verbündeter sein.[…]

Thorsten Hahn

Was bedeutet die EU-DSGVO für Banken und ihre Kunden?

Die EU-DSGVO (Europäische Datenschutz-Grundverordnung) wurde zunächst vor allem[…]

Jürgen P. Müller

Die besonderen Herausforderungen der GwG-Meldepflicht

Der § 43 GwG, die unverzügliche Meldepflicht von[…]

Thomas Seidel

Moral, MiFID II und Verletzungen beim Handball

Nachbericht zum Kongress COMPLIANCEforBANKS 2018

Tobias Schenkel

Ausgewählte Neuerungen zum Thema Auslagerungen in der 5. MaRisk-Novelle

Am 27. Oktober 2017 veröffentlichte die Bundesanstalt für[…]

Christian Gudat

Geschützt: Vorträge ComplianceForBanks 2018 (exklusiv für Mitglieder und Teilnehmer)

Es gibt keine Kurzfassung, da dies ein geschützter[…]

Redaktion

Der goldene Mittelweg im Spannungsfeld der Regularien

Eine der größten Herausforderungen und gleichzeitig wichtigsten Aufgaben[…]

Elfriede Jirges

Die Entourage von politisch exponierten Personen als Bankkunden

Banken müssen im Rahmen der Erfüllung ihrer gesetzlichen[…]

André Blum

Eine Revolution auf dem Markt für Identitätsprüfungen

In Zeiten der rasanten Digitalisierung können Banken und[…]

Uwe Stelzig

„APT10 greift vor allem Managed Service Provider an“

Seit etwa einem Jahr kam es vermehrt zu[…]

Philipp Scherber

Der alte Mann und die Malware

Der Rückgang von Filialen sowie Gebühren für Überweisungen[…]

Daniel Fernandez

UK Bribery Act 2.0 – Erfahrungen im Umgang mit Geschäftspartnern

Seit Inkrafttreten des UK Bribery Act im Juli[…]

Johanna Duenser

Die Verschärfung des Korruptionsstrafrechts und die Auswirkungen auf Kreditinstitute

Die Verhinderung von Korruption war abseits der Schwerpunktthemen[…]

Fabian Malkoc

Der Regierungsentwurf zur Umsetzung der 4. Geldwäsche-Richtlinie der EU

Am 22. Februar 2017 legte die Bundesregierung ihren[…]

Indranil Ganguli

„Betrugsrisiken sind durch Online-Legitimation gesunken“

Auch in einer Zeit, in der immer stärker[…]

Philipp Scherber

Cybercrime-Bedrohungen im Jahr 2017

Im vergangenen Jahr wurde Cybersicherheit im Rahmen zahlreicher[…]

Michael Hagebölling

Business Judgement Rule im Privatstiftungsrecht

Nach einer kürzlich ergangenen Entscheidung des Obersten Gerichtshofs[…]

Manfred Wieland

Deutsche Bank einigt sich mit amerikanischen Behörden

Die Deutsche Bank hat sich im Streit über[…]

Daniel Fernandez

Gemeinsam gegen Betrugsversuche

Ob manipulierte Unterlagen wie Gehaltsabrechnungen bei Kreditanträgen oder[…]

Stephan R. Peters

Fraud: der menschliche Faktor

Mit betrügerischen Handlungen beschäftigt man sich im geschäftlichen[…]

Michael Leuthner

Digitalisierung = Illegalisierung?

Eine Firewall zu überwinden, stellt heute für Geübte[…]

Christian Grosshardt

Hanns Feigen

Landgericht München, 25. April 2016, Verfahren gegen fünf[…]

Philipp Scherber

Wasch mich, aber mach mich nicht nass – Vol. 2

Es kommt nicht oft vor, dass eine Bank[…]

Thorsten Hahn

Quo vadis MiFID II? Anlegerschutz oder das Ende der Anlageberatung?

MiFID II wird auf Anfang 2018 verschoben, und[…]

Andreas Gehrke

Zwischen der Schulung und der Praxis liegt das Meer

Die Umsetzung von Schulungsinhalten kann Mitarbeiter vor Probleme[…]

Ronny Fuchs

„Willkommen beim Rudern“

MiFID II um ein Jahr verschoben. Aufatmen bei[…]

Philipp Scherber

Kosten- und Risikoreduzierung durch qualitativ hochwertige Kundendaten

Entity Resolution, also die Systematisierung, Verlinkung und Gruppierung[…]

Philipp Scherber

Das Ende der improvisierten IT

Immer, wenn Banken und Versicherungen versuchen, Anforderungen der[…]

Carsten Krah

Datensicherheit: Einfallstor Drucker

Cyberattacken gehören für Unternehmen mittlerweile zum Alltag. Umso[…]

Julian Achleitner

Weniger ist manchmal mehr

MiFID II steht in den Startlöchern und viele[…]

Christian Grosshardt

Compliance-Paranoia in deutschen Banken?

Eine Überlegung.

Julian Achleitner

Compliance-Vorschriften und Probleme mit der Datenaufbereitung?

Die Einhaltung regulatorischer Vorgaben wird immer komplexer. Die[…]

Chris Atkinson

Wir korrumpieren eine Welt, die uns nicht gehört.

Die Sonne ist nicht über uns. Wir werden[…]

Julian Achleitner

Des Kunden innigster Wunsch – Ein Diskurs im Elfenbeinturm

Die Chefetagen verschiedener Kreditinstitute beraten darüber, wie sie[…]

Christian Grosshardt

Geldwäscheprävention, ein reines Bankenthema?

Bei Geldwäsche denken die meisten Menschen sofort intuitiv[…]

Thomas Hensel