Seinen Fingerabdruck kann man nicht verlieren

Einmal mehr tickt die regulatorische Uhr für Banken und Zahlungsdienstleister, denn bis zum 14. September 2019 dieses Jahres muss der neue „Regulatory Technical Standard“ (RTS) umgesetzt sein. Dieser macht engere Sicherheitsanforderungen für Zugangsgeräte und -Software in ganz Europa verbindlich. Wie geht ein Branchenriese wie Mastercard mit dieser Herausforderung um? Und was bedeutet das für Banken?…


Carsten Muerl ist Director Product Management bei Mastercard.

Advertorial

Die neue Richtlinie der Europäischen Bankenaufsicht beinhaltet u.a. die Forderung nach einer starken Kundenauthentifizierung. Was versteht man darunter und was bedeutet das für Banken als Kartenherausgeber?

Die neuen technischen Regulierungsstandards treten ab dem 14. September in Kraft und sollen die Sicherheit von Online-Transaktionen und Kundenkontenzugängen weiter erhöhen. Bis auf vom Gesetzgeber definierte Ausnahmen müssen dann alle Zahlungstransaktionen mit einer Zwei-Faktor-Authentifizierung abgesichert werden. Der Kartenherausgeber muss dann zum Schutz vor Missbrauch sicherstellen, dass zwei von drei Merkmalen erfüllt sind: Besitz (z. B. Karte, Handy), Wissen (z. B. PIN) oder Inhärenz wie etwa biometrische Eigenschaften (z. B. Fingerabdruck, Gesichtserkennung).

Konkret muss also ein physischer Gegenstand wie das Smartphone mit einem Einmal-Passwort oder dem Fingerabdruck kombiniert werden, bevor die Zahlung erfolgen kann. Alle Banken und Sparkassen, die eine Mastercard herausgeben, müssen ab April 2019 entsprechende Lösungen anbieten.

Zahlungen über mobile Kanäle nehmen weltweit rasant zu, womit aber auch ein erhöhtes Betrugsrisiko einhergeht. Wie wirken Sie dem entgegen?

In vielen Fällen lassen sich Betrugsversuche mit Hilfe technologischer Unterstützung vermeiden. Mastercard setzt dabei unter anderem auf innovative biometrische Authentifizierungsverfahren, die in Verbindung mit den entsprechenden Mobile-Technologien eine zunehmend wichtigere Rolle spielen und den Bezahlvorgang noch einfacher und sicherer machen.

„Mit dem neuen Verfahren lassen sich Betrugsversuche und anschließende Rückbuchungen minimieren, ohne auf Sicherheit zu verzichten.“

Außerdem hat Mastercard gemeinsam mit der Branchenvereinigung EMVCo das neue Sicherheitsprotokoll EMV 3DS, auch 3-D Secure 2.0 genannt, entwickelt, das die neuen EU-Standards erfüllt und gleichzeitig für den Verbraucher einfacher zu handhaben ist. Mit 3-D Secure 2.0 können Händler und Banken wesentlich mehr sicherheitsrelevante Daten zur Authentifizierung austauschen und so bessere Risikoentscheidungen treffen, was zu deutlich höheren Genehmigungsquoten bei Online-Händlern und damit auch zu mehr Umsätzen bei den Finanzinstituten führt. Mit dem neuen Verfahren lassen sich Betrugsversuche und anschließende Rückbuchungen minimieren, ohne auf Sicherheit zu verzichten.

Was versteht man unter biometrischer Authentifizierung und welche Verfahren gibt es?

Bei der biometrischen Authentifizierung werden biologische Merkmale wie Fingerabdruck, Stimme, Gesichts- oder Iriserkennung zur Benutzeridentifikation verwendet. Die biometrischen Verfahren werden vor allem im Rahmen der Zwei-Faktor-Authentifizierung immer häufiger eingesetzt. Sie machen es dem Konsumenten einfacher, sich zu identifizieren, da er sich weder ein Passwort merken noch umständlich eingeben muss. Außerdem verfügen die meisten Verbraucher bereits über ein geeignetes Smartphone mit Fingerabdruck-Sensor oder Gesichtserkennung.

Wie können diese helfen, Bezahlvorgänge sicherer zu machen? Trumpft Mastercard hier mit einer besonders cleveren Lösung auf?

Mastercard hat Mindeststandards für die Identifikation der Kunden definiert und bietet Händlern und Kartenherausgebern mit „Mastercard Identity Check“ eine einfache Möglichkeit, den neuen EMV 3DS-Standard zu unterstützen und erweiterte Sicherheitslösungen zu nutzen, um potenzielle Risiken zu minimieren. Die neue Authentifizierungstechnologie bietet neben Fingerabdruck auch Gesichts-, Stimm- und Iris-Erkennung. Sie funktioniert reibungslos auf den unterschiedlichsten Geräten und ermöglicht eine unterbrechungsfreie Ein-Klick-Bezahlung, da die Identifikation nebenbei funktioniert.

Kunden können so schnell und einfach ihre Identität verifizieren, während sie beispielsweise ihr Smartphone für Online-Shopping nutzen. Mit dem Verfahren wird im digitalen Einkauf nicht nur Zeit gespart, es verbessert auch die Sicherheit und sorgt für ein komfortables Einkaufserlebnis mit deutlich geringeren Abbruchraten beim Online-Einkauf.

Was sind die Vorteile biometrischer Authentifizierung gegenüber den Oldtimern Pin und Passwort?

Im Vergleich zu PIN und Passwörtern bieten biometrische Systeme ein Mehr an Sicherheit. Denn PIN und Passwörter erfassen lediglich personenbezogene Merkmale, die sich an andere Personen weitergeben lassen, vergessen oder gestohlen werden können. Angesichts unzähliger Passwörter, die wir uns merken müssen, wird der Zugang zu nicht täglich verwendeten Konten und Dienstleistungen immer komplexer.

„Biometrische Merkmale können weder verloren gehen, noch an andere Personen weitergegeben werden“

Viele Nutzer wählen daher Einheitspasswörter und wechseln diese nur selten bis gar nicht. Das wird aber spätestens dann gefährlich, wenn irgendeiner dieser Dienste gehackt wird und die Angreifer so Zugang zu einer Vielzahl von Benutzerkonten mit demselben Passwort erhalten. Dagegen ist die Biometrie in der Kombination mit einem anderen Element, wie es im Rahmen der Zwei-Faktor-Authentifizierung erforderlich ist, eine einfach zu handhabende Sicherheitstechnologie. Denn biometrische Merkmale können weder verloren gehen noch an andere Personen weitergegeben werden.

Bedenkt man die infrastrukturellen Herausforderungen, welche die Umstellung auf den finalen RTS mit sich bringt, ist es nicht mehr lang bis September. Was können Sie Betroffenen mit auf den Weg geben?

Inhaber einer Mastercard werden in Deutschland bereits ab April mit dem neuen Sicherheitsprotokoll 3-D Secure 2.0 bezahlen können, das alle Kartenherausgeber bis dahin anbieten müssen. Entscheidend wird es nun sein, die Kunden frühzeitig zu informieren und bestmöglich auf die neuen Verfahren vorzubereiten. Die Kunden müssen diese Apps installieren und sich spätestens bis zum Umstellungstermin im September mit den biometrischen Verfahren vertraut machen.

„Wichtig ist, dass sich alle Beteiligten frühzeitig mit der starken Kundenauthentifizierung auseinandersetzen“

Neben den Banken, sind aber auch der Handel, die Payment Service Provider und die Acquirer gefragt, die ihre Systeme und Bezahlschnittstellen anpassen müssen. Zwar wurden von der Europäischen Bankenaufsichtsbehörde Ausnahmen wie White Listing oder regelmäßige Zahlungen gleicher Beträge definiert, aber diese müssen ebenfalls ordentlich implementiert und regulatorisch überprüfbar im laufenden Betrieb funktionieren. Dabei unterstützt das Mastercard Identitiy Check Verfahren, das bereits zur Verfügung steht.

Wichtig ist, dass sich alle Beteiligten frühzeitig mit der starken Kundenauthentifizierung auseinandersetzen. Denn ab September 2019 wird es ernst: Dann nämlich müssen innereuropäische „Card-not-present“-Zahlungen, die nicht unter eine der Ausnahmeregelungen laufen, ohne 3-D Secure 2.0-Absicherung von Kartenherausgebern abgelehnt werden, um nicht gegen regulatorische Vorgaben des Gesetzgebers zu verstoßen. Noch ist über ein halbes Jahr Zeit für eine reibungslose Einführung der EU-konformen Authentifizierungssysteme und die Implementierung der Hintergrundverarbeitung. Diese Zeit sollte unbedingt genutzt werden!