Montag, 8. Juni 2015

Werden die Banken durch die Regulierung geschützt?

Von Ralf Keuper

Nicht wenige Bankenvertreter wiegen sich in der Hoffnung, die Regulierung werde den ambitionierten Plänen der neuen Herausforderer, wie FinTech-Startups und Internetkonzerne, früher oder später den Wind aus den Segeln nehmen. So ganz unberechtigt ist das nicht. Tatsächlich könnten sich Fragen der Sicherheit im Bereich Payments als ernstzunehmende Hürde für die Herausforderer erweisen. Genannt sei die PSD II. In ihrer Stellungnahme hebt die BaFin die Vorzüge der Starken Authentifizierung hervor.
Ein wesentlicher Aspekt der Sicherheit im Internet-Zahlungsverkehr ist die Frage der Authentifizierung. Authentifizierung bedeutet in diesem Fall, eindeutig und nachweisbar festzustellen, dass ein bestimmter Nutzer eine bestimmte Zahlung in Auftrag gegeben hat – und niemand sonst. Damit dient die Authentifizierung als Schutz davor, dass Zahlungen unberechtigt ausgeführt werden.
Probleme sieht die BaFin bei der Einschaltung Dritter ZDL in die Authentifizierung, insbesondere was die sog. Man-in-the-Middle-Angriffe angeht. Überhaupt ist es bedenklich, wenn Authentifizierungsinformationen an Dritte ZDL weitergegeben werden. Das ist in der Tat ein potenzieller Show-Stopper. Die EZB und das European Forum on the Security of Retail Payments haben zwei Vorschläge erarbeitet, wie sich dieses Problem beheben lässt.
  • Dritte ZDL könnten über die Standardschnittstelle direkt Zahlungen auslösen und eine Rückmeldung über den Erfolg erhalten. Den Zahlungsauftrag des Kunden würden sie über eigene Authentifizierungsmechanismen erhalten. Dies gleicht einer erweiterten Variante des Lastschriftverfahrens.
  • Dritte ZDL könnten eine Zahlung vorbereiten und dann per HTTP-Redirect eine Weiterleitung auf die Webseite des kontoführendenZDL auslösen. Das bedeutet, dass der Dritte ZDL dem Web-Browser des Kunden eine Nachricht schickt, die diesen veranlasst, die Webseite des kontoführenden ZDL aufzurufen. Dem Kunden wird dies von seinem Web-Browser transparent gemacht. Auf der Webseite seines kontoführenden ZDL authentifiziert sich der Kunde und autorisiert die Zahlung.
Die BaFin sieht hier noch großen Nachbesserungsbedarf. So jedenfalls der Stand vor einem Jahr. Seitdem ist die Konsultation weiter fortgeschritten. Am 5.05.2015 wurde eine Einigung über die Zahlungsrichtlinie erreicht

Ist das nun für die neuen Herausforderer eine unüberwindliche Hürde, d.h. werden die Banken in diesem Punkt durch Regulierung geschützt?

Nur dann, wenn die neuen Herausforderer nicht in der Lage wären, technologische Lösungen zu entwickeln, die die genannten Probleme lösen oder umgehen, d.h. auf eine andere Authentifizierungsebene bringen, wie z.B. durch die verschiedenen Möglichkeiten biometrischer Verfahren oder überhaupt mittels Applikationen aus dem Umfeld der Identifikationstechnologien. Google beispielsweise arbeitet derzeit an einer Speicherkarte als Tresor, die Passwörter überflüssig macht. Und das ist nur ein Beispiel. 
Ebenso könnten zertifizierte Identity Broker die zweifelsfreie Authentifizierung übernehmen. Das können, müssen aber keine Banken (mehr) sein. Das Problem würde also auf andere Weise, einer anderen Ebene, technologisch und/oder organisatorisch, gelöst. Auch könnten Apple & Co. mit einer Bank kooperieren, eine Bank kaufen, selber eine Vollbanklizenz für eine Tochtergesellschaft erwerben usw. Große Hoffnungen richten sich auch an die Blockchain-Technologie. Hier sind noch einige interessante Lösungen zu erwarten. ShoCard oder ok Turtles/DNS Chain sind nur einige davon. 

Insofern wäre die BaFin nicht die Endstation des Szenarios eines Banking ohne Banken, wie Christine Spietz in Banking ohne Banken? diskutiert. Sofern Payment das neue Leitmedium bzw. Internet ist, werden die Karten in diesem für die Banken äußerst wichtigen Geschäftsfeld demnächst neu gemischt. Fragen der Sicherheit und der Authentifizierung haben dabei höchste Priorität, werden aber kaum verhindern, dass die Rollen und das Geschäft neu verteilt werden. Für die Banken könnte das bedeutet, dass sie nur noch als Infrastrukturanbieter und Abwickler benötigt werden. Und irgendwann nicht einmal mehr das. Bankless Banking ist keinesfalls nur eine Utopie. 

Keine Kommentare:

Kommentar veröffentlichen