Aufrufe
vor 2 Wochen

Netzwoche 12/2018

40 Illutstration:

40 Illutstration: macrovector / iStock.com FOCUS FINTECH Die grosse Fintech-Euphorie ist vorbei cgr. Noch vor zwei Jahren ist das Wort Fintech (Kurzform für Finanztechnologie) omnipräsent gewesen. IT-Entscheider der grossen Schweizer Banken und Versicherungen gaben sich an Events zum Thema die Klinke in die Hand. Häufig war von der Fintech-Revolution die Rede. Gemeint war, dass junge und agile Unternehmen den alteingesessenen Grossbanken wie auch den schon etwas angestaubten Vermögensverwaltern ordentlich Konkurrenz machen werden. Sie würden sich die Rosinen aus dem Finanz-Kuchen picken, während den etablierten Firmen nur die trockene Kuchenreste blieben, war die vorherrschende Meinung. Inzwischen ist die Euphorie abgeklungen. Von einer Revolution ist kaum noch die Rede. An deren Stelle trat eine engere Kooperation zwischen jungen und etablierten Firmen. Jede Bank, die etwas auf sich hält, gründete einen Inkubator und kündigte Partnerschaften mit Fintech-Start-ups an. Die Schweiz, in der die Finanzindustrie seit jeher ein wichtiger Wirtschaftszweig ist, will zu einem Fintech-Hub aufsteigen. Diese Stellung machen ihr vor allem die Finanzplätze London, Singapur und Berlin streitig. Abgesehen von den Fintech-Unternehmen im Crypto-Valley ist die Schweiz auf der Fintech-Karte kaum zu finden. Mit einer Lockerung der Regulierung für neue Finanzangebote versucht nun der Bundesrat, die Innovationskraft anzutreiben und auch Firmen in die Schweiz zu locken – bisher mit mässigem Erfolg. Im aktuellen Focus beleuchten Autoren, welche technologischen Trends die Branche zurzeit umtreiben. 12 / 2018 www.netzwoche.ch © netzmedien ag

Focus Fintech 41 Starke Authentifizierung für PSD2- Services kundenfreundlich gestalten Die Payment Service Directive 2 stellt die Finanzwelt der EU vor neue Herausforderungen. Die Banken müssen Drittanbietern unter anderem ermöglichen, Kontoinformationen zur Weiterverarbeitung zu beziehen. Dies erfordert die Einwilligung der Kontoinhaber, und zwar mittels starker Authentifizierung. DER AUTOR Silvano Fari Principal IAM Engineer, Adnovum Die Payment Service Directive 2 (PSD2) schreibt den Banken in der EU vor, Schnittstellen für den Zugriff auf Kundenkonti anzubieten. Dies ermöglicht es Drittanbietern, neue, bankenübergreifende Services bereitzustellen. Mit dieser Öffnung der Banken hofft die EU, Anreize für mehr Innovation und Wettbewerb zu schaffen. Die Schweiz zielt mit den Open-Banking-Bestrebungen ebenfalls Richtung Öffnung. Auch wenn diese auf Selbstregulierung basiert, wird man sich den gleichen Herausforderungen wie die EU stellen müssen. Damit Drittanbieter diese Schnittstellen verwenden dürfen, muss das Einverständnis des Kontoinhabers eingeholt werden. Der technische Regulierungsstandard (RTS), der PSD2 ergänzt, zwingt die Banken, den Kunden für solche Einwilligungen stark zu authentifizieren. Das heisst, die Authentizität wird mittels zweier voneinander unabhängiger Sicherheitsmerkmale aus den Bereichen Wissen (z.B. Passwort), Besitz (z.B. Handy) und Inhärenz (z.B. Fingerabdruck) bewiesen. Herausforderungen beim Zugriff von Dritten Während der Kunde Kontoinformationen früher direkt bei seiner Bank abrufen musste, wird dies auch über Dritte möglich werden. Hierbei ergeben sich neue Herausforderungen für die involvierten Parteien, insbesondere wenn die Informationen von mehreren Banken parallel bezogen werden. Angenommen ein Kunde möchte die Kontoinformationen seiner drei Bankbeziehungen über einen Kontoinformationsservice eines Drittanbieters verwalten. Dann müsste jede der drei Banken ihr Einverständnis mittels starker Authentifizierung einholen. Da es bei den verschiedenen Banken heute eine Vielzahl von starken Authentisierungsmechanismen gibt, könnte sich das Einholen des Einverständnisses wegen der vielen unterschiedlichen Methoden (PhotoTAN, mTAN, SecureID usw.) umständlich gestalten. Ein solches Unterfangen ist für die meisten Kunden nicht nachvollziehbar und wahrscheinlich gar inakzeptabel. Es ist deshalb davon auszugehen, dass das Bestreben, eine Angleichung in den Authentisierungsmitteln zu erreichen, mit PSD2 wachsen wird. Standards tragen zur Vereinfachung bei Die Verwendung von Standards und der Einsatz von Smartphones als Sicherheitstoken könnte eine Vereinfachung bringen. Hier könnte FIDO (Fast Identity Online) Hand bieten. Dieser Standard basiert auf Public-Key-Verschlüsselung. Die Serverseite, hier die Bank, kennt den öffentlichen Schlüssel des Kunden. Das Schlüsselpaar des Kunden wird auf seinem Smartphone in einem sicheren Bereich generiert, wobei der private Schlüssel diesen Bereich nie verlässt. Der Zugriff auf den privaten Schlüssel wird mittels Authenticator geschützt. Um den privaten Schlüssel zu verwenden, verlangt der Authenticator ein Merkmal aus dem Bereich Wissen oder Inhärenz. Zusammen mit dem Besitz des Geräts wären damit die Vorgaben des RTS erfüllt. Wie sähe das nun im beschriebenen Szenario aus? Wenn die involvierten drei Banken FIDO unterstützen würden, könnte der Kunde jede Einwilligung einfach mittels Fingerabdruck bestätigen. PSD2 und Open Banking eröffnen neue Möglichkeiten für Bankkunden. Benutzerfreundliche starke Authentisierungsmechanismen können Innovation in diesem Umfeld fördern. Dabei wird FIDO dank der breiten nativen Unterstützung durch die Geräteherstellerindustrie eine entscheidende Rolle spielen. Einwilligung für Zugriff auf Bankkonto via FIDO-Standard. www.netzwoche.ch © netzmedien ag 12 / 2018