Editorial: Mehr oder weniger Sicherheit?
Die PSD2 Richtlinie soll elektronisches Bezahlen sicherer machen. Doch die Tücken stecken im Detail.
Foto: Picture Alliance / dpa
Die EU macht mal wieder Druck, weil die Politik der Mitgliedsstaaten
schläft: Mit der "Payment Service Directive 2" (kurz PSD2) sollen
Onlinebanking und Onlinezahlungen sicher werden, der nach wie vor
recht häufige Kreditkarten- und Identitätsbetrug reduziert werden.
Die Grundidee: Der Kunde soll in der Regel durch doppelte
Authentifizierung, beispielsweise per PIN und Smartphone-App,
besonders sicher identifiziert werden. Angreifer müssen so
mindestens zwei Sicherungssysteme erfolgreich überwinden, um
gefälschte Transaktionen auszuführen.
In der Praxis klappt es mit PSD2 aber noch nicht. Obwohl die Direktive bereits 2015 vorgestellt wurde, 2016 in Kraft getreten ist und seit 2018 gilt, haben es bis heute unzählige Banken und Online-Shops nicht geschafft, sich darauf einzustellen. Die mit der Richtlinie verbundene Verordnung, die die doppelte Authentifizierung vorschreibt, ist erst seit 14. September dieses Jahres verbindlich. Aber auch dieses Datum haben viele Anbieter nicht einhalten können. So hat wohl die Hotelbranche in Deutschland und Österreich den Termin komplett verschlafen, dabei sind dort Online-Buchungen für über die Hälfte des Umsatzes verantwortlich. Für die genannte Branche hat man daher die Frist zur Umsetzung von PSD2 jetzt erstmal um über 15 Monate bis Ende 2020 verlängert.
Technische Fragen offen
Die PSD2 Richtlinie soll elektronisches Bezahlen sicherer machen. Doch die Tücken stecken im Detail.
Foto: Picture Alliance / dpa
Tatsächlich lässt die Richtlinie viele technische Fragen offen.
Die wichtigste davon dürfte sein, wie eine doppelte Authentifizierung
überhaupt gelingen soll, wenn der Kunde mit nur einem Endgerät, in
der Regel wohl einem Smartphone, eine Hotelbuchung vornimmt oder ein
wertvolles elektronisches Gerät bestellt. Denn Doppel-Trojaner, die
die auf dem Smartphone eingegebene Online-Banking-PIN und die
von der Bank zur Transaktionsbestätigung übersendete SMS-TAN ausspähen,
gibt es schon seit Jahren. Und egal, welche
zwei Sicherheits-Merkmale man nimmt (etwa PIN und Fingerabdruck,
Fingerabdruck und im Smartphone gespeichertes Passwort etc. etc.): So
lange beide Merkmale über dasselbe Smartphone überprüft werden, wird
ein Trojaner, der sich über eine Sicherheitslücke Root-Zugang zu einem
Smartphone verschafft hat, immer in der Lage sein, beide Sicherheitsmerkmale
gleichzeitig zu kompromittieren.
Man hat mit der geforderten 2-Faktor-Authentifizierung zwar immer noch einen gewissen Sicherheitsgewinn dadurch, dass das Schreiben von Trojaner-Apps schwieiriger wird, man muss ja zwei Sicherheitsmerkmale aushebeln und nicht nur eines. Nur den erhofften prinzipiellen Sicherheitsgewinn erreicht man eben dadurch nicht!
Wann gilt die PSD2 überhaupt?
Hinzu kommen rechtliche Probleme: Die PSD2 gilt natürlich auf jeden Fall, wenn Kundenbank, Kartenherausgeber, Zahlungsdienstleister, Buchungsplattform und der letztendliche Leistungserbringer alle in der EU sitzen. Doch was gilt, wenn man auf der Website von Expedia (Sitz in den USA) ein Hotel in Paris bucht und via Paypal (Sitz in Singapur) bezahlt? Ist dann auch die PSD2 anwendbar? Soweit die Antwort auf diese Frage "ja" lautet, müsste die EU die PSD2 für alle in der EU herausgegebenen Karten durchdrücken, egal, wo man diese Karten verwendet. Das dürfte die Nutzbarkeit ebendieser Karten außerhalb der EU aber stark einschränken. Und damit sind jetzt nicht nur Bestellungen bei zweifelhaften China-Shops gemeint, sondern auch ganz normale Flug- oder Hotelbuchungen zu Fernreisezielen.
Wenn die Antwort auf die universelle Gültigkeit der PSD2 aber "nein" lautet, dann werden immer mehr Zahlungsanbieter auf einen Sitz außerhalb der EU ausweichen, um eben die PSD2 zu umgehen. Auch das wollte die EU sicher nicht erreichen.
Sicherheit verringert
Unterdessen bringt die PSD2 seltsame Blüten hervor. Eine betrifft das Onlinebanking der Postbank: Bei dieser war es bisher für die Durchführung einer Online-Überweisung nötig, sich zunächst mit Nutzernamen (oder Kontonummer) und seiner persönlichen PIN einzuloggen und dann die Überweisung mit einer SMS-TAN freizugeben. Mit der Einführung von PSD2 drängt die Postbank die Nutzer auf Installation der App "BestSign". Wählt man dann im Online-Banking folgerichtig "BestSign" als bevorzugtes Sicherungsmedium, wird die App ab dann sowohl für die Anmeldung im Onlinebanking als auch für die Freigabe von Überweisungen verwendet. Man braucht also nur noch seinen Onlinebaning-Benutzernamen (der aber anders als eine geheime PIN sicher nicht ausreichend im Sinne der Kategorie "Wissen" der PSD2 ist) und seinen Fingerabdruck, um Zahlungen durchzuführen. Im Vergleich zu bisher (Benutzernamen bzw. Kontonummer, PIN und SMS-TAN) also sogar ein Verlust an Sicherheit.
Fazit
Sicher kann man der Postbank vorwerfen, bei der Umsetzung der PSD2 besonders dilletantisch vorgegangen zu sein. Doch das Grundproblem ist nicht die vom Mutterkonzern (Deutsche Bank) wohl stark gestutzte IT-Abteilung der Postbank, sondern eine zwar gut gemeinte, aber schlecht gemachte Richtlinie, die sich wie bereits erläutert wenig um die technischen Realitäten schert. Wer sichere Onlinezahlungen will, muss den Kunden entweder mit garantiert trojanerfreien Terminals ausstatten, oder die Verwendung von zwei unterschiedlichen Terminals (zum Beispiel Laptop mit Internetzugang übers Festnetz und Smartphone mit mobilem Internetzugang) zwingend vorschreiben. Beides bedeutet aber erheblichen Aufwand. Sicherheit gibt es nunmal nicht zum Nulltarif.
Es wäre mit heutiger Technologie möglich, ein Onlinebanking-Terminal in einer Kredit- bzw. Scheckkarte unterzubringen: Das Smartphone überträgt die gewünschte Transaktion per NFC an die Karte, die Karte zeigt die wesentlichen Details auf einem kleinen in der Karte integrierten E-Ink-Display an und der Kunde gibt die Transaktion per Knopf auf der Karte frei und legitimiert sich noch einmal zusätzlich per Fingerabdrucksensor oder PIN am Smartphone. Dann hätte man tatsächlich die gewünschte echte 2-Wege-Authentifizierung. Ein Trojaner auf dem Smartphone könnte zwar die Daten bei der Übermittlung zur Karte faken, aber dann würde die vom Nutzer erteilte Freigabe sich auf die gefakten Daten beziehen und das im Onlinebanking-Computer beim Abgleich auffallen. Ein Trojaner nur auf der Karte könnte wiederum die Anzeige der Transaktion auf dem Smartphone und die dort erfolgende PIN/Biometrie-Freigabe nicht kompromittieren.
Am Ende muss man sich aber fragen, ob der Aufwand für das zweite Terminal überhaupt gerechtfertigt ist. Denn wenn eine Kredit- oder Bankkarte dank des eingebauten Displays in der Herstellung künftig (geschätzte) 5 Euro statt bisher 50 Cent kostet, dann kommen zusätzliche Kosten in Milliardenhöhe auf die EU-Bürger zu. Lohnen würde sich das, wenn im Gegenzug der Schaden durch Kartenmissbrauch in mindestens gleicher Höhe zurückgeht. Aber das darf bezweifelt werden: Besonders unbedarfte Verbraucher werden auch mit Zwei-Wege-Authentifizierung auf Phishing-Angriffe hereinfallen. Und gegen viele andere Probleme des Online-Handels, wie Fake-Shops oder auf dem Postweg gestohlene Pakete, helfen sichere Zahlungskarten ebenfalls nicht.
Bleibt man aber aus Gründen der Praktikabilität bei der Ein-Wege-Authentifizierung für übliche Kartentransaktionen, dann muss die Sicherheit woanders ansetzen: Schutz der Smartphones vor Trojanern, Optimierte Erkennung gefakter Transaktionen und dergleichen mehr. Im Zweifelsfall ruft halt der Kartenherausgeber eine halbe Stunde nach der Luxushotelbuchung beim Kunden zurück und fragt nach, ob man die Buchung wirklich getätigt hat. Das ist sicher weniger Störung, als jede einzelne Amazon-Bestellung über 17,23 Euro extra auf der Kreditkarte freigeben zu müssen.