PSD2

Editorial: Mehr oder weniger Sicherheit?

Die EU-Zahlungs­richt­linie PSD2 sollte eigent­lich die Sicher­heit beim Online­banking- und -shoppen erhöhen. Doch zum Teil bewirkt sie das Gegen­teil. Und in einem beson­ders wich­tigen Bereich wird sie gar ganz ausge­setzt.
Von

Die PSD2 Richtlinie soll elektronisches Bezahlen sicherer machen. Doch die Tücken stecken im Detail. Die PSD2 Richtlinie soll elektronisches Bezahlen sicherer machen. Doch die Tücken stecken im Detail.
Foto: Picture Alliance / dpa
Die EU macht mal wieder Druck, weil die Politik der Mitglieds­staaten schläft: Mit der "Payment Service Direc­tive 2" (kurz PSD2) sollen Online­banking und Online­zahlungen sicher werden, der nach wie vor recht häufige Kredit­karten- und Iden­titäts­betrug redu­ziert werden. Die Grund­idee: Der Kunde soll in der Regel durch doppelte Authen­tifi­zierung, beispiels­weise per PIN und Smart­phone-App, beson­ders sicher iden­tifi­ziert werden. Angreifer müssen so mindes­tens zwei Siche­rungs­systeme erfolg­reich über­winden, um gefälschte Trans­aktionen auszu­führen.

In der Praxis klappt es mit PSD2 aber noch nicht. Obwohl die Direk­tive bereits 2015 vorge­stellt wurde, 2016 in Kraft getreten ist und seit 2018 gilt, haben es bis heute unzäh­lige Banken und Online-Shops nicht geschafft, sich darauf einzu­stellen. Die mit der Richt­linie verbun­dene Verord­nung, die die doppelte Authen­tifi­zierung vorschreibt, ist erst seit 14. September dieses Jahres verbind­lich. Aber auch dieses Datum haben viele Anbieter nicht einhalten können. So hat wohl die Hotel­branche in Deutsch­land und Öster­reich den Termin komplett verschlafen, dabei sind dort Online-Buchungen für über die Hälfte des Umsatzes verant­wort­lich. Für die genannte Branche hat man daher die Frist zur Umset­zung von PSD2 jetzt erstmal um über 15 Monate bis Ende 2020 verlän­gert.

Tech­nische Fragen offen

Die PSD2 Richtlinie soll elektronisches Bezahlen sicherer machen. Doch die Tücken stecken im Detail. Die PSD2 Richtlinie soll elektronisches Bezahlen sicherer machen. Doch die Tücken stecken im Detail.
Foto: Picture Alliance / dpa
Tatsäch­lich lässt die Richt­linie viele tech­nische Fragen offen. Die wich­tigste davon dürfte sein, wie eine doppelte Authen­tifi­zierung über­haupt gelingen soll, wenn der Kunde mit nur einem Endgerät, in der Regel wohl einem Smart­phone, eine Hotel­buchung vornimmt oder ein wert­volles elek­troni­sches Gerät bestellt. Denn Doppel-Trojaner, die die auf dem Smart­phone einge­gebene Online-Banking-PIN und die von der Bank zur Trans­akti­onsbe­stäti­gung über­sendete SMS-TAN ausspähen, gibt es schon seit Jahren. Und egal, welche zwei Sicher­heits-Merk­male man nimmt (etwa PIN und Finger­abdruck, Finger­abdruck und im Smart­phone gespei­chertes Pass­wort etc. etc.): So lange beide Merk­male über dasselbe Smart­phone über­prüft werden, wird ein Trojaner, der sich über eine Sicher­heits­lücke Root-Zugang zu einem Smart­phone verschafft hat, immer in der Lage sein, beide Sicher­heits­merk­male gleich­zeitig zu kompro­mittieren.

Man hat mit der gefor­derten 2-Faktor-Authen­tifi­zierung zwar immer noch einen gewissen Sicher­heits­gewinn dadurch, dass das Schreiben von Trojaner-Apps schwiei­riger wird, man muss ja zwei Sicher­heits­merk­male aushe­beln und nicht nur eines. Nur den erhofften prin­zipi­ellen Sicher­heits­gewinn erreicht man eben dadurch nicht!

Wann gilt die PSD2 über­haupt?

Hinzu kommen recht­liche Probleme: Die PSD2 gilt natür­lich auf jeden Fall, wenn Kunden­bank, Karten­heraus­geber, Zahlungs­dienst­leister, Buchungs­platt­form und der letzt­endliche Leis­tungs­erbringer alle in der EU sitzen. Doch was gilt, wenn man auf der Website von Expedia (Sitz in den USA) ein Hotel in Paris bucht und via Paypal (Sitz in Singapur) bezahlt? Ist dann auch die PSD2 anwendbar? Soweit die Antwort auf diese Frage "ja" lautet, müsste die EU die PSD2 für alle in der EU heraus­gege­benen Karten durch­drücken, egal, wo man diese Karten verwendet. Das dürfte die Nutz­barkeit eben­dieser Karten außer­halb der EU aber stark einschränken. Und damit sind jetzt nicht nur Bestel­lungen bei zwei­felhaften China-Shops gemeint, sondern auch ganz normale Flug- oder Hotel­buchungen zu Fern­reise­zielen.

Wenn die Antwort auf die univer­selle Gültig­keit der PSD2 aber "nein" lautet, dann werden immer mehr Zahlungs­anbieter auf einen Sitz außer­halb der EU auswei­chen, um eben die PSD2 zu umgehen. Auch das wollte die EU sicher nicht errei­chen.

Sicher­heit verrin­gert

Unter­dessen bringt die PSD2 selt­same Blüten hervor. Eine betrifft das Online­banking der Post­bank: Bei dieser war es bisher für die Durch­führung einer Online-Über­weisung nötig, sich zunächst mit Nutzer­namen (oder Konto­nummer) und seiner persön­lichen PIN einzu­loggen und dann die Über­weisung mit einer SMS-TAN frei­zugeben. Mit der Einfüh­rung von PSD2 drängt die Post­bank die Nutzer auf Instal­lation der App "BestSign". Wählt man dann im Online-Banking folge­richtig "BestSign" als bevor­zugtes Siche­rungs­medium, wird die App ab dann sowohl für die Anmel­dung im Online­banking als auch für die Frei­gabe von Über­weisungen verwendet. Man braucht also nur noch seinen Online­baning-Benut­zernamen (der aber anders als eine geheime PIN sicher nicht ausrei­chend im Sinne der Kate­gorie "Wissen" der PSD2 ist) und seinen Finger­abdruck, um Zahlungen durch­zuführen. Im Vergleich zu bisher (Benut­zernamen bzw. Konto­nummer, PIN und SMS-TAN) also sogar ein Verlust an Sicher­heit.

Fazit

Sicher kann man der Post­bank vorwerfen, bei der Umset­zung der PSD2 beson­ders dille­tantisch vorge­gangen zu sein. Doch das Grund­problem ist nicht die vom Mutter­konzern (Deut­sche Bank) wohl stark gestutzte IT-Abtei­lung der Post­bank, sondern eine zwar gut gemeinte, aber schlecht gemachte Richt­linie, die sich wie bereits erläu­tert wenig um die tech­nischen Reali­täten schert. Wer sichere Online­zahlungen will, muss den Kunden entweder mit garan­tiert troja­ner­freien Termi­nals ausstatten, oder die Verwen­dung von zwei unter­schied­lichen Termi­nals (zum Beispiel Laptop mit Inter­netzu­gang übers Fest­netz und Smart­phone mit mobilem Inter­netzu­gang) zwin­gend vorschreiben. Beides bedeutet aber erheb­lichen Aufwand. Sicher­heit gibt es nunmal nicht zum Null­tarif.

Es wäre mit heutiger Tech­nologie möglich, ein Online­banking-Terminal in einer Kredit- bzw. Scheck­karte unter­zubringen: Das Smart­phone über­trägt die gewünschte Trans­aktion per NFC an die Karte, die Karte zeigt die wesent­lichen Details auf einem kleinen in der Karte inte­grierten E-Ink-Display an und der Kunde gibt die Trans­aktion per Knopf auf der Karte frei und legi­timiert sich noch einmal zusätz­lich per Finger­abdruck­sensor oder PIN am Smart­phone. Dann hätte man tatsäch­lich die gewünschte echte 2-Wege-Authen­tifi­zierung. Ein Trojaner auf dem Smart­phone könnte zwar die Daten bei der Über­mitt­lung zur Karte faken, aber dann würde die vom Nutzer erteilte Frei­gabe sich auf die gefakten Daten beziehen und das im Online­banking-Computer beim Abgleich auffallen. Ein Trojaner nur auf der Karte könnte wiederum die Anzeige der Trans­aktion auf dem Smart­phone und die dort erfol­gende PIN/Biome­trie-Frei­gabe nicht kompro­mittieren.

Am Ende muss man sich aber fragen, ob der Aufwand für das zweite Terminal über­haupt gerecht­fertigt ist. Denn wenn eine Kredit- oder Bank­karte dank des einge­bauten Displays in der Herstel­lung künftig (geschätzte) 5 Euro statt bisher 50 Cent kostet, dann kommen zusätz­liche Kosten in Milli­arden­höhe auf die EU-Bürger zu. Lohnen würde sich das, wenn im Gegenzug der Schaden durch Karten­miss­brauch in mindes­tens glei­cher Höhe zurück­geht. Aber das darf bezwei­felt werden: Beson­ders unbe­darfte Verbrau­cher werden auch mit Zwei-Wege-Authen­tifi­zierung auf Phis­hing-Angriffe herein­fallen. Und gegen viele andere Probleme des Online-Handels, wie Fake-Shops oder auf dem Postweg gestoh­lene Pakete, helfen sichere Zahlungs­karten eben­falls nicht.

Bleibt man aber aus Gründen der Prak­tika­bilität bei der Ein-Wege-Authen­tifi­zierung für übliche Karten­trans­aktionen, dann muss die Sicher­heit woan­ders ansetzen: Schutz der Smart­phones vor Troja­nern, Opti­mierte Erken­nung gefakter Trans­aktionen und derglei­chen mehr. Im Zwei­fels­fall ruft halt der Karten­heraus­geber eine halbe Stunde nach der Luxus­hotel­buchung beim Kunden zurück und fragt nach, ob man die Buchung wirk­lich getä­tigt hat. Das ist sicher weniger Störung, als jede einzelne Amazon-Bestel­lung über 17,23 Euro extra auf der Kredit­karte frei­geben zu müssen.

Weitere Edito­rials