Ab dem 14. September müssen die europäischen Banken die PSD2-Richtlinie umsetzen, die den Einsatz von sichereren Authentifizierungssystemen als den derzeitigen vorschreibt
Viele Kunden großer europäischer Banken, die Online-Banking-Dienste nutzen, wissen es bereits, denn sie haben die entsprechenden Mitteilungen ihres Bankinstituts erhalten: Ab dem 14. September wird es nicht mehr möglich sein, die alten "Token" zur Autorisierung von Transaktionen zu verwenden, die über eine Website oder eine Smartphone-App durchgeführt werden.
Dies ist die Auswirkung der Zahlungsdiensterichtlinie 2 (PSD2), der neuen europäischen Richtlinie über den digitalen Zahlungsverkehr, die den Banken wirksamere Sicherheitsmaßnahmen zum Schutz der über elektronische Geräte abgewickelten wirtschaftlichen Transaktionen auferlegt. Der alte, mit den Servern der Bank synchronisierte "Schlüssel", der automatisch und kontinuierlich die für die Autorisierung von Transaktionen erforderlichen Codes generierte, wird somit außer Betrieb genommen. Das Problem mit den Token bestand vor allem darin, dass es nicht möglich war, einen einzigen Code mit Sicherheit einem bestimmten Vorgang zuzuordnen. Das Problem war nicht nur eines der Sicherheit, sondern auch eines der Transparenz und der Rückverfolgbarkeit des Geldes.
Open Banking
Mit der PSD2 kam das neue Konzept des "Open Banking" auf den Markt. Die Banken werden die Möglichkeit haben, Daten über Girokonten und Transaktionen mit Drittunternehmen auszutauschen, sofern der Kunde dies genehmigt. Auf diese Weise können die Banken diese Informationen zu Geld machen, während die Kunden neue Dienstleistungen in Anspruch nehmen können. So wird es beispielsweise möglich sein, eine Zahlung zu tätigen, ohne eine Debit- oder Kreditkarte zu verwenden. Auch die Integration mit den Zahlungsdiensten von Web-Giganten wie Apple, Facebook und Google wird einfacher und effektiver sein.
Token ade, Apps ade
Die PSD2 bindet die Banken nicht an eine bestimmte Methode zur Autorisierung von Online-Transaktionen, sondern nur an den alten Stick. Jede Einrichtung kann das von ihr bevorzugte System wählen, solange es den Sicherheitsanforderungen entspricht. Die häufigste Wahl in dieser ersten Phase des Übergangs vom alten zum neuen System ist ein von einer App generierter OTP-Code (One Time Password). Wie die von den alten Token generierten Passwörter ändern sich auch die OTP-Passwörter ständig, lassen sich aber im Gegensatz zu den alten Token mit Sicherheit einer einzigen Transaktion zuordnen. Diese OTP-Codes werden dem Kunden per SMS oder E-Mail zugesandt und dürfen nicht mit den OTP-Codes des 3D-Secure-Systems (das von Visa und Mastercard verwendet wird) verwechselt werden. Letztere wird nämlich nicht von der Software generiert, sondern vom Benutzer bestimmt (der sich auch dafür entscheiden kann, sie nie zu ändern).