MEINUNG11. September 2017

RTS-Streit ums ‘Screen Scra­ping’ (Teil3): FIDO Alliance wendet sich an Europäische Kommission und Parlament

mast3r/bigstock.com

In der RTS zur PSD2 wird das “Screen Scraping” ausgeschlossen (mehr… nun legt die FIDO Alliance nach, um die EC und EBA zu überzeugen, Screen Scraping als Fallback-Option im Rahmen der EU-Richtlinie doch noch zu erlauben. Im Kern geht es offenbar um die starke Kundenauthentifizierung. Brett McDowell, Executive Director der FIDO Alliance, hat die Kernpunkte der Antwort der FIDO Alliance zusammengefasst.

von Brett McDowell, Executive Director der FIDO Alliance

Unter “Screen Scraping” versteht man die Praxis, Zahlungsauslösediensten (Payment Initiation Service Provider; PISP) und Kontoinformationsdiensten (Account Information Service Providers; AISP) im Auftrag des Kunden Zugriff auf Bankkonten zu gestatten und dabei den Nutzernamen und die Passwort-Informationen des Kunden zu nutzen, was laut endgültigem RTS-Entwurf der EBA nicht erlaubt ist.

Die FIDO Alliance
Die nichtkommerzielle FIDO-Allianz (FIDO = Fast IDentity Online ‚schnelle Identität bei digitalen Verbindungen‘) wurde im Juli 2012 ins Leben gerufen und im Februar 2013 offiziell gegründet, um zusammen mit vielen verschiedenen Unternehmen offene und lizenzfreie Industriestandards für die weltweite Authentifizierung im Internet zu entwickeln. Der Geschäftssitz der Allianz ist in Kalifornien.

In diesem Rahmen hat die Allianz bis Ende 2014 zwei Standards entwickelt. Der Standard U2F (Universal Second Factor ‚universeller zweiter Faktor‘) dient zur Spezifikation von Hard- und Software für die Zwei-Faktor-Authentifizierung. Der Standard UAF (Universal Authentication Framework ‚universelles Rahmenwerk zur Authentifizierung‘) spezifiziert das dazugehörige Netzwerkprotokoll zur kennwortlosen Authentifizierung. Am 9. Dezember 2014 wurde der erste Standard mit der Bezeichnung FIDO v1.0 veröffentlicht, der beide Spezifikationen enthält. Mithilfe der Standards soll die Authentifizierung im Internet sicher, schnell und einfach möglich sein und ein Benutzer muss nicht mehr auf zahlreiche verschiedene sichere Kennwörter zurückgreifen, um sichere Verbindungen herzustellen. Die persönlichen Daten und die privaten Schlüssel blieben immer und ausschließlich im Besitz des Benutzers und werden nicht auf öffentlichen Servern gespeichert.

Allerdings haben sich einige FinTech-Unternehmen zu Wort gemeldet und berichtet, dass sich die Banken mit der Implementierung neuer, sichererer Methoden bei einer delegierten Zugangskontrolle schwertun. Infolgedessen drängt die EC nun die EBA, Unternehmen die Nutzung des Screen Scrapings als Ausweichoption zu gestatten, statt auf sicherere Methoden wie etwa durch den Einsatz von Schnittstellen zur Anwendungsprogrammierung (APIs) zurückzugreifen.

Da das Screen Scraping den Austausch von Kundenpasswörtern und deren Nutzung durch Dritte voraussetzt, sieht die FIDO Alliance drei maßgebliche Probleme:

1. Es erfüllt die in der PSD2 festgelegten Sicherheitsanforderungen nicht.
2. Es stellt für Verbraucher ein erhöhtes Risiko dar.
3. Jeder Ansatz, der es einem Dritten erlaubt, sich bei einer Bank “einzuloggen, als wäre er der Kunde” bedeutet für alle Seiten zusätzliche Risiken.

Die FIDO Alliance sieht keinen Weg, den von der EC angestrebten Screen-Scraping-Ansatz so in einer Implementierung umzusetzen, dass die in der PDS2 definierten Voraussetzungen für eine erweiterte Sicherheit erfüllt werden.”

Es existieren allerdings durchaus weitaus sicherere Möglichkeiten für die Verbraucher, den Zugriff auf ihre Bankkonten zu delegieren, etwa über APIs, die durch eine starke Authentifizierung der Kunden geschützt sind.

Basierend auf bewährten globalen Standards wie OAuth 2.0 und OpenID Connect (OIDC) weisen diese API-basierten Lösungen zudem den Vorteil auf, nicht nur mehr Sicherheit, sondern auch mehr Privatsphäre zu bieten. Denn sie erlauben es dem Verbraucher, den Zugang zu einem Bankkonto spezifiziert zu gewähren, um etwa nur einige Details mitzuteilen. Gemeinsam mit den FIDO-Standards für eine starke Authentifizierung bieten API-basierte Lösungen so alle Vorteile einer gerätebasierten Multi-Faktor-Authentifizierung, die für Konsumenten sicherer und einfacher zu nutzen ist, als die Eingabe von Codes in ein Formular.

Autor Brett McDowell
Brett McDowell ist Executive Director von der FIDO Alliance und verantwortlich für die strategische Ausrichtung der FIDO Alliance, einer Organisation, bei deren Etablierung er maßgeblich beteiligt war. In dieser Funktion kümmert er sich auch um die Zusammenarbeit mit zahlreichen externen Firmen, Standardisierungsgremien und Regierungsbehörden. Zuvor war Herr McDowell u.a. bei PayPal, wo er Strategien entwickelte, die helfen sollen, das Internet sicherer für PayPal-Kunden zu machen.

Freistellung statt Veränderung

Die EC glaubt, dass eine “Fallback-Option” wie das Screen Scraping unterstützt werden muss, bis die Banken ihre Anstrengungen in puncto PSD2 forcieren. Die FIDO Alliance geht dagegen davon aus, dass es besser ist, lediglich eine Freistellung von den RTS-Vorgaben zu beschließen, als die RTS selbst zu verändern. Die RTS definieren einen wichtigen technischen Standard, der den Markt für die kommenden Jahre prägen wird.

Dabei müssen sich die RTS darauf fokussieren, hohe Anforderungen an eine starke Kundenauthentifizierung (Strong Customer Authentication; SCA) sowie die gemeinsame und sichere Kommunikation unter PSD2 festzulegen. Es darf nicht sein, dass die RTS dafür herhalten müssen, dass die Beteiligten sich vor ihrer Verantwortung bei diesem historischen Schritt hin zu mehr Verbraucherschutz drücken können. Letztlich würde eine Aufnahme der “Fallback-Option” Screen Scraping die RTS verwässern und die Zielsetzung von PSD2 zur Einführung einer SCA infrage stellen, was im Ergebnis für Verbraucher ein erhöhtes Risiko bedeutet.Brett McDowell

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert