- Anzeige -

Für Verbraucher ein erhöhtes Risiko


Debatte zu Screen Scraping und PSD2: Brief der Fido Alliance an die Europäische Kommission und das Europäische Parlament
Screen Scraping setzt den Austausch von Kundenpasswörtern und deren Nutzung durch Dritte voraus




Von Brett McDowell, Executive Director der Fido Alliance

Soll das Screen Scraping als Fallback-Option im Rahmen der EU-Richtlinie über Zahlungsdienste (Payment Services Directive 2; PSD2) erlaubt werden? Die Fido Alliance hat die Diskussionen zu diesem Thema zwischen der Europäischen Kommission (EC) und der Europäischen Bankenaufsichtsbehörde (EBA) aufmerksam verfolgt, insoweit sie die Regularien der technischen Standards (RTS) für eine starke Kundenauthentifizierung unter PSD2 betrifft. Ich habe Kernpunkte der Antwort der Fido Alliance auf diese Frage folgend zusammengefasst.

Unter "Screen Scraping" versteht man die Praxis, Zahlungsauslösediensten (Payment Initiation Service Provider; PISP) und Kontoinformationsdiensten (Account Information Service Providers; AISP) im Auftrag des Kunden Zugriff auf Bankkonten zu gestatten und dabei den Nutzernamen und die Passwort-Informationen des Kunden zu nutzen, was laut endgültigem RTS-Entwurf der EBA nicht erlaubt ist.

Allerdings haben sich einige Fintech-Unternehmen zu Wort gemeldet und berichtet, dass sich die Banken mit der Implementierung neuer, sichererer Methoden bei einer delegierten Zugangskontrolle schwertun. Infolgedessen drängt die EC nun die EBA, Unternehmen die Nutzung des Screen Scrapings als Ausweichoption zu gestatten, statt auf sicherere Methoden wie etwa durch den Einsatz von Schnittstellen zur Anwendungsprogrammierung (APIs) zurückzugreifen.

Da das Screen Scraping den Austausch von Kundenpasswörtern und deren Nutzung durch Dritte voraussetzt, sieht die Fido Alliance drei maßgebliche Probleme:

>> Es erfüllt die in der PSD2 festgelegten Sicherheitsanforderungen nicht.

>> Es stellt für Verbraucher ein erhöhtes Risiko dar.

>> Jeder Ansatz, der es einem Dritten erlaubt, sich bei einer Bank "einzuloggen, als wäre er der Kunde" bedeutet für alle Seiten zusätzliche Risiken.

Wir sehen keinen Weg, den von der Europäischen Gemeinschaft angestrebten Screen-Scraping-Ansatz so in einer Implementierung umzusetzen, dass die in der PDS2 definierten Voraussetzungen für eine erweiterte Sicherheit erfüllt werden. Es existieren allerdings durchaus weitaus sicherere Möglichkeiten für die Verbraucher, den Zugriff auf ihre Bankkonten zu delegieren, etwa über APIs, die durch eine starke Authentifizierung der Kunden geschützt sind. Basierend auf bewährten globalen Standards wie OAuth 2.0 und OpenID Connect (OIDC) weisen diese API-basierten Lösungen zudem den Vorteil auf, nicht nur mehr Sicherheit, sondern auch mehr Privatsphäre zu bieten. Denn sie erlauben es dem Verbraucher, den Zugang zu einem Bankkonto spezifiziert zu gewähren, um etwa nur einige Details mitzuteilen. Gemeinsam mit den Fido-Standards für eine starke Authentifizierung bieten API-basierte Lösungen so alle Vorteile einer gerätebasierten Multi-Faktor-Authentifizierung, die für Konsumenten sicherer und einfacher zu nutzen ist, als die die Eingabe von Codes in ein Formular.

Die EC glaubt, dass eine "Fallback-Option" wie das Screen Scraping unterstützt werden muss, bis die Banken ihre Anstrengungen in puncto PSD2 forcieren. Wir dagegen gehen davon aus, dass es besser ist, lediglich eine Freistellung von den RTS-Vorgaben zu beschließen, als die RTS selbst zu verändern. Die RTS definieren einen wichtigen technischen Standard, der den Markt für die kommenden Jahre prägen wird.

Dabei müssen sich die RTS darauf fokussieren, hohe Anforderungen an eine starke Kundenauthentifizierung (Strong Customer Authentication; SCA) sowie die gemeinsame und sichere Kommunikation unter PSD2 festzulegen. Es darf nicht sein, dass die RTS dafür herhalten müssen, dass die Beteiligten sich vor ihrer Verantwortung bei diesem historischen Schritt hin zu mehr Verbraucherschutz drücken können. Letztlich würde eine Aufnahme der "Fallback-Option" Screen Scraping die RTS verwässern und die Zielsetzung von PSD2 zur Einführung einer SCA infrage stellen, was im Ergebnis für Verbraucher ein erhöhtes Risiko bedeutet.

eingetragen: 24.09.17
Home & Newsletterlauf: 03.11.17

retarus: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Kommentare und Meinungen

  • Einheitlicher Whistleblower-Schutz

    Die Europäische Kommission hat ein Vertragsverletzungsverfahren eingeleitet, weil Deutschland die EU-Whistleblowing-Richtlinie nicht fristgerecht umgesetzt hat. Dazu erklärt Dr. Sebastian Oelrich, Co-Leiter der Arbeitsgruppe Hinweisgeberschutz von Transparency Deutschland: "Lange haben wir davor gewarnt, nun ist es tatsächlich so weit gekommen: Deutschland hat einen blauen Brief aus Brüssel bekommen, weil wir es nicht geschafft haben, die EU-Richtlinie zum Schutz von Whistleblowern fristgerecht in nationales Recht zu überführen. Damit hinken wir im europäischen Vergleich hinterher."

  • Bitkom zum Trilog der NIS-Richtlinie 2.0

    Anlässlich der laufenden Verhandlungen zur NIS-Richtlinie 2.0, dem europäischen Pendant zum deutschen IT-Sicherheitsgesetz 2.0, erklärt Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung: "In Brüssel laufen zurzeit die Verhandlungen für den neuen, harmonisierteren europäischen Regulierungsrahmen für Cybersicherheit. Das ist in Anbetracht der wachsenden Bedrohungslage im Cyberraum ausdrücklich zu begrüßen. Insbesondere der Schutz unserer kritischen Infrastrukturen macht zukunftssichere Regelungen essenziell für die europäische Wirtschaft und Gesellschaft.

  • DVD: "Impfregister ist datenschutzkonform möglich"

    Die Diskussion über eine Impfpflicht gegen Covid19 bzw. das Corona-Virus ist in vollem Gange. Klar ist dabei, dass eine solche generelle Impfpflicht der gesamten Bevölkerung nur über eine Corona-Impfregistrierung durchgesetzt und kontrolliert werden kann. Bundesjustizminister Marco Buschmann hat sich nun dazu geäußert und behauptet, dass Datenschützer gegen ein solches Impfregister seien. Damit reiht sich der Minister in eine lange Reihe von Politikern ein, die das Datenschutzargument vorschieben. Die Deutsche Vereinigung für Datenschutz e.V. (DVD) weist darauf hin, dass Datenschutz einer wirksamen Virusbekämpfung nie wirklich entgegenstand und dass Impfregister datenschutzkonform gestaltet werden können: Der Aufbau einer Impfregistrierung bedarf, wie jede staatliche informationelle Maßnahme, einer gesetzlichen Grundlage, bei der die Eingriffe normenklar beschrieben und zugleich zur Wahrung der Verhältnismäßigkeit rechtliche Datenschutzvorkehrungen getroffen werden. Aus Sicht der DVD gibt es legitime Argumente für eine Impfregistrierung der Bevölkerung im Interesse der Gesundheit. Für die Rechtmäßigkeit eines solchen Vorhabens und auch um das Vertrauen der Bevölkerung zu gewährleisten, muss die Zweckbindung der Daten gewahrt werden.

  • Das Jahr 2022 bringt die DSGVO reloaded

    Wir alle kennen das Gefühl: Weihnachten kommt immer völlig überraschend. Jedes Jahr. Etwas Ähnliches war vor ein paar Jahren bei der Einführung der DSGVO zu sehen: Obwohl das Gesetz lange bekannt war und es sogar eine zweijährige Übergangsfrist gab, bevor es endgültig in Kraft trat, warteten viele Unternehmen bis zur letzten Sekunde mit der Umsetzung - beziehungsweise scheiterten daran. Ich fürchte, wir befinden uns in exakt der gleichen Situation: Am Horizont steht das IT-Sicherheitsgesetz 2.0.

  • EU-Datenwirtschaft & digitale Souveränität

    In einem neuen Positionspapier zur Datenökonomie macht der Bankenverband deutlich, dass ein einheitlicher europäischer Rechtsrahmen dringend notwendig ist. Mit dem Papier mit dem Titel "Datenökonomie - Unser Datenrahmen muss branchenübergreifend neu definiert werden" unterstreicht der Verband die zentrale Rolle von Daten bei Services im täglichen Leben. Ob und wie Informationen zur Verfügung stehen, hat für Privatpersonen als auch für Unternehmen und nicht zuletzt für die Finanzwirtschaft eine große Bedeutung.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen