BSI zum Thema "Starke Kundenauthentifizierung"

Auf der Grundlage der "Payment Service Directive 2" (PSD2) werden mit dem am 14.03.2018 in Kraft getretenen "Regulatory Technical Standard" (RTS) zur starken Kundenauthentifikation europaweit Sicherheitsanforderungen für Zugangsgeräte und Zugangssoftware verbindlich. Diese ermöglichen den Zugriff auf Online-Konten sowie die Auslösung von Zahlungen und unterstützen dabei die durch die PSD2 geforderte "starke Kundenauthentifizierung". Obwohl der RTS zahlreiche Sicherheitsanforderungen formuliert, lässt er offen, welches minimale Vertrauensniveau Zugangsgeräte und Zugangssoftware erreichen, also wie stark sie einem Angreifer Widerstand leisten müssen. Dabei ist gerade für Nutzer des Online-Bankings in allen seinen Ausprägungen die Sicherheit der persönlichen Kontodaten und der Schutz vor Angriffen von großer Bedeutung.

Das BSI schlägt daher vor, in Anlehnung an die eIDAS-Verordnung das Vertrauensniveau "substanziell" für entsprechende Zugangsgeräte und Zugangssoftware vorzusehen. Basiert die starke Kundenauthentifizierung auf dem Einsatz dedizierter Geräte, z. B. sogenannter TAN-Generatoren, kann das Vertrauensniveau "substanziell" erreicht werden. Der RTS erlaubt als Zugangsgerät unter bestimmten Voraussetzungen aber auch den Einsatz von nicht dedizierten Mehrzweckgeräten wie z. B. Smartphones oder Tablets. Verfügen Mehrzweckgeräte über einen hardwaretechnisch geschützten und separierten Bereich, z. B. ein "Secure Element", kann dieser zur Verarbeitung und Speicherung der für die Authentifizierung benötigten personalisierten Sicherheitsmerkmale genutzt und das Vertrauensniveau "substanziell" erreicht werden.

Offen ist, wie die Anforderungen aus dem RTS zu interpretieren und detailliert umzusetzen sind, so dass auch Mehrzweckgeräte ohne hardwaretechnischen Schutz ein angemessenes Vertrauensniveau erreichen können. Zur Klärung der offenen Punkte und Konkretisierung der im RTS enthaltenden Anforderungen sind insbesondere eine nähere Beschreibung der getrennten Ausführungsumgebung sowie eine Ausformulierung der Unabhängigkeit der beiden Authentifizierungselemente erforderlich.

Eine Konkretisierung der Anforderung zur Unabhängigkeit der Elemente könnte beispielsweise darin bestehen, offensichtliche Verletzungen der Unabhängigkeit zu benennen. Durch diese Erläuterung könnten sowohl Hersteller entsprechender Geräte und Verfahren als auch Institute eine Entscheidungshilfe erhalten, um zukünftige Innovationen auf diesem Gebiet besser bewerten zu können. In Übereinstimmung mit dem RTS ist das BSI der Meinung, dass Authentifikationslösungen basierend auf Mehrzweckgeräten ohne hardwaretechnische Unterstützung ein stringentes Risikomanagement erforderlich machen. Solche technischen Lösungen können für den Übergangszeitraum bis zur Verfügbarkeit hardwaretechnischer Lösungen genutzt werden.

Unabhängig davon können bereits existierende Regularien auf diese Lösungen abgebildet und damit den Instituten Hilfestellung bei der Umsetzung der aufsichtsrechtlichen Anforderungen gegeben werden. So muss aus Sicht des BSI konkretisiert werden, wie die Risiken überwacht und wie als Reaktion auf veränderte oder eingetretene Risiken Entscheidungen in Bezug auf die Verwendung der Authentifikationslösung im Zugangsgerät getroffen werden.