Authentifizierung: Es geht auch sicher und bequem

Mit der revidierten Richtlinie für Zahlungsdienste in der Europäischen Union kommt auf Banken und Anbieter von Bezahlservices einiges an Arbeit zu. Für die Akteure der Branche ist damit nicht nur die Aufforderung verbunden, etwas für mehr Sicherheit zu tun und ihre eingesetzten Authentifizierungslösungen auf den aktuellen Stand der Technik bringen. Parallel bietet sich auch die Chance, die Benutzerfreundlichkeit zu erhöhen.

Allein gelassen werden die Finanzdienstleister bei diesen Aufgaben rund um die revidierte EU-Richtlinie über Zahlungsdienste (Payment Services Directive 2; PSD2) nicht, denn das gemeinnützige Industriekonsortium FIDO Alliance bietet kompetente Unterstützung. Und das neuerdings auch direkt vor Ort: Mitte November hat sich die FIDO Europe Working Group gegründet, und zwar aufgrund der steigenden Marktnachfrage nach besseren Authentifizierungslösungen. Die sich verändernden regulativen Vorgaben der EU sind hierfür ein maßgeblicher Grund. So wird beispielsweise aufgrund der revidierten Richtlinie für Zahlungsdienste, die jetzt europaweit in Kraft tritt, eine starke Kundenauthentifizierung für Finanzdienstleister obligatorisch, um den Zugang zu Bankkonten zum Zwecke der Informationsabfrage oder für Zahlungen abzusichern.

Zu den Gründungsmitgliedern dieser neuen Arbeitsgruppe zählen achtzehn auf dem europäischen Markt aktive Mitglieder der FIDO Alliance: Cartes Bancaires, Cirrus Logic, D-TRUST, Daon, Cirrus Logic, Federal Office for Information Security (German BSI), FIME, Gemalto SA, Idemia, Infineon, ING Group, Nok Nok Labs, Österreichische Staatsdruckerei, Synaptics, TRUXTUN Capital SA, Vasco Data Security, Inc., Verizon Innovation LLC und Yubico.

Was macht die FIDO Alliance eigentlich?

Die FIDO (Fast IDentity Online) Alliance wurde im Juli 2012 gegründet, um die mangelnde Interoperabilität zwischen starken Authentifizierungstechnologien zu beseitigen. Oder weniger technisch ausgedrückt: Das Ziel von FIDO ist es, die Art und Weise der Authentifizierung zu erleichtern und die mangelnde Benutzerfreundlichkeit, Leistung und Einsetzbarkeit älterer Authentifizierungslösungen der ersten Generation zu verbessern.

Hierfür wurde ein offenes, skalierbares und interoperables Set an Mechanismen definiert, die eine einfachere, stärkere Authentifizierung erlauben und die Abhängigkeit von Passwörtern reduzieren. Von der FIDO zertifizierte Lösungen werden zunehmend bei Zahlungsdienstleistern und anderen Industrien sowie im mobilen Bereich eingesetzt. Zu ihren Anwendern zählen unter anderem Google, Facebook, PayPal und NTT DOCOMO.

Viel zu tun, FIDO packt es an

Aufgabe der neu gegründeten Gruppe ist es, die Zusammenarbeit innerhalb des europäischen Marktes zu erleichtern, den Einsatz von FIDO-Lösungen zu fördern und das FIDO-Bewusstsein zu verbessern sowie regulatorische Anforderungen von den relevanten europäischen Interessengruppen einzuholen.

In enger Zusammenarbeit mit politischen Entscheidungsträgern und Vertretern der Industrie wird die Arbeitsgruppe auch die Kommunikation koordinieren, Berichte veröffentlichen und europaweit Informationsveranstaltungen durchführen. Die Gruppencharta konzentriert sich auf die Rolle der FIDO-Authentifizierung bei Produkten und Dienstleistungen, die europäischen Vorschriften unterliegen. Dazu gehören unter anderem die Richtlinie über Zahlungsdienste, die Verordnung über die elektronische Identifizierung und Vertrauensdienste der EU (eIDAS) und die Datenschutz-Grundverordnung (DSGVO).

Die FIDO-Standards sind relevant

Die vollständig definierten Spezifikationen des FIDO-Standards erlauben es, die technischen Regulierungsstandards (Regulatory Technical Standards; RTS) der Europäischen Bankenaufsichtsbehörde (EBA) zu erfüllen.

Mit der asymmetrischen Kryptographie als Grundlage des Sicherheitsmodells deckt FIDO die Sicherheitsanforderungen der RTS ab, die entwickelt wurden, um die Gefahr eines Diebstahls von Berechtigungen für Bezahldienste zu verringern. Wie die zahlreichen bekanntgewordenen Angriffe zeigen, ist der Diebstahl von nur scheinbar sicheren Authentifizierungsmerkmalen wie Passwörter der Ausgangspunkt von 95 Prozent aller Attacken, die letztlich zu massiven Datenschutzverletzungen führen.

Mit einfach zu nutzenden Biometrie- und Sicherheitsschlüsseln, die für die Kontrollmerkmale Inhärenz (etwas, das dem Nutzer eigen ist) und Besitz (etwas, das nur der Nutzer besitzt) eingesetzt werden, bietet FIDO Lösungswege, die mehr Benutzerfreundlichkeit bei Online-Zahlungen realisieren. Auch dem durchaus heiklen Thema Privacy hat sich FIDO angenommen. So gewährleisten die vorgegebenen Datenschutzbestimmungen etwa, dass zum Einsatz kommende biometrische Daten niemals geteilt werden. Dies trägt den Anforderungen von Datenschutzbehörden sowie den Bedenken der Verbraucher bei der Online-Weitergabe biometrischer Informationen Rechnung.

Die Standards der FIDO Alliance werden durch ein mehrstufiges Sicherheitszertifizierungsprogramm ergänzt, das Banken und Dienstleitern eine Auswahl an interoperablen Authentifikatoren in verschiedenen Formfaktoren und für unterschiedliche Betriebsumgebungen zur Verfügung stellt.

Über den Autor

Alain Martin ist Vice President Strategic Partnerships von Gemalto und leitet gemeinsam mit Matthieu Nunnink von ING die neu gegründete FIDO Europe Working Group.