PSD2-Serie, Teil II

PSD2: Wie Experten einen Monat vor dem Start die Lage beurteilen

13. August 2019

Von Christian Kirchner

Die Revolution naht: Nur noch ein Monat, dann tritt die zweite Stufe der PSD2 in Kraft. Finanz-Szene.de nimmt dies zum Anlass, in einer vierteiligen Serie die drängendsten Fragen rund um die Zahlungsdienste-Richtlinie zu beleuchten – mit besonderem Fokus auf den neuen Authentifizierungs-Regeln.

Nach dem ersten Teil gestern nun heute die zweite Folge, für die wir hochrangige Branchenexperten gefragt haben, wo sie die größten Probleme sehen, wie die Richtlinie die Wettbewerbslandschaft verändern wird und vor allem: ob eine Verschiebung bzw. längere Übergangszeiten, wie sie ja von verschiedener Seite gefordert werden, überhaupt machtbar und hilfreich wären.

Gefragt haben haben wir: einen „Großbanken-Vertreter“, einen Unternehmensberater, zwei „API-Experten“, einen Verbraucherschützer und den Bankenverband selbst.

Hier die interessantesten und pointiertesten Einschätzungen zu unseren vier Fragen:

Was sind die größten aktuellen Herausforderungen in Zusammenhang mit der PSD2-Einführung und im Bezug auf die neue(n) 2FA/SCA-Authentifizierungen?

„Die Kommunikation ist meiner Ansicht nach die größte Herausforderung. Wie vermitteln wir dem Kunden verständlich, in welchen Situationen, warum und auf welche Art und Weise er sich authentifizieren muss? Denn durch die PSD2 entsteht ein komplexes Feld an Möglichkeiten, wann und wie häufig ein Kunde sich mit einem oder zwei Faktoren authentifizieren muss. Eine weitere Herausforderung ist es, die Kunden auf Verfahren zu migrieren, welche durch die PSD2 erlaubt sind. Die Richtlinie schafft eine hohe Hürde: Sie führt dazu, dass Kunden ohne ein separates Gerät (Mobiltelefon für mobileTAN bzw. Smartphone oder Lesegerät für die photoTAN) sich nicht mehr authentifizieren können. Somit können sie das klassische Online-Banking nicht mehr nutzen.“ – Michael Koch, CDO Privat- und Firmenkunden Deutschland der Deutschen Bank

„Wir gehen davon aus, dass bis zum 14.9. alle Banken die 2FA implementiert haben werden, ohne die rechtlichen Ausnahmen zu nutzen – so dass die Usability der Nutzer leiden wird.  Folgende Marktteilnehmer werden die Gewinner sein, da hier kein 2FA benötigt wird: Rechnungsanbieter wie Klarna oder Ratepay, Anbieter wie Paypal  und Amazon Pay (bei Lastschriftnutzung oder Guthabennutzung). Also Player, die die neuen Anforderungen vermutlich besser und einfacher umsetzen werden als Banken. Verlierer sind Banken oder bankeigene Zahlverfahren (z.B. Paydirekt) beziehungsweise Kreditkarte.“ – Stefan Krautkrämer, Geschäftsführer FinTecSystems

„Auf Bankenseite registrieren wir eine große Unsicherheit darüber, was der echte Marktstandard wird in Bezug auf Frequenz der Anwendung beim Log-in und der optimalen technischen Ausgestaltung (z.B.welche TAN-Verfahren sich durchsetzen). Zudem registrieren wir derzeit ein stark erhöhtes Aufkommen an Call-Center-Anfragen, da die Kunden bei der Umstellung auf die neuen TAN-/Authentifizerungs-Verfahren viele Rückfragen haben und den zusätzlichen Aufwand oft nicht nachvollziehen können.“ René Fischer, Partner bei Oliver Wyman

„Eine Herausforderung wird sein, zu verhindern, dass Verbraucher auf Betrüger hereinfallen, die das zu beobachtende allgemeine Durcheinander bei der aktuellen Umsetzung durch die Unternehmen für ihre Zwecke nutzen. Mit Sorge ist zu beobachten, dass Anbieter auch schnell mal auf ’neue Vorschriften der EU“ verweisen, statt nachvollziehbar zu erklären, wie mit den Maßnahmen konkret die Sicherheit erhöht werden soll.  Das kann auch schwer fallen, weil es aktuell sehr widersprüchliche Aussagen geben kann.  So kann es bei einem Anbieter künftig erforderlich werden, aus Sicherheitsgründen eine Kartenzahlung etwa mit einer SMS-TAN zu bestätigen, während parallel ein anderer Anbieter – ausgerechnet jetzt – zeitgleich erklärt, SMS-TAN seien unsicher und würden bei ihm abgeschafft.“ – Frank Christian Pauli, Referent VZBV

„Wir sehen die Umsetzung der starken Kundenauthentifizierung im Onlinebanking als vergleichsweise unkritisch an. Diese ist für Zahlungsauslösung in Deutschland bereits heute Standard. Die deutlich größeren Herausforderungen sehen wir im Bereich der eCommerce-Zahlungen mit Kreditkarte. Auch hier haben die Banken und Sparkassen zwar zulässige Authentifizierungs-Verfahren im Einsatz, aber es sind weitergehende Anpassungen, insbesondere auch von der Akzeptanzseite vorzunehmen – etwa im Handel. Damit geht einher, dass auch die Kunden diese neuen Verfahren verstehen und damit umgehen lernen.“ – Der BdB für die Deutsche Kreditwirtschaft

===

Was ist die vermutlich meistunterschätzte Folge der neuen Regelung aus Sicht der Kunden? Und aus Sicht der Banken?

„Ich denke viele Kunden haben sich noch nicht wirklich mit den Folgen der PSD2 auseinandergesetzt. Am 15.9. werden sie verdutzt feststellen, dass der Kontozugriff nicht mehr wie gewohnt klappt und erst dann handeln. Ferner befürchte ich neue Fraud-/Phishing-Attacken im Rahmen der PSD2 Einführung, bei denen es schwierig wird zwischen “gut und böse” zu unterscheiden. Die Sensibilität der Kunden bei der Verwendung von zusätzlichen Sicherungsverfahren wird geringer je häufiger diese eingesetzt werden müssen. Aus Sicht der Banken stellt sich die Frage, ob die neuen Schnittstellen den Anforderungen aus technischer (Sicherheit und Performance) und funktionaler Sicht standhalten können. Wenn dem nicht so ist, wird es im Markt auch keine Ruhe geben – der lachende Dritte könnte dann z.B. ein Big Tech wie Apple/Google/Amazon sein.Klaus Igel, Subsembly

„Für innovative Produkte wie eine Multibank-Aggregation ist die Kunden-Authentifizierung mit zwei Faktoren ein Hindernis. Kunden, die solche Lösungen – von Banken oder Fintechs – nutzen, müssen sich teilweise für die Aggregation von unterschiedlichen Produkten einer einzigen Bank mehrfach mit jeweils zwei Faktoren authentifizieren, denn die PSD2 regelt nur den Zugriff auf Konten, aber nicht den Zugriff auf Kreditkarten, Sparprodukte oder Depots. Diese Produkte müssen getrennt abgerufen werden. Hier muss im Sinne der Verbraucher und der Benutzerfreundlichkeit dringend nachgebessert werden.“ – Michael Koch

„Wir werden beim Umsetzen der neuen Regelung und dem Design der aktuellen Schnittstellen aus Sicht des Kunden schwere Einbußen bei der Usability hinnehmen müssen, gerade im Bereich Personal Finance Apps und Multibanking Apps sowie der Zahlungsauslösung. Wir befürchten durch die Flut an benötigten TAN, dass die Sensibilität verlorengeht, für was der Kunde denn nun eigentlich gerade eine TAN verwendet hat. – Stefan Krautkrämer

„Aus Sicht der Kunden ist das Multibanking-Angebot unbequemer und unattraktiver geworden, wenn dann z.B. drei verschiedene Authentifzierungs-Verfahren genutzt werden müssen und der Login-Prozess somit deutlich länger dauert – damit wird das eigentliche Ziel eines transparenteren Wettbewerbs faktisch konterkariert. Aus Bankensicht wird am meisten unterschätzt, dass man durch fehlende gemeinsame Standards für technische Lösungen und Frequenzen (welche technische Verfahren, welche Häufigkeit der erweiterten Anforderungen …) die Kunden unzufriedener macht. Das ist zugleich eine Hürde für den Wettbewerb, aber auch eine Hürde für die weitere digitale Aktivierung der Kunden.“René Fischer

„Allgemein unterschätzt wird das Problem, das entsteht, wenn bei den 2FA-Instrumenten einige Anbieter jetzt alles ‚auf eine App“ setzen. Ignoriert wird einmal, dass die Vorbehalte gegen Smartphones bei Verbrauchern durchaus groß sind. Das betrifft sowohl Datenschutz als auch Sicherheitsbedenken. Selbst Verbraucher, die es sonst nutzen, sehen Grenzen für besonders kritische Anwendungen,wie dem Kontozugriff, den sie auf diesen Geräten nicht haben wollen. Das eigentliche Problem, das alle Verbraucher treffen kann, ist die technische Zuverlässigkeit. Man muss nur in die Kommentare der App-Markets zu bestehenden Apps schauen. Dort gibt es immer Verbraucher, bei denen eine App nicht oder nicht mehr läuft. Alleine die Vorstellung, bei jedem Update des eigenen Geräts bangen zu müssen, dass diese wichtige App danach noch fehlerfrei läuft, könnte bald unerträglich werden. Vor allem, wenn man bei einem Anbieter ist, der nicht mindestens eine sofort einsetzbare und kostenneutrale Alternative anbietet.“ – Frank Christian Pauli

====

Sind die genauen Authentifizierungs-Anwendungen ein Differenzierungs-Merkmal im Wettbewerb? Oder werden sich Kunden rasch an die unterschiedlichen Wege und Frequenzen gewöhnen?

„Banken können mit der 2FA ein deutliches Differenzierungs-Merkmal schaffen, der Grund liegt in der mobilen Anwendung: Auf dem Smartphone oder Tablet könnten zwei Faktoren, Besitz und Inhärenz, mit einem biometrischen Verfahren (z.B. Fingerabdruck oder Gesichtserkennung) innerhalb eines Prozesses in einer App realisiert werden. Leider ist dieses Prozedere aber bislang nur bei bankeigenen Verfahren denkbar, da nur Banken die 2FA vornehmen können. Drittanbieter, für die die PSD2 im Kern gestaltet wurde, haben hier das Nachsehen. Rechtlich wäre es zwar möglich, dass regulierte Drittanbieter die 2FA selbst übernehmen, wir sind aber skeptisch, dass es je dazu kommen wird. Der Verlierer ist letztlich der Kunde, da die Usability insgesamt leiden wird in der Umsetzung.“ –  Stefan Krautkrämer

„Die deutschen Bankkunden sind sehr preissensitiv und schätzen eine einfache und intuitive Benutzerführung – die Authentifizerungs-Prozesse werden aus unserer Sicht kurzfristig kein Differenzierungsmerkmal, eher ein Hinderungsgrund für einen Wechsel. Mittelfristig wird man sich durch eine möglichst einfache Lösung als „Digitalbank“ positiv abheben können.“ –  René Fischer

„Sie sind ein Differenzierungs-Merkmal. Zumindest für vielversprechende Zielgruppen: digitalaffine Kontoinhaber, gestresste Gutverdiener, „ETFs am Smartphone“-Händler oder aufstrebende Jungunternehmer. Um diese Zielgruppen anzuziehen bzw. dauerhaft glücklich zu machen, muss ich als Bank mehr als “compliant” sein.“ – Cornelia Schwertner, Managing Director & CRO Finreach Solutions

„Für Multibanking-User und gewerbliche Anwender wird die Umsetzung der 2FA eine wichtige Rolle bei der Wahl der Bankverbindung spielen. Wer hier anwenderfreundliche Lösungen schafft (und gleichzeitig ein passendes Produktangebot vorweisen kann), wird sicher profitieren. An nicht funktionierende Lösungen können sich diese Kunden nicht gewöhnen, da der Use-Case Multibanking dann nicht mehr sinnvoll darstellbar ist. Für Anwender, die nur eine Kontoverbindung haben, wird hingegen die Umsetzung innerhalb der bankeigenen App und im Web das wichtigste Kriterium sein. Auch hier gilt, wer gute und smarte Lösungen anbietet, hat beim Wettbewerb zwischen den Instituten einen Vorteil. Spätestens dann, wenn User aufgrund zu hoher 2FA Hürden zeitweise nicht auf ihr Konto zugreifen können, wird die Wechselbereitschaft stark ansteigen.“ – Klaus Igel

„Die Handhabbarkeit von Sicherheit wird eine Rolle im Wettbewerb spielen. Es können aber auch ganz andere Wettbewerbsfolgen eintreten, als manche sie jetzt erwarten. Zuverlässigkeit und Investitionssicherheit werden künftig eine neue Rolle spielen für Verbraucher. Kauf ich mir ein Handy von einem neuen Anbieter oder wage ich das lieber nicht, weil ich ja auf zuverlässig arbeitende Zahlungsbestätigungs-Apps angewiesen bin? Ein neues Handy-Betriebssystem? Geht gar nicht, da machen im Zweifel meine Banken nicht oder nicht lange genug mit. Probiere ich eine neue App aus oder werde ich das jetzt stark einschränken, statt irgendwelche Applikationen meinem ‚Kontoschlüssel“ zuzufügen?  Anbieter könnten es aber künftig schwer haben, Innovationen auf den Markt zu bringen.“ – Frank Christian Pauli

 

====

Einmal allgemein gesprochen: Wäre eine Verschiebung der „Einführung“ machbar und/oder hilfreich? 

„Aus meiner Sicht ist der kurze Zeitplan zwischen Sandboxtest (03.2019) -> Produktionstest (06.2019) -> Going Live am 14.09.2019 ein Geburtsfehler und zu knapp bemessen. Insofern ist aus Sicht eines nahtlosen Übergangs eine Phase von sechs bis zwölf Monaten mit einer parallelen Nutzungsmöglichkeit von alten und neuen APIs unerläßlich. Beim Blick auf den Kalender wird mir schon mulmig, es verbleiben gerade mal 30 Tage bis die PSD2 Realität wird bzw. werden soll.“- Klaus Igel

„Ja, definitiv müsste eine Verschiebung beziehungsweise Übergangsfrist geschaffen werden. Das Problem sollte über die Haftungsfrage geklärt werden. Letztlich geht es beim Bezahlen im Netz ja immer um Betrugsvermeidung, um das Verhindern von Zahlungsausfällen. Hier wäre die einfachste Lösung, den Online-Händlern die Wahl zu lassen: Händler, die die 2FA implementieren, haften nicht im Betrugsfall. Die 2FA bei einem Login ins Onlinebanking oder beim Abruf von größeren Datenmengen vorzuschreiben ist allerdings vollkommen übertrieben – das wird sich nun aber nicht mehr ändern lassen. Hier kann man nur auf eine clevere Auslegung der Ausnahmen durch die Banken oder auf neue kundenfreundliche Authentifizierungsmethoden hoffen.“ –  Stefan Krautkrämer

„Machbar ist alles; wenn Brüssel/Bonn/Berlin es wollen. Hilfreich ist es nicht zwangsläufig. Ein bloßes Verschieben von Fristen wird längst anderweitig verplante IT-Ressourcen nicht frei werden lassen oder IT-Strategien beflügeln. Der Druck auf den 14.09. für PSD2-Schnittstellen muss geschmälert werden, indem die nach Art. 33 RTS (technische Regulierungsstandards)  grundsätzlich verpflichtend vorgesehenen Fallback-Lösungen durch Banken bereitgestellt werden. Stand heute, einen Monat vor dem Start, ist mir (noch) keine deutsche Bank bekannt, die eine Ausnahmegenehmigung erteilt bekommen hat, oder eine Bank, der ich persönlich die Marktfähigkeit und RTS-Compliance ihrer Schnittstelle bescheinigen würde. Ich mag aus einer Drittdienstleister-Sicht vielleicht strenge Urteile dahingehend fällen. Aber das Versäumen der Einplanung des „Artikel 33 RTS“-Fallback auf Bank-IT-Seite darf nicht zum Druckmittel gegenüber der BaFin werden, um aufsichtsrechtliche Ausnahmen vom Fallback unter Anwendung verkürzter Bewährungsphasen oder erleichterter Bedingungen durch Banken zu erwirken.“ – Cornelia Schwertner

„Grundsätzlich ist es Sache der europäischen und nationalen Aufsichtsbehörden, über eine mögliche Übergangsfrist nach dem 14. September 2019 zu entscheiden. Die Deutsche Bank ist bereit.“ – Michael Koch

„Aufgeschoben ist nicht aufgehoben. Dieses Problem liegt aktuell hauptsächlich bei den Anbietern. Wenn die Zeit von einigen Anbietern genutzt würde, mehr als eine App anzubieten, wäre das positiv, aber vom notwendigen Vorlauf her, wäre gerade das kaum noch rechtzeitig zu erwarten.“ – Frank Christian Pauli

„Im eCommerce liegt es nahe, eine Übergangsphase zu ermöglichen, damit Handel und Acquirer die Anforderungen an die starke Kunden-Authentifizierung vollständig umsetzen. Aus Sicht des Handels unterstützen wir eine solche Lösung. Letztlich muss es das Ziel sein, dem Verbraucher eine friktionsfreie Bezahlung im eCommerce zu ermöglichen und Zahlungsabbrüche zu vermeiden. Allerdings sollte eine verlängerte Umsetzungsfrist begrenzt sein, weil allen gemeinsam ein Interesse an der Erhöhung der Sicherheit der Zahlungen ist. Bei der Umsetzung der starken Kundenauthentifizierung im Onlinebanking halten wir eine Verschiebung für nicht notwendig.“– BdB

NEWSLETTER

Deutschlands führender Banken-Newsletter. Jetzt abonnieren!

Share

Share on facebook
Share on twitter
Share on linkedin
Share on xing