Wie sollte ein Freigabetext im Rahmen einer SCA idealerweise aussehen? Wie sollte und könnte mit einfachen Mitteln (insbesondere sinnvoller und verständlicher Freigabetexte und ohne Betrachtung expliziter Sicherheitsverfahren) das von der PSD2 geforderte SCA-Erfordernis umgesetzt werden?
Nach der Bestandsaufnahme in Teil 1, folgt nun ein Vorschlag und die Grundidee dahinter könnte einfacher kaum sein: Wenn ein Kunde versteht, was er macht oder warum er etwas machen muss, ist die Akzeptanz implizit gegeben. Zu guter Letzt wird in einem Soll-/Ist-Vergleich der Umsetzungsstand bei 21 Instituten dargestellt.
Grundregeln aus Sicht des Kunden einhalten
Exemplarisch nehmen wir die beiden im Rahmen unserer Analyse durchlaufenen Geschäftsvorfälle, also die Freigabe des Zugriffs von Drittdienstleistern und die Durchführung einer Überweisung über die Open Banking Schnittstelle, wie sie beispielsweise von einem Zahlungsauslösedienst initiiert werden könnte und leiten dafür sinnvolle Freigabetexte ab.
🇲🇽 Die heißeste Payment-Party des Jahres! 🇲🇽
Zunächst einige Grundregeln, die bei der Erstellung der Freigabetexte primär aus Sicht des Kunden eingehalten werden sollten.
Wenn wir den Freigabetext als Auftrag verstehen, den der Kunde im Rahmen einer Online-Transaktion unterschreibt und den die Bank als Beleg für den Auftrag erhält, so wird sicher schnell klar, dass ein Text der Art „Die TAN für Ihren Auftrag lautet 0815“ in der physischen Welt ungefähr einem Beleg „Frau Mustermann war in der Filiale, um dort irgendetwas zu beauftragen“ gleichkäme. Würde sich eine Bank oder Sparkasse ernsthaft so etwas vom Kunden unterschreiben lassen? Nein, natürlich nicht. Wenn doch, würde die Revision hier vermutlich rasch grundlegende Verbesserungen einfordern.
Aus dem Gesagten ergeben sich somit folgende Regeln:
- Der konkrete Auftrag an die Bank muss aus dem gewählten Text ersichtlich sein.
- Es ist zwingend erforderlich, transaktionsspezifische Parameter einzubeziehen.
- Es sollten keine allgemeinen, unspezifischen Inhalte ohne spezifischen Transaktionsbezug aufgeführt werden.
- Es dürfen ausschließlich Daten, die Kund:innen prüfen können, verwendet werden.
Weiterhin gilt es zu bedenken, dass der Anzeigetext nur auf die für den Auftrag relevanten Informationen limitiert sein sollte und Kunden nicht mit überflüssigen Texten gelangweilt oder verwirrt werden sollten. Niemand möchte mehrseitige EULAs wie bei Softwarepaketen unterschreiben (die im Ergebnis dann ohnehin weder gelesen noch geprüft werden).
- Im Allgemeinen sollte der Anzeigetext somit der Regel „so viel wie nötig“ (damit der Kunde den gesamten Vorgang schnell überprüfen kann) und „so wenig wie möglich“ folgen.
Zu guter Letzt sollte man sich bewusst sein, dass die Kunden schnell und unkompliziert einen konkreten Auftrag durchführen wollen. Freigabetexte (Auftragsbelege) sollten daher:
- Keine dekorativen, sprachlichen Floskeln wie „Sie werden jetzt …“ oder „Vielen Dank, dass Sie sich für … entschieden haben“ enthalten.
- Keine allgemeinen Sicherheitshinweise enthalten (Wer glaubt, dass diese an dieser Stelle für Kunden eine Relevanz haben, sollte seine Kundenkommunikation grundsätzlich hinterfragen).
- Unter keinen Umständen Marketingbotschaften enthalten.
Mögliche Freigabetexte
Wer jetzt sagt: Was, das ist alles? Das ist doch absolut logisch und keine Erkenntnis! Dem können wir nur empfehlen, die Freigabetexte seiner Bank/Sparkasse daraufhin einmal zu prüfen.
Wie versprochen, nun Freigabetexte für die beiden genannten Geschäftsvorfälle, die vom Kunden leicht zu verstehen und zu überprüfen sind:
Geschäftsvorfall 1: Erteilung einer Einwilligung zum Kontozugriff durch einen Dritten – Consent-Erteilung für 90 Tage und max. 4x Zugriff pro Tage; Berechtigung: Kontoinformationen, Salden, Umsätze lesen
Geschäftsvorfall 2: Auslösen einer Einzelüberweisung über einen Zahlungsauslösedienst – Einstellen und Freigeben einer Überweisung unter Verwendung der PSD2 APIs
Kunde spielt eine untergeordnete Rolle bei der Umsetzung der PSD2
Spätestens wenn man diese Texte mit den tatsächlich verwendeten Texten der jeweiligen Institute vergleicht, wird deutlich, warum unsere nachstehende Bewertung zum in der Tabelle dargestellten Ergebnis (mit Luft nach oben) geführt hat. Es zeigt sich leider, dass der Kunde innerhalb vieler Finanzinstitute maximal eine untergeordnete Rolle spielt und eine Kommunikation zwischen den Juristen, CISOs und Fachabteilungen nicht im erforderlichen Umfang und schon gar nicht im Sinne der Sache und einer benutzerfreundlichen und gleichzeitig sicheren Lösung stattzufinden scheint.
In dem Praxistest haben wir uns die folgenden Standards PSD2-Use-Cases bei 21 Banken angesehen:
- Erteilung einer Einwilligung zum Kontozugriff durch einen Kontoinformationsdienst
- Auslösen einer Einzelüberweisung über einen Zahlungsauslösedienst
- Darstellung und Verwaltung der erteilten Kontozugriffe im Online Banking der kontoführenden Bank
Bei der Punktevergabe für die SCA-Texte haben wir als Kriterien insbesondere die Transaktionsbindung, Verständlichkeit, Vollständigkeit und Nachvollziehbarkeit zugrunde gelegt. Bei der Zugriffsverwaltung waren neben dem reinen Vorhandensein eines Benutzer-Frontends sowie den Punkten Verständlichkeit, Vollständigkeit und Nachvollziehbarkeit noch der angebotene Funktionsumfang (z.B. Zustimmung löschen, …) bewertungsrelevant.
Übersicht:
Gleichzeitig wird auch deutlich, dass es eigentlich nur vergleichsweise kleine Anpassungen erfordern würde, um hier zu mehr Kundenakzeptanz und einer damit einhergehenden signifikanten Sicherheitserhöhung zu kommen.
Wir glauben, dass wir mit dieser Erläuterung vielen Kunden aus dem Herzen sprechen sowie gleichzeitig den Instituten und der Aufsicht einen ggf. kleinen, aber doch relevanten Denkanstoß geben können. Gerne stehen wir für vertiefende Gespräche, Podcasts, … zur Verfügung und würden uns freuen, wenn wir einige positive Anregungen geben konnten.
Chancen der Regulatorik
Zu guter Letzt möchten wir, trotz der nach wie vor vorhandenen Schwächen, ein positives Feedback aus der PSD2 ableiten. Wenn man die Chancen der Regulatorik erkennt und die darin enthaltenen Anforderungen nicht nur als lästige Pflicht sieht, würde man Dinge besser verstehen und vermutlich aus diesem Grund auch besser umsetzen. Dies hilft den Kunden, dem eigenen Institut und auch der gesamten Branche zur Stärkung und Stabilisierung der europäischen Finanzwirtschaft nachhaltige, fortschrittliche und sichere Banking-Services zu etablieren. Selbst die Aufsicht wäre wohl eher froh, nicht jedes Detail in einer weiteren PSDx (3, 4, … ) nachsteuern zu müssen. Ein Blick durch die Brille der Kunden war, ist und bleibt dabei eben nie zu unterschätzen.
Bereits gestern erschienen zu dem Thema:
Eventhinweis:
Klaus Igel ist Speaker auf der kommenden Payment Exchange am 16./17. März in Berlin. Er ist zu Gast auf dem Panel: Regulación, ¿quién puede ver a través de ella? – Navigating the Regulations: From PSD2 to PSD3 and the Impact of Open Banking on Payment Industry. Ticket für die Konferenz gibt es hier.
