Categories: Regulierung

PSD2 – Eine Herausforderung für die Finanzwirtschaft

Ein zentrales Thema, das in der Finanzwirtschaft zu erheblichen Änderungen führen wird, hat sich in der öffentlichen Wahrnehmung noch nicht umfassend durchgesetzt. Dies ist anders als bei der Europäischen Datenschutz-Grundverordnung (EU-DSGVO), die sich durch stetigen Hinweis durch Presse, Hersteller, Anwälte und Analysten langsam und sicher Aufmerksamkeit erzielt hat. Notwendigkeit und Sinnhaftigkeit der Umsetzung dieser Europaweit und darüber hinaus gültig werdenden Änderungen am Datenschutz sind zumindest kommuniziert, auch wenn noch erheblicher Handlungsbedarf herrscht.

Steckbrief PSD2

Doch was ist die PSD2? Das Akronym steht für die überarbeitete „Payment Services Directive“. Es handelt sich also um eine zweite Fassung der EU-Zahlungsdienste-Richtlinie. Im Zentrum steht die Öffnung des Marktes für Finanzdienstleistungen gegenüber Innovation und neuen, technisch und vom Service-Portfolio aktuelleren Teilnehmern. Gleichzeitig soll die Transparenz und Effizienz durch offene, einheitliche technische Standards gesteigert werden. Ein erheblich verbessertes Niveau der Sicherheit der Kunden soll die Bereitschaft zur Nutzung dieser Dienste erhöhen. Formal ist die PSD2 eine EU Direktive, die durch die EBA (European Banking Association) durch verbindlich werdende Vorgaben in Form von Regulatory Technical Standards (RTS) ausgearbeitet wird. Wichtig ist, wann sie Gültigkeit erlangt, denn dies ist bereits im Januar kommenden Jahres, am 13. Januar 2018. Das gibt für eine Anpassung bestehender Prozesse und eine angemessene Zukunftsstrategie nur wenig zeitlichen Spielraum

Disruptive Änderungen?

Gerne wird derzeit von umfassenden, systemverändernden, also disruptiven Änderungen gesprochen. Führt auch die PSD2 zu solchen? Zumindest sorgt sie für eine Anpassung der geltenden Regelungen an die derzeit sich abzeichnenden Veränderungen der Nutzung von Bankdienstleistungen. Europas Finanzindustrie soll hierbei zu einem integrierten und effizienteren Markt für Zahlungsdienstleistungen werden. Gleichzeitig sollen diese Zahlungen sicherer werden. Wohl die größte Herausforderung stellt aber die Anforderung zum Aufbau einer einheitlichen technischen Plattform in Form von technischen Kooperationsschnittstellen (Application Programmer Interfaces = APIs) zur Teilnahme durch neue Zahlungsdienstleister dar. Kooperation statt Abschottung und Ende-zu-Ende-Sicherheit über Unternehmensgrenzen hinweg statt Service-Inseln ist vorher fast undenkbares Neuland für die Finanzindustrie. Klar kannte man Clearing-Schnittstellen und SEPA gab erste Hinweise darauf, wie modernes Banking aussehen kann, aber derzeit werden im Finanzwesen viele Karten neu gemischt

Status Quo

Eine Studie, die KuppingerCole und PWC vor wenigen Monaten gemeinschaftlich durchgeführt haben, hatte zum Ziel zu ermitteln, wie weit die Europäische Finanzindustrie sich schon angemessen auf die kommende PSD2 vorbereitet hat. Die Ergebnisse zeigen, dass hier durchaus noch die Notwendigkeit für eine erhebliche verbesserte Anpassung an die kommenden Anforderungen besteht. Der Reifegrad von Banken und anderen Instituten im Finanzwesen, der notwendig ist, um etwa eine sichere, vertrauenswürdige Öffnung von Schnittstellen gegenüber anderen Marktteilnehmern zu gewährleisten, ist oft noch nicht erreicht.

Quo vadis

Einige zentrale Stellschrauben hin zur PSD2 und damit zu einer Teilhabe an der nächsten Generation des Zahlungswesens in Europa sind schnell genannt, aber eine Herausforderung in der Umsetzung: Agilität und Kundenzufriedenheit im sich verändernden Banking sind zentrale Kriterien, die über Markterfolg und Wettbewerbsfähigkeit etablierter wie innovativer Marktteilnehmer entscheiden.

ANZEIGE

European Identity & Cloud Conference 2017

The European Identity & Cloud Conference 2017, taking place May 9 – 12, 2017 at the Dolce Ballhaus Forum Unterschleissheim, Munich/Germany, is Europe’s leading event for Identity and Access Management (IAM), Governance, Risk Management and Compliance (GRC), as well as Cloud Security. For the 11th time the EIC will offer best practices and discussions with more than 700 participants from worldwide companies including most of the leading vendors, end users, thought leaders, visionaries and analysts.

Ein neues Verständnis von Kundenidentitäten, deren Identifikation jenseits von herkömmlichen Ident-Verfahren (z.B. Postident) und ihre anforderungsgerechte Verarbeitung werden umso wichtiger. Starke, adaptive Authentifizierungsverfahren werden zur Schlüsseltechnologie, für Sicherheit und Anwenderzufriedenheit, neben der von der PSD2 ohnehin geforderten Multifaktorauthentifizierung. Die sichere Verwaltung und Bereitstellung von Banking-APIs auf der Basis von API-Management-Tools und API-Sicherheits-Werkzeugen wird unumgänglich. In der Studie zeigen sich aber nicht zuletzt auch Schwächen in der internen Organisation, die überwunden werden müssen, um alle relevanten Ansprechpartner im Unternehmen einzubinden, damit PSD2-Compliance erreichbar ist, wenn sie in deutlich weniger als einem Jahr greift

Fertig? Los?

Die Ermittlung, wo ein Unternehmen mit Blick auf PSD2 steht und welche nächsten Schritte notwendig werden, ist nicht ohne weiteres möglich. Die Analyse des Reife- und Umsetzungsgrades von EU-DSGVO und PSD2, die für Finanzunternehmen Hand in Hand gehen können und sollten, kann und sollte durch externe Expertise befördert werden. Schon der enge Zeitrahmen legt nahe, dass es hierbei nicht um aufwändige Consulting-Projekte beliebiger Kostendimensionen gehen kann. Vielmehr ist es ratsamen, die Reife der betroffenen Unternehmen zu ermitteln und gezielt mit Blick auf Effizienz zu stärken.

AUTOR

Matthias Reinwarth ...

... ist Senior Analyst bei KuppingerCole mit Schwerpunkt auf Identity und Access Management, Governance und Compliance. Er ist im Identity Management-Sektor seit 1993 beratend tätig. Basierend auf einer kombinierten Ausbildung in Wirtschaft und IT, entwickelte Matthias Reinwarth einen starken Hintergrund in Identity und Access Management sowie Identity und Access Governance und Compliance. Er ist außerdem Co-Autor des ersten deutschen Buches über Verzeichnisdienste im Jahr 1999. Seine praktische Erfahrung als IAM-Berater reicht über 25 Jahre hinaus. Des Weiteren deckt er mit seinen Fachgebieten alle wichtigen Aspekte der IAM einschließlich Technologie und Infrastruktur, Daten- und Berechtigungsmodellierung sowie IAM Prozesse und Governance ab.

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago