Die Regulierungsrichtlinie PSD II (Payment Service Directive II) der EU bringt viele Neuerungen mit sich - unter anderem fallen Servicedienste (TPP - Third Party Provider) nun auch unter die Regulierung. Ziel ist dabei sicher, dass eine höhere Sicherheit durch die regulatorischen Vorgaben erreicht werden sollen.
Nun ist es so, dass auch die PSD II davon ausgeht, dass bei den Dienstleistern die Zugangsdaten der Kunden gespeichert werden um den Zugriff zu den einzelnen Banken zu ermöglichen. Was ist aber, wenn das speichern der sicherheitsrelevanten Daten überhaupt nicht erforderlich wäre?
Für die Weitergabe von Berechtigungen gibt es nämlich heute schon probate Mittel. So kann man sich auf Webseiten zum Beispiel auch mit seinem Google- oder Facebook-Account anmelden. Der Webseitenbetreiber kann bei Google dann anfordern, dass der Klartextname des Kunden an ihn übermittelt wird. Der Nutzer wird bei der Registrierung auf diese Weitergabe recht prominent hingewiesen und bestätigt dies. Bei Nichtgefallen kann der Registrierungsprozess natürlich jederzeit abgebrochen werden.
Nun kann eine Google- oder Facebook-Anmeldung eine Autorisierung bei Banken nicht ersetzen, aber ein Blick auf die Vorgehensweise zwischen Google und Webseite erklärt recht schnell die Hintergründe. Denn auch hier werden Berechtigungen (im geschilderten Fall zur Übermittlung des Nutzernamens) übertragen.
Übertragen auf Banken funktioniert das recht ähnlich - bei der Registrierung eines Kunden bei einem Dienstleister gibt der Kunde seine Bankzugangsdaten nicht bei dem Dienstleister an, sondern wird auf ein Portal bei der Bank verwiesen. Nach erfolgreicher Eingabe und Prüfung erhält der Dienstleister von der Bank eine positive Rückmeldung. Dabei wird ein für den Kunden eindeutiger Zahlenwert zwischen Bank und Dienstleister ausgetauscht - ein sogenannter Token. Dieser kann bei allen nachfolgenden Anfragen des Dienstleisters verwendet werden.
Tokenizing - ein sinnvoller Schachzug? Es scheint tatsächlich so, zumal die Bundesregierung plant, sichere Logins per Online-Banking überall verfügbar zu machen - womit sich der Kunde an fremden Diensten und Portal mit seinen aus dem Online-Banking bekannten Zugangsdaten anmelden kann. Tokenizing wäre sicher eine sinnvolle Grundlage dafür.
