Reibungslose Fintech

Sicherheit für schnelle Bezahlmethoden im Internet der Dinge

Wenn alles nach Plan verläuft, wird nächstes Jahr um diese Zeit die Zweite Zahlungsdiensterichtlinie (PSD2) umgesetzt. Sie geht auf eine EU-Initiative zurück, deren Schwerpunkte ursprünglich schnellere Transaktionen, die Förderung des Wettbewerbs und die Harmonisierung von Zahlungssystemen waren. Angesichts der zunehmenden Verbreitung von Fintech (svw. Finanztechnologie) und der fortschreitenden Kundenbedürfnisse wird diese Revision eine Transformation des Bezahlmarkts bewirken, die sowohl Banken als auch traditionelle Betreiber dazu zwingen wird, den Zugriff auf Kundendaten seitens neuer Mitspieler in der Branche zu gestatten.

Der umwälzende Charakter der PSD2 wird von vielen Seiten als völlig gerechtfertigt angesehen, da sich der Bankensektor mit seinen älteren und kaum flexiblen IT-Plattformen als wenig innovativ gezeigt hat. Eines der Ziele besteht darin, eine offene Programmierschnittstelle (API) zu implementieren, um es Entwicklern im Fintech-Bereich zu ermöglichen, mit traditionellen Zahlungsdienstleistern (Payment-Service-Provider, PSP) zu kommunizieren.

Die offene XS2A-Komponente (Access to Accounts) wird wohl die am deutlichsten sichtbaren Veränderungen bei der Einbeziehung neuer Drittparteien, die als Account Information Service Providers (AISPs) und Payment Initiation Service Providers (PISPs) fungieren, mit sich bringen.

„Das Konzept authentifizierter Machine-to-Machine-Zahlungen liegt nicht außerhalb unserer Reichweite“

Dennoch liegt das Konzept authentifizierter Machine-to-Machine-Zahlungen nicht außerhalb unserer Reichweite, folgt man Dr. Farhaan Mohideen, EMEA Lead, Secure Payments and Mobility, Retail Solutions Division bei Intel. Er sieht zwar die Notwendigkeit zu wissen, wer die Zahlung vornimmt, fokussiert jedoch lieber einen anderen Ansatz: „Wir sollten nicht mehr über Zahlungsinstrumente sprechen, sondern uns mehr mit Zahlungsagenten in Verbindung mit der Maschine befassen. Der Zahlungsagent wird zusätzlich zu der Zuordnung des Zahlungsinstruments eines Benutzers und der Autorisierungsfunktion eine Reihe weiterer Merkmale haben. Diese Autorisierung wird an eine Reihe von Bedingungen geknüpft sein, z. B. das Zahlungslimit, die Art der Waren und Dienste, deren Kauf gestattet ist und wann der Besitzer des Zahlungsinstruments kontaktiert werden muss, falls diese Bedingungen für die Genehmigung der Zahlung nicht eingehalten werden.“

Der Agent ist quasi ein Sortierfilter und soll verhindern, dass das System für „reibungsloses Bezahlen“ der Kraftstofffüllung im Vorhof einer Tankstelle nicht in eine Zahlung von 4000 € für einen Gebrauchtwagen umgemünzt wird. Kontaktlose Karten erlauben unterhalb der festgelegten Abhebungsgrenze (Floorlimit) bereits Zahlungen ohne „Cardholder Verification Method“ (CVM), also sind IoT-M2M-Transaktionen mit geringem Risiko praktisch zwangsläufig.

Die PSD2 bringt mehrere Konsequenzen für die Sicherheit mit sich und es ist wichtig, neben der Softwaresicherheit Lösungen wie die Software Guard Extensions (SGX) im Blick zu haben, die seit der sechsten Generation der Intel® Core™ Prozessoren zu deren besonderen Merkmalen zählen. Die „sicheren Enklaven“ der SGX sind geschützte Programmcode- und Datenbereiche, die ein Trusted Execution Environment (TEE) bilden, das zum Betriebssystem des Geräts hin abgeschirmt und so dem Zugriff durch Hacker entzogen ist. Bei der zukünftigen starken Verbreitung von IoT-Bezahlsystemen wird das Vorhandensein identifizierbarer vertrauenswürdiger Daten in Form solcher SGX-Enklaven das Vertrauen in die Genehmigung von Transaktionen mit geringem Risiko unter Abwägung des Interesses an reibungslosem Bezahlen gegenüber möglichem Betrug stärken.

„Inzwischen ist eine Reihe von Intel-Lösungen auf dem Markt, bei denen diese sicheren Enklaven für Zahlungen Verwendung finden. Die Intel® Data-Protection-Technik für Transaktionen (DPT4T) hat dem Einzelhandel nun schon geraume Zeit bei der Identifizierung vertrauenswürdiger POS-Geräte und dem Aufbau sicherer Verbindungen von Endpunkt zu Endpunkt für die Übertragung von Zahlungsdaten als auch sensiblen anderen Daten gedient. Im Durchschnitt vergehen etwa sechs Jahre bis zur Erneuerung von stationären Kassensystemen. Als wir die DPT4T auf den Markt brachten, nutzten wir eine Vorläufertechnik der SGX, die bereits in Chips von 2011 existierte, um sicherzustellen, dass diese auf vorhandener Hardware lauffähig war“, so Mohideen.

„Außerdem haben wir Intel® Online Connect eingeführt, eine Technik, die in den neuen Intel Core Prozessoren der siebten Generation integriert ist. Mit Unterstützung durch unsere Partner aus dem Technologieumfeld modernisieren wir die Online-Authentifizierung, um von Passwörtern loszukommen, indem wir die biometrische Authentifikation bei allen Computern ermöglichen, die mit Intel Core Prozessoren der siebten Generation ausgestattet sind und die SGX verwenden. Es gibt eine Vielzahl von SGX-Anwendungen für die IoT-Sicherheit von Zahlungs- und anderen Daten“, sagt Mohideen.

Es mag noch einige Zeit dauern, bis wir eine derart starke IoT-Verbreitung haben, dass der Online-Kühlschrank „reibungslos“ Milch nachbestellt, wenn unser Vorrat zu Ende geht, aber die Banken müssen die PSD2 umsetzen und sich neuen Anwendungen öffnen, die Fintech und IoT-Zahlungsmethoden möglich machen. Auf dem Weg dorthin werden Transaktionen mit vertrauenswürdigen Geräten weiterhin unverzichtbar sein.

Die PSD2 soll am 13. Januar 2018 eingeführt werden.

*Marken oder Produktnamen sind Eigentum der jeweiligen Inhaber.

Weitere Informationen:

Lassen Sie sich unsere beliebten Planungsleitfäden und Erkenntnisse direkt an Ihr Postfach liefern.

Jetzt anfordern

Weitere Artikel

HSBC und Aviva sind nur zwei der Unternehmen, die von den Vorteilen der Analyse riesiger Datenmengen profitieren.

Mehr darüber

Wie die Finanzwelt von Erkenntnissen aus Analysen der Kundendaten profitiert

Mehr darüber

Wie kann man mit smarter, datenbasierter Technik und dem IoT kundenorientierte Dienste mit nahtloser Funktionalität schaffen?

Mehr darüber

Zugehörige Ressourcen

Back-Office, Front-Office und Lobby für Privatkunden – auf Intel®-Technik basierende Lösungen bieten die von Ihren Kunden gewünschte Funktionalität und die Produktivität, Mobilität und Sicherheit, die Ihre Teams brauchen.

Weitere Informationen

Informieren Sie sich anhand dieser Zusammenfassung für Unternehmen darüber, wie eine Echtzeit-Bezahllösung von Intel der Bankwirtschaft helfen kann, mit den Marktbedürfnissen und den regulatorischen Bedingungen im Hinblick auf verstärkte Datensicherheit durch marktführende Technik Schritt zu halten.

Weitere Informationen

Lesen Sie, welche fünf Themen für Finextra auf der SIBOS 2016, bei der die Teilnehmer unter anderem über Open Banking, Cyberkriminalität und Regulierung, Blockchain, künstliche Intelligenz und die zu erwartende Prägung der Finanzbranche durch die Digitaltechnik diskutierten, am wichtigsten waren.

Weitere Informationen