Kundenauthentifizierung muss seit einigen Tagen Stark sein. Jens Obermöller, Leiter des BaFin-Grundsatzreferats Cybersicherheit in der Digitalisierung und Regulierung des Zahlungsverkehrs, berichtet in einem Interview am Rande der BaFin-Veranstaltung „IT-Aufsicht bei Banken“ (siehe Infokasten) über Neuerungen der PSD2, der zweiten europäischen Zahlungsdiensterichtlinie (Payment Services Directive 2), und den wunden Punkt Cyber-Resilienz.

Herr Obermöller, der 14. September 2019 war für Bankkunden kein Tag wie jeder andere. Einige werden gemerkt haben, dass ihre gedruckte iTAN-Liste nicht mehr funktioniert – ein Verlust?

Theoretisch hätte es jeder wissen können. Die Banken mussten ihre Kunden ja rechtzeitig darüber informieren, dass das iTAN-Verfahren ausläuft, und ihnen mitteilen, welche alternativen Authentifizierungsverfahren es geben würde. Das haben sie auch getan. Aber Sie wissen selbst, wie das ist: Heutzutage kriegt man so oft Post von seiner Bank, da fällt es oft schwer, das Wichtige vom Unwichtigen zu unterscheiden.

Das iTAN-Verfahren war angesichts der neuen regulatorischen Anforderungen nicht zu halten. Die PSD2 (siehe Infokasten „ZAG und PSD2“), schreibt nämlich vor, dass es nicht ohne weiteres möglich sein darf, ein physisches Element zur Authentifizierung zu vervielfältigen. Eine gedruckte TAN-Liste können Sie aber auf jeden x-beliebigen Kopierer legen. Oder mit dem Handy abfotografieren. Unter Sicherheitsaspekten ist die Abschaffung der iTAN-Listen also ganz klar kein Verlust.

Apropos PSD2: Die Neuauflage der PSD soll Online-Bezahlungen und Mobile Payment sicherer machen. Nach dem Motto „Doppelt hält besser“ müssen Kunden im Zahlungsverkehr nun zwei unabhängige Merkmale bestätigen. Ist das fälschungssicher?

Nun ja, leider ist kein Authentifizierungsverfahren 100-prozentig sicher. Aber mit den Anforderungen der PSD2 an eine SKA, eine Starke Kundenauthentifizierung, erreichen wir immerhin ein ausgewogenes Verhältnis von mehr Sicherheit und Benutzerfreundlichkeit beim Zahlen im Internet. Die SKA fordert Elemente aus zwei der drei Kategorien „Wissen“, „Besitz“ und „Inhärenz“ (siehe Infokasten „Starke Kundenauthentifizierung“). Zahlungsdienstleister müssen außerdem fortwährend analysieren, ob es neue Angriffsmethoden gibt. Und sie müssen ein Verfahren verbessern oder ersetzen, wenn es sein muss.

Als Kunden haben wir uns übrigens schon an die Starke Kundenauthentifizierung gewöhnt. An der Ladenkasse zahlen wir mit Karte und geben unsere PIN ein. Die Karte fällt in die Kategorie „Besitz“, die PIN in die Kategorie „Wissen“. Beispiel Online-Überweisung: Hier gehört das Online-Banking-Passwort zur Kategorie „Wissen“, und die TAN, die zum Beispiel per SMS übertragen wird, zur Kategorie „Besitz“. Sie beweist nämlich, dass Sie das Handy besitzen, genauer gesagt: die SIM-Karte. Die PSD2 bringt hier nur Detailänderungen.

Trotzdem hat die BaFin am 21. August 2019 mitgeteilt, dass Zahlungsdienstleister mit Sitz in Deutschland Online-Kreditkartenzahlungen vorerst auch ohne Starke Kundenauthentifizierung ausführen dürfen. Beeinträchtigt das die kollektiven Verbraucherinteressen, zu deren Schutz die BaFin verpflichtet ist?

Hier standen wir, aber auch die übrigen europäischen Aufsichtsbehörden, vor einer schwierigen Abwägung. Das Problem beginnt damit, dass eine Starke Kundenauthentifizierung bei Kreditkartenzahlungen im Internet bisher absolut unüblich ist. Nur ein Beispiel: Wenn Sie bei einem Online-Händler eingekauft haben und mit Kreditkarte zahlen wollten, haben Sie Ihre Kreditkartennummer eingegeben und die Prüfziffer auf der Rückseite. Meist reichte das.

In diesem Bereich ist die Umstellung auf die PSD2 also besonders aufwändig. Die deutschen Zahlungsdienstleister haben ihren Teil der Vorbereitungsarbeiten fristgemäß erledigt. Aber viele Online-Händler und auch die meisten Reiseunternehmen sind zum Stichtag 14. September noch nicht vorbereitet – aus unterschiedlichen Gründen. Es hätte Verbrauchern also passieren können, dass sie nicht mehr im Internet hätten bezahlen können. Auch Unternehmen hätte es so gehen können. Das Chaos wäre groß gewesen.

Das mussten wir vermeiden. Wir haben daher im Einklang mit der Europäischen Bankenaufsicht EBA und anderen Aufsichtsbehörden eine Übergangsregelung geschaffen, um derartige Störungen im Zahlungsverkehr zu vermeiden und einen reibungslosen Übergang auf die neuen Anforderungen zu ermöglichen.

Was mir wichtig ist: Zivilrechtliche Haftungsregelungen, zum Beispiel zwischen Kreditkarteninhaber und Zahlungsdienstleister, gelten weiter. Es wird daher niemandem bei Zahlungen im Internet durch unsere Maßnahmen ein Nachteil entstehen.

Banken müssen für dritte Zahlungsdienstleister wie etwa Apps, die im Auftrag des Kunden auf ein Konto zugreifen, neue Schnittstellen (Application Programming Interfaces – APIs) einrichten. Der alte Zugriff bleibt aber für den Notfall offen. Warum fällt er nicht ersatzlos weg?

Ich halte leistungsfähige und sichere Kontoschnittstellen für eine der wesentlichen technischen Fortschritte, die wir der PSD2 zu verdanken haben. Die Banken hätten auch die bisherigen Zugriffswege an die neuen Anforderungen anpassen können. Die meisten deutschen Institute haben sich allerdings entschieden, in neue Kontoschnittstellen zu investieren.

Die PSD2 sieht in der Tat vor, dass immer dann, wenn eine Bank sich entscheidet, eine neue API anzubieten, die alten Zugangswege vorerst und leicht angepasst offenbleiben – als eine Art Notfallmechanismus. Hintergrund ist, dass die Umstellung auf neue Zugangswege gewissermaßen im laufenden Betrieb vonstattengeht. Das ist ein hoch anspruchsvolles Projekt für alle Beteiligten, und da sind eine Menge technischer Fragen zu beantworten.

Eine Bank kann übrigens den Notfallmechanismus schließen, wenn sie uns nachweist, dass die neue API alle von der PSD2 vorgesehenen Funktionalitäten enthält. Da gibt es allerdings einiges zu beachten: unter anderem, dass die Schnittstelle hinsichtlich Performanz – das heißt: Leistungsfähigkeit – und Verfügbarkeit nicht hinter dem Online-Banking zurückbleiben darf.

Wir werden da sehr pingelig sein. In Deutschland haben wir schon jetzt ein Ökosystem von Drittdienstleistern. Und ich rede hier nicht nur von hippen Finanz-Apps fürs Smartphone. Viele kleinere und mittlere Unternehmen nutzen diese Dienste für ihre Finanzbuchhaltung.

Die PSD2 scheint zur rechten Zeit zu kommen. Gefühlt haben die Hackerangriffe auf Banken zuletzt zugenommen. Ist das wirklich so?

Abgenommen haben die Bedrohungen aus dem Cyberraum jedenfalls nicht. Die Finanzbranche ist ein attraktives und verwundbares Ziel. Das hat zuletzt auch wieder der Angriff auf die US-Bank Capital One gezeigt, bei dem eine Hackerin Daten von 100 Millionen Kunden erbeuten konnte.

Aus unseren Meldedaten können wir aber ablesen, dass die meisten IT-Sicherheitsvorfälle im Zahlungsverkehr auf operationelle Schwachstellen in den Banken selbst zurückzuführen sind. Da wird zum Beispiel eine Änderung am IT-System nicht ausreichend getestet. Wir sprechen in solchen Fällen oft von Cyber-Hygiene – ein treffender Begriff, wie ich finde, denn hier sind Aufmerksamkeit, Gründlichkeit und Beharrlichkeit gefragt.

Tun die Kreditinstitute genug für die Sicherheit ihrer Systeme und damit für die Sicherheit der Kundengelder?

Gegenfrage: Was ist genug? Wir Aufseher kontrollieren natürlich, ob Banken in Deutschland die geltenden Regeln einhalten. Aber selbst wenn es keinerlei Vorgaben gäbe, müssten die Banken aus ureigenem Interesse für ihre Cyber-Resilienz alles tun, was in ihrer Macht steht (siehe Infokasten „Cyber-Resilienz“).

Die Hacker schlafen ja nicht. Ganz im Gegenteil: Die Dynamik, in der sich Cyberkriminelle organisieren und professionalisieren, macht uns Sorgen. Ihnen spielt natürlich in die Karten, dass die Digitalisierung immer mehr Vorgänge ins Netz holt und dass sich die Menschen daran gewöhnt haben, ihr Leben gewissermaßen online zu führen. Auch die Banken sollten sich Innovationen zunutze machen. Aber sie sollten auch für die nötige Sicherheit sorgen.

Gehört dazu auch die Blockchain? Wenn wir den Vergleich mit herkömmlichen IT-Systemen ziehen: Wie stark würden Transaktionen auf Basis dieser Technologie die Sicherheit erhöhen?

Das kann ich pauschal nicht sagen. Wie sicher eine Blockchain im Einzelfall ist, hängt zum Beispiel sehr stark von den kryptografischen Algorithmen ab, die die Programmierer verwendet haben. Für den Einsatz der Blockchain-Technologie fehlen leider auch noch technische Standards. Um welche zu entwickeln, arbeitet die BaFin aktiv in der ISO mit, der Internationalen Organisation für Normung. Wenn ich den Effekt der Blockchain-Technologie heute bewerten soll, dann sage ich: Sie allein löst noch keine IT-Sicherheitsprobleme und sie macht Finanztransaktionen auch nicht per se sicherer.

Was kann die Aufsicht zur Unterstützung der IT-Sicherheit beitragen?

Zunächst einmal machen wir ganz deutlich, was wir von den Unternehmen erwarten. Unsere Bankaufsichtlichen Anforderungen an die IT (BAIT, siehe Infokasten „BAIT“) schildern auf 24 Seiten, wie das Management die IT-Systeme seines Instituts sicher machen kann. Das ist elementar: Die Verantwortung für die IT- oder Cybersicherheit einer Bank liegt bei der Geschäftsführung und lässt sich auch nicht auslagern.

Wir kommunizieren natürlich nicht nur schriftlich mit der Branche, sondern nutzen auch Fach- und Expertengremien oder Veranstaltungen wie die „IT-Aufsicht bei Banken“ (siehe Infokasten „IT-Aufsicht bei Banken“). Ganz bewusst schaffen wir damit ein Forum, in dem auch Wissenschaftler zu Wort kommen. Ich glaube, dieser Austausch ist bei wenigen Themen so wichtig wie bei IT und Cyber-Sicherheit, weil sich die Technologie und die Bedrohungslage hier so schnell wandeln.

Was dabei herauskommen kann, wenn Aufsichtsbehörden, Zentralbanken, Ministerien und Banken sektorübergreifend und international zusammenarbeiten, hat die Cyber-Übung der G7 für den Finanzsektor in diesem Jahr eindrucksvoll gezeigt. Sie war ein erfolgreicher Testlauf für einen heftigen Cybervorfall. Wenn der eintritt, müssen die Reaktionen der Beteiligten sitzen, und dafür war die Generalprobe sehr hilfreich.

Sind Penetrationstests ein geeignetes Mittel, um Schwachstellen in den IT-Sicherheitsabläufen aufzuzeigen?

Penetrationstest sind nichts Neues. In der klassischen Variante starten die IT-Abteilungen eine automatisierte und toolgestützte Simulation eines Hackerangriffs auf die eigenen IT-Applikationen und IT-Systeme. Das Ziel ist, Schwachstellen aufzudecken und sie möglichst schnell zu schließen.

Neuer und effektiver sind da schon die Threat-Led-Penetration-Tests (siehe Infokasten „Threat-Led-Penetration-Tests). Dabei können Unternehmen quasi unter Echtbedingungen ihre Cyberabwehr auf den Prüfstand stellen. Beauftragte – sogenannte ethische – Hacker probieren, das Unternehmen zu kompromittieren. Dabei gibt es keine Denkverbote, und der Weg ins Unternehmen muss nicht über die technischen IT-Systeme führen. Menschliches Versagen wäre zum Beispiel auch ein Einfallstor.

Wie steht Deutschland im internationalen Vergleich da?

Wir sind gut aufgestellt, wenn man uns etwa mit den Niederlanden, Belgien, Dänemark oder Großbritannien vergleicht. Das Ganze hat ohnehin eine europäische Dimension: Die EZB hat zu solchen Tests ein Rahmenwerk herausgegeben, das TIBER-EU Framework. Bei ihr laufen die Tests nämlich unter der Bezeichnung „Threat Intelligence-based Ethical Red Teaming (TIBER)“. Unter Federführung der Deutschen Bundesbank können solche Tests künftig auch in Deutschland gemacht werden.

Herr Obermöller, herzlichen Dank für das Interview!