OMNISECURE feierte Geburtstag. Zum 25. Mal trafen sich am 23. und 24. Januar 2018 mehr als 350 Teilnehmer unter Schirmherrschaft des Bundesministeriums des Innern und diskutierten topaktuelle Themen der Branche wie Payment, Blockchain, elektronische Identitäten, Cyber Security, Smart Cities, eIDAS und eGovernment. Mehr als 100 Referenten, 22 Foren, 12 Tutorials und interaktiven Workshops standen auf dem Programm.

Ich konnte leider nur am 23.01.18 teilnehmen und habe mir an diesem Tag alle Vorträge rund um das Thema Payment angeschaut:

Reden statt Zahlen – Voice im Kontext des zukünftigen Bezahlens

Rafael Otero, Jochen Siegert und Kilian Thalhammer über Voice-Payment

Rafael Otero, Jochen Siegert und Kilian Thalhammer (die “Urgesteine” 😉 des Payments) präsentierten wie immer auf sehr kurzweilige und unterhaltsame Weise das Thema “Voice”. Voice verbinden die meisten mit Alexa und Google Home.  Durch diese Tools wird nun auch das Smartphone immer mehr mit Sprache genutzt, gerade für Kinder ist Voice intuitiv. Alexa wird am häufigsten für Musik-Wiedergabe, Wetterabfragen, Wecker, Nachrichten und Einkaufslisten benutzt und steht bei den meisten im Wohnzimmer (inkludiert das Kinderzimmer), gefolgt von der Küche und dem Schlafzimmer. Mütter mit kleinen Kindern auf dem Arm haben die Vorzüge von Voice kennen und schätzen gelernt.

Google und Walmart haben im letzten Jahr eine strategische Online-Partnerschaft geschlossen mit dem Ziel, gemeinsam Amazon im Online-Handel die Stirn zu bieten. Es sollen mehr als hunderttausend Produkte von Walmart über  Google Home bestellbar sein. Samsung hat letztes Jahr HARMAN übernommen, um das nächste Kapitel für die Kommunikation auf der Straße zu schaffen. HARMAN designt, entwickelt und produziert Lösungen u.a. für Automobilhersteller. Dazu zählen unter anderem Connected-Car-Lösungen sowie Audio- und visuelle Produkte. Hier tut sich also zurzeit eine Menge.

Voice-Payment: Wichtig ist hier immer, den Unterschied zwischen der Bestellung und der Zahlungsauslösung nicht zu vergessen. Gekauft werden zurzeit meist allgemeine Verbrauchsartikel (z.B. Batterien). Hochwertige Artikel aber eher nicht. Laut Jochen Siegert ist der neue HomePod von Apple auch mehr ist als ein simpler Lautsprecher. Seiner Meinung nach würde Apple sonst nicht einen 75 Dollar teuren Apple A8 Prozessor verbauen. Hier wird vermutlich mehr kommen, z.B. auch Voice Payment über Apple Cash. Während Voice-Payment im eigenen Zuhause schon jetzt Wirklichkeit ist, wird es im Supermarkt aber noch dauern. U.a., da der Supermarkt oftmals ein “Bunker” ist, also hier keine Internetverbindung möglich und auch das Einwilligungsverfahren nicht ganz so einfach zu handhaben ist (Stichwort hier auch das “Roaming”).

Zukunftsvisionen: Voice wird nicht mehr aus dem Alltag wegzudenken sein (u.a. auch im Auto, TV usw.). Das jeweilige Gerät meldet sich eigenständig, um mitzuteilen, wann die Intervalle für eine neue Bestellung fällig sind. Knackpunkt könnte u.a. aber auch der fehlende Breitbandausbau in Deutschland sein. Ich lebe z.B. in einer Kleinstadt und meine Alexa teilt mir regelmäßig mit: “Ich kann leider keine Internetverbindung aufbauen”. Hier muss sich also definitiv noch etwas tun, um das Thema Voice in die breite Bevölkerung zu bringen.

Zwei-Faktor-Authenfizierung (2FA) bei PSD2 – Was will der Kunde? Was will der Händler?

2FA – hochkarätige Runde in reger Diskussion

An dieser Stelle gehe ich nicht detailliert darauf ein, was PSD2 und 2FA genau bedeuten. Hierzu gibt es demnächst einen ausführlichen Blogartikel.


Kurzer Exkurs 2FA= Zwei-Faktor-Authentifizierung. PSD2 sieht vor, dass eine Authentifizierung für den Zugang des Kunden zu seinem Zahlungskonto und für eine Zahlung unter Heranziehung von mindestens zwei Elementen der nachfolgenden Kategorien erforderlich ist:

  • Wissen = etwas, das nur der Kunde weiß, z. B. Passwort, PIN
  • Besitz = etwas, das nur der Kunde besitzt, z. B. Kreditkarte, Smartphone
  • Inhärenz = etwas, das dem Kunden zugehörig ist, z. B. Fingerabdruck, Pulsschlag, Stimme

Kombiniert werden kann z.B. eine Kreditkarte (Besitz) mit einem Passwort (Wissen) oder einem biometrischen Merkmal (Fingerabdruck). Erst dann kann eine Zahlung erfolgen. Die einfache Eingabe der Angaben auf einer Kreditkarte – wie es bisher in vielen Online-Shops üblich ist – werden in den meisten Fällen nicht mehr ausreichen, um eine Zahlung zu tätigen.


Unter der Moderation von Kilian Thalhammer wurde das Thema 2FA mit hochkarätigen Gästen aus den unterschiedlichsten Branchen diskutiert. Es ging um Kunden- und Händlerwünsche, Bankherausforderungen, Usability und Konsolidierung.

Zu unterscheiden sind für den Verbraucher die rechtliche und Sicherheits-Sicht gegenüber der technischen Sicht. Was die Usibility angeht, sind wir heutzutage technisch in der Lage, 2FA für den Kunden wirksam umzusetzen. Inklusive aller Sicherheitsaspekte. Hier sollte aber nicht wieder der Fehler gemacht werden, dem Kunden zu versuchen, die gesamte Technik zu erklären (siehe z.B. 3D Secure). Die Komplexität der technischen Sicht interessiert den Kunden nicht bis in alle Tiefen. Er möchte wissen, was er tun soll mit konkreten Handlungsoptionen und was genau passieren kann.

Händler wollen die geforderte Umsetzung natürlich günstig, schnell und sicher. Sie wollen keinen Umsatz verlieren und Zahlungsausfälle vermeiden. Im Gegensatz zu 3DS kann der Händler bei 2FA das Zahlungsausfall-Risiko auch nicht auf sich nehmen, denn bei PSD2 bestimmt die Bank des Händlers. Die Bank kann das Risiko natürlich zugunsten des Händlers übernehmen. Risikobasierte Ansätze könnten hier eine Maßnahme sein. ZB. könnte eine 100,- EUR-Transaktion anders als eine Millionen-Transaktion bewertet werden. Und eine Umbuchung von einem eigenen Konto auf ein anderes anders als eine Geldtransaktion von einer Bank zu einer anderen.

Die Sicherheit von 2FA ist eine Frage der Prozessintegration. Nicht vergessen darf man hier, dass ein System nur so gut sein kann wie sein schwächstes Glied. Und das ist in den meisten Fällen der Verbraucher. Die Kunst wird sein, etwas zu schaffen, das übergreifend eine gleiche Usability bietet und mit jedem Medium einsetzbar ist. Denn der Kunde möche nur ein Gerät bzw. Tool, in dem alles integriert ist und in dem alle Banken angeschlossen sind.

Richtlinien PSD2 – Komplexität und XS2A

Auch hier gehe ich nicht darauf ein, was PSD2 und XS2A genau bedeuten. Hierzu gibt es demnächst einen ausführlichen Blogartikel.

Dr. Detlef Hühnlein von ecsec über die Chancen von Mehrwertdiensten jenseits von PSD2

Kurzer Exkurs XS2A= Kontozugang „Access to Accounts”, der es Drittanbietern (TPPs) ermöglicht, im Rahmen von PSD2 auf Zahlungskonten zuzugreifen. Weder PSD2 noch der EBA-RTS (techn. Regulierungsstandard) schreiben dabei vor, dass die XS2A-Schnittstellen aller Banken auf einem einzigen Standard basieren müssen. Dies kann dazu führen, dass mehrere Standards am Markt konkurrieren. Angesichts tausender Banken und Drittanbieter in Europa würde es somit erhebliche Investitionen und einen enormen IT-Aufwand für den gesamten Markt erfordern, um XS2A-Kommunikationsstandards zu entwickeln, umzusetzen, zu dokumentieren, zu testen und fortlaufend zu pflegen.


Dr. Detlef Hühnlein von der ecsec GmbH gab einen Einblick in die Komplexität des PSD2-Ökosystems sowie über die existierende XS2A-Ansätze. Erste Entwürfe für Access-to-Account-Interface (XS2A-API) liegen vor, eine formale Standardisierung gibt es aber noch nicht. Es wird erwartet, dass Ende Januar/Anfang Februar 2018 eine neue Version veröffentlicht wird. Die Frage der europäischen Harmonisierung steht aber noch aus.

Auch in diesem Vortrag  wurde wieder klar, wie stark PSD2 mit eIDAS verknüpft ist. Die eIDAS-Verordnung enthält verbindliche europaweit geltende Regelungen in den Bereichen “Elektronische Identifizierung” und “Elektronische Vertrauensdienste”. Z.B. würden mit dem “neuen” elektronischen Personalausweis sehr schnelle Kontoeröffnungen oder Kreditanfragen und -genehmigungen möglich sein.

PSD2 und die Banken – die Agilen werden die Langsamen verdrängen

Prof. Dr. Penzel erläutert die Möglichkeiten der Banken
Peter Eisenhofer über die YES-Dienste

 

 

 

 

 

 

Unter der Moderation von Dr. Beate Schmitz von der SIZ GmbH trugen Peter Eisenhofer von der YES AG und Prof. Dr. Hans-Gert Penzel von ibi research eine Zusammenfassung zur PSD2 zusammen und gaben interessante Ausblicke in die Bankenwelt:

Da sich die Kunden die komfortable Integration alle Finanzinformationen in einem Portal wünschen, sollten Banken drei Aspekte integrieren, um „Finanzzentrale“ zu bleiben oder zu werden:

  1. PFM = Personal Finance Management
    Prognose: Bis 2020 ist eine Multi-Banken-Konsolidierung ein Muss für die oberen 25% der Kunden (aber der Bankberater muss die Kunden aktiv unterstützen, ev. incentivieren!).
  2. PSD-2 (Access to Accounts)
    Möglichkeit für Bankberater, sich den Zugang zu Kundenkonten bei anderen Finanzdienstleistern freischalten zu lassen
  3. IP = Instant Payments
    Anlagebeträge werden sofort und unwiederlich von anderen Banken weggebucht

PSD2 eröffnet somit neue Ertragsquellen für Banken. Die Banken haben hier eine riesen Chance, ihr Geschäftsmodell zu erweitern.  Aber der Markt ist “over-banked”. Es entscheidet sich nun, wer es schafft und wer nicht. Beispiele für Kooperationen/Übernahmen: HypoVereinsbank und Berliner Sparkasse kooperieren mit MoneyMap. Das Vergleichsportal Verivox kauft den Kündigungsdienst Aboalarm und das Finanz-Startup Outbank.

Im Anschluss an die beiden Präsentationen gab es rege Diskussionen mit dem Publikum.  So wurde angezweifelt, dass die Bank-Mitarbeiter in der Lage sind, den Kunden über PSD2, 2FA usw. umfassend zu beraten, da es in der Vergangenheit schon Beispiele gab, bei denen eine solche Beratung nicht geklappt hat. Auch der aktuelle Artikel vom Bank-Blog verdeutlicht, dass im Gegenteil immer mehr Banken davon ausgehen, dass persönlicher Kundenservice in Zukunft überflüssig wird.

 

FAZIT zur OMNISECURE 2018

Die Referenten waren hochkarätig und die Themen brandaktuell. Sehr schade, dass ich nur den einen Tag bei der Veranstaltung dabei sein konnte.
Es wurde sehr deutlich, dass die Themen PSD2, Payment, eIDAS, Voice, elektronische Identitäten, Security, Smart Cities, eGovernment immer mehr zusammen wachsen. Dabei wünschen sich wirklich alle, mit denen ich gesprochen habe bzw. die sich zu Wort gemeldet haben, die Vermeidung von Komplexität bzw. eine einzige Plattform/ein einziges (ID-)Instrument. Wobei aber gleichzeitig leider auch die meisten zweifeln, dass dieser Wunsch mit der heutigen Banken-Landschaft zu bewerkstelligen ist. Die Sorge ist somit groß, dass es in Deutschland durch die zu große Komplexität nur viele Kleinst-Lösungen geben wird. Oder dass sich die Banken zu lange die Entwicklungen ansehen und (wieder) zu spät selbst in den Markt eingreifen. Es erscheint somit fraglich, ob es den Banken dieses Mal gelingt, sich zusammen zu schließen, rechtzeitig auf den Zug aufzuspringen und nicht anderen (Stichwort: GAFA) das Feld zu überlassen.

Weitere Infos unter: https://www.omnisecure.berlin/de/

Nicole
berät als Payment-Expertin seit über 20 Jahren Unternehmen in den Branchen Handel/eCommerce sowie im Finanzsektor. Auch unterstützt sie diverse Online-Händler als Payment-Manager.

2 Gedanken zu “OMNISECURE 2018 – Der Kongress für smarte Identitätslösungen”

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.