– Herr van der Meulen, Sicherheitsaspekte stehen ganz oben auf der Agenda im digitalen Banking. Was bedeutet das im Verbund mit der bevorstehenden Einführung von PSD2 für die Anforderungen im Transaction Banking?Banken sind allgemein bemüht, ihre digitalen Fähigkeiten auszubauen. Inhärent sind sie also dabei, sich zu öffnen und nicht sich wegen Sicherheitsaspekten zu verschließen. Und bei PSD2 geht es ja gerade darum, dass Kunden sich einerseits selbst ihren Zugang zu ihrem Banking suchen und dabei andererseits die Vorschriften zur starken Authentifizierung dafür sorgen, dass die Transaktion sicher abläuft.- Nach welchen Prinzipien funktioniert das?Für die Banken bedeutet das, dass ihr Primärsystem so offen wie möglich und das Sekundärsystem bei der Authentifizierung einer Transaktion so kundenfreundlich wie möglich ist. Und das Sekundärsystem macht man sicherer, indem man zwei der drei Merkmale für eine sichere Authentifizierung benutzt: Was man weiß, was man besitzt oder wer man ist. Also beispielsweise ein Passwort als etwas, was nur der Kunde kennt, das Mobiltelefon, das der Kunde besitzt, oder den Fingerabdruck als biometrische Lösung. Diese starke Zwei-Faktoren-Authentifizierung verlangt auch PSD2. Für Entersekt ist der Faktor Besitz des Mobiltelefons der wichtigste Faktor.- Bis Mai 2018 muss die PSD2 umgesetzt sein. Sind deutsche Banken dafür bereit?Die Banken sind dabei, die technischen Regulierungsvorschriften (RTS) für die Umsetzung zu prüfen. Aber die RTS sind noch nicht final, von daher ist es zeitlich schon anspruchsvoll, das bis dahin hinzukriegen. Entersekt tut jedenfalls alles, um den Banken PSD2-Compliance zu ermöglichen. Also offen zu sein auf Ebene der Schnittstellen, aber gleichzeitig allerhöchste Sicherheit zu gewährleisten.- Wie kommt die zustande?Bislang nutzen viele Banken Einmal-Passwörter als zweiten Faktor, zum Beispiel eine mTAN für die Validierung einer Transaktion. Das ist unter PSD2 nicht mehr erlaubt. Und deshalb müssen alle Banken eine stärkere Kundenauthentifizierung (SCA, Strong Customer Authentication) einsetzen. Eine Lösung hierfür ist ein zweiter Kanal für die Datenübertragung.- Kann das dann auf einem einzigen Smartphone geschehen?Ja, das geht. Dabei nutzt man das Telefon, um zunächst die Zahlung auszulösen (RTP, Request to Pay), wobei die Transaktion dann über den gewohnten verschlüsselten Weg übermittelt wird, den das Gerät erzeugt hat. Für die Authentifizierung durch die Bank wird dann ein komplett anderer verschlüsselter Kanal genutzt – das ist unserer. Das Auslösen von Transaktionen und die anschließende Authentifizierung über einen separaten, sicheren Kanal auf dem gleichen Mobilgerät ist Kern der Geschäftsidee von Entersekt. Auch das Marktforschungsinstitut Gartner prognostiziert eine Revolution bei den gängigen Verfahren zur Authentifizierung. Die Marktanalysten gehen davon aus, dass bis 2020 80 % aller Transaktionen, bei denen Mobiltelefone als Sicherheits-Token verwendet werden, auf ein Out-of-Band-Push-Verfahren setzen werden, das damit zur wichtigsten Authentifizierungsmethode würde. Heute kommt dieses Verfahren erst in 15 % der Fälle zum Einsatz.- Entspricht das der regulatorischen Anforderung?Noch sind nicht alle technischen Standards definiert. Aber die letzte Version der RTS hat ausdrücklich besagt, dass Transaktion und Authentifizierung über ein Gerät darstellbar sind, sofern die Authentifizierungsebenen getrennt sind. Und das kann Entersekt leisten.- Bankenregulatoren weltweit dringen auf besseren Schutz gegen Cyberrisiken. Inwieweit lassen sich die Systeme schützen – oder müssen wir ein gewisses Maß an Unfällen akzeptieren?Na ja, zunächst geht es bei PSD2 um Offenheit und die Integration des Banking mit anderen digitalen Plattformen. Es hört sich mit der Öffnung der Schnittstellen (API) nur so an, als ob damit das System unsicherer werden würde – aber das ist mit dem zweiten, sicheren Kanal nicht der Fall. Bereits jetzt zeigt sich bei Verwendung unserer Lösung in der Praxis, dass kaum noch Betrugsversuche von Hackern stattfinden. Uns ist kein Fall bekannt, bei dem ein Betrugsversuch erfolgreich war. So ging beispielsweise seit der Integration der Entersekt-Lösung bei der südafrikanischen Nedbank im Jahr 2012 die Zahl der Cyberangriffe um 99 % zurück, während gleichzeitig die Nutzung der mobilen Angebote stark anstieg. Aufgrund der hohen Benutzerfreundlichkeit sehen wir bei anderen Kunden einen deutlichen Rückgang der Abbruchquoten bei Online-Banking- oder bei E-Commerce-Transaktionen.- Entersekt hat in einer Finanzierungsrunde frisches Geld eingesammelt und expandiert weiter von Südafrika aus in europäische Länder. Ist ein deutsches Büro geplant?Wir haben in Deutschland bereits zahlreiche Kunden gemeinsam mit unseren strategischen Partnern gewonnen, beispielsweise Pluscard, die die Sparkassen-Kreditkarten herausgeben. Da für uns der DACH-Markt von großer Bedeutung ist, möchten wir uns hier in Zukunft noch stärker engagieren und eine Entersekt-Niederlassung gründen. Mit Jonathan Knoll, der von Paypal zu uns gewechselt ist, haben wir einen absoluten Branchenexperten gewonnen, der ab sofort als Manager Central Europe unsere Projekte von München aus vorantreibt.—-Das Interview führte Björn Godenrath.