FIDO2 ist eine technologische Lösung, welche eine – durch PSD2 verpflichtende – 2-Faktor-Authentifizierung im Internet erleichtern soll. Über ein Projekt zur Umsetzung habe ich mich mit Carsten Friedrich-Bost von PLUSCARD unterhalten.
FIDO2 ist ein Standard zur sicheren Authentifizierung, z.B. bei Einkäufen im Internet.
Partner des Bank Blogs
FIDO2 ist ein Standard der FIDO-Allianz und des W3C zur Realisierung einer starken Authentifizierung im Internet, ohne dass dazu Passwörter notwendig sind. Als erstes Unternehmen in Europa realisiert PLUSCARD im Jubiläumsjahr sichere und uneingeschränkte Kreditkartenzahlungen im Internet über das FIDO2-Protokoll. Die Authentifizierung wird über einen physischen Token abgewickelt. Zusätzlich besteht die Möglichkeit, favorisierte Händler auf eine sogenannte Whitelist zu setzen und damit zulässig von der Pflicht starker Authentifizierung zu befreien. In Einzelfällen kann der Kunde jedoch aus Sicherheitsgründen trotzdem zu einer Zahlungsbestätigung aufgefordert werden.
Die Lösung FIDO (Fast IDentity Online) entspricht allen regulatorischen Anforderungen. Damit steigt für PLUSCARD die Quote erfolgreicher Authentifizierungen. Für Kunden hat FIDO den Vorteil, dass sie anbieterübergreifend auch unabhängig von Kartenzahlungen ein einheitliches Verfahren nutzen können, um sich zu authentifizieren.
Interview mit Carsten Friedrich-Bost, Projektmanager PLUSCARD
Über das Projekt FIDO die ersten Erfahrungen, aber auch die Einführung des Produktes habe ich mich mit Carsten Friedrich-Bost, dem Leiter des Projektes unterhalten. Er ist bei PLUSCARD, der Service-Gesellschaft für Kreditkarten-Processing, seit Ende 2020 verantwortlich für das unternehmensweite Projektmanagement. Zuvor hat er u.a. bei Sopra Steria und Worldline Financial Services als Unternehmensberater verschiedene Projekte im Payment-Umfeld begleitet, insbesondere in den Bereichen „Tokenisierung“ und „Mobile Payment“.
Carsten Friedrich-Bost ist Projektmanager bei der PLUSCARD Service-Gesellschaft für Kreditkarten-Processing mbH.
FIDO ist sicherer als andere Lösungen
Der Bank Blog: Was war der Beweggrund, FIDO einzuführen?
Carsten Friedrich-Bost: PLUSCARD war auf der Suche nach einer alternativen Authentifizierungsmethode für Online-Zahlungen zu unserer App-Lösung „S-ID-Check“. Dabei stand die Zukunftsfähigkeit der Methode besonders im Fokus, weshalb schnell klar war, dass eine Lösung wie SMS-OTP keine Alternative wäre. Wir haben uns gegen die SMS entschieden, weil sie aufgrund erfolgreicher Angriffsszenarien von den meisten Experten nicht mehr als sicher angesehen wird. Bei FIDO wussten wir, dass diese Technologie unsere Sicherheitsanforderungen erfüllt, daher ist schlussendlich unsere Entscheidung darauf gefallen.
Der Bank Blog: Welche Vorteile bringt FIDO mit sich?
Carsten Friedrich-Bost: Mit FIDO konnten wir viele der Punkte unserer Anforderungsliste abhaken: weltweiter Standard, tiefe Integration in die Betriebssysteme der Endgeräte, Medienunabhängigkeit und eine stetige Weiterentwicklung durch starke Partner innerhalb der FIDO-Allianz. Auch wenn unsere derzeitige Implementierung auf einen Hardware-Token setzt, sehen wir in diesen Punkten ein starkes Argument dafür, die Methode für unsere Kunden auch zukünftig weiterzuentwickeln.
Der Bank Blog: Wie fällt der Vergleich zwischen FIDO und der App-Lösung S-ID-Check oder Transakt aus?
Carsten Friedrich-Bost: Die Registrierungs- und der Authentifizierungsablauf sind bei FIDO im Vergleich zu unserer App-Lösung tatsächlich sehr ähnlich, im Prinzip sprechen wir nur von unterschiedlichen Authentifizierungsmedien. Wir wollten sicherstellen, dass die Prozesse für den Kunden so bequem wie möglich sind, unabhängig davon, ob er FIDO oder die App nutzt.
Bei der Umsetzung haben wir auf starke Partner gesetzt
Der Bank Blog: Wie ist die Umsetzung bzw. die Einführung erfolgt?
Carsten Friedrich-Bost: Das Projekt zur Einführung haben wir mit unseren Partnern Netcetera und Entersekt durchgeführt, mit denen wir bereits in der Vergangenheit erfolgreich zusammengearbeitet haben. Der gemeinsame Ansatz war, dem Kunden eine alternative Authentifizierungsmethode an die Hand zu geben, dabei aber auf der etablierten Customer-Journey von S-ID-Check aufzusetzen.
Nach einer umfangreichen Umsetzungs- und Testphase haben wir einen Family-and-Friends-Pilot durchgeführt, um FIDO in der Produktivumgebung auf Herz und Nieren zu testen. Mitte Juni 2021 konnten wir dann schließlich mit FIDO an den Start gehen und freuen uns seitdem über positives Feedback von Kunden und ebenso aus Fachkreisen.
Bei FIDO 3D-Secure-Methode sind wir die ersten in Europa
Der Bank Blog: Welchen Herausforderungen musste sich das Projektteam stellen?
Carsten Friedrich-Bost: Wir haben mit unserem Projekt Pionierarbeit geleistet und sind die Ersten im europäischen Raum, die FIDO als 3D-Secure-Methode anbieten. Da liegt es in der Natur der Sache, dass wir nicht auf Best-Practice-Erfahrungen bei der Umsetzung zurückgreifen konnten. Zusätzlich haben die 3D-Secure-Standards der EMVCo erst kürzlich eine Überarbeitung erfahren, mit der FIDO als Methode genauer spezifiziert wurde.
Das hat uns vor einige Herausforderungen gestellt, die wir mit unseren Partnern jedoch schlussendlich meistern konnten. Insbesondere die Erfahrung von Netcetera im 3DS-Umfeld sowie die Mitgliedschaft von Entersekt in der FIDO-Allianz haben uns in die Lage versetzt, Probleme schnell aus dem Weg zu räumen.
FIDO hat jede Menge Zukunftspotenzial
Der Bank Blog: Wo sehen Sie die weiteren Perspektiven für FIDO?
Carsten Friedrich-Bost: Das Schöne am FIDO2-Standard ist, dass er grundsätzlich anbieterunabhängig eingesetzt werden kann. So könnte man es dem Endkunden mit FIDO ermöglichen, eine Vielzahl von bankgebundenen Apps mit einer einzigen zentralen App zu ersetzen, mit der er alle authentifizierungspflichtigen Geschäftsvorfälle abwickeln kann. Dieser Ansatz lässt sich auch weiterdenken, wenn FIDO zukünftig in die Betriebssysteme von Endgeräten so weit integriert sein wird, dass keine separate App mehr notwendig ist. FIDO bringt also jede Menge Zukunftspotenzial mit, welches wir bei PLUSCARD gerne nutzen möchten!
Der Bank Blog: Vielen Dank für das Gespräch.
