Im Vorfeld der Einführung von SCA und 2FA haben wir die smsTAN und pushTAN Technologien verglichen
Autor: Stefan Paulmayer
Am 14.9.2019 steht für Banken und Zahlungsdienstleister die Einführung der 2-Faktor-Authentifizierung (2FA) in Umsetzung der Anforderungen an die Strenge Kundenauthentifizierung (Strong Customer Authentication – SCA) unter der PSD2 an. Die FMA hat zwar kürzlich von der Möglichkeit Gebrauch gemacht, Händler von der Anwendung der SCA temporär auszunehmen, um diesen die Einführung der neuen Technologien zu erleichtern. Dennoch arbeitet die Finanzbranche mit Hochtouren an der Finalisierung der Umsetzung.
Als Teil von SCA können Banken und Zahlungsdienstleister bestimmte Technologien nutzen, um die gestiegenen Anforderungen zu erfüllen. Während biometrische Elemente (Fingerabdruck und Gesichts-ID) immer wichtiger werden, sind TAN-Codes mit Einmal-Passwörtern (OTP) nach wie vor das praxisrelevanteste Element der Authentifizierung. Die beiden wichtigsten TAN-Technologien sind smsTAN und pushTAN.
Die Marktentwicklung im Finanzsektor zeigt derzeit eine deutliche Präferenz der Bankenbranche gegenüber pushTAN. Die aktuelle Medienberichterstattung über SCA scheint aber insofern irreführend zu sein, als oftmals vor allem pushTAN als einzig praktikable Option dargestellt wird. Dies wird oft mit mehr Sicherheit und mehr Komfort argumentiert. Aber halten diese Argumente einem direkten Vergleich stand?
PwC Legal Austria (eingetragen als oehner & partner rechtsanwaelte gmbh) und PwC Advisory Services GmbH haben gemeinsam beide Technologien näher beleuchtet und anhand bestimmter Merkmale direkt miteinander verglichen.
Am Ende kommen wir zu folgendem Schluss: „Wir glauben, dass sowohl smsTAN als auch pushTAN gleichermaßen geeignet sind, die SCA-Anforderungen zu erfüllen. Wir sind ferner der Ansicht, dass eine objektive Sichtweise beider Technologien zu einer weniger klaren Präferenz für pushTAN führt, als es die öffentliche Meinung vermuten lässt„.
Auch außerhalb des Finanzsektors wird die Authentifizierung von Kunden oder Benutzern immer wichtiger. Daher enthält unser Report ein eigenes Kapitel über mögliche Anwendungsfälle für TAN-Technologien außerhalb des Finanzsektors.
Den vollständigen Report können Sie über folgenden Link downloaden.