Personalisierte Sicherheitsmerkmalen (PSM)

Definition des Begriffs

PSM bezeichnet personalisierte Sicherheitsmerkmale, also individualisierte Merkmale, die ein Zahlungsdienstleister einem Zahlungsdienstnutzer für die Authentifizierung bereitstellt. Der Begriff entspricht den personalisierten Sicherheitsmerkmalen im Zahlungsdiensteaufsichtsgesetz und den personal security credentials der europäischen Zahlungsdiensterichtlinie PSD2. Zweck ist der Nachweis, dass eine Zahlung, ein Kontozugriff oder eine sicherheitsrelevante Handlung vom berechtigten Nutzer ausgelöst wird. PSM stehen im Mittelpunkt der starken Kundenauthentifizierung, die mindestens zwei unabhängige Faktoren aus Wissen, Besitz und Inhärenz kombiniert.

Vorkommen und Verwendung

Verwendung finden PSM bei elektronischen Zahlungsdiensten, insbesondere im Onlinebanking, Mobile Banking, Kartenzahlungen im Internet und beim Zugriff durch Zahlungsauslöse- oder Kontoinformationsdienste. Sie werden vom kontoführenden Zahlungsdienstleister ausgegeben oder in ein technisches Authentifizierungsverfahren eingebunden. Typische Einsatzfelder sind:

1. Anmeldung, etwa mit PIN, Passwort oder biometrischem Merkmal.
2. Autorisierung, etwa mit TAN, App-Freigabe oder Signaturverfahren.
3. Verwaltung, etwa Änderung von Zugangsdaten, Freigabelimits oder Endgeräten.

Zahlungsdienstnutzer müssen PSM vor unbefugtem Zugriff schützen und einen Verlust oder Missbrauch unverzüglich melden.

Relevanz

PSM beeinflussen unmittelbar die Sicherheit elektronischer Zahlungen und die Haftungsverteilung bei nicht autorisierten Zahlungsvorgängen. Eine ordnungsgemäße Nutzung unterstützt den Nachweis einer wirksamen Authentifizierung und kann für die Beurteilung von Sorgfaltspflichten relevant sein. Für Institute sind PSM Teil des Risikomanagements, der Betrugsprävention und der technischen Sicherheitsarchitektur. Bei Auslagerungen, Schnittstellen und Authentifizierungsdiensten bleiben klare Verantwortlichkeiten erforderlich, damit Vertraulichkeit, Integrität und Verfügbarkeit der Merkmale gewahrt bleiben.

Beispiel/Synonyme oder verwandte Begriffe

Verwandte Begriffe sind:

• PIN, geheime persönliche Identifikationsnummer als Wissenselement.
• TAN, einmalige Transaktionsnummer zur Freigabe eines konkreten Vorgangs.
• Authentifizierungs-App, Besitzkomponente auf einem registrierten Endgerät.
• Biometrisches Merkmal, etwa Fingerabdruck oder Gesichtserkennung, als Inhärenzelement.
• Starke Kundenauthentifizierung, Verfahren zur Prüfung der Nutzeridentität mit mehreren Faktoren.

Weitere Informationen

Rechtliche Anknüpfungspunkte liegen insbesondere in § 1 Abs. 25, § 55 und § 64 ZAG, in Artikel 4 Nr. 30 und Art. 97 PSD2 sowie in der Delegierten Verordnung zu den technischen Regulierungsstandards für starke Kundenauthentifizierung und sichere Kommunikation. Die Anforderungen werden durch Leitlinien, Aufsichtspraxis und Sicherheitsstandards konkretisiert. Technische Umsetzung und Kundenschnittstellen müssen so gestaltet sein, dass Sicherheitsmerkmale nicht offenlegbar, nicht leicht erratbar und gegen unbefugte Nutzung geschützt sind. Diese Vorgaben verbinden Zahlungsverkehrsregulierung, IT-Sicherheit und Verbraucherschutz.

Weiterführende Details, regulatorische Vorgaben und Methodikbeschreibungen finden Sie auf Regupedia: www.regupedia.de