DK-Stellungnahme zur sicheren Anzeige von Transaktionsdaten mit dem FIDO2-Standard

Die Deutsche Kreditwirtschaft (DK) setzt sich für eine Erweiterung des FIDO2-Standards ein, um die sichere Anzeige von Transaktionsdaten zu gewährleisten. Derzeit ermöglicht der Standard lediglich die Übermittlung eines Hash-Wertes an den Authenticator, nicht jedoch die vollständigen Transaktionsdetails. Dies stellt insbesondere in PC-Architekturen ein Sicherheitsrisiko dar, deshalb schlägt die DK vor, dass die vollständige Transaktionsdaten direkt an den Authenticator übermittelt und dort auf einem sicheren Display angezeigt werden. Dadurch hätten Nutzer die Möglichkeit, die Transaktionsdetails vor der Bestätigung sicher zu überprüfen. Zudem sollte der Authentifizierungscode mit den angezeigten Daten verknüpft werden, um die Integrität der Transaktion zu gewährleisten. Die Erweiterung der Spezifikation um eine standardisierte Schnittstelle für diese Funktionen ist wesentlich, um regulatorische Anforderungen hinreichend zu erfüllen und damit den Standard auch im Finanzsektor nutzbar zu machen.