Sicherheit und Komfort lassen sich in digitalen Kundenkanälen wie Online-Shops oder beim Online-Banking nur schwer miteinander vereinen. Dabei ist Komfort ebenso ein Wettbewerbsfaktor wie Sicherheit. Während Finanzdienstleister bei der Kundenlegitimation wenig Spielraum haben, gibt es bei der Anmeldung zu einzelnen Sessions oder für die Durchführung von Transaktionen durchaus Optimierungsmöglichkeiten. Dabei zeigt sich letzten Endes ein klarer Trend: der Einsatz biometrischer Verfahren. Auf dieser Basis könnten Banken sich dann allerdings auch als Dienstleister für digitale Authentifizierung positionieren. [...]
Schon seit rund zwei Jahrzehnten versuchen Finanzdienstleister im Online-Banking den Spagat zwischen Sicherheit und Komfort zu bewältigen. Sie haben dabei aber nicht nur mit anspruchsvollen Kunden und hochprofessionellen Cyberangriffen zu tun, sondern auch mit technologischen Entwicklungen, die ihrerseits mit neuen Herausforderungen aufwarten und bereits erfolgreiche Lösungsansätze wieder in Frage stellen. Neuerdings kommt noch etwas dazu: Die Stellung der etablierten Institute im Markt der Finanzdienstleistungen verändert sich ganz wesentlich durch neue Player, die nicht aus dem Bankensektor kommen, beispielsweise Paypal oder Amazon Payment. Diese Anbieter drängen derzeit massiv in den Markt; sie bringen auch neue Sicherheitsverfahren mit, die von den Kunden als wesentlich komfortabler empfunden werden als die derzeit von Banken angebotenen. Beim Thema Sicherheit und Komfort ist also auch ein erheblicher Wettbewerbsdruck entstanden.
SCHWACHPUNKT NUTZER
Wie bei vielen technischen Systemen stellen die Nutzer auch bei der Sicherheit im Online-Banking einen Schwachpunkt dar. Das ist hier keineswegs abwertend gemeint, denn schließlich haben Menschen ja in der Regel auch noch etwas anderes zu tun, als sich um einen sicheren Kontozugang zu kümmern. Komfort ist in diesem Zusammenhang daher auch nicht einfach eine Anpassung an eine eigentlich überflüssige Bequemlichkeit, sondern ist unverzichtbarer Teil des Leistungsprofils eines Finanzdienstleisters. Komfort wirkt sich aber auch unmittelbar auf die Sicherheit aus: Je komfortabler Sicherheitsverfahren für den Nutzer sind, desto eher werden sie verwendet, desto geringer ist die Motivation eventuelle Umgehungsstrategien zu entwickeln. Anders ausgedrückt: Komfort kann auch Sicherheit schaffen.
Für die Sicherheit im Online-Banking lassen sich drei wesentliche Aufgaben unterscheiden:
- Die Erstanmeldung (Onboarding) neuer Kunden beim Online-Banking
- Die Anmeldung für einzelne Sessions beziehungsweise den Zugang zu bestehenden Online-Konten
- Die Abwicklung einzelner Aufträge und Transaktionen.
ERSTANMELDUNG
Bei der Erstanmeldung haben Banken wenig Spielraum, denn hier sind enge regulatorische Vorgaben zu beachten. Die persönliche Identitätsprüfung ist auch für reine Online-Konten verpflichtend, wird aber von Kunden im Rahmen des üblichen Post-Ident-Verfahrens meist akzeptiert, zumal es sich um eine einmalige Aktion handelt.
Wesentliche technische Neuerung der letzten Jahre ist das erst 2014 von der Finanzaufsicht abgesegnete Videoident-Verfahren, bei dem der Nutzer seinen Personalausweis im Video-Chat vor die Webcam hält; der Ausweis wird abfotografiert, das Bild gespeichert. Das beschleunigt das Onboarding, bedeutet aber bankseitig relativ hohen Aufwand, denn die deutsche BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) schreibt beispielsweise speziell ausgebildete Mitarbeiter in gesicherten Räumlichkeiten vor. Außerdem erfolgt die Identifizierung nicht wie bei Post-Ident asynchron, sondern synchron, das heißt, wenn sich der Kunde am Sonntagmorgen um drei Uhr anmelden möchte, muss der speziell ausgebildete Mitarbeiter auch dann bereitstehen, es sei denn die Bank bietet Videoident nur in einem Zeitfenster an. Meist übernehmen spezielle Dienstleister die Ausführung des Verfahrens.
Dass die Bank bei der Video-Legitimation von Ausweis und Kunden Fotos aufnimmt, dürfte die Akzeptanz kundenseitig vorerst dämpfen. Für die Banken ist vor allem interessant, dass sich hier durch den fehlenden Medienbruch die Abbruchsquote beim Onboarding senken lässt, weil immer wieder Kunden auf dem Weg zur Postfiliale abspringen. Ob das Videoident- auf Dauer das Post-Ident-Verfahren ablösen kann, muss die Praxis zeigen.
ANMELDUNG ZU SESSIONS
Mehr Spielraum haben Finanzdienstleister bei der Anmeldung für einzelne Sessions. Hier erfolgt die Authentifizierung herkömmlich durch die Eingabe einer Kombination aus Konto- beziehungsweise Kundennummer und PIN-Code. Dieser ist entweder kurz und relativ unsicher oder lang und mit diversen Algorithmen angereichert – Groß- und Kleinbuchstaben, Sonderzeichen, nicht weniger als n-Zeichen, keine trivialen Codes usw. –, was ihn dann unhandlich und unkomfortabel macht. An diesem Punkt setzen dann auch gleich die erwähnten Umgehungsstrategien an, beispielsweise mit den berüchtigten Post-It-Zetteln am Bildschirm. Die moderne Variante der Zettelwirtschaft, das Speichern der Zugangsdaten auf dem Smartphone, ist dabei eine besonders schlechte Idee, weil Angreifer diese Informationen leicht abfangen können.
Be the first to comment