Finger statt Passwort: Sicherheit versus Komfort in digitalen Kundenkanälen

Sicherheit und Komfort lassen sich in digitalen Kundenkanälen wie Online-Shops oder beim Online-Banking nur schwer miteinander vereinen. Dabei ist Komfort ebenso ein Wettbewerbsfaktor wie Sicherheit. Während Finanzdienstleister bei der Kundenlegitimation wenig Spielraum haben, gibt es bei der Anmeldung zu einzelnen Sessions oder für die Durchführung von Transaktionen durchaus Optimierungsmöglichkeiten. Dabei zeigt sich letzten Endes ein klarer Trend: der Einsatz biometrischer Verfahren. Auf dieser Basis könnten Banken sich dann allerdings auch als Dienstleister für digitale Authentifizierung positionieren. [...]

Schon seit rund zwei Jahrzehnten versuchen Finanzdienstleister im Online-Banking den Spagat zwischen Sicherheit und Komfort zu bewältigen. Sie haben dabei aber nicht nur mit anspruchsvollen Kunden und hochprofessionellen Cyberangriffen zu tun, sondern auch mit technologischen Entwicklungen, die ihrerseits mit neuen Herausforderungen aufwarten und bereits erfolgreiche Lösungsansätze wieder in Frage stellen. Neuerdings kommt noch etwas dazu: Die Stellung der etablierten Institute im Markt der Finanzdienstleistungen verändert sich ganz wesentlich durch neue Player, die nicht aus dem Bankensektor kommen, beispielsweise Paypal oder Amazon Payment. Diese Anbieter drängen derzeit massiv in den Markt; sie bringen auch neue Sicherheitsverfahren mit, die von den Kunden als wesentlich komfortabler empfunden werden als die derzeit von Banken angebotenen. Beim Thema Sicherheit und Komfort ist also auch ein erheblicher Wettbewerbsdruck entstanden.

SCHWACHPUNKT NUTZER

Wie bei vielen technischen Systemen stellen die Nutzer auch bei der Sicherheit im Online-Banking einen Schwachpunkt dar. Das ist hier keineswegs abwertend gemeint, denn schließlich haben Menschen ja in der Regel auch noch etwas anderes zu tun, als sich um einen sicheren Kontozugang zu kümmern. Komfort ist in diesem Zusammenhang daher auch nicht einfach eine Anpassung an eine eigentlich überflüssige Bequemlichkeit, sondern ist unverzichtbarer Teil des Leistungsprofils eines Finanzdienstleisters. Komfort wirkt sich aber auch unmittelbar auf die Sicherheit aus: Je komfortabler Sicherheitsverfahren für den Nutzer sind, desto eher werden sie verwendet, desto geringer ist die Motivation eventuelle Umgehungsstrategien zu entwickeln. Anders ausgedrückt: Komfort kann auch Sicherheit schaffen.

Für die Sicherheit im Online-Banking lassen sich drei wesentliche Aufgaben unterscheiden:

  • Die Erstanmeldung (Onboarding) neuer Kunden beim Online-Banking
  • Die Anmeldung für einzelne Sessions beziehungsweise den Zugang zu bestehenden Online-Konten
  • Die Abwicklung einzelner Aufträge und Transaktionen.

ERSTANMELDUNG

Bei der Erstanmeldung haben Banken wenig Spielraum, denn hier sind enge regulatorische Vorgaben zu beachten. Die persönliche Identitätsprüfung ist auch für reine Online-Konten verpflichtend, wird aber von Kunden im Rahmen des üblichen Post-Ident-Verfahrens meist akzeptiert, zumal es sich um eine einmalige Aktion handelt.

Wesentliche technische Neuerung der letzten Jahre ist das erst 2014 von der Finanzaufsicht abgesegnete Videoident-Verfahren, bei dem der Nutzer seinen Personalausweis im Video-Chat vor die Webcam hält; der Ausweis wird abfotografiert, das Bild gespeichert. Das beschleunigt das Onboarding, bedeutet aber bankseitig relativ hohen Aufwand, denn die deutsche BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) schreibt beispielsweise speziell ausgebildete Mitarbeiter in gesicherten Räumlichkeiten vor. Außerdem erfolgt die Identifizierung nicht wie bei Post-Ident asynchron, sondern synchron, das heißt, wenn sich der Kunde am Sonntagmorgen um drei Uhr anmelden möchte, muss der speziell ausgebildete Mitarbeiter auch dann bereitstehen, es sei denn die Bank bietet Videoident nur in einem Zeitfenster an. Meist übernehmen spezielle Dienstleister die Ausführung des Verfahrens.

Dass die Bank bei der Video-Legitimation von Ausweis und Kunden Fotos aufnimmt, dürfte die Akzeptanz kundenseitig vorerst dämpfen. Für die Banken ist vor allem interessant, dass sich hier durch den fehlenden Medienbruch die Abbruchsquote beim Onboarding senken lässt, weil immer wieder Kunden auf dem Weg zur Postfiliale abspringen. Ob das Videoident- auf Dauer das Post-Ident-Verfahren ablösen kann, muss die Praxis zeigen.

ANMELDUNG ZU SESSIONS

Mehr Spielraum haben Finanzdienstleister bei der Anmeldung für einzelne Sessions. Hier erfolgt die Authentifizierung herkömmlich durch die Eingabe einer Kombination aus Konto- beziehungsweise Kundennummer und PIN-Code. Dieser ist entweder kurz und relativ unsicher oder lang und mit diversen Algorithmen angereichert – Groß- und Kleinbuchstaben, Sonderzeichen, nicht weniger als n-Zeichen, keine trivialen Codes usw. –, was ihn dann unhandlich und unkomfortabel macht. An diesem Punkt setzen dann auch gleich die erwähnten Umgehungsstrategien an, beispielsweise mit den berüchtigten Post-It-Zetteln am Bildschirm. Die moderne Variante der Zettelwirtschaft, das Speichern der Zugangsdaten auf dem Smartphone, ist dabei eine besonders schlechte Idee, weil Angreifer diese Informationen leicht abfangen können.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*