Finger statt Passwort: Sicherheit versus Komfort in digitalen Kundenkanälen

Sicherheit und Komfort lassen sich in digitalen Kundenkanälen wie Online-Shops oder beim Online-Banking nur schwer miteinander vereinen. Dabei ist Komfort ebenso ein Wettbewerbsfaktor wie Sicherheit. Während Finanzdienstleister bei der Kundenlegitimation wenig Spielraum haben, gibt es bei der Anmeldung zu einzelnen Sessions oder für die Durchführung von Transaktionen durchaus Optimierungsmöglichkeiten. Dabei zeigt sich letzten Endes ein klarer Trend: der Einsatz biometrischer Verfahren. Auf dieser Basis könnten Banken sich dann allerdings auch als Dienstleister für digitale Authentifizierung positionieren. [...]

Schon seit rund zwei Jahrzehnten versuchen Finanzdienstleister im Online-Banking den Spagat zwischen Sicherheit und Komfort zu bewältigen. Sie haben dabei aber nicht nur mit anspruchsvollen Kunden und hochprofessionellen Cyberangriffen zu tun, sondern auch mit technologischen Entwicklungen, die ihrerseits mit neuen Herausforderungen aufwarten und bereits erfolgreiche Lösungsansätze wieder in Frage stellen. Neuerdings kommt noch etwas dazu: Die Stellung der etablierten Institute im Markt der Finanzdienstleistungen verändert sich ganz wesentlich durch neue Player, die nicht aus dem Bankensektor kommen, beispielsweise Paypal oder Amazon Payment. Diese Anbieter drängen derzeit massiv in den Markt; sie bringen auch neue Sicherheitsverfahren mit, die von den Kunden als wesentlich komfortabler empfunden werden als die derzeit von Banken angebotenen. Beim Thema Sicherheit und Komfort ist also auch ein erheblicher Wettbewerbsdruck entstanden.

SCHWACHPUNKT NUTZER

Wie bei vielen technischen Systemen stellen die Nutzer auch bei der Sicherheit im Online-Banking einen Schwachpunkt dar. Das ist hier keineswegs abwertend gemeint, denn schließlich haben Menschen ja in der Regel auch noch etwas anderes zu tun, als sich um einen sicheren Kontozugang zu kümmern. Komfort ist in diesem Zusammenhang daher auch nicht einfach eine Anpassung an eine eigentlich überflüssige Bequemlichkeit, sondern ist unverzichtbarer Teil des Leistungsprofils eines Finanzdienstleisters. Komfort wirkt sich aber auch unmittelbar auf die Sicherheit aus: Je komfortabler Sicherheitsverfahren für den Nutzer sind, desto eher werden sie verwendet, desto geringer ist die Motivation eventuelle Umgehungsstrategien zu entwickeln. Anders ausgedrückt: Komfort kann auch Sicherheit schaffen.

Für die Sicherheit im Online-Banking lassen sich drei wesentliche Aufgaben unterscheiden:

  • Die Erstanmeldung (Onboarding) neuer Kunden beim Online-Banking
  • Die Anmeldung für einzelne Sessions beziehungsweise den Zugang zu bestehenden Online-Konten
  • Die Abwicklung einzelner Aufträge und Transaktionen.

ERSTANMELDUNG

Bei der Erstanmeldung haben Banken wenig Spielraum, denn hier sind enge regulatorische Vorgaben zu beachten. Die persönliche Identitätsprüfung ist auch für reine Online-Konten verpflichtend, wird aber von Kunden im Rahmen des üblichen Post-Ident-Verfahrens meist akzeptiert, zumal es sich um eine einmalige Aktion handelt.

Wesentliche technische Neuerung der letzten Jahre ist das erst 2014 von der Finanzaufsicht abgesegnete Videoident-Verfahren, bei dem der Nutzer seinen Personalausweis im Video-Chat vor die Webcam hält; der Ausweis wird abfotografiert, das Bild gespeichert. Das beschleunigt das Onboarding, bedeutet aber bankseitig relativ hohen Aufwand, denn die deutsche BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) schreibt beispielsweise speziell ausgebildete Mitarbeiter in gesicherten Räumlichkeiten vor. Außerdem erfolgt die Identifizierung nicht wie bei Post-Ident asynchron, sondern synchron, das heißt, wenn sich der Kunde am Sonntagmorgen um drei Uhr anmelden möchte, muss der speziell ausgebildete Mitarbeiter auch dann bereitstehen, es sei denn die Bank bietet Videoident nur in einem Zeitfenster an. Meist übernehmen spezielle Dienstleister die Ausführung des Verfahrens.

Dass die Bank bei der Video-Legitimation von Ausweis und Kunden Fotos aufnimmt, dürfte die Akzeptanz kundenseitig vorerst dämpfen. Für die Banken ist vor allem interessant, dass sich hier durch den fehlenden Medienbruch die Abbruchsquote beim Onboarding senken lässt, weil immer wieder Kunden auf dem Weg zur Postfiliale abspringen. Ob das Videoident- auf Dauer das Post-Ident-Verfahren ablösen kann, muss die Praxis zeigen.

ANMELDUNG ZU SESSIONS

Mehr Spielraum haben Finanzdienstleister bei der Anmeldung für einzelne Sessions. Hier erfolgt die Authentifizierung herkömmlich durch die Eingabe einer Kombination aus Konto- beziehungsweise Kundennummer und PIN-Code. Dieser ist entweder kurz und relativ unsicher oder lang und mit diversen Algorithmen angereichert – Groß- und Kleinbuchstaben, Sonderzeichen, nicht weniger als n-Zeichen, keine trivialen Codes usw. –, was ihn dann unhandlich und unkomfortabel macht. An diesem Punkt setzen dann auch gleich die erwähnten Umgehungsstrategien an, beispielsweise mit den berüchtigten Post-It-Zetteln am Bildschirm. Die moderne Variante der Zettelwirtschaft, das Speichern der Zugangsdaten auf dem Smartphone, ist dabei eine besonders schlechte Idee, weil Angreifer diese Informationen leicht abfangen können.


Mehr Artikel

News

KI ist das neue Lernfach für uns alle

Die Mystifizierung künstlicher Intelligenz treibt mitunter seltsame Blüten. Dabei ist sie weder der Motor einer schönen neuen Welt, noch eine apokalyptische Gefahr. Sie ist schlicht und einfach eine neue, wenn auch höchst anspruchsvolle Technologie, mit der wir alle lernen müssen, sinnvoll umzugehen. Und dafür sind wir selbst verantwortlich. […]

Case-Study

Erfolgreiche Migration auf SAP S/4HANA

Energieschub für die IT-Infrastruktur von Burgenland Energie: Der Energieversorger hat zusammen mit Tietoevry Austria die erste Phase des Umstieges auf SAP S/4HANA abgeschlossen. Das burgenländische Green-Tech-Unternehmen profitiert nun von optimierten Finanz-, Logistik- und HR-Prozessen und schafft damit die Basis für die zukünftige Entflechtung von Energiebereitstellung und Netzbetrieb. […]

FH-Hon.Prof. Ing. Dipl.-Ing. (FH) Dipl.-Ing. Dr. techn. Michael Georg Grasser, MBA MPA CMC, Leiter FA IT-Infrastruktur der Steiermärkischen Krankenanstaltengesellschaft m.b.H. (KAGes). (c) © FH CAMPUS 02
Interview

Krankenanstalten im Jahr 2030

Um sich schon heute auf die Herausforderungen in fünf Jahren vorbereiten zu können, hat die Steiermärkische Krankenanstaltengesellschaft (KAGes) die Strategie 2030 formuliert. transform! sprach mit Michael Georg Grasser, Leiter der Fachabteilung IT-Infrastruktur. […]

News

Risiken beim Einsatz von GenAI in vier Schritten senken

Die Themen Datenschutz und Modellverwaltung sind in der Datenwissenschaft zwar nicht neu, doch GenAI hat ihnen eine neue Dimension der Komplexität verliehen, die Datenschutzbeauftragte vor neue Herausforderungen stellt. Die Data-Science-Spezialisten von KNIME haben die Potenziale und Risiken der KI-Nutzung beim Einsatz bei der Datenarbeit zusammengefasst und empfehlen vier Schritte zur Risikominimierung. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*