Sicherheit und Komfort lassen sich in digitalen Kundenkanälen wie Online-Shops oder beim Online-Banking nur schwer miteinander vereinen. Dabei ist Komfort ebenso ein Wettbewerbsfaktor wie Sicherheit. Während Finanzdienstleister bei der Kundenlegitimation wenig Spielraum haben, gibt es bei der Anmeldung zu einzelnen Sessions oder für die Durchführung von Transaktionen durchaus Optimierungsmöglichkeiten. Dabei zeigt sich letzten Endes ein klarer Trend: der Einsatz biometrischer Verfahren. Auf dieser Basis könnten Banken sich dann allerdings auch als Dienstleister für digitale Authentifizierung positionieren. [...]
Die neueste Entwicklung greift die Bedürfnisse und das Nutzerverhalten bei mobilen Systemen schon besser auf: Beim pushTAN, das etwa von den Sparkassen vermehrt angeboten wird, werden die TANs direkt auf Smartphone oder Tablet geschickt, wo sie in einer separaten, passwortgeschützten und verschlüsselten App angezeigt werden. Klassische Phishing-Angriffe sind hier nicht möglich, weil die Auftragsdaten in die Berechnung der TAN einfließen. Zusatzgeräte werden bei pushTAN auch nicht benötigt, allerdings entfällt auch der Medien-Wechsel – Transaktion und Transaktionssicherung erfolgen im selben System. Sicherheitsexperten sträuben sich an dieser Stelle die Haare, doch das Verfahren ist noch zu wenig verbreitet, als dass es konkrete Erfahrungen mit Angriffen gäbe. Es bleibt außerdem die Frage, in wie weit die Verschlüsselung vertrauenswürdig ist.
NICHTS GEHT OHNE BIOMETRIE
Schon die Vielzahl immer neuer Verfahren, die die Finanzdienstleister in der Vergangenheit, getrieben vom professionellen Know-how der Gegner einerseits und von neuen Technologien andererseits, herausgebracht haben, zeigt, dass eine dauerhaft befriedigende Lösung, die Sicherheit und Komfort verbinden könnte, noch nicht gefunden wurde, weder für die Anmeldung einzelner Sessions, noch für Transaktionen. Gerade vor dem Hintergrund der neuen Player ist es allmählich Zeit für neue, innovative Ansätze bei der Sicherung des Online-Bankings.
Im Mittelpunkt steht dabei die Personalisierung der mobilen Endgeräte, die eine eindeutige Identifizierung des jeweiligen Nutzers ermöglicht. Grundsätzlich ließe sich zum Beispiel über die IMEI (International Mobile Equipment Identity) regeln, da diese jedes Handy identifiziert und damit über den jeweiligen Vertrag auch den Nutzer. Diese Zuordnung ist natürlich beim Verlust eines Geräts hinfällig, ist also für Online-Banking nur wenig brauchbar.
Am Einsatz biometrischer Verfahren für das Online-Banking führt daher kein Weg vorbei, und in anderen Ländern, beispielsweise in Japan, sind diese bereits sehr verbreitet. Biometrie ersetzt personenbezogene durch personengebundene Merkmale; damit und nur damit wird die eindeutige Personalisierung der Endgeräte möglich, was für die Problematik von Sicherheit und Komfort einen Meilenstein darstellt. Wenn nämlich technisch sichergestellt werden kann, dass der berechtigte Nutzer aktuell das Gerät kontrolliert und niemand sonst, dann benötigt man auch keine anderen Kontrollmechanismen wie PIN und TAN. Der bislang gewollte Medienbruch – beziehungsweise die „Kanaltrennung“ –, das von der IT getrennte Sicherheitsmerkmal, entsteht dann nämlich schon durch die Verbindung von Finger und Scanner, beziehungsweise sinngemäß bei anderen Merkmalen.
Natürlich wird die Biometrie nicht das Ende von Cyber-Kriminalität im Online-Banking bescheren. Es wird auch in biometrischen Szenarien Angriffe, Malware, intelligente Angreifer und nicht rechtzeitig erkannte Sicherheitslücken geben: Aber hier lassen sich diese Herausforderungen technisch lösen – funktionierende Sicherheit ist nur noch zu einem sehr geringen Teil von der Mitwirkung, der Kompetenz und der Bequemlichkeit des Nutzers abhängig: Er muss sich nichts merken, muss nichts abrufen oder einschalten, er muss nur seinen Finger, den er nicht einmal verleihen kann, auf den Scanner legen, alles weitere – Verschlüsselung der biometrischen Informationen oder Abgleich mit Referenzdaten– hängt dann schon nicht mehr von ihm ab. Er kann eigentlich nur noch den falschen Finger auflegen, aber dann kommt er eben nicht an sein Konto heran.
Erste Endgeräte mit Scanner für Fingerabdrücke wurden schon auf den Markt gebracht. Gemäß den Gepflogenheiten dieses Marktes ist damit zu rechnen, dass dieses Feature in wenigen Jahren auf allen mobilen Plattformen Standard sein wird. Freilich müssen die Systeme noch optimiert werden, um die bereits bekannt gewordenen Versuche, den Abdruck zu klonen, auszuschließen, beispielsweise durch die Ergänzung mit einer „Lebenderkennung“. Das Interessante an biometrischen Lösungen ist aber generell, dass sie von Anfang an mobil zur Verfügung stehen und in Geräte integriert sind, von denen sich die Nutzer sowieso nicht mehr trennen wollen, sie lassen sich damit relativ leicht in das vorgefundene Nutzerverhalten einpassen.
Auf diesen Trend zur Biometrie müssen die Banken vorbereitet sein, und zwar nicht nur technisch, indem sie entsprechend ausgerüstete Anwendungen im Backoffice und Apps für ihre Kunden bereitstellen, was bislang erst in Ansätzen geschieht. Einmal als Standard gesetzt, eröffnet die Biometrie eine Vielzahl von Anwendungsszenarien – wobei es dahin gestellt bleiben muss, ob man sich nur auf den Fingerabdruck fokussieren sollte oder ob man alternative Methoden wie etwa Handgeometrie oder Stimmanalyse, die nicht einmal eine spezielle Eingabetechnik erfordern würde, mit ins Boot nehmen sollte.
AUTHENTIFIZIERUNG ALS DIENSTLEISTUNG
Es ist bei biometrischen Verfahren aber auch gar nicht notwendig, dass die Authentifizierung des Nutzers immer und ausschließlich über die jeweilige Bank erfolgt. Denkbar sind hier auch zertifizierte Authentifizierungsstellen, die die Identität des Nutzers feststellen. Und das muss dann auch gar nicht nur für Bankgeschäfte gelten, sondern für beliebige Transaktionen, also auch für Einkäufe in beliebigen Web-Shops oder auch für E-Government. Dabei kann dann ein hoher Komfort – ohne spezifische Anmeldung und ohne TANs – mit hohem Sicherheitsniveau kombiniert werden.
Natürlich sind die Banken für die Nutzer der primäre Ansprechpartner bei einem zentralen Authentifizierungsservice, den sie dann als eine Art „Identitäts-Dienstleister“ beliebigen Marktteilnehmern zur Verfügung stellen können. Die Nutzer haben ja bereits ein Konto, für das sie sich identifizieren mussten, die für die Authentifizierung nötigen Daten sind bei der Bank also ohnehin hinterlegt, so dass auch die psychologische Einstiegshürde hier nur eine geringe Rolle spielen dürfte.
Der Aufbau entsprechender Strukturen bedeutet allerdings einen hohen organisatorischen Aufwand und setzt außerdem eine institutsübergreifende Kooperation voraus. Separate Authentifizierungs-Lösungen und -Services für Sparkassen, Raiffeisenbanken und Geschäftsbanken dürften wenig Erfolg haben.
* Johannes Sackmann ist Lead Managing Consultant Digital Banking bei CGI in Sulzbach bei Frankfurt am Main.
Be the first to comment