Authentifizierung 4.0 – Sicherheit und Nutzererlebnis im Fokus

Finanzsektor im Wandel

Abonnieren Sie den kostenlosen Bank Blog Newsletter

IT-Technologien haben im Finanzsektor an Bedeutung gewonnen. Das stellt Banken und andere Finanzinstitute vor neue Herausforderungen, besonders im Hinblick auf den Spagat zwischen Sicherheit und Kundenerlebnis.

Sicherheit und Nutzererlebnis bei der Authentifizierung in Banken

Bei der Authentifizierung müssen Banken Sicherheit und Nutzererlebnis in Einklang bringen.

Partner des Bank Blogs

BehavioSec ist Partner des Bank Blogs

Der Finanzsektor durchläuft derzeit einen Wandel, insbesondere im Hinblick auf die Kundenerfahrung und die Sicherheit von Bankgeschäften. Früher beschränkte sich der Kontakt mit IT-Technologie auf den Gang zum Geldautomaten. Heutzutage erledigen Kunden ihre Bankgeschäfte bequem und mobil über Smartphone-Apps. Dabei steht die reibungslose Nutzererfahrung für die Verbraucher im Fokus. Dennoch müssen auch Sicherheitsstandards und Regularien eingehalten werden.

Beides zu vereinen, stellt oft eine große Herausforderung dar. Die fünf häufigsten werden im Folgenden beleuchtet. Dabei werden auch Wege aufgezeigt, wie Banken und Finanzinstitute diesen begegnen können.

Mobile Revolution im Banking

Der Zugriff auf Bankdienstleistungen über mobile Geräte hat sich von einem „Add-on“ zu einem primären Kanal entwickelt. Zwischen 70 und 80 Prozent der Logins erfolgen über Mobilgeräte. Die Häufigkeit dieser Logins hängt stark von der Usability der Mobile Apps ab. Kunden greifen heute täglich und mehrmals auf ihre Konten und Depots zu, was neue Anforderungen an die Authentifizierungssysteme stellt.

Die gestiegene Nutzung von mobilen Geräten eröffnet neue Möglichkeiten, bringt aber auch Herausforderungen mit sich. Insbesondere die Sicherheit von Mobile Apps ist von zentraler Bedeutung, da sie einen direkten Zugang zu Finanzdaten bieten. Hierbei müssen Finanzinstitute sicherstellen, dass die Authentifizierung sowohl sicher als auch benutzerfreundlich ist. Der FIDO-Standard (Fast Identity Online) hat sich als eine moderne und sichere Methode etabliert, die passwortlose Authentifizierung ermöglicht. Im Gegensatz dazu setzen jedoch viele Banken immer noch auf veraltete Methoden wie das M-TAN-Verfahren oder Hardware-Tokens, was weder aus Sicherheitsperspektive noch in puncto Nutzerfreundlichkeit ideal ist.

Herausforderungen durch erweiterte Serviceangebote

Die Zusammenarbeit von Banken mit Versicherungen und der Erwerb von Fintechs erweitern das Serviceportfolio. Allerdings führt dies auch zu neuen Ökosystemen, in denen die Identität der Kunden global verwaltet wird. Die Sicherheit des Zugriffs von Drittanbietern im Rahmen von Open Banking und Open Finance wird zu einer zentralen Anforderung.

Eine Herausforderung besteht darin, dass viele Banken sich in neuen Ökosystemen bewegen, die durch Fusionen, Partnerschaften und den Einsatz von Fintechs entstehen. Dies führt zu Komplexität bei der Verwaltung von Kundendaten, da unterschiedliche Systeme und Plattformen involviert sind. Im Rahmen des Open Banking muss auch ein sicherer Zugriff von Drittanbietern gewährleistet sein.

Stand der Authentifizierung im Bankwesen

Die Authentifizierung während des Anmeldevorgangs spielt eine entscheidende Rolle, da sie sowohl die Sicherheit sensibler Finanzdaten als auch eine nahtlose Benutzererfahrung gewährleisten muss. Viele Banken setzen jedoch immer noch auf veraltete Methoden wie das M-TAN-Verfahren oder Hardware-Token statt auf moderne passwortlose Authentifizierung nach dem FIDO-Standard.

Sicherheitsmaßnahmen nach dem Login, wie die kontextbasierte Überprüfung von Fingerabdrücken auf dem Gerät und die Geolokalisierung, werden von vielen großen Banken noch nicht ausreichend genutzt. Die Angst vor Fehlalarmen durch False Positives hemmt die breite Implementierung dieser Sicherheitsattribute.

Sonderfall Onboarding und rechtliche Anforderungen

Die DSGVO und spezifische Bankengesetze wie die GWG-Compliance zur Verhinderung von Geldwäsche beeinflussen das Onboarding von Neukunden. In Deutschland ist das Videoident-Verfahren vorgeschrieben, während die Schweiz auch das Autoident-Verfahren zulässt. Dieses automatisierte Verfahren spart Banken Call-Center-Kapazitäten aufseiten der Banken ein, erfordert aber zusätzliche Schritte wie eine 1-Cent-Überweisung oder manuelle Nachkontrollen.

Herausforderungen im Sicherheitsbereich und Fachkräftemangel

Die User Experience spielt eine entscheidende Rolle, da durch eine schlechte Erfahrung bis zu 20 Prozent der Kunden dauerhaft wegfallen können. Der Fachkräftemangel und die starke Individualisierung von Softwareumgebungen im Banking behindern die schnelle Anpassung an neue Sicherheitsanforderungen. Banken müssen ihre Softwareinfrastruktur modernisieren und auf nutzerfreundliche Sicherheitsverfahren umstellen.

Die Sicherheit im Finanzsektor steht vor erheblichen Herausforderungen, insbesondere im Bereich der Cyberkriminalität. Allerdings kommt die Umstellung auf nutzerfreundliche Sicherheitsverfahren eher langsam voran, und neue Business-Anforderungen werden nicht in dem Tempo umgesetzt, wie es wünschenswert wäre. Einer der Hauptgründe hierfür ist der anhaltende Fachkräftemangel im IT-Bereich. Unter hohem Kostendruck haben viele Institute Dienstleistungen outgesourct beziehungsweise offshore angesiedelt. Gerade im IT-Bereich ist diese Entwicklung jedoch wieder zurückgefahren worden, da insbesondere innovative Angebote, beispielsweise im Bereich KI und Robo-Advisors, als exklusive Eigenentwicklungen inhouse erfolgen müssen. Der Fachkräftemangel wirkt hier als Innovationsbremse.

Hinzu kommt, dass die gesamten Software-Environments im Banking-Sektor in hohem Maße von Individualsoftware geprägt sind: Zwar werden durchaus Produkte „von der Stange“ eingesetzt, diese sind jedoch oft mit kundenspezifischen Add-ons erweitert. Notwendig ist dies insbesondere aufgrund der teils extrem hohen Sicherheitsanforderungen. Nicht selten gehen dabei die bankinternen Richtlinien noch deutlich über die regulatorischen Anforderungen hinaus, was dazu führt, dass Aufwand und Nutzen oft in einem ungünstigen Verhältnis zueinander stehen. Entsprechend schwierig gestaltet es sich, die so entstandenen, sehr sicheren, aber auch extrem abgeschotteten Datensilos zu öffnen, um etwa neue Services anbieten zu können.

Modernisierungshindernisse ausräumen

Mittelfristig wird es sich keine Bank leisten können, die Modernisierung der eigenen Software-Infrastruktur aufzuschieben. Der Wunsch vieler Institute ist es daher, Software als Modul einsetzen zu können, ohne sie aufwendig anpassen zu müssen – sei es im Bereich der Authentifizierung oder der nachgelagerten Benutzerverwaltung. Das Angebot an entsprechenden Lösungen, die von externen Dienstleistern entwickelt werden, ist in den vergangenen Jahren stark gewachsen. Sie bieten die notwendige Sicherheit auf Bankenniveau, können aber „out of the box“ so eingesetzt werden, wie sie konzipiert wurden, ohne dass unzählige Erweiterungen programmiert werden müssen. Dies vereinfacht Release-Zyklen und eilige Upgrades, wie sie beispielsweise zur Behebung einer Sicherheitslücke notwendig sein können.

Die Modernisierung der Software-Infrastruktur ist ein entscheidender Schritt, um den Herausforderungen des sich wandelnden Finanzsektors gerecht zu werden. Finanzinstitute sollten die Implementierung flexibler und modularer Softwarelösungen anstreben, die den heutigen Anforderungen gerecht werden. Externe Dienstleister können dabei eine wichtige Rolle spielen, indem sie Lösungen anbieten, die sowohl Sicherheit als auch Benutzerfreundlichkeit bieten.

Blick in die Zukunft

Dass der gesamte Finance-Sektor stark in Bewegung ist, hat auch Rückwirkungen auf das Thema Sicherheit: Damit einhergehend dürfte die Dezentralisierung des Bankwesens durch FinTechs weitergehen. Das schließt alternative Anlageformen in Kryptowährungen, NFTs, ebenso ein wie die immer beliebteren „Buy now, pay later“-Angebote. Derzeit fließen viele Investments in diese Sektoren, die deshalb in ständiger Bewegung sind. Neben den zu erwartenden Fehlschlägen dürfte es aber auch viele neue, funktionierende Businessmodelle geben – was wiederum bei Kriminellen Begehrlichkeiten weckt.

Die ständige Weiterentwicklung des Finanzsektors führt zu neuen Herausforderungen, insbesondere im Bereich der Sicherheit. Die Dezentralisierung durch FinTechs und die verstärkte Nutzung alternativer Anlageformen wie Kryptowährungen und NFTs eröffnen neue Möglichkeiten, ziehen aber auch Kriminelle an. Die Authentisierung selbst können die Täter nach dem derzeitigen Stand der Technik nicht mehr so einfach knacken. Sie greifen deshalb zu anderen Methoden: Ihre Attacken erfolgen heute vielfach auf API-Ebene mit dem Ziel, Access-Tokens zu entwenden. Dazu werden diese Tokens mittels Trojaner oder sogenannter Man-in-the-Middle-Angriff entwendet. Neue Sicherheitsstandards wie OAuth DPoP verhindern dies durch eine kryptografische Komponente (Proof-of-Possession-Konzept). Wie eh und je handelt es sich um ein Katz-und-Maus-Spiel zwischen Cyberkriminellen und Sicherheitsexperten – und ein Ende ist nicht in Sicht.

Flexible Lösungen für Sicherheit und Kundenerlebnis

Die Zukunft des Finanzsektors wird weiterhin von Innovationen und technologischen Fortschritten geprägt sein. Eine sichere und benutzerfreundliche Authentifizierung bleibt dabei ein unverzichtbarer Eckpfeiler für den Schutz von Finanzdaten und die Gewährleistung einer positiven Kundenerfahrung. Der Weg zu flexiblen, modularen Softwarelösungen, die den aktuellen Herausforderungen gerecht werden, ist entscheidend, um im dynamischen Umfeld des Finanzwesens erfolgreich zu agieren.


Mehr Informationen finden Sie hierWeitere Informationen finden Sie bei Nevis.

 

Über den Autor

Stephan Schweizer

Stephan Schweizer ist Chief Executive Officer NEVIS Security AG. Zuvor war er bei AdNovum Informatik für den Vertrieb und das Marketing von NEVIS-Produkten zuständig. Er ist diplomierter Maschinen-Ingenieur HTL und verfügt über einen Executive Master in Information Technology.

Vielen Dank fürs Teilen und Weiterempfehlen


Mit dem kostenlosen Bank Blog Newsletter immer informiert bleiben:

Anzeige

Get Abstract: Zusammenfassungen interessanter Businessbücher

Kommentare sind geschlossen

Bank Blog Newsletter abonnieren

Bank Blog Newsletter abonnieren