Für Finanzinstitute und deren Kunden werden digitale Zugangskanäle immer wichtiger. Besonders mobile Kanäle gewinnen rasant an Bedeutung. Die dabei entstehenden neuen Bedrohungen der Datensicherheit stellen eine große Herausforderung für die Banken und Sparkassen dar.
Der moderne Kunde ist daran gewöhnt, eine Vielzahl von Angeboten und Services jederzeit und von überall digital und mobil nutzen zu können. Dies gilt in zunehmendem Maß auch für Bankdienstleistungen. Für die Banken bedeutet dies, dass ein möglichst breites Angebot an digitalen Services einen klaren Wettbewerbsvorteil darstellt. Für sie wird es immer wichtiger, ihren Kunden den flexiblen Zugang zu allen Kommunikationskanälen und Angebotsarten zu ermöglichen.
Neben dem mobilen Bezahlen spielen weitere Services wie digitale Tresore oder Kontoübersichten verschiedener Institute und auch neue Dienstleistungen (wie z.B. digitale Identitätsüberprüfung für Fremdvertragsabschlüsse) eine zunehmende Rolle. Bietet eine andere Bank dem Kunden ein attraktiveres Serviceangebot, kann er bereits heute spontan digital und in wenigen Minuten den Anbieter wechseln.
Neue Service-Kanäle und Angriffspunkte
Das zentrale Element bei dieser Digitalisierung von Bankdienstleistungen ist dabei das mobile Gerät des Kunden, das Funktionalitäten über speziell entwickelte Apps bereitstellt. In der Regel handelt es sich dabei um ein Tablet oder ein Smartphone, zunehmend kommen aber auch sogenannte „Wearables“ wie Smart Watches oder „Smart speaker“ wie Amazon Echo oder Google Home hinzu, sodass die Digitalisierung nicht nur von den etablierten Banken, sondern auch von anderen Unternehmen wie z.B. Mobilfunkanbietern, Geräteherstellern (u.a. Samsung, LG, Huawei) und den sogenannten „Over The Top-Playern“ wie Google, Facebook, Amazon und Apple getrieben wird.
Auf dem Markt der mobilen Endgeräte gibt es eine Vielzahl von Devices (> 30.000 Stück), auf denen bereits mehr als 2 Millionen Apps zum Einsatz kommen. Die zunehmende Nutzung der Endgeräte auch für Finanztransaktionen macht diese immer interessanter für die „dunkle Seite der Macht“. Immer öfter werden Smartphones das Ziel von Angriffen, bei denen gezielt Identitäten oder Daten gestohlen und ggf. Transaktionen manipuliert werden. Dies stellt die Banken und das gesamte Ökosystem vor die gleiche Herausforderung: die Absicherung der verschiedenen Kanäle für das digitale Bezahlen und den Schutz der digitalen Identität der Nutzer.
Schutz der digitalen Identitäten
Die Frage ist, wem die Anwender vertrauen und wer aus ihrer Sicht die Verantwortung für die Absicherung von Identitäten und Transaktionen übernehmen sollte. Die Banken haben hier einen großen historischen Vorteil, sie besitzen noch immer das Vertrauen ihrer Kunden. Um dieser Verantwortung gerecht zu werden, benötigen sie allerdings eine kluge, angepasste IT-Strategie, die die Sicherheit der digitalen Vorgänge für den Endkunden transparent gewährleistet. Was können Banken also tun, um für Sicherheit in der digitalen Bankenwelt zu sorgen?
In Bezug auf mobile Geräte ist es insbesondere wichtig, dass sich der Sicherheitsgedanke nicht nur auf einen Bereich beschränkt, sondern ganzheitlich angegangen wird, da die Geräte aufgrund der Systemarchitektur die verschiedensten Angriffspunkte bieten. Geeignete Verfahren schützen den Quellcode der Banking-Programme, stellen sicheren Speicher für digitale Identitäten zur Verfügung (Stichwort „White Box Crypto“) und gewährleisten eine abgesicherte Kommunikation zum Backend inklusive Verschlüsselung.
Darüber hinaus stellen gute Implementierungen sicher, dass die Umgebung, in der eine Applikation läuft, ebenfalls sicher ist. So muss zum Beispiel verhindert werden, dass Apps von einem auf ein anderes Gerät kopiert bzw. geklont werden können. Ein nach speziellen Kriterien erstellter Gerätefingerabdruck ermöglicht es jederzeit, verlässlich festzustellen, ob es sich um das ursprüngliche Gerät handelt und dieses sich in einem sicheren Betriebszustand befindet.
Im Sinne des Lifecycle-Managements gehen moderne Verfahren noch einen Schritt weiter. Sie verfügen neben den Schutzmaßnahmen auf den mobilen Geräten selbst über eine zusätzliche Serverkomponente. Diese stellt sicher, dass eine Applikation über ihre gesamte Nutzungsdauer hinweg umfassend und nachvollziehbar verwaltet wird. So werden zum Beispiel Updates sicher eingespielt und die Berechtigungsnachweise eines Kunden („Credentials“ zur Nutzung bestimmter digitaler Dienstleistungen) sicher verwaltet.
Über derartige Lösungen und Verfahren, wird darüber hinaus auch den erweiterten Datenschutzanforderungen nach neuester Gesetzeslage Rechnung getragen.
Vertrauen braucht Sicherheit
Die Banken befinden sich in einem Wettlauf um die Gunst der Kunden durch attraktive Services und deren Vertrauen in die Sicherheit digitaler Dienste und Verfahren. Nur wer auf allen Ebenen erfolgreich agiert, wird gewinnen können:
- Durch die schnellstmögliche Bereitstellung neuer, spannender digitaler Dienstleistungen für den Konsumenten
- Durch die Gewährleistung höchster Sicherheit für die Kunden bei der Abwicklung ihrer digitalen Finanzgeschäfte
- Durch die Einhaltung der vom Gesetzgeber auf nationaler bzw. europäischer Ebene vorgegebenen Regularien in der Betreuung der Endkunden
Es ist an der Zeit, zu handeln und durch einen ganzheitlichen und integrativen Ausbau der Sicherheitskomponenten sicher zu stellen, dass das wichtigste Gut in der Kundenbeziehung – nämlich das bestehende Vertrauen der Kunden in die Sicherheit der Banken – effizient geschützt werden kann.
Rainer Basler ist Koautor des Beitrags. Er ist Vertriebsleiter Retailbanken in der Division Financial Solutions bei G+D Mobile Security und blickt auf fast 25 Jahre Berufserfahrung in den Bereichen Beratung, Projektmanagement, Strategieentwicklung, Vertrieb und Coaching zurück. Zuvor war er im Öffentlichen Dienst, einer Privatbank, einer Unternehmensberatung sowie einem Technologiekonzern tätig.