Fünf Gründe für eine Neubewertung der digitalen Authentifizierung

Neues PSD2-konformes mobiles Authentifizierungsverfahren

Abonnieren Sie den kostenlosen Bank Blog Newsletter

PSD2 stellt gängige Authentifizierungsverfahren auf den Prüfstand. Ein neues PSD2-konformes Verfahren  bringt zahlreiche Vorteile für Banken und deren Kunden und lässt sich problemlos in existierende Mobile-Banking-Apps integrieren.

Mobile Sicherheit und PSD2

Mobile Security ist im Zuge von PSD2 ein wichtiges Thema

Partner des Bank Blogs

Berg Lund & Company ist Partner des Bank Blogs

Veränderung ist schwierig. Warum den Status quo ändern, wenn das bestehende System funktioniert? Das gilt für alle Aspekte des Lebens, und Bankensicherheit ist da keine Ausnahme. Allerdings verlangt die immer stärker digitalisierte Welt von jedem Unternehmen ständige Anpassung und Weiterentwicklung. Dies gilt auch für die Sicherheit von finanziellen Transaktionen. Techniken, die bislang funktioniert haben, eignen sich in Zukunft nicht mehr für eine moderne, sichere und kundenfreundliche Authentifizierung.

Fünf Gründe für eine Neubewertung der digitalen Authentifizierung

Die nachfolgenden fünf Gründe legen dar, warum Banken sich noch einmal mit dem Authentifizierungsprozess für Transaktionen ihrer Organisation beschäftigen sollten.

1. Neue Anforderungen durch PSD2

Die neuen PSD2-Vorschriften (Revised Directive on Payment Services der Europäischen Kommission) verlangen spätestens ab 2018 eine „starke“ Authentifizierung, wenn Kunden digitale Zahlungen tätigen. Die meisten Finanzinstitute arbeiten heute bei der Authentifizierung mit SMS-Einmalpasswörtern oder Kartenlesern. Das ist in Zukunft nicht mehr erlaubt, denn diese Mechanismen alleine schützen nicht mehr ausreichend gegen Hackerangriffe. Einmalpasswörter als alleinige Authentifizierungsmethode wird es so nicht mehr geben. PSD2 verlangt, dass Authentifizierungsfaktoren aus mindestens zwei der drei folgenden Kategorien stammen müssen:

  • Wissen (Knowledge): Passwort, PIN, Identifizierungsnummer oder etwas anderes, das nur der berechtigte Anwender wissen kann
  • Besitz (Possession): Token, Smartcard, Mobiltelefon oder etwas anderes, das nur der berechtigte Anwender besitzt
  • Eigenschaft (Inherence): Eine Computer-lesbare, biometrische Charakteristik des berechtigten Anwenders (z.B. Fingerabdruck o.ä.)

Die ausgewählten Faktoren müssen außerdem voneinander unabhängig sein, damit nicht von einem kompromittierten Faktor auf einen anderen geschlossen werden kann.

2. Kosten lassen sich signifikant reduzieren

Die heutigen Authentifizierungsmethoden können ziemlich teuer sein: Kartenleser oder Token müssen produziert und verteilt werden. Das Senden von Textnachrichten verursacht darüber hinaus hohe variable Kosten. Eine Authentifizierungsmethode, die keine Token oder SMS verwendet, reduziert also die Betriebs- und Transaktionskosten erheblich.

3. Hackerangriffe und Betrugsversuche ausschalten

Immer wieder liest man von erfolgreichen Hackerangriffen auf Kundenkonten. Heute übliche Authentifizierungslösungen können diese nicht komplett verhindern, weil es zahlreiche Schlupflöcher gibt für Angriffe von außen (Pishing, Man-in-the-Middle-Attacken etc.). Unabhängig davon, dass die betroffenen Kunden persönlich einen teilweise hohen Schaden erleiden, ist der Imageschaden für das betroffene Finanzinstitut ungleich höher und zerstört langfristig das Vertrauen. Ohne Vertrauen kann es im Finanzbusiness kein erfolgreiches Geschäftsmodell geben. Wer auf moderne, digitale Authentifizierungsmethoden setzt, die Hackerangriffe und Betrugsversuche nachweislich ausschalten, gewinnt das Vertrauen der Kunden zurück und legt die Basis für eine langfristige Kundenbeziehung.

4. Kunden das Leben leichter machen

Kunden erwarten heute eine absolute Benutzerfreundlichkeit bei online- und mobilen Applikationen. Das gilt auch für Bankgeschäfte, die zunehmend über diese Kanäle durchgeführt werden. Digital Natives möchten Transaktionen unkompliziert von unterwegs tätigen und verstehen nicht, warum es Einschränkungen bei großen Zahlungen oder sensiblen Transaktionen mit einem mobilen Gerät geben soll. Und warum sollten sie einen speziellen Hardware-Token ständig mit sich führen, nur falls sie spontan mobil von unterwegs eine Zahlung durchführen wollen? Das ist für den Anwender lästig und hält ihn davon ab, die neuen digitalen Angebote zu nutzen. Für den modernen Bankkunden steigert eine problemlose Benutzererfahrung seine Loyalität gegenüber der Bank, erhöht den Einsatz von kostengünstigeren, digitalen Kanälen und verringert die Abbruchraten beim Bezahlvorgang. Für ein erfolgreiches Geschäftsmodell im Digital Banking ist also ein kundenorientierter Ansatz entscheidend für den langfristigen Geschäftserfolg.

5. Aufwand ist geringer als gedacht

Veränderungen an laufenden IT-Sicherheitssystemen durchzuführen, scheint auf den ersten Blick sehr kompliziert, aufwendig und teuer. Das muss es heute aber nicht mehr sein. Denn im Bereich „starke“ Authentifizierung gibt es erprobte, schlüsselfertige Lösungen am Markt, die sich als SDK (Software Development Kit) problemlos in existente Mobile-Banking-Apps einfügen lassen. Außerdem besteht die Möglichkeit, mit der vorhandenen Transakt-App zu arbeiten oder mit einer Branded App, einer fertigen Lösung, wo lediglich das Branding der jeweiligen Bank übernommen wird. So steht die neue Authentifikations-Lösung ohne großen Entwicklungsaufwand innerhalb kurzer Zeit zur Verfügung. Auch für den Kunden ist der Aufwand sehr gering. Diese Lösungen der neuen Generation nutzen das Mobiltelefon als Hardwaretoken – das hat man schließlich immer dabei. Der Nutzer muss lediglich einmalig die neue App auf seinem Gerät installieren.

Prinzip neuer PSD2-konformer Authentifizierungsverfahren

Alle Produkte von Entersekt arbeiten nach folgendem Prinzip: Über einen separaten, verschlüsselten Kanal, den die Transakt-App herstellt, wird eine Kommunikation aufgebaut zwischen Kunde und Bank, die von außen nicht angreifbar ist und damit eine hohe Sicherheit gegen betrügerische Angriffe bietet. Zusammen mit einer festen Pin und/oder einem biometrischen Element ist damit die von PSD2 geforderte Mehr-Faktoren-Authentifizierung gewährleistet. So kann der Bankkunde mit gutem Gewissen eine Transaktion von seinem Mobilgerät durchführen und sie anschließend mit dem gleichen Mobilgerät über den separaten Transakt-Kanal authentifizieren – konform mit den strengen Regeln von PSD2. Und das alles mit nur einem Klick: „annehmen“ oder „ablehnen“.

Über den Autor

Jonathan Knoll

Jonathan Knoll ist bei Entersekt als verantwortlicher Country Manager Central Europe tätig. Er bringt über 25 Jahre Erfahrung in den Bereichen Geschäftsentwicklung, Marketing, Strategie und Vertrieb in den USA und Europa mit. Und verfügt über breite Kenntnisse der digitalen Zahlungs- und Finanzdienstleistungsbranche. Zuvor arbeitete Knoll als Director Financial Services Strategic Partnerships bei PayPal, wo er für die strategischen Partnerschaften mit führenden Finanzinstituten in den USA und der EMEA verantwortlich war. Davor hatte Knoll eine Reihe von Führungspositionen bei innovationsgetriebenen Unternehmen wie S1, Sun Microsystems und Ziff-Davis inne.

Vielen Dank fürs Teilen und Weiterempfehlen


Mit dem kostenlosen Bank Blog Newsletter immer informiert bleiben:

Anzeige

Get Abstract: Zusammenfassungen interessanter Businessbücher

Kommentare sind geschlossen

Bank Blog Newsletter abonnieren

Bank Blog Newsletter abonnieren