Digitales Identitätsmanagement gewinnt – gerade für Finanzdienstleister – zunehmend an Bedeutung. Über die Herausforderungen und Perspektiven und die Bedeutung neuer Identitäts-Marktplätze habe ich mich mit Robert Eickmeyer, PWC und Kevin Switala, Auth0 unterhalten.
Die Digitalisierung bringt immer mehr Logins, Authentifizierungs- und Identifizierungsvorgänge mit sich. Digitale Identitäten werden damit zu einem wichtigen Faktor. Das hat auch Auswirkungen auf Banken und andere Finanzdienstleister, ist doch die digitale Identifikation im Bankenumfeld mitunter ein technischer wie organisatorischer Kraftakt. Hauseigene Identity- und Access-Management-Systeme (IAM-Systeme) bedeuten für viele Banken- und Finanzdienstleister in erster Linie erhöhte Kosten für das Management von Insellösungen. Im Zuge technischer und regulatorischer Neuerungen kommen stets weitere Einzel-Komponenten dazu.
In diesem Zusammenhang treten zunehmend neue Identitäts-Marktplätze auf den Plan. Ihr Zielt ist es, weg von Insellösungen zu kommen und Identitätsmanagement als Ganzes zu verstehen. Höhere Transparenz und Kompatibilität sowie Standardisierung von Schnittstellen stehen bei diesen Lösungen im Vordergrund. Das nützt am Ende auch dem Kunden, der sich dann nur noch über einen einheitlichen Zugang für mehrere Services anmelden muss.
Fragen an Robert Eickmeyer, PWC und Kevin Switala, Auth0
Über die Chancen und Herausforderungen beim digitalen Identitätsmanagement für Banken sowie Versicherungsdienstleister habe ich mich mit Robert Eickmeyer von PWC und Kevin Switala von Auth0 unterhalten.
Robert Eickmeyer ist seit 2014 bei PwC tätig und befasst sich als Senior Manager im Bereich Financial Services Consulting intensiv mit der Prozessoptimierung und der Realisierung neuer Geschäftsmodelle rund um die digitale Identität. PwC sieht das Thema Digitale Identitäten als zentralen Baustein industrieübergreifender Anwendungsfälle für Endkunden und verfolgt in der passenden Umwelt die Strategie der Industriekonvergenz.
Kevin Switala ist Enterprise Sales Manager beim Identitätsanbieter Auth0. Er arbeitet im Vertrieb und betreut die DACH-Region. Er ist seit 10 Jahren in der IT-Branche für die zentraleuropäischen Märkte tätig. Vor Auth0 war Kevin Regional Sales Manager bei BeyondTrust, einem führenden Anbieter von Privileged Access Management, wo er die qualifizierte Pipeline aufbaute.
Ein zentrales Identitätsmanagement wird immer wichtiger
Der Bank Blog: Welche Rolle spielt das Identitätsmanagement, wenn es darum geht, neue Online-Geschäftsbereiche oder -Services zu entwickeln?
Robert Eickmeyer: Schon in weniger stark regulierten Industrien spielt das Identitätsmanagement bei der Anbahnung von Dienstleistungen bereits eine signifikante Rolle. Auch mit Blick auf immer stärkere regulatorische Vorgaben, beispielsweise zur Unterbindung von Tracking-Maßnahmen, wird ein zentrales Identitätsmanagement wichtiger.
Üblicherweise beginnen die meisten digitalen Kundenreisen mit der Registrierung für einen Service und anschließendem Login. Dieser ist der Schlüssel für den späteren Aufbau einer Kundenbeziehung. Denn ab dem Zeitpunkt des Logins kann die Bank feststellen, wer der Interessent ist, welches seine bevorzugten Zahlungsweisen und Produktpräferenzen sind.
Generell haben wir beobachtet, dass die Anbahnung einer digitalen Kundenbeziehung in den vergangenen Jahren vor allem durch digitale Zahlungslösungen geprägt wurde. Der nächste Schritt dieser Prägung wird das Identitätsmanagement sein.
Standards und Schnittstellen für effizientes Identitätsmanagement
Der Bank Blog: Schaut man auf die aktuelle Situation der IAM-Systeme (Identity Access Management) die bei vielen Banken/Finanzdienstleistern im Einsatz sind, werden hohe Kosten für viele Einzelkomponenten (z.B. Regulierung Bafin, Anbindung an Transparenzregister, Sanktionslisten, Videoident) sowie das Betreiben im eigenen Rechenzentrum aufgewendet. Welche Konsolidierungs-Möglichkeiten gibt es, um eine verbesserte Kosteneffizienz beim Thema Identitätsmanagement zu erreichen?
Robert Eickmeyer: Die Wertschöpfungskette im Bereich digitaler Identitäten verlängert sich mit den regulatorischen Anforderungen an den Finanzsektor. Banken und andere Finanzdienstleister stehen vor besonderen Herausforderungen, die Vorgaben aus GwG, MaRisk, Outsourcing-Guidelines etc. zu bewältigen und dabei dennoch möglichst komfortable Kundenreisen anzubieten. In Verbindung mit Legacy-Systemen erfordert es oftmals die Anbindung vieler einzelner Lösungskomponenten und erhöht damit organisatorische und prozessuale Komplexität – verbunden mit steigenden Kosten.
Die Zusammenarbeit mit Anbietern, die modulare Lösungsbausteine aus einer Hand anbieten, reduziert den Integrations- und Betriebsaufwand und erleichtert den Fokus auf das eigene Produkt- und Serviceangebot. Auf Basis von flexiblen Schnittstellen und bei entsprechenden Industriestandards können Banken leichter als bisher in weitere digitale Ökosysteme integrieren.
Der Bank Blog: Wie kann es Banken/Finanzdienstleistern die Balance zwischen einer besseren und gesicherten Datenqualität einerseits und einer zielgerichteten Kundenansprache (UX) andererseits gelingen?
Kunden suchen sich ihre Bank nicht nach dem perfekten Onboarding aus
Robert Eickmeyer: Essentiell für den Nutzer sind klare visuelle Feedbacks, Echtzeit-Validierungen der Eingaben, ein progressives Profil statt überfrachtete Formulare und intelligente Vernetzung mit technologischen Möglichkeiten durch Identitätsmanagement-Provider wie eine Device-spezifische – Authentifizierung.
Im Bankenmarkt stand in den letzten Jahren beim Onboarding vor allem die Kundenfreundlichkeit im Vordergrund. Schnelles Onboarding ist technisch gesehen schon lange möglich. Im nächsten Schritt geht es an die weitere Verbesserung dieser Schnittstelle, um damit neue Verfahren auf Basis der Kombination zwischen nationaler und internationaler Rechtsprechung zu realisieren.
Bei der Integration innovativer, nutzerfreundlicher Verfahren wird es mittelfristig vor allem um Themen wie Effizienzsteigerung, nicht so sehr um Wachstum gehen. Denn schließlich suchen sich Kunden ihre Bank nicht nach dem perfekten Onboarding, sondern nach möglichst personenspezifischen Informationen aus. Daher muss das Produkt maßgeschneidert sein, um keinen Interessenten gleich wieder zu verlieren.
Marktplätze für Identitätsmanagement gewinnen an Bedeutung
Der Bank Blog: Welche Möglichkeiten bietet hier ein Marktplatz für Identitymanagement? (z.B. Modularität, Erleichterung technischer Anbindungen, Kompatibilitäten)
Kevin Switala: Ja, es geht vor allem um die persönlichen Inhalte. Sie machen die User Experience aus, und die ist laut einer aktuellen Salesforce-Umfrage für rund 80 Prozent aller Verbraucher ebenso wichtig, wie die dahinterstehenden Produkte. Die Balance zwischen einer gesicherten Datenqualität und einer nahtlosen User Experience erreicht man unter anderem durch eine stufenweise Authentifizierung. Das bedeutet kurzum: je nach Anmeldekontext kann die Sicherheitsstufe variieren. Damit kann verhindert werden, dass der Kunde sich möglicherweise unnötig und zu kompliziert authentifizieren muss und am Ende den gesamten Prozess abbricht.
Der Bank Blog: Welche Rolle würden Identitätsanbieter sowie Integratoren hier einnehmen?
Robert Eickmeyer: Da wir einen Wechsel von isolierten Modulintegrationen hin zu Plattformlösungen, die durch intelligente Verzahnung der wesentlichen Teilprozesse im Identitätsmanagement beim Kunden sehen, macht für uns ein Identity Hub durchaus Sinn. Da wenige große Plattformlösungen sich vermutlich durchsetzen werden, wird es ein synergetisches Zusammenspiel aus einigen wenigen Identitätsanbietern im B2B- und B2C-Bereich mit entsprechenden Integratoren geben. Diese verfügen dann idealerweise über entsprechende Best Practices aus unterschiedlichen Zielmärkten.
Kevin Switala: Bezogen auf unseren Identity Hub, bauen Technologiepartner ihre eigenen Integrationen und listen diese auf dem Auth0 Marketplace auf. Sämtliche Partner-Integrationen werden von Auth0 dabei gründlich auf Sicherheit und Funktionalität geprüft. Channel-Partner können Marktplätze nutzen, um ihren Kunden ganzheitliche Lösungen im Kontext von digitaler Transformation, Bedrohungserkennung, Compliance oder Kundenerfahrung anzubieten.
Sicherheit und Compliance müssen in das Identitätsmanagement integriert werden
Der Bank Blog: Wie sähe der „Connect“ zur internen IT-Security/Compliance aus?
Robert Eickmeyer: IT-Security und Compliance bedeutet in erster Linie Qualität und Schutz. Für das Identitätsmanagement muss das quasi „unsichtbar” erfolgen. Daher sollten Authentifizierungsverfahren, Verschlüsselungstechnologien, regelmäßige Aktualisierungen von Softwareversionen sowie die Minimierung potentieller Angriffsflächen frühzeitig in der Entwicklung nutzerfreundlicher Prozesse berücksichtigt werden. Operativ erfolgt die Umsetzung üblicherweise im Rahmen von Produktteams, die die entsprechenden fachlichen Stakeholder konsequent in die Governance einbinden.
Der Bank Blog: Welche Voraussetzungen struktureller und strategischer Natur brauchen die Kreditinstitute dafür? (z.B. Multi-Faktor-Strategien, einfache und schnelle Registrierungsmöglichkeiten für den Kunden, Omnichannel-Bereitschaft)
Robert Eickmeyer: Die strategische Darstellung von Leitplanken zur konsequenten Umsetzung des Identitätsmanagements stehen im Mittelpunkt des Projektvorhabens. Hierzu gehört die klare Kommunikation der Ziele sowie das “Dranbleiben” im Laufe der Produktentwicklung. Das regelmäßige „challengen“ der Leitplanken mit den ausgewählten Plattformanbietern gehört zu den Aufgaben der Banken. Wir können nicht davon ausgehen, dass die Identitätsmanagement-Provider jedes Problem lösen und immer die optimalen Vorgaben für das Tagesgeschäft anregen – vielmehr ist es ein wechselseitiges Business Development zwischen Vendor und Lösungsnutzer. Die Registrierung sowie die idealerweise hochfrequentierte Nutzung der Produkte durch kontinuierliche und adaptive Authentifizierungsverfahren sind Teil der notwendigen Prozesseffizienz.
Der Aufbau digitaler Identitäten muss strategisch erfolgen
Der Bank Blog: Welche Vorteile bietet ein cloudbasiertes, kundenzentriertes ID-Management? (z.B. Verlängerung des Customer Lifecycle, Erhöhter Lifespan Revenue)
Kevin Switala: Auf der Cloudbasis können Unternehmen beliebig skalieren, sind flexibler in puncto neue regulatorische Vorgaben und Anwendungsszenarien, gleichzeitig können sie zentralisiert steuern. Ein weiterer wichtiger Punkt sind hier die unkalkulierbaren Risiken der Cyberattacken. Im Durchschnitt dauert es 196 Tage, um einen Breach zu identifizieren und durchschnittlich 280 Tage, um ihn einzudämmen. Das kostet Banken nicht nur Geld, sondern vor allem Reputation und Kundenvertrauen.
Banken sollten sich im Zuge Ihrer Digitalisierungsvorhaben genau überlegen, welche Strategie sie beim Aufbau digitaler Identitäten wählen, um dieses Risiko weitgehend zu minimieren. Es wird meist dann kompliziert, wenn es kein kundenzentriertes Identity Management gibt, sondern Abteilungen für den jeweiligen Service das „Identity Rad” stets neu erfinden wollen. Denn damit erreicht man am Ende nur eins: ständige Neu-Registrierungen vergrößern die Hemmschwelle beim Kunden und machen damit ein gezieltes Cross/Upselling deutlich schwieriger.
Identitätsmanagement ist wichtig für die Beziehung zum Kunden
Der Bank Blog: Wie sehen Sie die weiteren Entwicklungen beim digitalen Identitätsmanagement?
Kevin Switala: Da Firmen auf der ganzen Welt derzeit ihre Transformationsprojekte umsetzen, wird auch das digitale Identitätsmanagement weiter an Bedeutung gewinnen. Allerdings wird das Thema bisher noch zu stark operationalisiert betrachtet, also dass einfach neue Online-Services angedockt werden müssen.
Dabei ist digitales ID-Management werttreibend für das digitale Selbstverständnis von Banken und Versicherungen, denn ihre Services werden künftig die Währung für das Vertrauen der Kunden sein. Um so eine digitale Beziehung mit dem Kunden dauerhaft aufrechtzuerhalten, müssen Kreditinstitute sich über Services, Zugänge und Anmeldeprozesse immer wieder neu beweisen.
Der Bank Blog: Vielen Dank für das Gespräch.
Im Whitepaper „Financial Services CIAM Buyer’s Guide Checklist“ erfahren Sie mehr über Identity-API-Plattformen für die Bereitstellung eines einheitlichen Identitätsansatzes sowie die Entwicklung eines Aktionsplans für das Identitätsmanagement, mit dem Sie Ihre digitalen Geschäftsziele erreichen können.