Zur Verbesserung der Online-Sicherheit fordert PSD2 eine Zwei-Faktor-Authentifizierung der Kunden. Ein Gespräch mit Melanie Maier, Entersekt und Ria Shetty, Mastercard zeigt, wie FIDO2 und Delegated Authentication den Weg in eine passwortlose Zukunft sichern könnten.
Jede Medaille hat zwei Seiten. So auch die Digitalisierung. Auf der einen Seite bestehen vielfältige Chancen durch zusätzliche Vertriebs- und Kommunikationskanäle, die neue Geschäftsmodelle und mehr Interaktionen mit Kunden ermöglichen, auf der anderen Seite steht eine Zunahme der Bedrohungen durch Cyber-Kriminalität.
Passwörter als Gefahr für die Online-Sicherheit
Ein wichtiger Aspekt dabei: Die Authentifizierung durch die Kunden. Gebräuchlich sind hier vor allem Passwörter. Und genau da liegt ein Problem, denn aus Untersuchungen ist bekannt, dass die Authentifizierung auf Basis von Passwörtern heute eine der größten Bedrohungen für die Cybersicherheit bildet. Mehr als 80 Prozent aller Datensicherheitsverstöße lassen sich auf passwortbasierte Verfahren zurückführen. Kein Wunder, möchte man meinen, wenn man liest, dass die drei beliebtesten Passwörter der Deutschen 123456, 12345 und 123456789 sind, sich aber auch Begriffe wie PASSWORT oder ABC123 oder 000000 großer Beliebtheit erfreuen.
Anwender tendieren unverändert dazu, schwache oder vorhersagbare Passwörter zu nutzen. Zudem werden Passwörter sehr häufig gleich mehrfach verwendet, sodass es sich für Betrüger lohnen kann, einfach etwas herum zu probieren. Aber auch One-Time-Passwörter (OTPs), die per SMS verschickt werden, können abgefangen werden.
Sicherer und nutzerfreundlicher mit FIDO2
Seit 2013 gibt es eine Alternative zu Passwörtern: Fast IDentity Online oder kurz FIDO. Dahinter verbirgt sich ein offener Standard der globalen FIDO Alliance, hinter der große Tech- und Paymentkonzerne, wie Google, Apple, Microsoft, Mastercard und andere stecken. Die aktualisierte Version FIDO2 basiert auf den freien und offenen Standards der FIDO Alliance und verspricht einen passwortlosen Log-in-Prozess sowie eine passwortlose Authentifizierung und damit eine deutliche Vereinfachung für den Endkunden.
Nutzer müssen sich keine Buchstaben- und Zahlenkombinationen mehr merken, sondern lediglich das Objekt mit sich führen, auf dem der individuelle Sicherheitsschlüssel abgelegt ist. Das kann ein physischer Token sein oder implementiert in einem Mobilgerät. So wird das Mobilgerät quasi zum Sicherheitstoken und gilt im Sinne der Payment Services Directive (PSD2) als ein zugelassener starker Authentifizierungsfaktor aus der Kategorie „Besitz“. Handelt es sich bei dem Mobilgerät um ein Smartphone, können auch die vorhandenen biometrischen Verfahren (z.B. Fingerprint, Face ID) für den Faktor „Inhärenz“ genutzt werden.
Damit wird FIDO2 in Europa besonders interessant für alle Händler, die durch die PSD2 dazu verpflichtet sind, spätestens ab dem 1. Januar 2021 eine Zwei-Faktor-Authentifizierung ihrer Kunden zu erfüllen. Viele Händler befürchten, dass sich die Conversion Rate nach Einführung der starken Authentifizierung verschlechtern wird. Bereits jetzt beklagt der Online-Handel große Umsatzeinbußen durch Kaufabbrüche beim Zahlvorgang. So haben bereits 65 Prozent der Kunden Käufe abgebrochen aufgrund von Problemen beim Zahlvorgang. Dadurch gehen weltweit jährlich 1.9 Mrd. Dollar Umsatz verloren. Eine andere Untersuchung geht davon aus, dass 52 Prozent der Zahlungen, die aus Sicherheitsgründen abgelehnt werden, in Wahrheit ordnungsgemäße Käufe gewesen wären.
Delegated Authentication: Händler übernehmen Authentifizierung selbst
Im Zusammenhang mit der Einführung von FIDO2 gewinnt ein Ansatz an Aufmerksamkeit, der die Situation der Händler deutlich verbessern könnte. Dieser, in der PSD2 beschriebene, Vorgang ermöglicht es Online-Händlern, die Authentifizierung bei der Zahlung mit Debit- oder Kreditkarten selbst zu übernehmen. Normalerweise sind die Banken, die die Karten herausgeben, zuständig für die Authentifizierung der Konsumenten und ihrer Transaktionen. So wird der Zahlungswunsch des Kunden von der Webseite des Händlers zu dem Server der Issuer-Bank weitergeleitet und nach Überprüfung wieder zurückgeschickt. Diese Weiterleitung kann zu Verzögerungen und Reibungsverlusten führen mit dem Ergebnis, dass die Zahlung möglicherweise nicht zustande kommt und der Kauf abgebrochen wird. Eine weitere Herausforderung der Authentifizierung durch die Bank ist die Tatsache, dass der Händler nicht weiß, welche Authentifizierungsmethode die Bank einsetzt und darauf auch keinen Einfluss hat. Nutzt eine Bank ein Kartenlesegerät oder SMS-OTP zur Authentifizierung, ist dies eine signifikant schlechtere Kundenerfahrung als eine Authentifizierung mit push-basierten Methoden.
Dank PSD2 kann der Händler beantragen, die Authentifizierung selbst durchzuführen. Das macht den Vorgang schneller, einfacher und minimiert die Schnittstellen, die technische Probleme erzeugen können. Dazu müssen jedoch die technischen Voraussetzungen geschaffen werden. Und dabei könnte FIDO2 in Zukunft eine wichtige Rolle spielen.
Bank Blog TV: Gespräch Gespräch mit Melanie Maier Entersekt und Ria Shetty Mastercard
Wie das funktioniert, wie FIDO2 bei Delegated Authentication eingesetzt wird und wie Händler mit diesem neuen Ansatz für mehr Umsatz und mehr Kundenzufriedenheit sorgen können, darüber habe ich mich mit den beiden Expertinnen für Payments und sichere Authentifizierungslösungen Ria Shetty von Mastercard und Melanie Maier von Entersekt unterhalten.
Ria Shetty ist Senior Specialist Product Development & Innovation im Digital, Cyber & Intelligence Solutions Team bei Mastercard Deutschland und Schweiz und treibt u. a. die Umsetzung der PSD2-Anforderungen und der Starken Kundenauthentifizierung (SCA) voran.
Melanie Maier ist Pre-Sales Solution Lead DACH & Central Europe bei Entersekt, einem führenden Anbieter von mobiler Authentifizierungs- und App-Sicherheitssoftware zum Schutz von Online- und Mobile-Banking und -Transaktionen. Sie unterstützt Finanzinstitute und Unternehmen dabei, durch starke Authentifizierung und hochmoderne App-Sicherheit Konformität zu erreichen und bessere digitale Kundenerlebnisse zu ermöglichen.
Dabei klären wir unter anderem folgende Fragen:
- Warum setzen Sie so große Hoffnung auf FIDO2?
- Wer profitiert am meisten von FIDO2: Banken, Händler oder Kunden?
- Warum ist diese Authentifizierungslösung so interessant für Delegated Authentication?
- Was sind die Vorteile von Delegated Authentication für Händler, Kreditkartenherausgeber und Kunden?
- Wie setzt Mastercard das Konzept um?
- Was können Händler tun, wenn sie sich für eine Delegated Authentication-Lösung entscheiden?
Das Ganze wieder im neuen „Bank Blog-TV“-Format als Videogespräch: