Quo Vadis? Authentisierung für die digitale Bank

PSD2 & Co. verändern die Rahmenbedingungen

Abonnieren Sie den kostenlosen Bank Blog Newsletter

Die Digitalisierung hält auch im Banking Einzug und beschränkt sich längst nicht mehr auf das eBanking alleine. Neue Standards und Regulatoren wie PSD2, eIDAS oder GPRD zwingen zum Nachdenken über Identifikation und Authentisierung von Kunden und die Verarbeitung von persönlichen Informationen.  

Digitale Authentisierung im Banking

Digitale Identifikation und Authentisierung von Kunden gewinnen an Bedeutung.

Partner des Bank Blogs

BehavioSec ist Partner des Bank Blogs

Noch immer beschränkt sich die zuverlässige Kundenidentifikation bei Finanzgeschäften auf eBanking Lösungen und den meist von Bank zu Bank individuell gelösten Sicherheits- und Authentisierungslösungen. Schlimmer noch: Nicht selten sind die eBanking Accounts so modelliert, dass nicht die Person, sondern die Kontovollmachten die Basis für die Authentisierung bereitstellen. Technologisch basiert die Mehrheit der heutigen eBanking Authentisierungslösungen also noch immer auf Konzepten aus dem letzten Millenium. Mehrkanalfähigkeit, allen voran die Mobile-Tauglichkeit, sowie Single Sign-on bzw. Single Account Konzepte sucht man vergebens. In der Konsequenz führt dies dazu, dass man ein weites Feld an Bankgeschäften, insbesondere im Zahlungsverkehr, den Kreditkartengesellschaften, PayPal und anderen, innovativeren Playern überlassen muss.

Reichlich Skepsis gegenüber Innovationen

Zu dieser aktuellen Situation, in der Innovationen noch immer mit einem hohen Maß an Skepsis begegnet werden, hat eine oftmals konservative Haltung in Bezug auf Security- Fragestellungen geführt. Oft verhindert das Beharren auf vermeintlich elementaren Detailanforderungen dringend benötigte Innovationen und schlimmer noch, versperrt die Sicht auf die gesamte Sicherheitslösung. Mit dieser Haltung werden bei den Banken erfolgreich neue, von den Kunden geforderte Serviceangebote verhindert.

Exemplarisch sind hierfür Mobile-Banking-Lösungen zu nennen. Auch nach bald 10 Jahren hinkt der Funktionsumfang der entsprechenden Lösungen noch weit hinterher. Zwar können mittlerweile reguläre Zahlungen und geringere Beträge per Mobile-Banking abgewickelt werden, größere Transaktionen können aber meist nur per E-Banking überwiesen werden. Begründet wird dies zumeist mit der im Vergleich zu Web-Lösungen vermeintlich schlechteren Sicherheit. Aus technologischer Sicht ist diese These jedoch nicht haltbar. Im Gegenteil, moderne Smartphone-Betriebssysteme oder besser gesagt –Ökosysteme, sind von Beginn an auf Sicherheit hin entwickelt worden. Das schließt nicht nur die Smartphones selbst, sondern auch den Applikationsentwicklungs- und Distributionsprozess mit ein. Moderne Smartphones bieten darüber hinaus sogar Unterstützung für Trusted-Platform-Module, also Hardware-Krypto-Chips vergleichbar mit den Chips auf SmartCards.

Technologische und rechtliche Voraussetzungen sind gegeben

Technologisch wären also sämtliche Voraussetzungen gegeben, um das omnipräsente Smartphone zum Träger digitaler Identitäten und damit zum Schlüssel für jegliche digitalen Geschäfte aufzuwerten. Auch rechtlich sieht es gut aus und es erstaunt, dass ausgerechnet der Gesetzgeber beim europaweiten eIDAS (electronic IDentification, Authentication and Trust Services) Mobile- und Cloud-Dienste berücksichtigt, bzw. solchen Lösungen gar den Vorzug gibt. So auch im Schweizer e-ID Gesetz, welches gerade in der Vernehmlassung ist. Diese offene Haltung ist auch notwendig, um letztlich nicht an der Akzeptanz der Kunden bzw. der Benutzer zu scheitern. Denn diese werden sich am Angebot orientieren und jene Lösung wählen, die, speziell in der Anwendung, ihren Bedürfnissen am nächsten kommt. Dies beweist eine Studie der IFH Köln zum Zahlungsverhalten im eCommerce eindrücklich.

Umsatzsteigerung und Zahlungsverfahren

Umsatzsteigerung aufgrund der Einführung neuer Zahlungsverfahren

Aber nicht nur an der eCommerce Zahlungsfront kommt Bewegung in die Sache. Innovative Startups wie yes.de und Konsortien wie das Project DIPP wollen nicht nur im Zahlungsverkehr mitmischen, sondern neben dem Transaktionsgeschäft eine Identifizierungsplattform aufbauen. Hinzu kommen neue EU-Standards wie PSD2, welche sowohl Payment-Transaktionen, als auch Kontoinformationsservices über offene Schnittstellen Drittanbietern zugänglich machen wollen. Konkret werden Banken sogar dazu verpflichtet, diese Schnittstellen anzubieten.

Damit laufen viele Banken Gefahr, ihre letzte Kundenbeziehung im Retail Banking – nämlich die eigene eBanking Lösung – an externe Anbieter zu verlieren. Wer also in diesem Markt bestehen will, muss sich an den digitalen Bedürfnissen der Kunden orientieren. Konkret bedeutet dies:

  1. Die Bedienung aller Interaktionskanäle: Dies bedeutet Präsenz in eCommerce Lösungen genauso wie an allen wesentlichen Point-of-Sale-Stationen, vom ATM bis zum Zeitungsstand.
  2. Maximaler Bedienungskomfort: Der Kunde hat die Wahl und er wird sich für die für ihn einfachste und jederzeit verfügbare Lösung entscheiden. Konkret wird kein Weg an Smartphone-basierten Lösungen vorbei führen.
  3. Minimale Kosten für Onboarding und Transaktionen: Auch hier wird der Markt spielen, was letztlich bedeutet, dass sowohl Transaktions- wie auch Etablierungskosten für den Kunden wegfallen werden.
  4. Hohes Vertrauen in den Anbieter: Im Vordergrund steht hier weniger das finanzielle Risiko bei Finanztransaktionen oder die Sicherheit der Transaktionsplattform. Vielmehr geht es um den Schutz von Privatsphäre und Kontrolle über die Verwendung von persönlichen Daten.

Hohes Potential für Banken in Zeiten von PSD2

Kurzum: Kundeninformationen werden zur zentralen Drehscheibe der Digitalisierung. Nicht nur im Finanzsektor, sondern Branchenübergreifend. Kundeninformationen sind also nicht mehr Eigentum der Banken, sondern werden in sogenannten Trustcentern – vertrauenswürdigen Organisationen, welche rechtsgültige Identitäten herausgeben und speichern – gesammelt. Und nicht erst seit der neuen EU-Datenschutz-Grundverordnung ist klar, dass mehr Kontrolle und damit auch Verantwortung zur Datenverwendung an den Kunden zurückgehen muss.

Für die Authentisierungslösungen der Banken hat dies entscheidende Konsequenzen.

Durch PSD2 werden die Banken über kurz oder lang gezwungen, externe Trustcenter und damit deren Authentisierungslösungen für Payment- und Account-Services zu akzeptieren. Andererseits bietet sich den Banken auch die einmalige Chance, selber Trustcenter und elektronische Identitäten zu etablieren. Schließlich stehen durch den KYC (Know Your Customer) Prozess bereits rechtlich gültige und verifizierte Daten bereit. Gerade dieser Prozess bildet immer noch eine der größten Hürden für den Aufbau eines erfolgreichen Trustcenters. Der Erfolgsfaktor Nummer Eins wird schlussendlich an der Akzeptanzrate der Kunden gemessen. Deren Bedürfnisse optimal zu erfüllen erfordert eine Abkehr von engstirnigem Security-Denken hin zu innovativen Lösungen, welche den neuesten Stand der Entwicklung, sowohl in der Kundeninteraktion als auch bei allen dafür eingesetzten Technologien, berücksichtigen.

Diesem Anspruch will auch die ti&m security suite gerecht werden, indem durch den Einsatz von Smartphones als Authentisierungsmittel maximaler Benutzerkomfort sichergestellt wird. Dies auch dank der breiten Unterstützung moderner Smartphone-Crypto-Hardware auf einer Sicherheitsstufe, welche dem Vergleich mit SmartCards standhält.

Partner des Bank Blog - ti&m

Partner des Bank Blog – ti&m


Mehr über das Partnerkonzept des Bank Blogs erfahren Sie hier.

Über den Autor

Harald Böttcher

Harald Böttcher arbeitet seit 2009 bei ti&m als Principal im Bereich Security. Zuvor war er als Solution Architect und Teamleiter in verschiedenen Unternehmen tätig und blickt auf eine 20-jährige Erfahrung im Consulting zurück. Sein Studium als El. Ing. HTL, Betriebsingenieur ISZ/SIB absolviert er an der Hochschule für Technik in Zürich.

Vielen Dank fürs Teilen und Weiterempfehlen


Mit dem kostenlosen Bank Blog Newsletter immer informiert bleiben:

Anzeige

Get Abstract: Zusammenfassungen interessanter Businessbücher

Kommentare sind geschlossen

Bank Blog Newsletter abonnieren

Bank Blog Newsletter abonnieren