Freund und Hacker - Wie Unternehmen von ethischen Hackern profitieren
Mobile Banking gewinnt zunehmend an Bedeutung. Eine Studie der Hochschule Luzern (HSLU) zeigt, dass die Zahl der Logins über ein mobiles Endgerät in den letzten Jahren deutlich zugenommen hat. So betrug die Wachstumsrate der Logins via Smartphone durchschnittlich über 30 Prozent pro Jahr. Für Banken und Finanzinstitute bedeutet dies, dass der mobile Zugang zu Bankdienstleistungen zu einem der wichtigsten Kanäle für Verbraucher geworden ist. Authentifizierung und Login sollten daher so einfach und reibungslos wie möglich sein. Andererseits müssen aber auch Sicherheitsstandards gewährleistet sein, um Kunden und ihre Konten vor unberechtigten Zugriffen und im schlimmsten Fall vor Betrug zu schützen. Vor welchen Herausforderungen Banken hier stehen, welche typischen Stolpersteine es im Bereich der Kundenauthentifizierung gibt und wie diese beseitigt werden können, lesen Sie hier.
Authentifizierung in Core-Banking-Systemen
Die Authentifizierung spielt im Core Banking eine entscheidende Rolle. Die hochsensiblen Kundendaten müssen nicht nur aus regulatorischer und gesetzlicher Sicht geschützt werden. Denn ist die Sicherheit der Finanzdaten nicht gewährleistet, drohen den Banken neben hohen Bussgeldern auch Reputationsschäden. Darüber hinaus müssen die Sicherheitsverfahren so gestaltet sein, dass sie für den Kunden möglichst einfach und reibungslos funktionieren. Hier gilt es also, die Balance zu halten.
Doch genau an diesem Punkt hapert es bei einigen Banken. So setzen sie immer noch auf veraltete Login-Verfahren wie das mobileTAN-Verfahren (mTAN) oder Hardware-Token. Dies ist aus Kundensicht weder sicher noch effizient. Zwar handelt es sich dabei auch um Authentifizierungsverfahren, doch gibt es weitaus sicherere Möglichkeiten der Multi-Faktor-Authentifizierung (MFA). Durch die passwortlose Authentifizierung nach dem international anerkannten FIDO-Standard, z.B. durch den Einsatz von Biometrie, ist der Anmeldevorgang nicht nur sicherer, sondern der Kunde erlebt auch eine reibungslose Customer Experience.
Die Bedeutung von mehrstufiger Authentifizierung für das Core Banking
Cyberkriminelle haben in der Vergangenheit immer raffiniertere Methoden entwickelt, um die Multi-Faktor-Authentifizierung auszuhebeln. Denn selbst wenn sich der vermeintlich „echte“ Kunde mittels Benutzername, Passwort und SMS-Einmalpasswort (One-Time-Password) anmeldet, ist nicht unbedingt sichergestellt, dass es sich tatsächlich um die berechtigte Person handelt.
Mittels Remote Access Trojanern (RAT) oder Social Engineering Angriffen gelingt es Kriminellen immer wieder, die MFA zu umgehen und an sensible Finanzdaten der Konsumenten zu gelangen. Der finanzielle Schaden, der dadurch jährlich weltweit entsteht, geht in die Milliarden. Die mehrstufige Authentifizierung im Core Banking ist daher von grosser Bedeutung, um unberechtigte Zugriffe auf Finanzdaten und Betrugsversuche von Cyberkriminellen präventiv abzuwehren.
Um die Sicherheit nach dem Login und während einer Kontositzung zu gewährleisten, sind insbesondere kontextbasierte Prüfungen erforderlich. Mittels einer risikobasierten adaptiven Authentifizierung können für eine verdächtige Kontositzung nachgelagerte Login-Massnahmen veranlasst werden. Dies ist beispielsweise der Fall, wenn ein Remote Access Trojaner automatisiert auf ein Kundenkonto zugreifen möchte. Da sich die Malware nicht typisch „menschlich“ verhält, zum Beispiel durch eine konstante Tippgeschwindigkeit, kann dies durch eine User Behavior Analyse (UBA) erkannt werden. Dieses Verhalten ist verdächtig und nicht typisch für einen „echten“ Bankkunden und die Bank kann bei der Anmeldung einen weiteren Authentifizierungsschritt auslösen.
Aber nicht nur ungewöhnliche Verhaltensmuster deuten auf einen Betrugsversuch hin. Auch das Einloggen von einem ungewöhnlichen Ort aus kann darauf hinweisen, dass ein Krimineller am Werk ist. Um das zu überprüfen, kann mit Hilfe von Geo-Velocity der Standort einer Person, die versucht, sich in ein Konto einzuloggen, ermittelt werden. Weicht das geografische Bewegungsmuster stark vom Üblichen ab oder treten ungewöhnliche Transaktionsmuster über verschiedene Regionen und Länder auf, kann dies ebenfalls ein Hinweis auf eine betrügerische Aktivität sein.
Eine mehrstufige Authentifizierung für Kernbankensysteme bietet sowohl der Bank als auch dem Kunden eine deutlich höhere Sicherheit.
Das Beste aus beiden Welten: Höchste Sicherheit und zufriedene Kunden
Sowohl die Sicherheit als auch die User Experience aus Kundensicht spielen eine Schlüsselrolle im Core Banking. Da die Sicherheit im Wesentlichen durch die Authentifizierung gewährleistet wird, ist deren schnelle, einfache und sichere Abwicklung ein kritischer Erfolgsfaktor. Überlagert die Sicherheit jedoch das Kundenerlebnis, wird es kritisch. Denn Studien zeigen, dass bereits ein schlechtes Erlebnis ausreichen kann, um 20 Prozent der Kunden dauerhaft zu verlieren.
Um False Positives zu vermeiden, empfiehlt es sich, ein sicheres und FIDO-konformes Login zu implementieren, damit die zusätzlichen Sicherheitsmassnahmen weniger streng ausfallen können. Denn eine weitere Authentifizierungsmassnahme wird nur dann eingeleitet, wenn es zu einer extremen Abweichung im Anmeldevorgang kommt. Somit besteht auch nicht die Gefahr, die Geduld der Kunden durch zu strenge Sicherheitsmassnahmen zu strapazieren.
Darüber hinaus kann die Implementierung von Single Sign-On dazu beitragen, dass der Kunde eine positive Benutzererfahrung macht. Schliesslich muss er sich nur einmal bei einem Identity Provider anmelden, um domainübergreifend auf mehrere Anwendungen zugreifen zu können.
