Was ist eine Transaktionsbestätigung und wie funktioniert sie?

Die Transaktionsbestätigung ist eine Sicherheitsstufe, die für bestimmte Finanztransaktionen und Informationsaktualisierungen erforderlich ist. Sie wird zusätzlich zur Authentifizierung verwendet, um vor potenziell betrügerischen Angriffen zu schützen, die durch Schadsoftware verursacht werden können.

transaction-confirmation

Transaktionsbestätigung

Sicherheitsexperten sind sich einig, dass Benutzernamen und Passwörter keine ausreichende Abschreckung für betrügerische und illegale Praktiken in der digitalen Welt darstellen. Insbesondere dann nicht, wenn es sich um hochsensible Daten im Visier von Cyberkriminellen handelt. Dies trifft vor allem auf Finanzdaten, Anmeldedaten und Bankkonten zu.

Die Transaktionsbestätigung, die sich auf FIDO-Authentifikatoren (z.B. ein mobiles Gerät oder ein Token) stützt, soll eine zusätzliche Sicherheitsebene schaffen, indem sie bestätigt, dass eine Transaktion rechtmässig ist und vom Inhaber des Kontos oder der Informationen tatsächlich autorisiert wurde. Dies wird erreicht, indem vor Durchführung einer Transaktion der Besitznachweis eines privaten Schlüssels verlangt wird. Das heisst, selbst wenn ein Konto gehackt wird, können keine Transaktionen durchgeführt werden, ohne zunächst zusätzliche Sicherheitsstufen zu durchlaufen.

Die Transaktionsbestätigung kann zum Bestätigen jeglicher Art von Transaktionen verwendet werden, vom Anmeldevorgang bis hin zu den eigentlichen Transaktionen, die nach erfolgter Anmeldung eines Benutzers durchgeführt werden (z. B. Geldüberweisungen, Zahlungen usw.).

Zudem geht die Transaktionsbestätigung über die blosse Authentifizierung der Transaktion selbst hinaus. Sie kann auch eingesetzt werden, um zu bestätigen, ob:

  • der überwiesene Betrag mit dem vereinbarten Betrag übereinstimmt.
  • der Diensteanbieter oder Einzelhändler tatsächlich derjenige ist, der er vorgibt zu sein.
  • die geteilten Daten tatsächlich die Daten sind, die der Benutzer zu teilen beabsichtigt.
  • der Benutzer selbst die Autorisierung einer Transaktion durch Dritte erteilt hat.

Dies bietet nicht nur zusätzliche Sicherheit für Verbraucher, Nutzer, Einzelhändler und Diensteanbieter, sondern gewährleistet auch die Einhaltung verschiedener gesetzlicher Verpflichtungen, einschliesslich der Datenschutz-Grundverordnung (DS-GVO) und der europäischen Zahlungsdiensterichtlinie PSD2.

Die Transaktionsbestätigung ist besonders wichtig für Transaktionen, bei denen der Diensteanbieter oder Einzelhändler zweifelsfrei wissen muss, dass der Benutzer bestimmte Informationen gesehen und akzeptiert hat (z. B. Altersnachweis usw.) und seine Zustimmung zur Durchführung einer Aktion erteilt hat (z. B. bei Zahlungsvorgängen).

Vorteile der Transaktionsbestätigung

Die Transaktionsbestätigung hat zahlreiche Vorteile, die sowohl den Verbrauchern als auch den Diensteanbietern zugutekommen. Sie gewährleisten ausserdem eine zielorientiertere Sicherheitsebene für bestimmte Aktivitäten. So können nicht nur offensichtlich illegale Betrügereien, sondern auch Praktiken wie Friendly Fraud („Freundlicher Betrug“) unterbunden werden. Im Folgenden werden einige Gründe genannt, warum Diensteanbieter die Transaktionsbestätigung in Betracht ziehen sollten:

  • Mehr Kontrolle über den Transaktionsprozess für den Verbraucher: Die Transaktionsbestätigung gibt den Verbrauchern die volle Kontrolle über ihre Konten und ihre personenbezogenen und finanziellen Daten, indem sie die Prozesse vereinfacht, die für Erteilung und Widerruf der Zustimmung sowie für die Änderung von Transaktionen erforderlich sind.
  • Zusätzliche Transparenz über den gesamten Transaktionsprozess: Die Transaktionsbestätigung bietet den Benutzern einen vollständigen und umfassenden Überblick darüber, wie, wann, von wem und zu welchem Zweck ihre Daten verwendet werden.
  • Rückverfolgbarkeit von Übertragungen: Die Transaktionsbestätigung stellt sicher, dass ein vollständiger Überblick über alle Transaktionen vorliegt, einschliesslich Informationen über transferierte Daten oder Geldbeträge sowie über alle am Transaktionsprozess beteiligten Personen. Da sich die Transaktionsbestätigung auf Authentifikatoren (authenticators) stützt, gibt es immer einen kryptografischen und unveränderlichen Nachweis dafür, was und von wem autorisiert wurde. Dies ist für Prüfungszwecke und zur Einhaltung von Vorschriften wie der europäischen PSD2-Richtlinie unerlässlich.
    Mehr Informationen zu PSD2 und PSD3 in unserem Blog.
  • Vereitelung von schwer aufzuspürenden Angriffen: Cyberkriminelle nutzen Angriffe wie Session Hijacking und Remote-Access-Trojaner, um Transaktionen vorzutäuschen oder zu manipulieren. Dies kann dazu führen, dass Kunden dazu verleitet werden, einen unbekannten Dritten zu bezahlen oder einen höheren Betrag als beabsichtigt zu überweisen. Da bei der Transaktionsbestätigung für jede Transaktion eine Autorisierung durch eine Benutzeraktion erforderlich ist, können diese Arten von Angriffen nahezu vollständig ausgeschlossen werden.
  • Verringerung des „freundlichen Betrugs“: Friendly Fraud – wenn Familienmitglieder oder Freunde ohne die Erlaubnis des Kreditkarteninhabers einkaufen ODER wenn ein Verbraucher einen Kauf leugnet – führt zu erheblichen finanziellen Verlusten für Online-Händler. Da die Transaktionsbestätigung einen eindeutigen Authentifikator erfordert, um eine Transaktion abzuschliessen, ist es für einen Verbraucher unmöglich, die Kenntnis einer Transaktion zu leugnen, nachdem diese abgeschlossen wurde.

Wie funktioniert eine Transaktionsbestätigung?

Wie bereits erwähnt, stützt sich die Transaktionsbestätigung auf FIDO-Authentifikatoren, die vor der Ausführung einer Transaktion einen Besitznachweis für einen privaten Schlüssel verlangen. Wie genau funktioniert das?

  • Transaktionsanfrage: Ein Benutzer stellt eine Transaktionsanfrage (Daten- oder Geldtransfer) an einen Diensteanbieter, eine Anwendung oder eine Website.
  • FIDO-Authentifizierungsanfrage: Der Diensteanbieter (u. a.) fordert vom Benutzer eine Bestätigung der Transaktion in Form eines Authentifikators an.
  • Bereitstellung des Authentifikators: Der Benutzer (sein Gerät) weist einen Authentifikator nach (z. B. durch Antwort auf eine Sicherheitsabfrage, „Challenge“), um sicherzustellen, dass er die Transaktion gesehen und seine Zustimmung zu ihrer Durchführung erteilt hat.
  • Validierung des Authentifikators: Der Diensteanbieter (u. a.) validiert den Authentifikator und die Transaktion wird durchgeführt.

FAQ zur Transaktionsbestätigung

Warum ist eine Transaktionsbestätigung wichtig?

orange-plus orange-minus

Die Transaktionsbestätigung ist wichtig, weil sie hilft, Doppelausgaben und andere Arten von Betrug zu verhindern. Durch die Überprüfung, ob eine Transaktion abgeschlossen und verbucht wurde, trägt der Bestätigungsprozess dazu bei, dass die Transaktion nicht rückgängig gemacht oder verändert werden kann.

Wo werden Transaktionsbestätigungen verwendet?

orange-plus orange-minus

Im Bankwesen: Banken verwenden Transaktionsbestätigungen, um ihren Kunden den erfolgreichen Abschluss von Überweisungen und anderen finanziellen Transaktionen zu bestätigen.

E-Commerce: Online-Händler verwenden Transaktionsbestätigungen, um ihren Kunden den erfolgreichen Abschluss von Bestellungen und Zahlungen zu bestätigen.

Kryptowährungen: Kryptowährungen wie Bitcoin verwenden Transaktionsbestätigungen, um sicherzustellen, dass die Transaktionen ordnungsgemäss abgeschlossen wurden, und um Doppelausgaben zu verhindern.

Versicherungen: Versicherungsunternehmen verwenden Transaktionsbestätigungen, um den erfolgreichen Abschluss von Versicherungspolicen und Zahlungen an ihre Kunden zu bestätigen.

Sind Transaktionsbestätigungen sicher?

orange-plus orange-minus

In der Regel sind Transaktionsbestätigungen sicher, wenn sie von einer vertrauenswürdigen Quelle stammen. Eine Transaktionsbestätigung ist im Grunde eine Bestätigung, dass eine Transaktion stattgefunden hat und dass die entsprechenden Mittel von einem Konto abgebucht oder auf ein Konto überwiesen wurden.

Wenn die Bestätigung von einer seriösen und vertrauenswürdigen Quelle stammt, z. B. von einem seriösen Finanzinstitut oder einem seriösen Online-Zahlungsdienst, dann ist die Bestätigung in einem solchen Fall normalerweise sicher und zuverlässig.

Welche Rolle spielt FIDO bei Transaktionsbestätigungen?

orange-plus orange-minus

"FIDO" ist ein Akronym für "Fast Identity Online", eine Gruppe von Standards und Protokollen, die sichere und benutzerfreundliche Authentifizierungstechnologien bieten. FIDO kann eine wichtige Rolle bei der Bestätigung von Transaktionen spielen, indem es eine starke, mehrstufige Authentifizierung auf der Grundlage einer Kombination aus biometrischen Daten und öffentlichen Schlüsseln ermöglicht.

Die FIDO-Authentifizierung erfolgt in der Regel in zwei Schritten: Zunächst wird der Benutzer aufgefordert, seine biometrischen Daten zu scannen, z. B. Fingerabdruck oder Gesichtserkennung, oder einen PIN-Code einzugeben. Anschliessend erfolgt eine Überprüfung mit Hilfe eines öffentlichen Schlüssels, der auf dem Gerät des Nutzers gespeichert ist, um sicherzustellen, dass der Nutzer tatsächlich berechtigt ist, die Transaktion durchzuführen.

Durch die Verwendung von FIDO können Nutzer ihre Identität schnell und einfach bestätigen und gleichzeitig ein hohes Mass an Sicherheit aufrechterhalten. Dies kann dazu beitragen, Betrug und Identitätsdiebstahl zu verhindern und die Sicherheit von Transaktionen zu erhöhen.
Weitere Informationen über die Grundsätze des FIDO-Datenschutzes in unserem Blog.