Biometrische Verfahren bei Finanzdienstleistern Wer beherrscht den Spagat zwischen Sicherheit und Komfort?
30. April 2015Um den Kunden Sicherheit und Komfort zu bieten, müssen Finanzdienstleister innovative Lösungen bereitstellen. Biometrische Verfahren erlauben eine zuverlässige Personalisierung von Endgeräten, indem sie personenbezogene durch personengebundene Merkmale ersetzen. Damit können Banken sich auch als Dienstleister für die digitale Authentifizierung positionieren. Allerdings bringen Anbieter, die nicht aus dem Bankensektor kommen wie etwa Paypal oder Amazon Payment, neue Sicherheitsverfahren mit. Sie zeichnen sich durch mehr Komfort aus und gefallen den Anwendern somit besser. Doch wo bleibt die Sicherheit?
Viele Verfahren
Die Vielzahl von Verfahren, die Finanzdienstleister in der Vergangenheit eingesetzt haben, zeigt, dass eine dauerhaft befriedigende Lösung noch nicht gefunden wurde. Gerade angesichts neuer Player im Markt wird es Zeit für innovative Ansätze bei der Sicherung des Online-Bankings. Im Mittelpunkt steht dabei die Personalisierung der mobilen Endgeräte, die eine eindeutige Identifizierung des jeweiligen Nutzers ermöglicht.
Grundsätzlich ließe sich das zum Beispiel über die IMEI (International Mobile Equipment Identity) regeln, da diese jedes Handy identifiziert und damit über den jeweiligen Vertrag auch den Nutzer. Die Verbindung Gerät – Vertrag – Nutzer ist allerdings nicht immer zwingend gegeben, sie löst sich beispielsweise beim Verlust eines Geräts auf; für das Online-Banking ist dieser Ansatz also nicht brauchbar.
Es führt daher kein Weg am Einsatz biometrischer Verfahren für das Online-Banking vorbei, und in etlichen Ländern, beispielsweise in Japan, sind diese bereits sehr verbreitet. Die Biometrie ersetzt personenbezogene durch personengebundene Merkmale; damit und nur damit wird die eindeutige Personalisierung der Endgeräte möglich, was für die Verbindung von Sicherheit und Komfort einen Meilenstein darstellt. Wenn nämlich technisch sichergestellt werden kann, dass der berechtigte Nutzer aktuell das Gerät kontrolliert und niemand sonst, dann benötigt man auch keine anderen Kontrollmechanismen wie PIN und TAN. Der bislang gewollte Medienbruch, beziehungsweise die "Kanaltrennung", das von der IT getrennte Sicherheitsmerkmal – die klassische TAN-Liste kommt per Post –, entsteht dann nämlich schon durch die Verbindung von Finger und Scanner, was sinngemäß auch für andere Merkmale gilt.
Technische Lösungen
Natürlich wird die Biometrie nicht das Ende von Cyber-Kriminalität im Online-Banking bescheren. Es wird auch in biometrischen Szenarien Angriffe, Malware, intelligente Angreifer und nicht rechtzeitig erkannte Sicherheitslücken geben. Aber es gibt einen wesentlichen Unterschied zum derzeitigen Ansatz: In biometrischen Szenarien lassen sich solche Herausforderungen technisch lösen.
Damit ist funktionierende Sicherheit nur noch zu einem sehr geringen Teil von der Mitwirkung, der Kompetenz und der Bequemlichkeit des Nutzers abhängig. Er muss sich nichts merken, muss nichts abrufen oder ein-schalten, er muss nur seinen Finger, den er nicht einmal verleihen kann, auf den Scanner legen, alles weitere – Verschlüsselung der biometrischen Informationen oder Abgleich mit Referenzdaten – hängt dann schon nicht mehr von ihm ab. Er kann eigentlich nur noch den falschen Finger auflegen, aber dann kommt er eben nicht an sein Konto heran.
Interessant ist bei biometrischen Lösungen außerdem, dass sie von Anfang an mobil zur Verfügung stehen und in Geräte integriert sind, von denen sich die Nutzer sowieso nicht mehr trennen wollen, sie lassen sich damit relativ leicht an das vorgefundene Nutzerverhalten anpassen. Erste Endgeräte mit Scanner für Fingerabdrücke wurden mit dem iPhone 5 und dem Samsung Galaxy S5 schon auf den Markt gebracht. Gemäß den Gepflogenheiten dieses Marktes ist damit zu rechnen, dass dieses Feature in wenigen Jahren auf allen mobilen Plattformen Standard sein wird. Freilich müssen die Systeme noch optimiert werden, um die bereits bekannt gewordenen Versuche, den Abdruck zu klonen, auszuschließen, beispielsweise durch die Ergänzung mit einer "Lebenderkennung".
Auf diesen Trend zur Biometrie müssen die Banken vorbereitet sein, und zwar nicht nur technisch, indem sie entsprechend ausgerüstete Anwendungen im Backoffice und Apps für ihre Kunden bereitstellen, was bislang erst in Ansätzen geschieht. Einmal als Standard gesetzt, eröffnet die Biometrie eine Vielzahl von Anwendungsszenarien – wobei es dahin gestellt bleiben muss, ob man sich nur auf den Fingerabdruck fokussieren sollte oder ob man alternative Methoden wie etwa Handgeometrie oder Stimmanalyse, die nicht einmal eine spezielle Eingabetechnik erfordern würde, mit ins Boot nehmen sollte.
Dienstleister für Authentifizierung
Bei biometrischen Verfahren ist es aber nicht notwendig, dass die Authentifizierung des Nutzers immer und ausschließlich über die jeweilige Bank erfolgt. Denkbar sind hier auch zertifizierte Authentifizierungsstellen, die die Identität des Nutzers feststellen. Das muss dann auch gar nicht nur für Bankgeschäfte gelten, sondern für beliebige Transaktionen, also auch für Einkäufe in beliebigen Webshops oder auch für E-Government. Dabei kann dann ein hoher Komfort – ohne spezifische Anmeldung und ohne TANs – mit hohem Sicherheitsniveau kombiniert werden. Kunden müssen die biometrischen Merkmale damit nicht bei einer Vielzahl von Shops hinterlegen, sondern nur beim Dienstleister.
Als so ein "Identitäts-Dienstleister" können aber auch Banken fungieren. Die Nutzer haben ja bereits ein Konto, für das sie sich identifizieren mussten, die für die Authentifizierung nötigen Daten sind bei der Bank also ohnehin hinterlegt, so dass auch die psychologische Einstiegshürde hier nur eine geringe Rolle spielen dürfte. Der Aufbau entsprechender Strukturen bedeutet natürlich einen hohen organisatorischen Aufwand und setzt außerdem eine institutsübergreifende Kooperation voraus. Separate Authentifizierungs-Lösungen und -Services für Sparkassen, Raiffeisenbanken und Geschäftsbanken dürften wenig Erfolg haben. Die Kunden wollen Komfort, und der ist am besten durch eine integrierte, institutsübergreifende Lösung zu realisieren.