OneSpan Blog

10 Jahre Bauzeit: Finanzaufsichtsbehörden aktualisieren FFIEC-Authentifizierungsleitlinien

Cybersicherheit und starke Authentifizierung - Compliance
Michael Magrath, 20. September 2021
The FFIEC log in front of the US Capitol building

Zum ersten Mal seit einem Jahrzehnt haben die USA Eidgenössischer Prüfungsrat für Finanzinstitute ( FFIEC ) aktualisiert seine Authentifizierung und Zugriff auf Dienste und Systeme von Finanzinstituten Führung am 11.08.2021. Wenn 10 Jahre zwischen Updates lang erscheinen, ist es das. Vor einem Jahrzehnt war die Dynamik in den Bereichen Cybersicherheit, Informationssicherheit und Risikobewertung anders.

Ransomware existierte nicht, und die wissensbasierte Verifizierung (KBV), bei der einer Person eine Liste von Fragen vorgelegt wird, um ihre Identität zu überprüfen, bevor Authentifizierungsdaten ausgestellt werden, war die Norm und größtenteils vertrauenswürdig.

Die FFIEC ist ein formelles behördenübergreifendes Gremium, das sich aus dem Gouverneursrat des Federal Reserve System (FRB), der Federal Deposit Insurance Corporation (FDIC), der National Credit Union Administration (NCUA), dem Office of the Comptroller of the Currency (OCC .) zusammensetzt ) und das Consumer Financial Protection Bureau (CFPB). Das FFIEC hat die Aufgabe, „Empfehlungen zur Förderung einer einheitlichen Aufsicht über Finanzinstitute zu geben“.

Der Leitfaden des FFIEC gilt für regulierte Finanzinstitute (FIs) und Dritte, die im Namen des FI Zugang zu Informationssystemen und Authentifizierungskontrollen gewähren. Gemäß den Leitlinien richten sich die „Grundsätze und Praktiken an Geschäfts- und Verbraucherkunden, Mitarbeiter und Dritte, die auf digitale Bankdienstleistungen und Informationssysteme von Finanzinstituten zugreifen“.

Highlights aus dem neuen Leitfaden des FFIEC

Das FFIEC empfiehlt, dass FIs ihre Benutzer und Kunden identifizieren sollten, die Authentifizierungs- und Zugriffsmanagementkontrollen rechtfertigen, sowie diejenigen Benutzer und Kunden, die möglicherweise strengere Authentifizierungskontrollen wie Multi-Faktor-Authentifizierung (MFA) benötigen.

Entsprechend weist die FFIEC regulierte FIs darauf hin, dass die Ein-Faktor-Authentifizierung, die normalerweise bekannt ist, wie ein Benutzername und ein statisches Passwort, unzureichend ist. Darin heißt es: „Angriffe auf Systeme und Benutzer, die mit Ein-Faktor-Authentifizierung geschützt sind, führen oft zu unbefugtem Zugriff, was zu Datendiebstahl oder -zerstörung, nachteiligen Auswirkungen durch Ransomware, Betrug von Kundenkonten und Identitätsdiebstahl führt. Dementsprechend hat sich die Verwendung der Ein-Faktor-Authentifizierung als einziger Kontrollmechanismus als unzureichend gegen diese Bedrohungen erwiesen.“

Der Leitfaden fügt auch hinzu, dass "... böswillige Aktivitäten, die zu einer Kompromittierung von Kunden- und Benutzerkonten und der Sicherheit von Informationssystemen führen, gezeigt haben, dass die Ein-Faktor-Authentifizierung, entweder allein oder in Kombination mit mehrschichtiger Sicherheit, in vielen Situationen unzureichend ist."

Dies wird durch eine Präsentation des Financial Crimes Enforcement Network (FinCEN) des US-Finanzministeriums beim FedID-Forum 2020 unterstützt.FinCEN beschrieb, wie Kriminelle Schwachstellen in Identitätssystemen ausnutzen, um jeden Monat mehr als 1 Milliarde US-Dollar an Cyberkriminalität zu begehen.Zu den Hauptzielen für schwache Authentifizierung gehören Business Email Compromise (BEC), die einen Verlust von 433 Millionen US-Dollar pro Monat ausmachen, dicht gefolgt von Account Takeover-Angriffen (ATO), die 350 Millionen US-Dollar pro Monat stehlen.

Darüber hinaus stellt das FFIEC angemessen fest, dass nicht alle MFA-Lösungen die gleiche Benutzerfreundlichkeit und Sicherheit bieten. Es weist darauf hin, dass "bestimmte MFA-Faktoren anfällig für 'Man in the Middle' (MIM)-Angriffe sein können, beispielsweise wenn ein Hacker einen einmaligen Sicherheitscode abfängt, der an einen Kunden gesendet wird." Dies ist wahr, da NIST dieses Beispiel in seiner Richtlinien zur digitalen Identität: Authentifizierung und Lifecycle-Management (Sonderveröffentlichung 800-63B). Im Juli 2020 veröffentlichte NIST Sonderpublikation 800-63: Häufig gestellte Fragen zu Richtlinien zur digitalen Identität erinnert die Leser daran, dass SMS-OTP ein „ eingeschränkt “ Authentifikator.

Während die aktualisierten Leitlinien die wachsende Bedrohungslandschaft abdecken und anführen, dass sich das digitale Banking über Smartphone-Apps, mobile Computer und andere Technologien ausgeweitet hat, verpassen sie eine Gelegenheit, FIs zu empfehlen, ihre Anwendungen vor Malware zu schützen, um Manipulationen und Debugging zu verhindern und ihre mobile App zu schützen. sogar auf Geräten mit Jailbreak, Root und potenziell kompromittierten Geräten.

Abschnitt 11: Identitätsprüfung

Abschnitt 11 des Leitfadens konzentriert sich auf die Identitätsprüfung, eine kritische Komponente der Know Your Customer (KYC)-Vorschriften. Darin heißt es: „Überprüfungsmethoden, die betrügerische Aktivitäten wie synthetische Identitäten und Fälle von Identitätsdiebstahl erkennen, haben sich als wirksam erwiesen, um das mit der Identitätsüberprüfung verbundene Risiko zu minimieren.“ Dies ist besonders kritisch, wenn man bedenkt, dass in der oben erwähnten FinCEN-Präsentation Identitätsdiebstahl und synthetischer Identitätsbetrug nun jeden Monat 256 Millionen US-Dollar an Cyberkriminalität ausmachen.

Das FFIEC betont, dass „zuverlässige Verifizierungsmethoden im Allgemeinen nicht allein von wissensbasierten Fragen zur Identitätsprüfung abhängen“. Wir stimmen zu und empfehlen Methoden zur digitalen Identitätsprüfung wie z Ausweisüberprüfung und Gesichtsvergleich .

Diese Technologien werden aufgrund der Pandemie schnell angenommen. Während die Pandemie Finanzinstitute dazu zwang, neue Kunden aus der Ferne aufzunehmen, war der Zeitpunkt der 2018 Wirtschaftswachstum, Regulierungsentlastung und Verbraucherschutzgesetz ermöglichte es vielen FIs, auch weiterhin außerhalb einer Filiale und ohne Notstandsgesetze Neukunden zu akquirieren. Abschnitt 213 des Gesetzes erlaubt die Verwendung eines gescannten Führerscheins oder eines anderen von der Regierung ausgestellten Personalausweises, der auf seine Echtheit überprüft wurde, und kombiniert mit der Überprüfung der Person, die KBV einschließen könnte und Abgleich des Führerscheinfotos mit einem Handy-Selfie während des Bewerbungsprozesses.Dies nutzt die Gesichtserkennungstechnologie, und der Prozess erfüllt die Anforderungen der FFIEC.

Evaluierung von Authentifizierungslösungen

Scan-ID

Um FIs bei der Auswahl geeigneter Authentifizierungslösungen für ihr Risikoniveau zu unterstützen, enthält der Leitfaden einen Anhang, der die wichtigsten Authentifizierungsoptionen auflistet, wie zum Beispiel:

  • Gerätebasierte PKI-Authentifizierung (Public Key Infrastructure): Das Paradebeispiel hierfür sind von der . zertifizierte Lösungen Fast Identity Online (FIDO) Allianz den Spezifikationen der Allianz entsprechen. Obwohl die FFIEC FIDO nicht speziell nennt, führt sie die NIST-Sonderpublikation 1800-17 mit einer Fußnote aus. Multifaktor-Authentifizierung für E-Commerce: Risikobasierte, universelle FIDO-Zweitfaktor-Implementierungen für Käufer .
  • Einmalpasswörter (OTPs) mit spezifischer Hardware oder einer mobilen App. (Beachten Sie, dass dies nicht mit SMS-OTP identisch ist.)
  • Verhaltensbiometrie : Diese Authentifizierungstechnologie analysiert, wie eine Person mit ihrem Gerät interagiert, einschließlich der Tastenanschlagdynamik, des Fingerdrucks auf der Tastatur und des Winkels, in dem sie ihr Telefon halten. Es ermöglicht eine dauerhafte, aber völlig transparente Authentifizierung während der gesamten Banking-Sitzung.
  • Geräteidentifikation und Registrierung: Eindeutige Identifikatoren oder Merkmale wie Geolokalisierung und IP-Adresse „werden eines Geräts identifiziert und zur Authentifizierung verwendet, indem ein komplexer digitaler ‚Fingerabdruck‘ des Geräts oder durch andere sichere Identifizierungstechniken erhalten wird.“

Angesichts des schnellen Wandels der Informationstechnologie, der Sicherheitskontrollen und der Bedrohungen im Zusammenhang mit der Internet-Banking-Umgebung erwarte ich nicht, dass die FFIEC ein weiteres Jahrzehnt warten wird, um ihre Authentifizierungsleitlinien für FIs zu aktualisieren.

Als einer der kritischen Infrastruktursektoren des Landes ist es für die Finanzdienstleistungsbranche von entscheidender Bedeutung, diese Leitlinien einzuhalten, um Kunden und Kundeninformationen, ihren Markenruf und ihren Aktionärswert durch eine effektive Authentifizierung zu schützen. Während viele FIs ihren Kunden heute starke Authentifizierungslösungen anbieten, tun dies nicht alle. Die gute Nachricht für Amerikas Bankkunden ist, dass, wenn Ihr Finanzinstitut Ihnen nicht bereits die Möglichkeit bietet, Ihr eigenes Gerät für eine stärkere Authentifizierung zu verwenden, dies wahrscheinlich bald der Fall sein wird.

OneSpan Cloud-Authentifizierungsdemo auf einem Laptop

OneSpan Cloud-Authentifizierungsdemo

Erfahren Sie, wie OneSpan Cloud Authentication Unternehmen hilft, Betrug zu reduzieren, die Benutzererfahrung zu verbessern und behördliche Anforderungen zu erfüllen.

Jetzt ansehen
FFIEC Authentifizierung verhaltensbasierte Biometrie OTP
Michael Magrath
Michael Magrath

Michael Magrath ist dafür verantwortlich, die Roadmap für die OneSpan-Lösung weltweit an Standards und behördlichen Anforderungen auszurichten. Er ist Co-Vorsitzender der Arbeitsgruppe Government Deployment der FIDO Alliance und Mitglied des Board of Directors der Electronic Signature and Records Association (ESRA).

Zur Spitze gehen