OneSpan Blog

Diese 3 Anforderungen sollten Lösungen für die kennwortlose Authentifizierung erfüllen können

Authentifizierung - Markteinblicke
David Vergara, 18. Mai 2022
3 Key Requirements for the Best Passwordless Authentication Solutions

Finanzinstitute interessieren sich zunehmend für kennwortlose Authentifizierungslösungen und implementieren sie, um komplexen Betrügereien, mangelnder Benutzerfreundlichkeit und den hohen Betriebskosten von Kennwörtern ein Ende zu setzen.

Es ist erstaunlich, wie stark Banken von Betrug betroffen sind. Verlorene und gestohlene Kennwörter sind ein Nährboden für Kontoübernahmen (ATO), Datenschutzverletzungen und anderen Betrug. Aktuell sind im Dark Web über 15 Milliarden gestohlene Kennwörter verfügbar; viele dieser Kennwörter werden von Bankkunden über mehrere Websites und digitale Ökosysteme hinweg wiederverwendet. Das Resultat: Ein explosionsartiger Anstieg von Betrugsfällen, der Banken und Unternehmen nach  Schätzungen des FBI. mit etwa 6,9 Milliarden Dollar teuer zu stehen kommt. Lösungen ohne Kennwörter sind von Natur aus besser geeignet, um Betrug zu verhindern, da es für Hacker einfach nichts zu knacken oder über mobile Malware, Trojaner oder Social Engineering zu stehlen gibt.

Noch wichtiger als die Bekämpfung von Betrug ist den Banken jedoch das Umsatzwachstum: Laut einer aktuellen Forrester-Umfrage gaben 39 % der Banken an, dass Wachstum für sie an erster Stelle ihrer Prioritäten steht. Das A und O beim Ausbau digitaler Kanäle ist es, benutzerfreundliche Erfahrungen bereitzustellen, denn je einfacher es für Bankkunden ist, sicher auf ihre Bankanwendung zuzugreifen, desto mehr Dienste nehmen sie in Anspruch. Das wirkt sich positiv auf die Erträge aus. Kennwortlose Lösungen bieten eine Benutzererfahrung, die dazu beiträgt, das Banking einfacher zu machen.

Der Support ist darüber hinaus für Plattformen, die Kennwörter einsetzen, viel kostspieliger als für kennwortlose Plattformen. Laut einer Umfrage des Ponemon Institute aus dem letzten Jahr spart ein durchschnittliches Unternehmen durch kennwortlose Authentifizierung etwa 1,9 Millionen Dollar an Kosten. Ein erheblicher Teil der eingesparten Helpdesk-Kosten ist dabei vor allem darauf zurückzuführen, dass keine Kennwörter mehr zurückgesetzt werden müssen.

Die kennwortlose Authentifizierung kann bei den drei oben beschriebenen Problematiken ganz klar Abhilfe schaffen. Die Frage ist, welche Anforderungen eine Lösung erfüllen muss, damit die Einführung und Bereitstellung der kennwortlosen Authentifizierung einer Bank erfolgreich vonstatten geht? Dies sind die drei wichtigsten Funktionen, die den größten Unterschied machen:

  • Ein breites Spektrum an kennwortlosen Authentifizierungsmethoden
  • Die Fähigkeit, komplexe Betrugsfälle bei der Anmeldung und nach der Anmeldung zu bekämpfen
  • Schnelligkeit und Flexibilität bei der Einführung neuer kennwortloser Authentifizierungstechnologien

Im Folgenden gehen wir auf jede dieser drei Anforderungen näher ein.

Ein breites Spektrum an Authentifizierungsmethoden

Eine effektive kennwortlose Authentifizierungsstrategie und -bereitstellung erfordert unbedingt ein breites Spektrum an unterstützenden Multi-Faktor-Authentifizierungstechnologien (MFA). Dabei kann eine Mischung aus Hardware (z. B. eine Smartcard) und Software (z. B. Sicherheitsschlüssel) in hybriden Implementierungen zum Einsatz kommen. Dies ist deshalb so wichtig, weil der Übergang zum kennwortlosen Zugang eine Umstellung ist, bei der die Erwartungen der einzelnen Kundensegmente Ihrer Bank sowie das angemessene Sicherheitsniveau zur Eindämmung von Betrug berücksichtigt werden müssen.

So kann es für eine Gruppe von Bankkunden akzeptabel sein, sich über einen biometrischen Gesichts- oder Fingerabdruckscan auf ihrem Mobilgerät bei ihrer Bankanwendung anzumelden, während andere Kundengruppen eine Push-Benachrichtigung für den Zugang bevorzugen. Die Erwartungen dieser verschiedenen Endnutzergruppen ändern sich auch je nach Anwendungsfall. Eine einfache Überprüfung des Kontostands kann mit einer biometrischen Methode durchgeführt werden, eine Überweisung von hohen Beträgen erfordert jedoch eher einen sichereren, verschlüsselten farbigen QR-ähnlichen Code zur Authentifizierung des Benutzers und seiner Transaktion. Ein solcher Code kann einfach über ein Mobiltelefon oder einen Hardware-Token gescannt werden und bietet ein Höchstmaß an Schutz vor Social Engineering und Person-in-the-Middle-Angriffen (auch als Man-in-the-Middle oder MitM bezeichnet).

Bieten Banken nicht die Möglichkeit, eine Vielzahl von kennwortlosen Software- und Hardware-Authentifizierungsmethoden zu kombinieren und einzusetzen, laufen sie in Gefahr, wichtige Benutzergruppen zu verprellen.
Kurz gesagt, jeder Ansatz für die Umstellung auf die kennwortlose Authentifizierung sollte sich daran orientieren, wie sich die Kunden die Anmeldung idealerweise vorstellen. Das bedeutet auch, die Möglichkeit zu bieten, Authentifizierungsoptionen, einschließlich Hardware und Software, zu kombinieren und anzupassen, um den Erwartungen aller Gruppen über alle Bankkanäle hinweg am besten gerecht zu werden.

Ausgefeilte Betrugsabwehr

Anwenderfreundlichkeit allein reicht jedoch nicht aus. Was nutzt die beste Benutzererfahrung mit der kennwortlosen Authentifizierung, wenn sie nicht die breite Palette von Betrugsversuchen verhindert, die derzeit im Umlauf sind? Erfolgreicher Betrug erfolgt weniger im Zuge von Brute-Force-Angriffen oder mithilfe von bösartigem Code, der in das Identitäts- und Zugriffsmanagement- oder Active-Directory-System vor Ort eindringt. Die erfolgreichsten Angriffe richten sich heute direkt gegen Bankkunden (z. B. Social Engineering) und mobile Bankanwendungen (z. B. Malware und Trojaner).

Laut einer Studie von Statistica gehören Banken zu den drei am häufigsten von Phishing-Angriffen betroffenen Organisationen. Von einer Steigerung von 300 % bei Phishing-Angriffen auf Bankkunden wurde in einer anderen Studie berichtet. Weit verbreitete Phishing-Kits, die im Dark Web zum Verkauf stehen, machen es schnell, einfach und billig, Phishing-Seiten zu hosten, die Angriffe auf Bankkunden ermöglichen.

Auch im mobilen Banking-Kanal findet Betrug statt: Eine Umfrage von Aite-Novarica   ergab, dass 65 % der Verbraucher in den USA, Großbritannien und Deutschland mindestens einmal pro Woche über mobile Geräte auf ihr Bankkonto zugreifen. Wenn man sich einerseits diese wachsende Abhängigkeit von mobilen Geräten ansieht, andererseits das Ergebnis einer DevSecOps-Umfrage betrachtet, aus der hervorging, dass 47 % der Entwickler Sicherheit zwar als wichtig erachten, aber nicht genug Zeit dafür haben, ergibt sich ein alarmierendes Bild: Der Zugriff über mobile Geräte nimmt zu, während die Sicherheit der Bankanwendungen aus diesen Geräten abnimmt. Daher ist entscheidend, welcher Schutz für die kennwortlosen Authentifizierungs-Workflows geboten wird, und wie stark die Authentifizierung innerhalb der Bankanwendung ist.

Eine umfassende kennwortlose Authentifizierungslösung, die diesen Risiken die Stirn bietet, kombiniert kennwortlose Authentifizierung mit ergänzender Sicherheitstechnologie. Die optimale Lösung umfasst eine phishing-sichere kennwortlose Methode wie die Cronto-Technologie von OneSpan, sowie Abschirmung von Anwendungen, einen sicherem Kanal und kontinuierliche Sitzungsüberwachung.

  • Cronto ist eine starke kennwortlose Technologie, die, da sie durch die Bank initiiert wird, Phishing-Angriffe wirksam verhindert.
  • Durch die Abschirmung von Anwendungen wird die mobile Banking-App vor Manipulationen, Reverse Engineering und Malware geschützt, die Anmeldedaten aufdecken und Betrug durch Kontoübernahme begünstigen können.
  • Der sichere Kanal bietet eine verschlüsselte Client-Server-Kommunikation, die Person-in-the-Middle-Angriffe vereitelt.
  • Die kontinuierliche Sitzungsüberwachung geht über die Anmeldung hinaus und erhöht die Sicherheit bei anderen Aktivitäten in derselben Sitzung, z. B. bei einem Wechsel des Begünstigten.

Eines ist sicher: Hackern stehen umfangreiche Werkzeuge zur Verfügung, um ein Konto zu übernehmen oder ähnliche Delikte zu begehen. Die kennwortlose Authentifizierung ist in Verbindung mit diesen ergänzenden Sicherheitstechnologien jedoch gut geeignet, um selbst die komplexesten Angriffe zu verhindern und gleichzeitig ein optimales, reibungsloses Benutzererlebnis zu bieten.

Erweiterbare Plattform zur Authentifizierung

Eine gute Plattform muss flexibel sein. Sie muss auf verschiedenen Arten von kennwortlosen Authentifizierungstechnologien und Fähigkeiten, Betrug zu erkennen und zu verhindern, aufbauen und muss bei Bedarf einfache spontane Änderungen ermöglichen.

Lassen Sie mich ein bisschen ausholen: Wir schreiben das Jahr 2017 und NIST erklärt offiziell, dass SMS für 2FA eine veraltete Lösung ist. Warum? Die Schwachstellen sind gut dokumentiert worden. Zum Beispiel können Sicherheitslücken im SS7-Netzwerk dazu genutzt werden, eine SMS-Nachricht mit einem Einmalkennwort (OTP) abzufangen oder umzuleiten. Dies passiert auch durch das SIM-Swapping, bei dem beim Mobilfunkanbieter des Bankkunden eine neue SIM-Karte mit der Handynummer Ihres Bankkunden beantragt wird und Betrüger daraufhin alle OTPs erhalten und auf Konten zugreifen können.

Wenn Sie der IT-/Sicherheitsmanager der Bank sind und SMS-OTP verwenden, wie reagieren Sie? Wie einfach ist die Einführung einer neuen Authentifizierungsmethode? Wie beeinträchtigt das die Kunden?

Bei vielen Banken sind die Methode der Benutzerauthentifizierung und der Workflow hart codiert. Das bedeutet, dass jede Änderung der Authentifizierungsmethode eine komplette Neuschreibung des Codes der Bankanwendung und der zugehörigen Authentifizierungsworkflows erfordert. Dies ist natürlich mit erheblichen Kosten für die Bank verbunden und erhöht das Risiko von Serviceunterbrechungen für die Kunden.

Eine wirklich flexible, Cloud-basierte kennwortlose Authentifizierungsplattform ermöglicht dynamische, laufende Änderungen an Authentifizierungsmethoden, eine Integration innerhalb von Minuten. Außerdem gibt es viel mehr Optionen, die sicherer als SMS OTP sind, die in Ihrer kennwortlosen MFA verwendet werden können: Dazu gehören Push-Benachrichtigungen, Cronto und biometrische Authentifizierung (d. h. native Gerätebiometrie, Biometrie von Drittanbietern, Verhaltensbiometrie, offener Standard-FIDO und Next-Gen-Versionen sämtlicher Methoden).

Wenn eine Authentifizierungsmethode verwundbar wird, brauchen die Banken unbedingt eine Plattform, die schnelle und einfache Änderungen ermöglicht, ohne die Kunden zu beeinträchtigen. Haben sie diese Möglichkeit nicht, steigt das Risiko für Betrug exponentiell.

Was bremst die Einführung der kennwortlosen Authentifizierung

Sicherheitsprojekte, wie die kennwortlose Authentifizierung, sind nicht unbedingt die erste Priorität für Bankfachleute und werden daher immer kritisch beäugt. „Wie passt dieses Projekt zu unseren Wachstumszielen?“ oder „Wie wirkt sich dieses Projekt auf die Betriebskosten aus?“ sind Fragen, die häufig gestellt werden.

Durch die Entwicklung der letzten Jahre spricht jedoch immer mehr für die kennwortlose Authentifizierung. Dies ist größtenteils den Initiativen zur digitalen Transformation zu verdanken, bei denen das Kundenerlebnis im Vordergrund steht. Ein verbessertes Kundenerlebnis bringt auch Wachstum. Eine aktuelle Forrester-Umfrage zeigt, dass 66 % der Entscheidungsträger in Banken die Umsetzung von Projekten zur digitalen Transformation planen, derzeit umsetzen oder erweitern. Der Schwerpunkt dieser Projekte liegt auf der Erweiterung von Funktionen und digitalen Erlebnissen in aufstrebenden Kanälen wie dem Mobilfunk. In diesen Kanälen spielt die kennwortlose Authentifizierung eine wichtige Rolle. Wenn wir schon mal bei der UX sind: Gemäß einer Studie von Aite-Novarica legen 97 % der Verbraucher bei der Wahl eines Finanzdienstleisters Wert auf einen reibungslosen und einfachen Zugriff.

OneSpan und die kennwortlose Authentifizierung

Der Ansatz von OneSpan zur kennwortlosen Authentifizierung basiert auf über 30 Jahren Erfahrung als strategischer Partner der größten Banken weltweit.

Banken vertrauen auf OneSpan, wenn es um kennwortlose Lösungen geht: Wir wissen, dass die kennwortlose Authentifizierung viele Entwicklungsmöglichkeiten bietet, und können mit unserer Expertise Banken dazu beraten, welcher Einstieg am besten ihren kurzfristigen Zielen entspricht.

Aus diesem Grund sind unsere Lösungen modular aufgebaut. So sind sie bei Bedarf auf spezifische Anforderungen anpassbar. Beispielsweise ist eine Migration von Hardware zu Software mit einer mittelfristigen hybriden Bereitstellung möglich. Ebenso ein Schritt weiter bei der Sicherheit: von SMS OTP zur Biometrie, Push-Benachrichtigungen, Authentifizierungs-Apps oder verschlüsselten Cronto-Codes. Vielleicht wünscht sich die Bank einen noch umfassenderer Ansatz für die kennwortlose Authentifizierung, bei dem ergänzende Sicherheitstechnologien zum Einsatz kommen. Beispielsweise kann Anwendungsabschirmung die mobile Banking-Anwendung (und die Daten der Bankkunden) schützen und die kontinuierliche Sitzungsüberwachung anomale Aktivitäten nach der Anmeldung erkennen und so weiteren Betrug verhindern.

Kurz gesagt, der Ansatz, den OneSpan bei der kennwortlosen Authentifizierung verfolgt, ist ganzheitlich: OneSpan ermöglicht einen sicheren Zugang, der das Benutzererlebnis, das Betrugsmanagement und die Betriebskosten berücksichtigt. So erreichen Banken ihre Ziele - zeit- und budgetgerecht.

Fazit

Abschließend lässt sich sagen, dass eine umfassende Lösung für die kennwortlose Authentifizierung gut geeignet sein muss, um die drei wichtigsten Herausforderungen zu bewältigen, mit denen Finanzinstitute konfrontiert sind: komplexer Betrug, schlechte Benutzererfahrung und hohe Betriebskosten.

Bedenken Sie jedoch, dass nicht alle kennwortlosen Lösungen gleich sind, so wie auch nicht alle Sicherheitslösungen gleich sind. Diejenigen, die die größte Vielfalt an Authentifizierungsmethoden (Hardware und Software) bieten, moderne Phishing- und Malware-Angriffe verhindern und auf einer flexiblen, schnell zu implementierenden Plattform aufbauen, versprechen Banken den größten Erfolg bei der Erreichung ihrer Geschäftsziele.

people in office
Blog

Erweiterte Authentifizierung: Ein Schlachtplan für Ihren Authentifizierungsstapel

Erfahren Sie, wie Finanzinstitute fortschrittliche Authentifizierung implementieren, Investitionszurückhaltung überwinden und die Zustimmung der Geschäftsleitung gewinnen können.

Weiterlesen
passwordless authentication
David Vergara
David Vergara

David Vergara ist Director of Security Product Marketing bei OneSpan und er verfügt über mehr als 15 Jahre Erfahrung mit Cloud-Plattformen/SaaS, prädiktiver Analytik und fortschrittlichen Technologien für die Multifaktorauthorisierung. In seiner derzeitigen Funktion liegt sein Schwerpunkt auf der Markteinführungsstrategie und -umsetzung für alle Authentifizierungs- und Risikoanalyseproduktlinien. Bevor er zu OneSpan kam, war David für die Produkt- und Markteinführungsstrategie bei verschiedenen

Zur Spitze gehen