EagleBank teilt Best Practices aus der Bereitstellung der Softwareauthentifizierung mit

David Gaudio, 25. November 2019
EagleBank Shares Best Practices from their Software Authentication Deployment

Einmalkennwörter (OTP) sind ein sicheres und zuverlässiges Mittel zur Authentifizierung von Benutzern und Transaktionen. Banken und andere Finanzinstitute (FIs) auf der ganzen Welt sind darauf angewiesen Hardware-Authentifikatoren um OTPs für die Kundenanmeldung und die Transaktionssignierung zu generieren. Da sich die Kundenerwartungen ändern, passen Finanzdienstleister ihre Authentifizierungsmethoden für mobile Benutzer an. Sie tun dies unter anderem durch die Einführung der Softwareauthentifizierung.

Die Softwareauthentifizierung bezieht sich auf einen App-basierten OTP-Generator, der als eigenständige App angeboten oder in die native mobile App einer Bank integriert wird. Dies ist eine Form der Zwei-Faktor-Authentifizierung (2FA), bei der ein Wissensfaktor (etwas, das Sie kennen: der Passcode) und ein Besitzfaktor (etwas, das Sie haben: Ihr Telefon) verwendet werden.

In diesem Artikel werden Best Practices von EagleBank, einem mittelgroßen US-Amerikaner, vorgestellt Geschäftsbank sowie andere Finanzinstitute, die kürzlich eine Software-Authentifizierungs-App für ihre Kunden eingeführt haben.

EagleBank: Hardware- und Software-Authentifizierung  

Für 10 Jahre, EagleBank hat sich auf die Hardware-Authentifizierungstoken von OneSpan verlassen, um Client-Transaktionen abzusichern und vor Betrug bei der Kontoübernahme zu schützen. Vor der Einführung der Softwareauthentifizierung musste ein kommerzieller Kunde, wenn er eine Transaktion wie eine Überweisung oder eine ACH-Initiierung durchführte, ein Einmalkennwort (OTP) übermitteln, das auf seinem Digipass®-Hardware-Authentifizierungstoken generiert wurde.

Als gewerbliche Kunden zunehmend Transaktionen über Mobilgeräte abwickelten, stellte die Bank jedoch eine Zunahme der Anfragen zur Softwareauthentifizierung fest und entschied sich für den Übergang. Im April 2018 startete EagleBank seine Software-Authentifizierungslösung. Sie beschlossen, es zuerst neuen Kunden vorzustellen und ihren bestehenden Kundenstamm im Laufe der Zeit zu verändern.

Bestehende Clients, die sich immer noch auf Hardware-Authentifikatoren verlassen, können dies tun, sobald ihre Hardware das Ende ihrer Lebensdauer erreicht hat. Die Bank plant, vierteljährlich eine Erinnerungsnachricht für ihren bestehenden Kundenstamm einzurichten. Die Nachricht wird verwendet, um auf die Software zur Authentifizierung der Software aufmerksam zu machen und interessierten Kunden bei der Umstellung zu helfen. Mit diesem Ansatz macht EagleBank den Übergang von der Hardware- zur Softwareauthentifizierung weiterhin so einfach wie möglich.

Die Software-Authentifizierungslösung

EagleBank entschied sich für die Verwendung OneSpan Mobile Authenticator Studio als eigenständige Software-Authentifizierungs-App. Unter dem Branding von EagleBank wurde die App als „EagleBank Soft Token App“ bezeichnet und enthielt das Logo und die Markenfarben der Bank. Die Möglichkeit, das Branding anzupassen, war wichtig, da Benutzer die App im App Store leichter finden konnten. Darüber hinaus stellte die Bank fest, dass ihre Benutzer tendenziell ein höheres Maß an Vertrauen haben, wenn sie eine App als offizielles Markenprodukt erkennen.

Durch das Angebot der Softwarelösung kann EagleBank innerhalb von Minuten neue Kunden registrieren und diese sofort mit der Transaktion beginnen, anstatt vier Tage auf das Eintreffen eines Hardware-Tokens per E-Mail zu warten. In den ersten neun Monaten haben sich 95 Prozent der Neukunden für die Softwareauthentifizierungslösung angemeldet. [Aus verschiedenen Gründen können nicht alle Benutzer die mobile Authentifizierung übernehmen. Stellen Sie sich einen Finanzkontrolleur vor, der in einer sicheren Einrichtung arbeitet, in der Kamerahandys nicht erlaubt sind. Ein solcher Client muss möglicherweise Hardware-Authentifikatoren verwenden.]

Um einen einfachen Aktivierungsprozess für alle zu gewährleisten, hat EagleBank zwei wichtige praktische Schritte unternommen.

  1. EagleBank erstellte ein PDF-Dokument, das eine bildschirmweise Anleitung des Aktivierungsprozesses enthielt, um den Benutzern genau zu zeigen, was sie erwartet. Dieses Dokument steht dem Kunden an mehreren Standorten zur Verfügung. Es wird auf dem Desktop-Bildschirm verlinkt, auf dem der Benutzer mit der Aktivierung beginnt, und es wird auch in einer Begrüßungs-E-Mail gesendet, die Anweisungen zum Einstieg enthält. Dieser Prozess stieß auf positive Resonanz. Wie Barb McCann, VP Electronic Delivery Channel Manager bei EagleBank, feststellte:

    „Die Kunden waren sehr aufgeschlossen. Sie mögen die Tatsache, dass sie sofort auf ihren Soft Token zugreifen und ihn einschalten können. “
     
  2. Die Bank stellte auch eine temporäre zentrale Kundenbetreuungsgruppe zusammen, um den Rollout zu erleichtern. Ihre Aufgabe war es, Live-Kundendienstanrufe zu technischen Supportfragen zu stellen und Fachexperte zu sein.

Best Practices für Finanzinstitute

In der gesamten Branche haben Finanzinstitute große Fortschritte bei der Bereitstellung einer sicheren Authentifizierung für ihre Kunden gemacht. Hier sind einige empfohlene Vorgehensweise die mit OneSpan geteilt wurden:

  • Verwenden Sie für jeden Anwendungsfall geeignete Authentifizierungslösungen
    Heutzutage verlassen sich weniger Banken auf Benutzername und Passwort für den Endbenutzerzugriff. Eine größere Anzahl hat sich zu einer relativ stärkeren Sicherheitstechnologie entwickelt, wie der SMS-basierten Zwei-Faktor-Authentifizierung (2FA) und noch stärkeren Methoden wie der App-basierten Zwei-Faktor-Authentifizierung. Banken müssen ihre spezifischen Anforderungen an Betrugslandschaft und Benutzererfahrung ständig analysieren, um die richtige Sicherheitslösung zur Erreichung ihrer Geschäftsziele anzuwenden. Obwohl die SMS-basierte Authentifizierung nicht als ideal angesehen wird, da Angreifer Mobiltelefonnummern über Portierungsbetrug stehlen und möglicherweise sogar SMS-Nachrichten abfangen können, ist der Aufwand für Betrüger höher als das bloße Hacken eines Benutzernamens und eines Kennworts. Einige Banken kommen daher zu dem Schluss, dass die SMS-Authentifizierung für das Privatkundengeschäft funktioniert, aber eine stärkere Sicherheit wie die App-basierte Push-Authentifizierung sollte für das höherwertige Corporate Banking verwendet werden.
  • Positionieren Sie Software-Authentifikatoren als attraktive Alternativen
    Eine Bank entschied sich dafür, ihren Software-Authentifikator gewerblichen Kunden als attraktive Alternative zu Hardware-Token vorzustellen. Indem sie sich auf die Vorteile der Lösung konzentrierten, ermutigten sie ihre Kunden, den Software-Authentifikator selbst zu übernehmen. Von dort aus konzentrierte sich die Bank darauf, den Prozess des Wechsels oder der Übernahme so einfach wie möglich zu gestalten.
  • Unterstützen Sie den Übergang mit Kundenkommunikation
    Eine andere Bank verließ sich auf ihr gut geöltes Kommunikationsteam, um den Rollout zu erleichtern. Dem Helpdesk wurden häufig gestellte Fragen (FAQs) zur Verfügung gestellt und kurze Videoausschnitte für Kunden erstellt. Nach der Bereitstellung hatte die Bank im ersten Monat über 100 Kunden, die die integrierte mobile Authentifizierung nutzten, und erhielt zahlreiche positive Rückmeldungen. Sie erwarteten einen langsamen Adoptionsprozess, der mit der Zeit ansteigen würde, aber es stellte sich heraus, dass ihre Kunden auf eine solche Lösung gewartet hatten. Sobald es live übertragen wurde, startete die Lösung mit ihren Benutzern.
  • Identifizieren und priorisieren Sie die richtigen Kunden
    Jahrelang, diese Retailbank hatte Kunden mit Hardware-Token versorgt. Innovationen in der Welt der mobilen Sicherheit gaben ihnen jedoch neue Optionen, nämlich die Softwareauthentifizierung für Online-Transaktionen. Nach der Befragung ihres Kundenstamms priorisierte diese Bank die Bereitstellung für zwei Kundengruppen: diejenigen, deren Hardware-Token bald ablaufen würden, und Benutzer mobiler Apps. Anstatt einen Urknall-Ansatz zu verfolgen, entschied sich die Bank für eine schrittweise Bereitstellung. Die Bank teilte den Kunden die Änderung über E-Mail-Benachrichtigungen, die Website (eine spezielle Seite mit Informationen, Videos und häufig gestellten Fragen) und den Helpdesk mit.

Der hybride Ansatz

Wie bei den meisten unserer FI-Kunden hat die EagleBank festgestellt, dass eine Hybridstrategie der richtige Ansatz ist. Einer der Vorteile von OneSpan ist die Möglichkeit, einen einzelnen Anbieter sowohl für die Hardware- als auch für die Softwareauthentifizierung zu nutzen. Dies ermöglicht es der Bank, alle Präferenzen ihrer Kunden zu erfüllen, um ein Höchstmaß an Kundenzufriedenheit zu erreichen.

„Wir verwenden OneSpan-Hardware-Token bereits seit 10 Jahren. Ich wollte, dass unsere Softwareauthentifizierung eine OneSpan-Lösung ist, da OneSpan die Lösung war, mit der unsere Kunden bereits vertraut waren - und mit der wir als Bank vertraut waren “, sagt Glenn Johnson, SVP, Produktmanager für digitale Kanäle bei EagleBank.

Um mehr über die eigenständige Authentifizierungs-App von EagleBank und die Vorteile für ihre Benutzer zu erfahren, lesen Sie die vollständige Fallstudie .

Eaglebank startet Software-Authentifizierung für Neukunden
FALLSTUDIE

Eaglebank startet Software-Authentifizierung für Neukunden

EagleBank sah sich bei der Bereitstellung der Softwareauthentifizierung zwei zentralen Herausforderungen gegenüber: Die Festlegung der richtigen Startstrategie und die Festlegung einer Richtlinie für ihre bestehenden Kunden. Erfahren Sie in dieser Fallstudie, wie sie sie überwunden haben.

Weiterlesen

David Gaudio ist der Content Writer für Sicherheit und elektronische Signatur bei OneSpan mit fast zehnjähriger Erfahrung im Bereich digitales Marketing und Erstellung von Inhalten. Vor OneSpan erwarb David seinen BA in Publishing und Creative Writing und trug fast jeden Hut im Schrank für digitales