Erweiterte Authentifizierung: Ein Schlachtplan für Ihren Authentifizierungsstapel

Samuel Bakken, 27. August 2021

Im letzten Jahr hat das digitale Bankgeschäft stark zugenommen, was den Bedarf an modernen, fortschrittlichen Authentifizierungsmethoden erhöht. Tatsächlich meldeten einige Banken im März und April 2020 einen Anstieg von bis zu 200 % bei der Zahl der Kunden, die zum ersten Mal über ein mobiles Gerät oder einen Webbrowser auf digitale Bank-Selbstbedienungskanäle zugegriffen haben. Mindestens vier von fünf, wenn nicht mehr, dieser neuen Endnutzer werden weiterhin einen Teil ihrer Bankgeschäfte online erledigen. Angesichts der Tatsache, dass Betrüger es aggressiv auf Nutzer des digitalen Bankings abgesehen haben, müssen die Banken ihr Zugangsmanagement verschärfen und auf ein modernes Authentifizierungssystem umstellen, um die Transaktionen und sensiblen Daten ihrer Kunden zu schützen. 

Vor Kurzem veranstaltete OneSpan ein Webinar darüber, wie Finanzinstitute einen Plan zur Modernisierung ihrer Authentifizierung erstellen, die Zurückhaltung bei Investitionen in die Authentifizierung überwinden und die Zustimmung der Geschäftsleitung gewinnen können. Das Webinar wurde von David Mattei, Senior Analyst der Aite-Novarica-Group's Fraud & AML Practice, und OneSpan präsentiert.

Falls Sie das Webinar verpasst haben, finden Sie hier die wichtigsten Punkte. Sie können das gesamte Webinar auch als On-Demand-Version ansehen.

Schwachstellen in der Betrugsabwehr und Basisauthentifizierung

Die Untersuchungen der Aite-Novarica Groupzeigen, dass die Banken zwischen 2005 und 2012 Spitzenreiter beim Schutz von Online-Konten waren.

Doch heute sind Passwörter zu einem hartnäckigen Problem geworden. Der Diebstahl von Passwörtern und die Verbreitung gestohlener Passwörter im Internet („Password Dumping“) ist immer noch die häufigste Methode, mit der sich Betrüger Zugang zu einem Nutzerkonto verschaffen. Verbraucher setzen sich selbst einem Risiko aus, wenn sie schwache oder wiederverwendete Passwörter verwenden oder ihre eigene Datensicherheit durch unsicheres Verhalten, wie die Weitergabe von Passwörtern, gefährden. Darüber hinaus verlassen sich einige Finanzdienstleister auf rein reaktive Vorgehensweisen, d. h. sie werden erst tätig, nachdem ein Betrug begangen wurde, anstatt ihn von vornherein zu verhindern. 

Ein grundlegendes Problem besteht darin, dass die von den Banken eingeführten Sicherheitssysteme und Authentifizierungsverfahren in der Regel sowohl am Front-End als auch am Back-End der digitalen Transaktionen eingesetzt werden. Bedauerlicherweise gibt es in der Zwischenphase nur wenig Aktivität.

„Am Front-End verwenden die Banken Benutzernamen, Passwörter und Einmal-Passwörter (OTP). Am Back-End werden Betrugserkennungssysteme eingesetzt, die die Transaktion analysieren, um zu entscheiden, ob diese genehmigt oder abgelehnt werden sollen“, so Mattei.

Das fehlende Zwischenstück ist die kontinuierliche Risikoüberwachung während der gesamten Banksitzung, von der Anmeldung bis zur Abmeldung. Nur weil sich ein Benutzer erfolgreich anmeldet, bedeutet das nicht unbedingt, dass es sich um den rechtmäßigen Benutzer handelt, der mit dem Konto interagiert. Sich auf ein punktuelles Ereignis zu verlassen, ist heutzutage nicht mehr ausreichend. Banken und andere Finanzinstitute müssen eine kontinuierliche Überwachung durchführen.  

Eine weitere Schwachstelle, die Banken angehen müssen, ist die wissensbasierte Authentifizierung („Knowledge-Based Authentication“ bzw. „KBA“). Diese grundlegende Authentifizierungsstrategie bezieht sich auf Sicherheitsfragen wie: "Wer war Ihr Lehrer in der ersten Klasse? Wer ist Ihr Lieblingsfilmstar? Wie lautete Ihre letzte Telefonnummer?" In sozialen Medien werden Menschen oft aufgefordert, diese Art von Informationen freiwillig preiszugeben, ohne zu wissen, dass Betrüger hinter den Beiträgen stecken und die Antworten für die Übernahme von Konten registrieren.

Mattei fordert die Banken auf, darüber nachzudenken, was sie jetzt tun können, um sicherzustellen, dass ihre Betrugspräventionssysteme künftigen Bedrohungen gewachsen sind. Dazu gehört auch ein Blick über den Bankensektor hinaus, um zu sehen, was die anderen Online-Unternehmen in diesem Bereich leisten. Fintechs, Krypto-Plattformen, E-Commerce und andere digitale Händler sind in diesem Bereich innovativ. Angesichts des Ansturms von Datenschutzverletzungen, Identitätsdiebstahl, Phishing-Betrug, Malware und Kontoübernahmen setzen viele auf moderne Authentifizierungsprotokolle wie Multifaktor-Authentifizierung und Orchestrierungs-Hubs.  

Orchestrierungszentren sind der Weg der Zukunft

In letzter Zeit sehen die Sicherheitsexperten großes Potenzial in Orchestrierungszentren im Bereich Authentifizierung und Betrugsprävention.Orchestrierungszentren überwachen das Risikoprofil der gesamten Transaktion vom Beginn bis zum Ende der Banktransaktion. Diese kontinuierliche Überwachung findet in der Regel hinter den Kulissen statt, so dass der Kunde nicht beeinträchtigt wird. Ein Orchestrierungszentrum, dessen Kernstück ein fortschrittliches Betrugspräventionssystem ist, kann beispielsweise mithilfe von künstlicher Intelligenz und maschinellem Lernen bewerten, ob das Verhalten eines Nutzers dem entspricht, was man von einer echten Person erwartet, die legitimierte Transaktionen durchführt. Wenn die Risikosignale einer Transaktion die Alarmglocken läuten lassen, kann die digitale Identität des Kunden mit einer neuen Authentifizierungsherausforderung und einem zweiten Faktor bestätigt werden, wodurch ein sicherer Zugang zur Anwendung gewährleistet wird.

Orchestrierung, starke Authentifizierung und Betrugsüberwachung in Echtzeit sind die idealen Voraussetzungen, um die Sicherheit im digitalen Banking zu verbessern, ohne das Kundenerlebnis zu beeinträchtigen. Zentren, die diese Funktionen zusammenführen, ermöglichen es den Banken, Informationen intern zwischen den Teams auszutauschen, mit weniger manuellem Nachverfolgen und Eingreifen. Stellen Sie sich automatisierte Tools vor, die in verschiedenen Abteilungen eingesetzt werden und miteinander kommunizieren, um Betrug zu erkennen - unabhängig davon, an welcher Stelle im Unternehmen er zuerst entdeckt wurde.

Zu den verschiedenen in diesem Bereich eingesetzten Werkzeugen gehören passive und aktive Technologien. Beispiele für passive Tools, die Mattei als "reibungslos" bezeichnet, sind Geräte-Fingerabdrücke, verhaltensbiometrische Daten, IP-/Geolocation-Tracking, Bot Detection und Credential Stuffing Detection.

Zu den aktiven Instrumenten, die Mattei als "reibungsangemessen" bezeichnet, gehören:

Überwindung der Zurückhaltung bei Investitionen in fortschrittliche Authentifizierungsmethoden

Finanzinstitute sind in der Regel risikoscheu und gehen davon aus, dass dies auch für ihre Kunden gilt. Daher besteht die Sorge, dass die Kunden ihre Konten verlegen werden, wenn die Bank von herkömmlichen Authentifizierungsmethoden wie Passwörtern auf moderne Authentifizierungslösungen wie Multi-Faktor-Authentifizierung (MFA) oder sogar Zwei-Faktor-Authentifizierung umstellt. Die Geschichte zeigt jedoch, dass die Kunden nicht so resistent gegen Veränderungen sind, wie es die Banken vermuten. Als zum Beispiel die COVID-Beschränkungen die Menschen dazu zwangen, digitales Banking zu nutzen, war die Akzeptanz schnell und weit verbreitet. Jetzt, da sie sich an das digitale Banking gewöhnt haben, werden viele Verbraucher auch weiterhin so verfahren.

Der Schlüssel liegt darin, es den Nutzern einfach und sicher zu machen, ihre digitalen Bankgeschäfte auf eine ihnen vertraute Art zu erledigen. Die biometrische Authentifizierung bietet die Möglichkeit, die Sicherheit zu erhöhen und das Kundenerlebnis zu verbessern. Insbesondere der Scan von Fingerabdrücken und die Gesichtserkennung auf vielen Smartphones (einschließlich TouchID und FaceID auf Apple iOS) ermöglichen den Zugriff auf mobile Banking-Apps, ohne dass Passwörter benötigt werden. Darüber hinaus nehmen Verbraucher, die biometrische Daten für den Zugriff auf ihre Banking-Apps verwenden, diese als sicherer wahr, weil sie die biometrischen Daten nutzen.

Trotz der dringenden Notwendigkeit, die Cybersicherheitsmaßnahmen vor dem Hintergrund des zunehmenden Online-Betrugs und des Online-Bankings zu verstärken, ist dies auf Unternehmensebene nicht immer eine Priorität. Dafür gibt es eine Reihe von Gründen, unter anderem Budget- und Ressourcenmangel. Es muss das richtige Gleichgewicht zwischen dem Risiko und den möglichen Verlusten durch Betrug für die Bank gefunden werden. Solange die Verluste die Kosten für die Implementierung robusterer Authentifizierungsmethoden nicht aufwiegen, gibt es keinen erkennbaren Nutzen für eine Änderung. 

Die gute Nachricht ist, dass laut Untersuchungen diese Projekte eine viel höhere Chance haben, finanziert zu werden, wenn die Modernisierung der Authentifizierung mit dem Kundenerlebnis verbunden ist.

„Wenn Sie neue Tools einführen, die das Kundenerlebnis verbessern, dann wird die Geschäftsleitung wahrscheinlich mit Ihnen zusammenarbeiten, um diese Initiativen voranzutreiben", erklärt Mattei.

Verbesserung der Kundenerfahrung

Der Anwendungsfall der erweiterten Authentifizierung: Die Quintessenz

Die Bedrohung durch Betrüger, die sich Zugang zu den Bankkonten von Menschen verschaffen, ist real. Banken und andere Finanzinstitute müssen anfangen, über die Modernisierung ihrer Authentifizierungsverfahren nachzudenken, mit Blick auf die passwortlose Authentifizierung, die durch Orchestrierungszentren unterstützt wird. So können sie die Authentifizierung ohne unnötige Reibungsverluste durchführen und in Hochrisikosituationen eine reibungsangepasste Authentifizierung anwenden. 

Einige Sicherheitstools sind besser zur Betrugsbekämpfung geeignet als andere. Am erfolgreichsten sind die Unternehmen, die langfristig investieren, um nicht nur Sicherheitstools zu implementieren, sondern auch deren Funktionalität ständig zu verbessern, da sich die Betrüger ständig anpassen. Die Tools sollten sich mit der sich verändernden Sicherheitsumgebung weiterentwickeln, ebenso wie die Anbieter von Sicherheitstools und -dienstleistungen. Es gibt kein einzelnes Tool, das alle Anforderungen einer Bank an die digitale Sicherheit erfüllt. Anstatt sich also nur auf die Prävention zu konzentrieren, kommt es darauf an, die Bedürfnisse der Kunden und die von ihnen gewünschte Nutzererfahrung zu verstehen. 

OneSpan kann Ihnen dabei helfen, dieses Ziel zu erreichen. Unsere intelligente adaptive Authentifizierung macht es einfach, Passwörter zugunsten einer starken Kundenauthentifizierung (SCA) vollständig abzuschaffen. Um mehr über die Verbesserung Ihrer Authentifizierungsprozesse zu erfahren, empfehlen wir diese Ressourcen:

Risikoanalyse zur Betrugsprävention: Top-Anwendungsfälle im Banking
Whitepaper

Risikoanalyse zur Betrugsprävention: Top-Anwendungsfälle im Banking

Um Bankmanagern dabei zu helfen, den Wert eines auf maschinellem Lernen basierenden Risikoanalysesystems besser zu verstehen, erläutert dieses Whitepaper die kontinuierliche Überwachung von Betrug und die dynamische Risikobewertung im Kontext der wichtigsten Anwendungsfälle im Bankwesen.

Jetzt herunterladen

Sam ist Senior Product Marketing Manager und verantwortlich für das Sicherheitsportfolio für mobile OneSpan-Apps. Er verfügt über fast 10 Jahre Erfahrung in der Informationssicherheit.