Kennwortlose Authentifizierung: So können Finanzinstitute Probleme mit Kennwörtern vermeiden

Kennwörter bereiten vielen Finanzdienstleistern weiterhin Kopfzerbrechen. Wir wollten mehr über die Ausmaße des Problems erfahren und Tipps bekommen, welche Maßnahmen die Finanzinstitute dagegen ergreifen könnten und haben zu diesem Zweck vor kurzem in einem Webinar mit Julie Conroy, Leiterin der Abteilung Risk Insights beim Analystenhaus Aite-Novarica, gesprochen.

Dieses Webinar ist ein guter Einstieg für Führungskräfte im Finanzbereich, die die Authentifizierung für ihre Kunden modernisieren möchten: Viele Finanzinstitute zögern aufgrund der einfachen Handhabung von Kennwörtern, diese ganz abzuschaffen. Wie unser Webinar zeigt, geht es auch anders. Durch die Modernisierung Ihres Authentifizierungssystems mit  kennwortloser Authentifizierung wird das Banking über digitale Kanäle sowohl einfacher als auch sicherer.

Wir sprechen auch über die Risiken, die Finanzinstitute eingehen, die nicht auf kennwortlose Authentifizierung umstellen. Zunächst einmal ist es für Kriminelle, Hacker oder andere Betrüger ein Leichtes, Kennwörter durch Brute Force, Credential Stuffing, Wörterbuchangriffe, Phishing oder Social Engineering zu kompromittieren. Hinzu kommt, dass auch Kunden auf die immer mühseligere Verwaltung Ihrer Kennwörter für die Authentifizierung gut und gern verzichten könnten. Allein auf Grund des wiederholten Rücksetzens und der begrenzten Wiederverwendungsmöglichkeit von Kennwörtern, würden sich viele eine einfachere Anwendung wünschen. Eine Studie von Aite-Novarica zeigt, dass 97 % der Verbraucher bei der Wahl eines Finanzdienstleisters Wert auf eine reibungslose und einfache Nutzung legen. Trotzdem verlassen sich viele Banken immer noch auf die bewährte Kombination von Benutzernamen und Kennwort, um den Zugang zu ihren Produkten und Dienstleistungen zu sichern.

Technologieunternehmen haben bereits vorgemacht, was bei der Modernisierung mit kennwortlosen Authentifizierungsmethoden wie der Gesichtserkennung und anderen biometrischen Verfahren möglich ist. Sie erhöhen die Sicherheit für ihre Kunden und stellen die Anwenderfreundlichkeit in den Vordergrund. Firmen wie Microsoft, Google und Apple sind den Finanzdienstleistern in puncto Sicherheitsstandards um einiges voraus. Diese Unternehmen bemühen sich darum, die Bequemlichkeit ihrer Kunden an erste Stelle zu setzen. Kennwortlose Verfahren gehören dazu.

Wenn Sie wissen möchten, was Ihre Bank oder Ihr Finanzinstitut tun kann, um den Rückstand aufzuholen, sehen Sie sich unsere Präsentation mit Julie Conroy, Why Forgetting Your Password is Safer than Having One, an, oder schauen Sie hier in die 5-minütige Zusammenfassung hinein.

Das Problem mit Kennwörtern und dem Kennwortmanagement

Es ist kein Geheimnis, dass Kennwörter für Banken heute kein geeigneter Sicherheitsmechanismus mehr sind. Problematisch ist unter anderem, dass alle Verbraucher auf der ganzen Welt und aus allen Bevölkerungsschichten dazu neigen, auf Websites dieselbe Kombination aus Benutzername und Kennwort zu verwenden, auch wenn Angriffe auf Konten immer häufiger werden. Kriminelle verfügen über eine ganze Reihe von Taktiken, ein Konto zu übernehmen, aber Bankkunden, die Kennwörter benutzen, sind einem viel höheren Risiko von Social-Engineering-Angriffen ausgesetzt, die zu einer Kontoübernahme führen können, beispielsweise dem Phishing. Die Daten sind eindeutig: Laut Statistica, gehören Banken zu den drei am häufigsten von Phishing-Angriffen betroffenen Organisationen. Von einer Steigerung von 300 % bei Phishing-Angriffen auf Bankkunden wurde in einer anderen Studie berichte.¹

Die US-amerikanische Kolumnistin und professionelle Organisatorin Marla Ottenstein, wurde selbst Opfer einer Kontoübernahme. Sie beschreibt, welche weitreichenden Konsequenzen dies für sie hatte:

„Es heißt nicht umsonst Kontoübernahme, denn genau das ist passiert: Sie haben mein Konto übernommen. Durch die Übernahme meines Mobiltelefons und meines E-Mail-Kontos konnten die Gauner zahlreiche E-Mail- und SMS-Benachrichtigungen abfangen, die mir von meiner Bank und meinem Kreditkartenunternehmen sowie von den Mobilfunk- und Kabelanbietern zugesandt wurden, während die Kriminellen systematisch mein Girokonto ausräumten und meine Kreditkarte mit Tausenden von Dollar belasteten.”

Die Gefahr sollte nicht unterschätzt werden. Weit verbreitete Phishing-Kits, die im Dark Web zum Verkauf stehen, machen es schnell, einfach und billig, Phishing-Seiten zu hosten und Angriffe zu starten. Tatsächlich wächst die Schattenwirtschaft im Dark Web ständig: Auf Websites wie dem Genesis Marketplace kann man nicht nur Benutzernamen und Kennwörter erstehen, sondern auch die zu einem bestimmten Gerät gehörigen Fingerabdrücke. Mit derartigen Informationen kann ein Bot die meisten Sicherheitsmaßnahmen zur Verwaltung des Online-Zugangs umgehen und erfolgreich auf das Bankkonto eines Opfers zugreifen und es abräumen.

Mobiles Banking: Der Einstieg in die kennwortlose Authentifizierung

Eine wachsende Zahl von Banken beabsichtigt, Lösungen einzusetzen, die ihren Nutzern auf Mobilgeräten die kennwortlosen Authentifizierung ermöglichen. Eine Umfrage von Aite-Novarica aus dem Jahr 2021 ergab, dass 68 % der Verbraucher in den USA mindestens einmal pro Woche über ihr Smartphone auf ihr Bankkonto zugreifen. Oliwia Berdak von Forrester Research gab in einer Studie vom November 2021 ähnliche Werte an: „Die Daten von Forrester zeigen, dass bei Erwachsenen mit Internetzugang in Frankreich 40 %, in Italien 54 % und in Großbritannien 54 % ihre Bankgeschäfte im vergangenen Monat auf einem Smartphone erledigt hatten - entweder über die mobile Website oder die App der Bank.“

Benutzernamen und Kennwörter sind in der Regel zu umständlich für die Verwendung auf kleineren Geräten wie einem Smartphone. Bessere Alternativen stehen bereits bereit. Sie verbinden die Multi-Faktor-Authentifizierung (MFA) mit einem benutzerfreundlichen Erlebnis und sind resistenter gegen Betrugsangriffe.

Zu den beliebtesten Methoden gehören:

• Push-Benachrichtigungen: Bei dieser Methode wird ein Authentifizierungscode über eine Benachrichtigung bereitgestellt, die auf dem Sperrbildschirm des Mobilgeräts eines Kunden erscheint. Push-Benachrichtigungen haben sich als wesentlich sicherer erwiesen als der Versand eines Einmalpassworts per SMS. Eine weitere Option ist die Verwendung eines QR codes, der per Push-Benachrichtigung gesendet und dann von einem vertrauenswürdigen Mobilgerät gescannt und zur Authentifizierung verwendet wird.
• Biometrische Daten: Gesichts- und Fingerabdruckscans sind bei den Verbrauchern sehr beliebt. Viele nutzen bereits die biometrische Authentifizierung ihres Geräts, z. B. über TouchID und FaceID.
• FIDO: FIDO ist ein Unternehmen, das sich die Abschaffung von Kennwörtern zur Mission gemacht hat. Die in Geräte integrierten Authentifikatoren des Unternehmens machen Kennwörter überflüssig und dienen als Grundlage für viele kennwortlose Authentifizierungslösungen. Lesen Sie dazu unseren Blogartikel FIDO2: Das kennwortlose Web steht vor der Tür..

Anwendungsfall Nr.1: Kennwortlose Anmeldung beim Online- oder Mobile-Banking

Seit einigen Jahren, vor allem seit dem Beginn der Pandemie, wickeln Verbraucher ihre Bankgeschäfte vornehmlich über ihr Mobiltelefon ab. Allerdings ziehen auch die Betrüger nach und verlagern ihre kriminellen Aktivitäten auf den mobilen Kanal. Daher ist es für Banken umso wichtiger, den Zustand und die Integrität des mobilen Geräts eines jeden Kunden während des Anmeldevorgangs für das mobile Banking und während der Transaktionen zu analysieren. Auf diese Weise kann die Erfolgsquote von Betrugsangriffen und damit das Risiko, dass Kunden Geld gestohlen wird, gesenkt werden.

Eine Strategie zur Betrugsprävention, die die Überprüfung des Zustands des mobilen Geräts des Kunden beinhaltet, ist heutzutage unerlässlich. Dazu müssen die Finanzinstitute Informationen wie die Geräte-ID, den Geostandort, das Betriebssystem und andere Datenpunkte erfassen. Ein Betrugspräventionssystem, das auf einer risikobasierten Authentifizierung basiert, kann dann anhand dieser Datenpunkte sofortige Entscheidungen zum Schutz der Finanztransaktionen des Kunden treffen.

Welchen Faktoren werden bei einem solchem System überprüft? Es kann etwas so Einfaches sein wie die Überprüfung, ob das Telefon des Kunden durch Schadsoftware kompromittiert worden ist. Ein risikobasiertes Authentifizierungssystem kann dann die Benutzererfahrung vereinfachen, denn wenn sich keine Malware auf dem Gerät befindet oder wenn der Kunde eine Transaktion mit geringem Risiko durchführt, ist eine Authentifizierungsprüfung nicht notwendig..

Im Zuge der Umstellung des Bankensektors auf die kennwortlose Authentifizierung gilt es, die Kunden aufzuklären, um Missverständnisse zu vermeiden. Ein häufiger Irrglaube ist der, dass etwas nicht stimmen kann, wenn die Felder für den Benutzernamen und das Kennwort nicht sichtbar sind. Die Sicherheit ist für Kunden zunehmend unsichtbar geworden - die risikobasierte Authentifizierung ist hier keine Ausnahme.

Bei Bestandskunden ist das Vertrauensverhältnis bereits aufgebaut worden. Die Bank kennt das vertrauenswürdige Gerät ihrer Kunden und weiß, welche Tätigkeiten sie normalerweise durchführen und wie sie sich verhalten. Jedes Mal, wenn der Kunde mit der Bank interagiert, kann die Bank Technologien wie Betrugspräventionsregeln und maschinelles Lernen einsetzen, und eine Risikoanalyse für jede Aktion, die der Kunde während seiner Online-Banking-Sitzung durchführt, vornehmen. Anhand des Ergebnisses dieser Analyse wird entschieden, ob Kunden um eine weitere Authentifizierung gebeten werden sollen oder nicht. Bei größeren Geldbeträgen oder Hochrisikotransaktionen besteht die Möglichkeit, Kunden darum zu bitten, ihre Identität zu bestätigen oder die Transaktion mit einem Fingerabdruckscan zu autorisieren. Wenn Kunden sich zur gewohnten Zeit, am gewohnten Ort, mit der gleichen Authentifizierungsmethode auf ihrem vertrauenswürdigen Gerät anmelden, ist es mehr als wahrscheinlich, dass es sich tatsächlich um die rechtmäßigen Kunden handelt. Ein risikobasiertes Authentifizierungssystem würde auf der Grundlage solcher Parameter eine Risikoanalyse durchführen und Kunden die Authentifizierung ohne Kennwort ermöglichen.

Anwendungsfall Nr.2: Autorisierung von Finanztransaktionen mit FIDO

Angenommen, ein Kunde bezahlt über seine mobile Banking-App eine Rechnung mit seinem Handy. Vor der Verarbeitung der Transaktion bittet die Bank den Kunden um eine Bestätigung, dass der Betrag und der Zahlungsempfänger stimmen. In diesem Anwendungsfall verwendet die Bank biometrische Daten, um die Identität des Kunden zu bestätigen.

Banken sollten bei der Wahl eines Authentifizierungsanbieters darauf achten, dass FIDO unterstützt wird. So können Sie unter Nutzung offener Standards eine kennwortlose Authentifizierung implementieren und die Benutzerfreundlichkeit durch Bereitstellung moderner biometrischer Technologien verbessern.

Als zusätzliche Sicherheitsebene kann der sogenannte sichere Kanal hinzugefügt werden. Wird ein sicherer Kanal mit FIDO kombiniert, kann eine Ende-zu-Ende-Verschlüsselung für die gesamte Finanztransaktion erreicht werden. FIDO ermöglicht es den Kunden, die Authentifizierung schnell und einfach selbst vorzunehmen. Wenn sie sich also gegenüber verschiedener Anwendungen authentifizieren, können sie dafür ihren eigenen Authentifikator verwenden.

FIDO-zertifizierte Authentifizierungsmethoden sind sofort einsatzbereit, wenn sie auf dem Markt verfügbar sind. Aufgrund der Standardisierung ist jede Anwendung mit jedem Gerät und jedem Authentifikator kompatibel. Unternehmen haben also die freie Wahl hinsichtlich der Methoden, die sie zur Kundenauthentifizierung anbieten möchten.

FIDO wird normalerweise nicht von einer Bank herausgegeben, d. h. Banken müssen keine Authentifizierungs-Token an ihre Kunden verschicken oder sie zum Herunterladen einer FIDO-Anwendung auffordern. Sie ist bereits Teil eines Android- oder iOS-Betriebssystems oder einer Microsoft-Umgebung. Die FIDO-Kommunikation interagiert mit einer Reihe von Komponenten, die bereits vorhanden sind, vor allem mit den biometrischen Komponenten.

Sie können sich in unserer Präsentation von FIDO ansehen, wie ein Benutzer eine Transaktion erstellt: Der Benutzer erhält eine Aufforderung, eine Transaktion zu authentifizieren, deren Transaktionsdaten ihm angezeigt werden. Der Kunde überprüft die Daten und bestätigt, dass sie richtig sind. Daraufhin erscheint eine weitere Aufforderung: Der Kunde wird gebeten, die Transaktion mit seinen biometrischen Daten zu bestätigen, zu verschlüsseln und sie an die Bank zurückzusenden. So hat die Bank die Sicherheit, dass kein Betrüger die Transaktion unterwegs abgefangen und verändert hat. Die Transaktion wird als legitim eingestuft und die Bank kann diese durchführen.

FIDO erweist sich hier als ein exzellentes Tool für die kennwortlose Authentifizierung, da ein einfacher Scan des Gesichts des Kunden zur Authentifizierung genügt.

Anwendungsfall Nr.3: Banküberweisung mit QR oder Push-Benachrichtigung

Dieser Anwendungsfall verdeutlicht die besondere Benutzerfreundlichkeit beim Einsatz eines QR-ähnlichen Codes. Die Transaktion wird von der Bank eingeleitet und kann nicht von einem Betrüger initiiert oder abgefangen werden - insbesondere nicht von jemandem, der versucht, ein Bankkonto durch Phishing und Social Engineering zu infiltrieren.

Der Empfang einer Push-Benachrichtigung ist für den Kunden recht einfach: Kunden wissen bereits von anderen Anwendungen, wie man Push-Benachrichtigungen öffnet. Und da die Benachrichtigung über einen sicheren Kanal erfolgt, ist sie viel sicherer als eine SMS. Im Gegensatz zur SMS sind Push-Benachrichtigungen verschlüsselt - ein weiterer wichtiger Punkt.  Für einen Angreifer sind Push-Benachrichtigungen viel schwieriger zu knacken als über SMS gesendete einmalige Passwörter.

Fazit

Wählen Sie eine kennwortlose Authentifizierungslösung, die eine breite Palette von Hardware- und Softwaretechnologien unterstützt (d. h. biometrische Authentifizierung, Push-Benachrichtigungen, Cronto und FIDO). So können Sie flexibel auf die Bedürfnisse Ihrer Kunden eingehen, und das in den verschiedensten Anwendungsfällen. 

Es ist ganz offensichtlich, dass das Kennwort schon lange keine Sicherheit für digitale Kanäle mehr bieten kann und große Sicherheitslücken aufweist. Die Zukunft gehört den kennwortlosen Authentifizierungslösungen. Für weitere Informationen, sehen Sie sich das ganze Webinar an.

1. https://venturebeat.com/2021/10/05/cyren-300-rise-in-phishing-attacks-on-bank-customers/