Kennwortloses Banking: Eine Übersicht zur biometrischen Authentifizierung und Lebenderkennung

Kennwörter können ganz schön lästig sein. Für Verbraucher wäre es um einiges bequemer, wenn sie nicht bei jedem Online- oder mobilen Dienst komplizierte Kombinationen aus Buchstaben, Sonderzeichen und Ziffern eingeben müssten. Doch Kennwörter sind nicht nur umständlich, als Authentifizierungsoption sind sie zudem risikobehafteter als andere Methoden, da sie erraten, gestohlen oder entschlüsselt werden können. Fortschritte in der Entwicklung der biometrischen Authentifizierung lassen nun darauf hoffen, dass es auch effizientere Authentifizierungsfaktoren gibt, die uns größere Sicherheit bieten.
Der im Oktober 2019 veröffentlichte Gartner-Bericht „Technology Insight for Biometric Authentication“ besagt, dass die biometrische Authentifizierung typischerweise angewendet wird, um „… eine kennwortlose Authentifizierung zu ermöglichen, um dadurch die UX/CX [Benutzererfahrung/Kundenerfahrung] zu verbessern, um potenziell das Vertrauen zu erhöhen und um möglicherweise die Frage der Verantwortlichkeit besser klären zu können.“ Diese vielversprechende Möglichkeit würde Finanzdienstleistern einen klaren Wettbewerbsvorteil verschaffen.
Der Gartner-Bericht bezeichnet das mobile Banking als „Killer-App“ für die biometrische Authentifizierung (bald unentbehrlich für Fallbeispiele zu mobilen Banking). Wir sind davon überzeugt, dass für Finanzinstitute jetzt der richtige Zeitpunkt gekommen ist, die biometrische Authentifizierung für Mobile-Banking-Fallbeispiele einzusetzen. Damit werden sie das Vertrauen erhöhen, die Frage der Verantwortlichkeit besser klären und die Kundenerfahrung verbessern können – alles wichtige Voraussetzungen, um den eigenen Umsatz zu steigern.
Sind Verbraucher bereit für biometrische Authentifizierungslösungen beim Einkaufen und Banking?
Eine vor Kurzem unter 1.000 US-amerikanischen Verbrauchern durchgeführte Umfrage von VISA kommt zu dem Schluss, dass Verbraucher durchaus bereit dafür sind. Die Mehrzahl der Teilnehmer bevorzugt eine biometrische Authentifizierung gegenüber einer kennwortbasierten Authentifizierung:
- Teilnehmer geben an, dass biometrische Methoden einfacher (70 %) und schneller (61 %) als Kennwörter sind.
- 52 % gaben an, zu einer anderen Bank wechseln zu wollen, falls die eigene zukünftig keine biometrische Authentifizierung anbieten würde.
- Die unter Teilnehmern am häufigsten genannten Vorteile der biometrischen Authentifizierung sind:
- Man muss sich nicht mehrere Kennwörter/PINs merken (50 %).
- Sie bietet eine höhere Sicherheit als Kennwörter/PINs (46 %).
- Man kann seine Authentifizierungsmethode dabei nicht verlieren/vergessen (33 %).
Die Qualität der Kundenerfahrung bemisst sich unter anderem an den Abbruchquoten von Transaktionen. Fast 50 % der Befragten gaben an, schon einmal einen Online-Einkauf abgebrochen zu haben, da sie sich nicht mehr an ein Kennwort erinnern konnten.
Der Gartner-Bericht führt aus, dass „die Kundenerfahrung von der biometrischen Authentifizierung profitiert und dadurch Mobile-Banking-Anwendungen in den letzten Jahren zunehmende Verwendung gefunden haben.“ Finanzinstitute, die sich aktuell biometrische Authentifizierungslösungen ansehen, sollten auf den Unterschied zwischen geräteeigenen und Drittanbieterlösungen achten. Wer auf biometrische Methoden von Drittanbietern zurückgreifen möchte, muss ein entsprechendes SDK in der eigenen Mobile App implementieren (wie z. B. das SDK von OneSpan). Der Vorteil dieser Wahl besteht darin, dass Banken damit auf die Ansprüche eines bestimmten Segments ihres Kundenstamms eingehen können. Es verfügt nämlich nicht jedes Mobilgerät über integrierte Hardware und/oder Software für die biometrische Authentifizierung. Fast jedes mobiles Gerät besitzt heutzutage jedoch eine Kamera, die zur Aufnahme eines Fotos zwecks biometrischen Authentifizierung genutzt werden kann.
Ist die biometrische Authentifizierung zuverlässiger als andere Authentifizierungsmethoden?
Es gibt Argumente dafür, dass die biometrische Authentifizierung eine höhere Sicherheit bietet als jede andere Authentifizierungsmethode. Voraussetzung dafür ist jedoch, dass das biometrische System jegliche Versuche erkennt oder verhindert, biometrische Merkmale einer anderen Person nachzuahmen. Dabei sind Fingerabdrücke, Gesichter oder andere biometrische Merkmale als Authentifizierungsfaktoren nicht mit Dingen wie Kennwörtern oder Token vergleichbar.
Zunächst ist es ohne zusätzliche Analysen nicht möglich herauszufinden, wer ein Kennwort eingegeben hat. Dem jeweiligen System ist nur bekannt, dass ein Kennwort eingegeben wurde und dass es mit dem hinterlegten Kennwort übereinstimmt. Ein zuverlässiges biometrisches Authentifizierungssystem mit effektiver Lebenderkennung und Anti-Nachahmungsmaßnahmen hingegen bedient sich eines zusätzlichen Vertrauensindikators, indem es die Identität des jeweiligen Nutzers verifiziert. Fingerabdruck, Gesicht usw. müssen dem System in Echtzeit gezeigt werden.
Einige Missverständnisse zum Thema biometrische Authentifizierung
Gartner erklärt, dass im Gegensatz zur passwortbasierten Authentifizierung „die biometrische Authentifizierung nicht von der Geheimhaltung des Authentifizierungsfaktors abhängt. Stattdessen basiert ihre Stärke auf der Tatsache, dass die Nachahmung einer lebenden Person, die ihr biometrisches Merkmal einem Aufnahmemodul (Sensor) präsentiert, äußerst schwierig ist. Dieser Punkt ist nicht allgemein bekannt. Daher kommt es öfter zu Missverständnissen hinsichtlich der biometrischen Methode. Diese werden weiter bestärkt durch die mangelnde Präsentationsangriffsdetektierung (PAD) auf Verbrauchergeräten sowie von Berichten erfolgreicher Angriffe gegen Touch ID von Apple, Wisch-Sensoren von Samsung, die Gesichtserkennung von Android usw.“
Möglicherweise haben Sie schon das Argument gehört, dass man seinen Fingerabdruck oder sein Gesicht nicht so leicht austauschen kann, wenn diese einmal kompromittiert wurden. Und es stimmt, dass man seine biometrischen Merkmale nicht mal eben wie ein Kennwort ändern kann. Jedoch ist die Idee, dass Cyberkriminelle, die Ihre biometrischen Daten gestohlen haben, diese bei einer Authentifizierungsanfrage einfach nutzen können, falsch.
1. In der Realität ist es nicht möglich, die biometrischen Merkmale einer Person zu stehlen.1 Abgesehen von den dramatisierten Täterprofilen in Horrorfilmen wird man keine Cyberkriminelle finden, die einem das Gesicht oder den Fingerabdruck zu entfernen (d. h. zu „stehlen“) versuchen. Ein gutes biometrisches System wird diese Merkmale auch nicht wirklich „speichern“. Gespeichert wird stattdessen eine mathematische Darstellung des biometrischen Merkmals (auch als Vorlage oder Template bezeichnet). Diese Darstellung wäre bei einem Authentifizierungsversuch wertlos (s. u. in der Grafik den hervorgehobenen Punkt Nummer 1).
Aus ISO/IEC 30107-1:2016(E)
2. Die Live-Präsentation des biometrischen Merkmals ist ausschlaggebend. So ist im Gartner-Bericht nachzulesen: „Mit einem guten System ist es egal, ob ein Angreifer eine Nachahmung des jeweiligen Fingerabdrucks vorzuweisen hat. Alles andere als der echte Finger (der noch am Körper der lebenden Person befestigt ist), sollte nicht funktionieren.“ Bei einem sogenannten Präsentationsangriff zeigt ein Angreifer dem System eine Nachbildung eines dort hinterlegten biometrischen Merkmals (z. B. 3D-Druck-Modelle, Masken, Fotos, Videos usw.). Mithilfe der Lebenderkennung wird ermittelt, ob das biometrische Merkmal von einer lebenden Person stammt oder ob es sich um eine digitale oder nachgemachte Repräsentation handelt (Spoof). Die PAD wiederum ist eine Kombination aus Anti-Spoofing- und Lebenderkennungsmechanismen. PADs in den integrierten Biometriesystemen von Verbrauchergeräten können unter Umständen weniger effektiv sein als die biometrischen Authentifizierungstechnologien von Drittanbietern. Der ISO/IEC 30107-Standard beschreibt eine Methodik, mit der die Effektivität dieser PADs evaluiert werden kann.
Die End-to-End-Sicherheit biometrischer Authentifizierungssysteme umfasst weit mehr als die Unterbindung von Repräsentationsangriffen an den Sensoren, mit denen biometrische Daten erfasst werden. Ein anderes Risiko besteht durch Replay-Angriffe. Dieses Risiko kann jedoch anhand von Technologien minimiert werden, welche die Integrität der Anwendung sicherstellen – etwa in App integrierter Schutz und die Abschirmung von Apps/RASP. Wichtig ist, dass Finanzinstitute bei der Entwicklung, Implementierung, Bereitstellung und Konfiguration von biometrischen Authentifizierungslösungen sorgsam vorgehen.
Laden Sie den Gartner-Bericht „Technology Insight for Biometric Authentication“ herunter
Finanzinstitute, die ihren Kunden eine hochwertigere Benutzererfahrung ermöglichen und das Vertrauen ihrer Kunden in ihre Authentifizierungsprozesse stärken möchten, sollten zukünftig auf die biometrische Authentifizierung setzen. Der in diesem Artikel vorgestellte Gartner-Bericht präsentiert unserer Meinung nach ein effektives Rahmenwerk zur Evaluierung und Auswahl der besten Authentifizierungslösung für Finanzinstitute. Er behandelt Themen wie:
- Fallbeispiele (für die biometrische Authentifizierung) mit dem höchsten Mehrwert (z. B. Mobile Banking und Identitätsprüfung)
- Datenschutz und Kundenvertrauen
- Beherrschung von Sicherheitsrisiken im Zusammenhang mit der Sicherheit der Plattform zur biometrischen Authentifizierung – einschließlich Präsentationsangriffen und mehr
- Wahl zwischen geräteeigenen und Methoden von Drittanbietern
- Beispiele für Anbieter – darunter OneSpan –, die eine breite Auswahl an Biometriemethoden und Fallbeispielen unterstützen
Laden Sie den Gartner-Bericht Technology Insight for Biometric Authentication jetzt herunter, um die richtige biometrische Authentifizierungstechnologie für Ihre Bedürfnisse zu identifizieren.
Gartner unterstützt keine der in den Rechercheveröffentlichungen des Unternehmens vorgestellten Anbieter, Produkte oder Dienstleistungen, und rät Technologienutzern nicht dazu, ausschließlich die Anbieter mit den besten Bewertungen oder anderen Merkmalen zu wählen. Die Forschungspublikationen von Gartner geben die Meinungen der Forschungsorganisation von Gartner wieder und sollten nicht als Tatsachenaussagen aufgefasst werden. Gartner schließt hinsichtlich dieser Forschung jegliche ausdrückliche oder konkludente Gewährleistung – einschließlich der Marktgängigkeit oder Eignung für einen bestimmten Zweck – aus.
Quellen:
Gartner, Technology Insight for Biometric Authentication, Ant Allan, 16. Oktober 2019
1. Natürlich kann eine Person dazu gezwungen werden, ihr Smartphone zu entsperren. Diesen Risikovektor gibt es allerdings auch bei Kennwörtern und PINs. Man könnte sich auch vorstellen, dass jemand das Telefon seines Partners mit dessen Fingerabdruck entsperrt, während dieser Partner schläft. Gesichtserkennungstechnologie mit effektiver Lebenderkennung sowie Anti-Spoofing-Technologie würden dieses Risiko minimieren.