NewB implementiert innerhalb weniger Wochen Sicherheitslösung für digitales Banking - so machen Sie es ihnen nach

NewB ist nicht nur die erste neue Bank seit 40 Jahren in Belgien, sondern auch eine rein digitale Bank. Das bedeutet, dass Sie ihre Mitglieder ausschließlich über ihr Online-Banking-Portal und ihre mobile App bedient. NewB steht für Ethik und Nachhaltigkeit in der Bankenbranche. Da sie als Genossenschaftsbank geführt wird, ist jedes Mitglied ein Miteigentümer und hat unabhängig von der Höhe seiner Investition in die Bank ein Mitspracherecht bei der Verwaltung.
Dieser Bericht blickt auf die Monate zurück, die der Markteinführung der digitalen Bankdienstleistungen von NewB vorausgingen. NewB hatte für die Einführung der digitalen Sicherheit nur wenig Zeit zur Verfügung. Um seine Mitglieder zu schützen und die gesetzlichen Anforderungen an die Sicherheit zu erfüllen, war eine starke Cybersicherheit unerlässlich: Schließlich würden die Mitglieder die digitalen Anwendungen der NewB Bank für ihre täglichen Bankgeschäfte nutzen - sie würden NewB ihre Ersparnisse anvertrauen, Privatkredite beantragen und NewB nutzen, um Rechnungen zu bezahlen und Geld zu überweisen.
Um ihre hoch gesteckten Ziele im Bereich der digitalen Sicherheit zu erreichen, musste NewB Antworten auf zentrale Fragen finden wie: Welche Authentifizierungstechnologie kann unsere Mitglieder und Transaktionen optimal schützen? Mit welchem Sicherheitsanbieter arbeiten wir zusammen, um Sicherheitsprobleme, Betrugsversuche und Schwachstellen zu beheben?
Die Herausforderung: In kürzester Zeit PSD2-konforme Sicherheit für digitales Banking implementieren
Die Einhaltung der PSD2-Vorschriften war zunächst einmal eine Grundvoraussetzung. Die PSD2 sorgt dafür, dass fortschrittliche Authentifizierungskonzepte, wie z. B. die dynamische Verknüpfung, zu Standardsicherheitstools für Finanzdienstleistungen werden. Zu den wichtigsten Anforderungen für eine starke Kundenauthentifizierung (SCA) gehören gemäß der PSD2:
- Zwei-Faktor-Authentifizierung (2FA): Um sicherzustellen, dass nur rechtmäßige Kontoinhaber auf Bankkonten und Online-Dienste zugreifen können, ist die 2FA-Authentifizierung (Multi-Factor Authentication, MFA) die primäre Schutzmaßnahme.
- Dynamische Verknüpfung: Diese Methode, die auch unter der Bezeichnung Transaktionsautorisierung bekannt ist, soll Verbraucher vor sogenannten „Social Engineering“ und anderen Angriffen schützen, bei denen Cyberkriminelle legitime Zahlungen und Überweisungen abfangen, um das Geld auf das Bankkonto des Diebes umzuleiten.
- Unabhängigkeit der Authentifizierungselemente: Wenn die mobile App der Bank zur Authentifizierung eines Kunden oder einer Transaktion verwendet wird, müssen Finanzdienstleister sichere Ausführungsumgebungen für ihre mobilen Apps verwenden. Eine der besten Möglichkeiten hierfür ist die Application-Shielding-Technologie.
NewB blieb nicht viel Zeit, lange Vorbereitungen zu treffen und die Technologielösungen zu implementieren, um diese Anforderungen zu erfüllen. Als sie im Januar 2020 eine Banklizenz erhielten, mussten sie schnell handeln.
„In Belgien hat man laut Gesetz ein Jahr Zeit, um mit den Bankgeschäften zu beginnen, wenn man eine Banklizenz erhält. Das bedeutete, dass wir bis Ende Januar 2021 mit unseren Bankgeschäften beginnen mussten“, erklärt Adrien Liénard, Projektmanager bei NewB.
Es war wichtig, dass alles termingerecht ablief. NewB konnte sich keine Verzögerungen leisten, die unter Umständen den Start der neuen Bank beeinträchtigen würden. Bis Anfang November 2020 musste ein Sicherheitsanbieter ausgewählt und das System in Betrieb genommen werden, denn zu diesem Zeitpunkt war der Anschluss an das europäische Zahlungssystem geplant.
Die fieberhafte Suche nach der richtigen Technologie startete im Januar 2020: Gesucht wurde eine Technologie von einem Anbieter mit einer nachweislichen Erfolgsbilanz bei der Bereitstellung von Leistungen für Bankinstitute.
Eine Lösung aufspüren: Welche Technologie erlaubt uns am besten unsere Ziele zu erreichen?
NewB musste nicht nur die richtigen Technologien finden, um die SCA-Anforderungen der PSD2 zu erfüllen, sondern diese auch innerhalb von vier Monaten implementieren. Diese enge Zeitvorgabe machte cloudbasierte Lösungen erforderlich. Cloudbasierte Lösungen sind schnell einsatzbereit, leicht zu verwalten und können viele Authentifizierungsmethoden unterstützen. NewB wusste, dass eine Lösung, die auf einer einzigen REST-API basiert, einfacher einzurichten sein würde und schneller live gehen könnte.
Die erste Lösung, die NewB implementiert hat, ist OneSpan Cloud Authentication. Einer der Hauptvorteile bestand für NewB darin, dass die IT-Infrastruktur in Wochen bereitgestellt werden kann, ohne dass eine IT-Infrastruktur gekauft, bereitgestellt und implementiert werden muss. Dies ist ein bedeutender Vorteil im Vergleich zu On-Premise-Implementierungen, die je nach Ressourcen, Budget und anderen Faktoren bis zu einem Jahr dauern können. Zweitens ist OneSpan Cloud Authentication so konzipiert, dass die SCA-Anforderungen der PSD2 sofort erfüllt werden, einschließlich Multi-Faktor-Authentifizierung, dynamischer Verknüpfung, mobiler Sicherheit und biometrischer Technologie wie Touch ID auf einem Apple iPhone oder Fingerabdruckscanner auf Android.
„OneSpan Cloud Authentication bietet viele Sicherheitsoptionen für das digitale Banking. Die Technologien Cronto und Mobile Security Suite von OneSpan waren die Lösungen, die alle Anforderungen erfüllen konnten“, erklärt Adrien Liénard. Dies gab NewB die Sicherheitsgrundlage, um Kontoinhaber vor betrügerischen Angriffen zu schützen und gleichzeitig das moderne Bankerlebnis zu bieten, das Mitglieder von einer digitalen Bank erwarten.
1. Die Cronto Technologie
Bei der Entwicklung der Authentifizierungsverfahren hat sich NewB für zwei Methoden entschieden: die Cronto®-Transaktionsautorisierungslösung für mobile Geräte und ihr Pendant im Hardwarebereich, den Digipass® 772 Authentifikator.
Eine digitale Bank hat keine andere Wahl: Die Benutzererfahrung auf mobilen Geräten muss exzellent sein. Dabei ist bei der Benutzererfahrung eine der schwierigsten Sicherheitsanforderungen die dynamische Verknüpfung. Die Frage ist, wie die dynamische Verknüpfung so umgesetzt werden kann, dass sie sowohl den Vorschriften entspricht, als auch für die Kunden der Bank einfach zu handhaben ist.
Eine der am weitesten verbreiteten Methoden ist der farbige QR-ähnliche Code, der als Cronto bekannt ist.
Wenn die Bank eine Finanztransaktion oder Zahlungsdaten zur Überprüfung und Autorisierung an die Kunden sendet, werden diese Daten innerhalb des Cronto-Codes verschlüsselt. Die Kunden entschlüsseln die Daten, indem sie das Kryptogramm mit ihrem Smartphone oder Hardware-Gerät scannen. Sollte sich auf dem Computer des Kunden ein Trojaner befinden, so kann dieser die Daten im visuellen Code nicht verändern. Dieser Ansatz ermöglicht es Finanzinstituten, die Anforderungen der PSD2 für dynamische Verknüpfungen zu erfüllen.
Die Cronto-Funktionalität ist sowohl als Software als auch als Hardware verfügbar. Dadurch haben die Mitglieder die Wahl, wie sie sich authentifizieren möchten, und alle Kunden kommen in den Genuss der gleichen Benutzerfreundlichkeit und Sicherheit. Adrien Liénard erklärt: „Die Benutzerfreundlichkeit und die Tatsache, dass die Benutzererfahrung für alle gleich ist, war der Hauptgrund, warum wir uns für Cronto entschieden haben. Abgesehen von der Benutzerfreundlichkeit gehörten die Kosten und die Tatsache, dass wir damit die Bank anlaufen lassen konnten, bevor unsere Debitkarten verfügbar waren, zu den entscheidenden Faktoren.“
2. Mobile Sicherheits-Suite
Die zweite Komponente der Lösung von NewB war die OneSpan Mobile Security Suite (MSS), die es Entwicklern von Mobilgeräten ermöglicht, zusätzliche Sicherheitsfunktionen nativ in ihre mobilen Banking-Apps zu integrieren. Von diesen mobilen Sicherheitsfunktionen nutzt NewB die Fähigkeit zur Abschirmung mobiler Anwendungen, um die entwickelte Mobile Banking-App zu schützen.
Mobile App Shielding ist eine Low-Code-Technologie, die vor Cybersecurity-Bedrohungen im Mobile Banking wie Trojanern, Reverse-Engineering-Techniken, Laufzeitbedrohungen und anderen Methoden schützt, die Angreifer nutzen, um Bankdaten, sensible Daten oder persönliche Daten zu stehlen und Banktransaktionen zu unterwandern. Darüber hinaus wird eine sichere Ausführungsumgebung geschaffen, die es ermöglicht, mobile Anwendungen auch auf nicht vertrauenswürdigen mobilen Geräten, wie z. B. solchen, die per Jailbreak geknackt wurden, sicher zu betreiben.
Diese Entwicklung dieser Technologie war speziell auf die Einhaltung der PSD2-Richtlinien ausgerichtet. Die PSD2 schreibt vor, dass Banken mit mobilen Apps, die als Teil ihrer Authentifizierungsströme verwendet werden, das Risiko mindern müssen, dass ein Angreifer die App zurückentwickelt, um das Token-Geheimnis, das zur Erzeugung eines Authentifizierungscodes verwendet wird, aufzudecken und möglicherweise zu reproduzieren. Die Application-Shielding Technologie von OneSpan schützt die Bankanwendung von NewB vor dem Klonen. Ein zusätzlicher Vorteil des App Shielding ist, dass die Anwendung auch vor Cyberangriffen durch das sogenannte „Repackaging“ geschützt ist.
Auswahl des Anbieters: Von welchem Sicherheitsanbieter sollen wir kaufen?
Nach einer Bewertung führender Sicherheitsanbieter entschied sich NewB für OneSpan. „Die Kompetenz und der Ruf eines Partners sind genauso wichtig wie die Fähigkeiten der Lösung selbst“, sagt Adrien Liénard von NewB. „Die Behörden nehmen neue Banken genau unter die Lupe; das gehört dazu, wenn man neu auf dem Markt ist. Wir wissen, dass sie NewB genau auf die Finger schauen, und es beruhigt sie, dass wir mit zuverlässigen Partnern zusammenarbeiten. OneSpan arbeitet mit den meisten Banken in Belgien zusammen und das hat uns in den Augen der Nationalbank Glaubwürdigkeit verliehen.“
„Der Ruf von OneSpan auf dem Markt, die Sicherheitsexpertise und die Erfahrung mit PSD2 waren für uns entscheidend. Kürzlich mussten wir zum Beispiel einen PSD2-Bericht an die Nationalbank schicken. Wir haben OneSpan um Hilfe gebeten und 24 Stunden später hatten wir die Antworten. Das war ein Mehrwert für uns, weil wir wussten, dass OneSpan uns den Rücken freihält.“
NewB wählte auch MAINSYS als Integrationspartner für dieses Projekt. MAINSYS stellt das Kernbankensystem von NewB bereit. Es handelt sich um ein belgisches IT-Dienstleistungs- und Softwareunternehmen, das auf digitale Plattformen für den Finanzsektor spezialisiert ist.
„Die Zeit war knapp bemessen, so dass wir der Implementierung der Cronto-Technologie von OneSpan und der Digipass-Authentifikatoren für das Online-Banking Priorität einräumten. Sobald dies abgeschlossen war, begannen wir mit Phase zwei, der mobilen Entwicklung“, erklärt Mathieu Latour, Projektmanager bei MAINSYS.
„Für NewB war es sehr wichtig, dass sich Mitglieder ohne Mobiltelefon genauso sicher authentifizieren können wie Mitglieder mit einem Mobiltelefon. OneSpan erfüllt diese Vorgabe, indem es seine Lösung sowohl in einem Software- als auch in einem Hardwareformat anbietet. Dadurch kann das Unternehmen allen Nutzern die gleiche Benutzererfahrung und die gleichen Authentifizierungsabläufe bieten. Das hat den wesentlichen Unterschied gemacht – und dazu beigetragen, den Zeitplan für die Implementierung zu verkürzen.“
Abschließende Überlegungen
Aktuell bemühen sich alle Branchen darum, moderne Prozesse und IT-Umgebungen zu implementieren. In diesem Zusammenhang bietet die Cloud-Authentifizierung dem Bankensektor die Möglichkeit, sehr schnell Effizienzgewinne zu erzielen. Mit der Authentifizierung in der Cloud steht Finanzinstituten eine Lösung zur Verfügung, die einfach zu implementieren und kostengünstig ist und alle typischen Vorteile einer Cloud-Implementierung bietet. In einer Zeit, in der der Betrug über digitale Kanäle stark zunimmt und das Kundenerlebnis an erster Stelle steht, sollte die Cloud ernsthaft in Betracht gezogen werden. Die Cloud-Authentifizierung kann dazu beitragen, Ihre digitalen Kanäle vor Hackern, Phishing, Datenschutzverletzungen, Ransomware, Identitätsdiebstahl, Kontoübernahmen und anderer Cyberkriminalität zu schützen.
David Vergara, Senior Director of Security Product Marketing bei OneSpan, erklärt: „Wenn es darum geht, neue Technologien hinzuzufügen, um Betrug und anderen Sicherheitsrisiken zu begegnen, ist die Geschwindigkeit, Flexibilität und Einfachheit, die die Cloud ermöglicht, wirklich unschlagbar. Cloud-Plattformen sind einfach außergewöhnlich gut geeignet, um Authentifizierungs- und Sicherheitstechnologien zu integrieren und diese Cybersicherheitsmaßnahmen sehr schnell für Banken und Fintechs verfügbar zu machen.“
Weitere Informationen darüber, wie NewB die Cloud-Technologie von OneSpan in die Kundenerfahrung und die Authentifizierungsabläufe implementiert hat, um die Finanzinformationen ihrer Kunden zu schützen, finden Sie in der vollständigen Fallstudie.