Orange Money Rumänien: Wie wir unserer mobilen Erfahrung eine risikobasierte Authentifizierung hinzugefügt haben

Wir nehmen regelmäßig an Branchenveranstaltungen und Präsentationen zu Themen wie Betrugsprävention, Authentifizierung und Best Practices für die Sicherheit mobiler Apps teil. Wenn Sie die Präsentation von Orange Money Rumänien und OneSpan mit dem Titel "Intelligent Adaptive Authentication as a solution to provide PSD2 compliance, improve user experience, and enhance security for Orange Money customers at The Hack Summit 2020" verpasst haben, finden Sie hier die 10-minütige Zusammenfassung.

Die Orange Gruppe ist ein weltweit führender Anbieter von Telekommunikationsdienstleistungen. Zu ihren Tochtergesellschaften gehören Orange Money und Orange Bank, die Mobile Banking Services für die Telekommunikationskunden der Gruppe anbieten.

In Rumänien wurde Orange Money im November 2016 als ein von der Rumänischen Nationalbank autorisiertes E-Geld-Institut ("Electronic Money Institution", kurz: EMI) eingeführt. Als Tochtergesellschaft des größten Telekommunikationsbetreibers in Rumänien kann Orange Money IBAN-Konten für Privatkunden bereitstellen, Kredite vergeben, Zahlungsdienste anbieten und vieles mehr. Grundsätzlich bietet Orange Money fast alle Dienstleistungen einer traditionellen Bank an, wobei EMI-Institute jedoch keine Banklizenz von der Europäischen Zentralbank besitzen.

Über die Orange Money App können Kunden mit einer virtuellen Orange Money oder einer virtuellen VISA Debitkarte Geld überweisen, Rechnungen bezahlen, Fremdwährungen kaufen und Einkäufe auf ihren mobilen Geräten tätigen. Sie können kontaktlose mobile Zahlungen am Point-of-Sale vornehmen, indem sie ihr Bankkonto mit Google Pay oder Apple Pay verknüpfen. Physische Debitkarten können auch für Bargeldabhebungen an Geldautomaten ausgegeben werden.

Im dritten Quartal 2020 hatte Orange Money Rumänien 245.000 Kunden. Da es sich um eine reine Internetbank handelt, ist die Aufrechterhaltung des digitalen Vertrauens ohne Beeinträchtigung des Nutzererlebnisses der Schlüssel zum Wachstum. Das macht die starke Kundenauthentifizierung (SCA) und die Betrugsprävention zur obersten Priorität.

„Da wir eine reine Internetbank sind, existieren keine anderen Kanäle, wenn der Zugang zum Konto des Kunden kompromittiert ist. Und wenn man als relativ junges Unternehmen einen Sicherheitsfehler macht, ist es sehr kompliziert, das Vertrauen des Kunden danach wieder zu gewinnen“, sagt Mircea Spinei, Head of Payments and Transactions bei Orange Money Rumänien.

Die Orange Money App wird im Google Play Store mit 4,4 und im Apple Store mit 4,7 bewertet. Bei Orange Money sind Innovation und hohe Kundenzufriedenheit bei gleichzeitiger Stärkung der Betrugsabwehr und PSD2-Compliance entscheidend.

Die Herausforderung: PSD2-konformer Betrugsschutz mit minimaler Reibung

Orange Money Rumänien musste die bereits PSD2-konforme Sicherheitstechnologie ersetzen, die das Unternehmen selbst entwickelt und in seine Mobile-Money-App integriert hatte. Allerdings durfte die überarbeitete Lösung keine unnötigen Reibungsverluste für den Nutzer mit sich bringen.

Um die Sicherheit auf den neuesten Stand der Technik zu bringen, musste die Lösung weiterhin PSD2-konform sein und deswegen die folgenden Anforderungen erfüllen:

• Bereitstellung der Zweifaktor-Authentifizierung (2FA)
• Generierung eines eindeutigen Autorisierungscodes für jede Finanztransaktion
• Echtzeit-Überwachung von Transaktionen

„PSD2 bringt eine Menge Sicherheitsanforderungen mit sich, die, wenn sie nicht richtig umgesetzt werden, das Kundenerlebnis beeinträchtigen können. Das wollten wir im mobilen Banking vermeiden.“

Wege der Systemverbesserung bei Organe Money: Aktualisierung der bestehenden oder Erwerb einer neuen Anwendung?

Um die Sicherheit ihrer mobilen App zu verbessern, zog das Team in Rumänien drei Optionen in Betracht:

• Aktualisierung der bestehenden Lösung
• Eigene Entwicklung einer neuen Lösung, die sicherer und moderner ist
• Integration einer speziell entwickelten Drittanbieterlösung

Das Team wog die Vor- und Nachteile der einzelnen Optionen ab, um die beste Option in Bezug auf Kosten, Qualität und Lieferzeit zu finden.

„Bei einer Aktualisierung der bestehenden Lösung hätten wir das gleiche Kundenerlebnis beibehalten können. Die Kosten wären gering gewesen und die Implementierung schnell. Allerdings wäre eine Nutzung neuer Technologien nicht möglich, da eine Generalüberholung des kompletten hätte stattfinden müssen. Und obwohl wir spezialisierte Betrugsanalysten beschäftigen, verfügen wir nicht über das gleiche Fachwissen wie ein Unternehmen, dessen Kerngeschäft die Bankensicherheit ist“, so Mircea Spinei. 

„Die interne Entwicklung einer neuen Lösung (Variante zwei) hätte uns die Beibehaltung der ursprünglichen Kundenerfahrung ermöglicht. Der Kostenaufwand wäre immer noch vergleichsweise gering gewesen, da wir neue, verbesserte Technologien unter Beibehaltung unsere eigenen Ressourcen genutzt hätten. Das Problem war wiederum, dass uns das Know-how eines Anbieters von Bankensicherheit nicht zugutegekommen wäre. Und die Implementierungszeit wäre deutlich länger gewesen.“

„Die dritte Option war die Integration einer Drittanbieterlösung. Dies hatte mehrere Vorteile. Die umfassende Erfahrung, die der Anbieter mitbringt, sowie eine relativ schnelle Implementierung durch das Hosten der Anwendung in der Cloud. Zudem würden wir durch die Verwendung des Software Development Kit (kurz: SDK) des Anbieters die Entwicklung nicht bei null beginnen müssen. Selbstverständlich standen dem die höheren Kosten und die potenziellen Änderungen der Kundenerfahrung gegenüber.“

Die Lösung: Risikobasierte Authentifizierung in der Cloud

Orange Money hat sich für die Intelligente Adaptive Authentifizierung (IAA) Lösung. Intelligent Adaptive Authentication ist eine API-basierte, PSD2 SCA-kompatible Lösung, die auf der Trusted Identity Platform von OneSpan basiert und Betrugsprävention in Echtzeit durch eine Kombination aus orchestrierter MFA- und maschinell lernbasierter Risikoanalyse ermöglicht. In der Präsentation erklärt OneSpan-Experte Michal Wawrzynski die Lösung im Detail. Zusammenfassend besteht es aus:

• OneSpan Risk Analytics :: Hierbei handelt es sich um die Risiko-Engine, das Rückgrat der IAA-Lösung. Für das Transaktionsrisikomanagement wertet sie alle mit einer Transaktion verbundenen Kontextdaten aus, um einen Echtzeit-Betrugs-Score zu ermitteln. Dieser Score steuert den Authentifizierungsworkflow.
• OneSpan Cloud Authentifizierung :: Dies ermöglicht die Nutzung starker Authentifizierungsfunktionen wie Biometrie und Software-Tokens für One-Time-Passcodes (OTP) durch die Orange Money App, wodurch eine Multi-Faktor-Authentifizierung (MFA) gewährleistet wird.
• OneSpan Mobile Security Suite :: Hierbei handelt es sich um ein Menü von mobilen Sicherheits-SDK. Zu den Funktionen, die Orange Money nutzt, gehören Datenkollektoren für mobile Geräte, die mobile Daten sammeln und an die Risiko-Engine weiterleiten. Dies gibt Organisationen wie Orange Money Zugang zu kontextbezogenen Daten und Transparenz, die sie anderswo nicht erreichen könnten. Die OneSpan Mobile Security Suite ermöglicht auch die Orchestrierung der Authentifizierung auf dem Telefon des Kunden.

Die vorstehenden Features ermöglichen in ihrem Zusammenspiel eine fortschrittliche risikobasierte Authentifizierung, d. h. die Fähigkeit, eine enorme Menge an Daten vom Mobiltelefon des Nutzers zu sammeln, diese dann in Echtzeit zu analysieren und die Authentifizierung basierend auf der Risikobewertung dynamisch anzupassen.

„Jedes Mal, wenn der Nutzer eine Transaktion durchführt, erfolgt eine Interaktion mit unserem Kernbank- und Zahlungssystem, das OneSpan zur intelligenten adaptiven Authentifizierung heranzieht. Im Wesentlichen sagt das System zu OneSpan: 'Dies ist der Kontext. Dies ist die Transaktion. Hier ist der Nutzer. Wie sollen wir ihn authentifizieren?'

Der Kunde wird dann zur Abgabe seines PIN oder seines Fingerabdrucks aufgefordert, je nachdem, welches Risiko mit der Transaktion verbunden ist. Wenn das Risiko der Transaktion gering ist, muss sich der Kunde nach IAA-Regeln möglicherweise überhaupt nicht authentifizieren - eine nahtlose Authentifizierung ist möglich, wenn Nutzer Transaktionen über ihr vertrautes Gerät, an ihrem üblichen Standort und nach ihrem gewohnten Verhaltensmuster durchführen.“

„Im Moment haben wir noch keine PSD2-SCA-Ausnahmen implementiert. Wir verwenden durchgehend 2FA, weil wir die Komponente der künstlichen Intelligenz und des maschinellen Lernens der OneSpan Intelligenten Adaptiven Authentifizierungslösung testen wollen. Zudem möchten wir uns mit der neuen Art der Authentifizierung und Autorisierung von Transaktionen vertraut machen. Für die Zukunft planen wir aber, PSD2-Ausnahmen zu implementieren“, so Mircea Spinei.

Integration und Inbetriebnahme

Um das Projekt zu starten, hat OneSpan ein Team nach Rumänien geschickt, um die IT-, Betrugsbekämpfungs- und Business-Teams von Orange Money zu schulen. OneSpan stellte die SDK für Android und iOS zur Verfügung, und die Teams arbeiteten gemeinsam an der Implementierung der Lösung in die technische Infrastruktur von Orange Money sowie in die Prozesse zur Betrugsbekämpfung.

„Für die Inbetriebnahme haben wir zunächst Nutzerakzeptanztests (User Acceptance Testing, kurz: UAT) durchgeführt. Dann haben wir eine Beta-Version für unsere Beta-Tester-Kunden eingeführt. Inzwischen haben wir einige ihrer Rückmeldungen umgesetzt, was sehr hilfreich war. Anschließend haben wir die Anwendung im Store zur Verfügung gestellt und so den Kunden das Upgrade im eigenen Tempo ermöglicht. Einen Monat nach der Inbetriebnahme hatten 99 % unserer aktiven Nutzer der mobilen Anwendung ihr Verhalten der neuen Sicherheitslösung angepasst.“

"Diejenigen, die im Bankwesen tätig sind, haben wahrscheinlich die Veränderung bei der Authentifizierung der Nutzer bemerkt. Einige setzen ein Soft-Token in ihrer mobilen App ein, und bei den meisten Banken kann die Umstellung von der reinen Passwort- und SMS-Authentifizierung zur Software-Authentifizierung mühsam sein, und einige Nutzer werden sich an das Call Center wenden. Während wir uns darauf vorbereiteten, hat die Implementierung mit OneSpan unseren Kunden beim Self-Service geholfen. Wir hatten keinen großen Ansturm auf das Call Center."

Die wichtigsten Schlussfolgerungen von Orange Money Rumänien

Die Präsentation von Orange Money deckt viele zusätzliche Details ab, die in diesem Blog nicht enthalten sind. Wir empfehlen Finanzdienstleistern daher, sich die vollständige Präsentation anzusehen. Zusammengefasst lassen sich 3 wichtige Erkenntnisse aus den Erfahrungen von Orange Money ableiten.

1. Der Wert der Cloud: Bei OneSpan sehen wir einen starken Anstieg von Cloud-Implementierungen, wie beispielsweise diejenige bei Orange Money. Dies geht einher mit den Forschungsergebnissen im aktuellen Beitrag der Aite Group: Neobanks: The Bumpy Road to Profitability. Laut Aite "treiben mehrere Faktoren die Präferenz für gehostete/cloudbasierte Technologielösungen für Internetbanken voran:

• Schnellerer Einsatz/schnellere Markteinführung
• Geringere Gesamtbetriebskosten
• Geringere Personalbelastung
• Mehr Zeit, um sich auf die Bankaktivitäten und die Kundenakquise zu konzentrieren, wobei die Priorität der Technologie auf der Differenzierung des Kundenerlebnisses und nicht auf der Infrastruktur liegt
• Geringere regulatorische Belastung bei der Nutzung von traditionellen Technologieanbietern, die bereits mit der Finanzdienstleistungsbranche konform sind
• Höhere Geschäftskontinuität durch vom Anbieter betriebene Backup-Rechenzentren".

2. Der Wert eines schrittweisen Übergangs zu einer anspruchsvolleren Authentifizierung:
Im Zuge der Neubewertung der Authentifizierungsstrategien bewegen sich Finanzinstitute von der einfachen Authentifizierung (mit individuellen Authentifizierungsmodalitäten wie Passwörtern oder SMS) hin zu ausgefeilteren Ansätzen, bei denen die Authentifizierung durch Betrugsbekämpfungsregeln und schließlich maschinelles Lernen orchestriert wird, um so ein Gleichgewicht zwischen Betrugsprävention, Einhaltung gesetzlicher Vorschriften und dem Kundenerlebnis zu schaffen. Dies ist die von Orange Money Rumänien verfolgte Best Practice. Zunächst werden Betrugsregeln eingesetzt, um eine adaptive Authentifizierung auf Basis des Risikoniveaus zu steuern, wobei sowohl Orange Money als auch den Kunden Zeit gegeben wird, sich an die neue Erfahrung zu gewöhnen. Im nächsten Schritt wird dann das maschinelle Lernverfahren eingesetzt. Dadurch wird ein neuer und verbesserter Authentifizierungsansatz eingeführt, der auf der Betrugserkennung durch maschinelles Lernen basiert.  

3. Wert der Expertise spezialisierter Sicherheitsanbieter:
Betrugsbedrohungen wie Kontoübernahme, mobile Malware und Identitätsdiebstahl werden immer häufiger und ausgefeilter. Viele Finanzinstitute verlassen sich immer noch auf ältere Betrugsschutztechnologien und müssen ihre Systeme neu bewerten. Gleichzeitig müssen sie den Spagat zwischen der Einhaltung gesetzlicher Vorschriften und der Nutzerfreundlichkeit schaffen und alle drei Prioritäten in einem nahtlosen Ablauf für den Kunden zusammenführen. Das Verständnis dafür, wie neue Authentifizierungs- und Betrugspräventionstechnologien am besten implementiert werden können, um Betrug abzuwehren und Fehlalarme zu reduzieren, ist entscheidend. Dies gilt insbesondere vor dem Hintergrund des Kundenstamms sowie des regulatorischen Umfelds (sei es PSD2 auf den europäischen Finanzmärkten, Open Banking in Großbritannien oder das regulatorische Umfeld in den USA). Dies alles ist Teil der Kernkompetenz von OneSpan. Der im Rahmen der Partnerschaft stattfindende Wissenstransfer zwischen OneSpan und den Betrugsteams unserer Kunden wird sowohl von traditionellen Banken als auch von Internetbanken als Gewinn für die eigene Organisation gewertet.  

Besuchen Sie diese Seiten, um mehr über unsere Cloud-Lösungen für Authentifizierung, Betrugsprävention, mobile Sicherheit, digitale Identitätsprüfung für e-KYC und e-Signatur zu erfahren.

Weißes Papier

Adaptive Authentifizierung | Wachstum durch intelligente Sicherheit

Laden Sie dieses Whitepaper herunter, um das Kundenerlebnis zu verbessern, Betrug zu reduzieren und Wachstum zu erzielen.

Whitepaper abrufen