Software-Authentifizierung: Bank of Cyprus stärkt die Kundenbindung durch zukunftsweisende Apps und Technologie

Jeannine Mulliner, 16. April 2019
Bank of Cyprus app

In diesem Beitrag erfahren Sie, wie Bank of Cyprus durch integrierte mobile Authentifizierung und PSD2-konforme dynamische Verlinkung (alias Unterzeichnung von Transaktionen bzw. Autorisierung) die PSD2-Vorschriften zur starken Kundenauthentifizierung umsetzte und das Kundenerlebnis verbesserte. In diesem Blogbeitrag werden Erkenntnisse aus der Fallstudie zusammengefasst. Eine ausführliche Darstellung mit weiteren Kundenstimmen, Workflow-Diagrammen und Video-Demos entnehmen Sie bitte der Fallstudie.  

Die Bank of Cyprus gibt bereits seit Jahren Digipass®-Hardware-Tokens an ihre Kunden aus. Nun hat die Bank auf die zunehmende Nutzung von Mobile-Banking-Services durch Implementierung von Software-Authentifizierung und transaktionsspezifischen Einmalkennwörtern gemäß der überarbeiteten Zahlungsdiensterichtlinie (PSD2) reagiert.

Die Bank of Cyprus setzte bereits Hardware-Authentifikatoren ein, die der Vorschrift zur Zwei-Faktor-Authentifizierung (2FA) gemäß Kontoanmeldung entsprechen. Allerdings bot die Bank bislang noch keine Funktion zur Software-Authentifizierung an. Da mittlerweile ca. 50 % aller digitalen Banktransaktionen über Mobiltelefone abgewickelt werden, musste hier dringend Abhilfe geschaffen werden. Die Bank brauchte unbedingt einen weniger unkomplizierten Mechanismus, der eine Authentifizierung ohne Hardware-Gerät ermöglichte.

Bank of Cyprus: die Herausforderung

Entsprechend bestand die Herausforderung darin, anstelle der bisherigen Hardware-Lösung eine Software-Authentifizierung zu implementieren. Vor allem musste die neue Lösung die Vorschrift zur dynamischen Verlinkung als eine Hauptanforderung der PSD2 erfüllen. Gemäß den regulatorischen technischen Standards (RTS) für starke Kundenauthentifizierung (SCA) und gemeinsame und sichere Kommunikation (CSC) der PSD2 müssen Finanztransaktionen durch dynamische Verlinkung (auch als Unterzeichnung von Transaktionen oder Autorisierung bezeichnet) authentifiziert werden. RTS ist Technologie-neutral, d. h. er enthält keine Vorgaben zur Verwendung einer bestimmten Methode für die dynamische Verlinkung. Die Vorschrift besagt, dass bei Zahlungstransaktionen der Authentifizierungscode dynamisch mit Transaktionsbetrag und Zahlungsempfänger verknüpft sein muss, sodass durch eine Änderung des Transaktionsbetrags oder Zahlungsempfängers auch der Code geändert wird. Darüber hinaus müssen Zahlungsangaben über einen sicheren Kanal übertragen und dem Anwender als Klartext angezeigt werden.

Dem Team war zudem bewusst, dass es nicht nur um die Konformität mit der PSD2 ging, sondern gleichzeitig auch der Aspekt der Benutzererfahrung aus Anwendersicht berücksichtigt werden musste. Ein Szenario, in dem Mobile-Banking-Kunden zwischen der App der Bank of Cyprus und einer separaten Authentifikator-App hin und her wechseln müssten, wollte man daher auf jeden Fall vermeiden.

„Bei der Ausarbeitung des Pflichtenhefts in Zusammenarbeit mit der IT-Abteilung und mit Unterstützung der Abteilung für Datensicherheit sowie weiteren Fachabteilungen lautete die wichtigste Anforderung von Anfang an, dass der Software-Authentifikator vollständig in die Mobilanwendung der Bank of Cyprus integriert werden musste“, erinnert sich Toula Efthymiadou. Frau Efthymiadou leitet die Abteilung für Unternehmenslösungen im Geschäftsbereich Digital Service Channels. Sie ist zuständig für die Geschäftsentwicklung der Vertriebskanäle Online-Banking-, Mobilanwendungen und Geldautomaten sowie für die Technologie zur Kundenauthentifizierung.

„Im Vordergrund stand für uns das Bestreben, die Kundenerfahrung möglichst reibungslos zu gestalten“, erläutert sie. „Die Konformität mit den Anforderungen der PSD2 durfte nicht zulasten des Kunden gehen.“

FALLSTUDIE

Fallstudie der Bank von Zypern

Erfahren Sie, wie die Bank of Cyprus die Software-Authentifizierung und transaktionsspezifische Einmal-Passcodes (OTP) implementiert hat, um die PSD2-Anforderungen zu erfüllen.

Jetzt herunterladen

Bank of Cyprus: die Lösung

Nach mehreren Beratungsgesprächen und Produktvorführungen zur Bestätigung der Konformität der OneSpan-Lösungen mit den Anforderungen der regulatorischen technischen Standards der PSD2 entschied Bank of Cyprus sich für die Software-Authentifizierung von OneSpan sowie die Option für Push-Benachrichtigungen und die visuelle Transaktionssignierung mit Cronto®. Die Integration sollte über die SDKs in der OneSpan Mobile Security Suite erfolgen.

Zur Kontoanmeldung und dynamischen Verlinkung wollte die Bank die Software-Authentifizierung direkt in ihre Mobile-Banking-App integrieren. Kunden, die Online-Zahlungen tätigen, ohne die Mobile-Banking-App zu nutzen, können sich den Authentifizierungscode als Einmalkennwort per SMS (online) zuschicken lassen oder einen Cronto-Code scannen (offline).

OneSpan Cronto

Die Cronto-Technologie stellt die verschlüsselten Transaktionsdaten als farbiges Kryptogramm dar. Transaktionen werden wie folgt initiiert:

  1. Der Kunde gibt die Zahlungsdaten in die Online-Anwendung der Bank in seinem Browser ein. Anhand dieser Transaktionsdaten wird ein farbiges Kryptogramm generiert und im Browser angezeigt.
  2. Der Kunde scannt das Kryptogramm mit der Kamera auf seinem Mobilgerät. Das Gerät entschlüsselt das Kryptogramm und zeigt dem Kunden die Transaktionsdaten im Klartext auf dem Bildschirm an.
  3. Die Authentifizierung erfolgt zunächst über das Gerät, dann wird der Authentifizierungscode zu den Transaktionsdaten anhand eines auf dem Gerät gespeicherten kryptographischen Schlüssels berechnet. (Hinweis: Anders als bei anderen Lösungen kann ein Cronto-Kryptogramm nur von einem autorisierten Gerät eines autorisierten Anwenders entschlüsselt werden. Für andere Geräte ist der Code nicht lesbar.)

Dieser Ansatz erfüllt sämtliche Anforderungen an die dynamische Verlinkung gemäß den regulatorischen technischen Standards der PSD2.

In 3 Monaten zur Pilotphase

Die Integration mit der Mobile-Banking-App wurde an einen externen Anbieter vergeben; den Rest erledigte das IT-Team.

„Wir gingen von einer langen Implementierungszeit aus – immerhin war das Pflichtenheft 100 Seiten lang. Es war sehr detailliert und erläuterte Schritt für Schritt ganz genau, wie die Kundenerfahrung in jedem möglichen Anwendungsfall aussehen sollte“, so Toula.

Das IT-Team räumte dem Projekt höchste Priorität ein und arbeitete sehr intensiv daran. So gelang es, das Projekt innerhalb von drei Monaten (Oktober 2016 bis Januar 2017) bis zur Live-Schaltung (als Pilot) zu bringen. „Drei Monate vom Beginn der Implementierung bis zur Live-Schaltung! Wir waren verblüfft, wie schnell das ging.“

Authentifizierung einer Zahlung über die Mobil-App der Bank

Kundenakzeptanz liegt bereits bei 30–40 %

„Aktuell wird die integrierte Authentifizierung von 30–40 % der Kunden genutzt. Kunden, die sich für den Kauf entschieden haben, wollen nicht wieder zu einem Hardware-Gerät zurück. Die Software-Authentifizierung wird auf Anhieb als sehr benutzerfreundlich empfunden. Aus Sicht des Anwenders verläuft sie reibungslos.“

Die Bank empfiehlt ihren Kunden zwar den Umstieg von Hardware-Tokens zur Software-Authentifizierung. Trotzdem werden zahlreiche Transaktionen nach wie vor über Hardware-Authentifikatoren mit Einmalkennwörtern signiert bzw. dynamisch verknüpft. „Mobilanwendungen setzen sich zunehmend durch. Bisher wird die Software-Methode jedoch in erster Linie von Kunden verwendet, die dem technisch versierten Segment angehören“, berichtet Toula. „Das Kundenfeedback, das wir über unser Callcenter erhalten, zeigt, dass gerade Privatkunden die integrierte Software-Authentifizierung bevorzugen. Insgesamt liegt die Software-Authentifizierung mit der weitesten Verbreitung vor dem Cronto-Code.“

Darüber hinaus habe die Unterstützung von Technologien wie Touch ID und FaceID den Ruf der Bank of Cyprus als moderne Bank gestärkt. „Durch die Bereitstellung von Touch ID oder FaceID auf dem Gerät hat die Bank of Cyprus ihre Position als Marktführer ausbauen können. Die Einführung der Software-Authentifizierung hat diese Wahrnehmung zusätzlich bestätigt. Bei den Kunden ist sie auf ein positives Echo gestoßen. Insofern kommt der Einsatz zukunftsweisender Anwendungen und Technologie auch der Kundenbindung zugute.“

Jeannine schreibt seit 20 Jahren über Technologie und wie man sie einsetzt, um alltägliche Herausforderungen zu lösen. In ihrer Rolle als Content Director bei OneSpan leitet Jeannine ein Team von Autoren und Inhaltsentwicklern, das sich darauf konzentriert, Finanzinstituten und anderen