Wie Raiffeisen Italien die PSD2-Konformität mit mobiler Authentifizierung und Abschirmung mobiler Apps erreichte

Raiffeisen Italien ist der Dachverband für 40 Unternehmen der Raiffeisen Bank im italienischen Südtirol. Alexander Kiesswetter, Information System CIO bei Raiffeisen ist zuständig für die IT-Dienstleistungen der Mitgliedsbanken. Er veranlasste die Modernisierung des Authentifizierungssystems von Raiffeisen Italien im Einklang mit der zweiten Zahlungsdiensterichtlinie (PSD2). Als Teil dieser Initiative führte Raiffeisen Italien eine autonome Mobile App zur Authentifizierung von Nutzern ein. Diese wurde mithilfe der OneSpan Mobile Security Suite erstellt und mit dem Raiffeisen-Branding individualisiert.
Obwohl die Compliance mit PSD2 der Hauptgrund für die Einführung der neuen App war, spielte auch die schnelle Verbreitung von digitalem und mobilem Banking eine wichtige Rolle für Raiffeisen Italiens Entscheidung, sowohl auf höhere Sicherheit als auch eine bequemere Benutzererfahrung zu setzen. Hinsichtlich der Benutzererfahrung konnte das Unternehmen nämlich feststellen, dass Nutzer nicht mehr für jede noch so kleine Transaktion ihre Bankkarte und ein Hardware-Token zücken wollten. Sie bevorzugten stattdessen eine bequeme Authentifizierung über ihr Mobilgerät.
„Mobile-first ist ein wichtiger Teil unserer Strategie zum digitalen Wandel. Zum ersten Mal haben wir eine Lösung, die es uns ermöglicht, Dienste vollständig auf das Smartphone zu verlagern, ohne andere Hardware-Tools für die Authentifizierung zu verwenden. Jetzt können nicht nur PINs zur Authentifizierung genutzt werden, sondern auch Gesichts- und Fingerabdruckerkennung“, sagt Alexander Kiesswetter.
PSD2-Compliance-Anforderungen
Als CIO stand Alexander Kiesswetter vor zwei Herausforderungen: PSD2-Compliance und das überkommene Authentifizierungssystem, das für die Kunden schwer zu verwenden war.
Die Einhaltung von PSD2 hat für Finanzinstitute in Europa derzeit höchste Priorität. Insbesondere müssen Finanzinstitute die Anforderungen in Bezug auf eine starke Kundenauthentifizierung und eine Transaktionsrisikoanalyse erfüllen. Raiffeisen Italien musste darüber hinaus noch andere PSD2-Anforderungen erfüllen.
- Dynamische Verlinkung: Bei Fernzahlungen erfordert die PSD2, dass Finanzinstitute einen Authentifizierungsprozess anwenden, der die jeweilige Transaktion dynamisch mit einem spezifischen Betrag und einem Zahlungsempfänger verlinkt. Während des Authentifizierungsprozesses müssen die Vertraulichkeit, die Integrität und die Authentizität der Zahlungsinformationen geschützt werden, und der Nutzer muss noch einmal zusätzlich auf den Betrag und den Zahlungsempfänger hingewiesen werden.
- Replikationsschutz: Wenn Banken eine Mobile App als Teil ihres Authentifizierungsablaufs einsetzen, müssen sie das Risiko von Reverse-Engineering-Angriffen auf die App, bei denen Angreifer das zur Generierung eines Authentifizierungscodes verwendete Token-Geheimnis identifizieren und unter Umständen reproduzieren, bestmöglich minimieren. Deshalb müssen Finanzinstitute das Besitzelement (in diesem Fall die App) gegen Klonversuche schützen.
Raiffeisen Italien wollte darüber hinaus seinen Kunden eine bequemere Authentifizierungserfahrung ermöglichen. Bis zu dem Zeitpunkt war es dem Unternehmen – wie so vielen anderen – unmöglich gewesen, Sicherheit und Nutzerfreundlichkeit den gleichen Stellenwert einzuräumen. Die Sicherheit hatte schlichtweg Priorität gegenüber der Kundenerfahrung. So verwendete man zwar ein sicheres Authentifizierungssystem, jedoch beschwerten sich Kunden über die umständliche Bedienung.
„Bis zu unserer Zusammenarbeit mit OneSpan, fokussierten wir uns auf den Aspekt der Sicherheit. Wir verwendeten separate Hardware-Token in Kombination mit den Bankkarten, da wir nicht wussten, ob eine andere Lösung uns genügend Sicherheit bieten konnte“, erklärt Kiesswetter.
Beurteilung und Auswahl
Die Erfolgsstrategie von Raiffeisen Italien beruht auf der Wahl erstklassiger Technologien, bereitgestellt von einem Netzwerk aus verschiedenen Partnern im Bereich der IT-Sicherheit. Für das Unternehmen war es keine Option, eine eigene, hausinterne Lösung zu entwickeln. Deshalb beauftragte der CIO zwei Teams mit der Beurteilung der verfügbaren Angebote:
- Eine Gruppe aus IT-Technikern wählte die Authentifizierungssoftware aus.
- Um die Sicherheit mobiler Apps kümmerte sich ein Team bestehend aus dem CISO, einem IT-Architekten sowie Vertreter der Teams für Kundendienst, Softwareentwicklung sowie Risiko und Compliance.
„Wir sahen uns während des Auswahlverfahrens verschiedene Unternehmen an. Der große Unterschied zwischen OneSpan und anderen Anbietern besteht darin, dass die Lösungen von OneSpan sowohl ein hohes Niveau hinsichtlich der Sicherheit und Compliance als auch der Nutzerfreundlichkeit bieten.“
Eine Lösung für zwei Probleme
Raiffeisen Italien nutzte die API-Bibliothek der OneSpan Mobile Security Suite, um seinem System eine Funktion zur Unterzeichnung von Transaktionen hinzuzufügen, um die Online-Transaktionen von Kunden zu sichern. Die Abschirmung mobiler Apps schützt zudem die mobile Authentifikator-Anwendung.
„Wir haben uns für die innovativen Lösungen von OneSpan entschieden, da sie ein hohes Niveau an Sicherheit und Nutzerfreundlichkeit bieten. Wir hatten für gewöhnlich Schwierigkeiten, diese beiden Aspekte zu kombinieren – bisher mussten wir in dieser Hinsicht immer Kompromisse eingehen. Wir wollten innovativ sein und die Kundenerfahrung vereinfachen. Das ist uns mit diesem Projekt gelungen“, erklärt Kiesswetter.
Die Lösung von OneSpan ermöglichte der Bank, folgende PSD2-Anforderungen zu erfüllen:
- Dynamische Verlinkung: Die Bank implementierte Cronto® Technologie, mit der Transaktionsdetails als graphische Kryptogramme aus farbigen Punkten verschlüsselt werden. Cronto wird von Banken in Europa und der ganzen Welt genutzt. Die Technologie erfüllt die PSD2-Anforderungen hinsichtlich der Authentifizierung und dynamischen Verlinkung, und sorgt damit für die Sicherheit von Finanztransaktionen, ohne die Benutzererfahrung zu beeinträchtigen.
Hier finden Sie ein Beispiel für die Funktion zur Unterzeichnung von Transaktionen >>
- Replikationsschutz: Im Rahmen seiner Mobile-first-Strategie führte Raiffeisen Italien eine mobile Banking-Anwendung ein, die Nutzer authentifiziert und gleichzeitig schützt. Dabei war die Bank die erste in Italien, die ihre App mit Sicherheitsfunktionen für mobile Apps schützte – genauer gesagt durch die Abschirmung mobiler Apps mit Laufzeitschutz. Diese Technologie schützt mobile Apps vor verschiedenen Arten von Laufzeitbedrohungen. Durch die Schaffung einer sicheren Ausführungsumgebung für mobile Anwendungen können diese sogar auf nicht vertrauenswürdigen Geräten ausgeführt werden.
Hier finden Sie ein Video zur Abschirmung mobiler Apps >>
Die Vorteile
Raiffeisen Italien hat daraufhin positives Feedback von seinen Kunden erhalten. Viele von ihnen begannen gleich mit der Nutzung der neuen Authentifizierungsanwendung.
„Unsere Kunden betrachten Raiffeisen wieder als eine innovative Bank“, so der CIO. „Dem Feedback kann man entnehmen, dass unsere Kunden sehr zufrieden mit den neuen Funktionen sind. Wir hatten damals auch eine Marketingkampagne für die neue Authentifizierungs-App gestartet. Bei der Einführung konnten wir dann eine hohe Nachfrage und hohe Aktivierungszahlen verzeichnen – alles positive Signale vom Markt, dass die Anwendung gut ankommt.“
„Ich würde anderen Banken raten, ihren digitalen Wandel an den Kundenkontaktpunkten anzugehen. Dort sind Innovationen am wichtigsten.“
Dieser Beitrag ist ein Auszug aus der vollständigen PSD2-Fallstudie mit dem Titel Raiffeisen Italien implementiert Funktionen für eine mobile Authentifizierung und die Abschirmung mobiler Apps, um seine PSD2-Compliance zu gewährleisten und eine höhere Anwenderfreundlichkeit zu erzielen.