Risikobasierte Authentifizierung

Was ist risikobasierte Authentifizierung?

Die risikobasierte Authentifizierung (RBA) hilft, Betrug zu verhindern, indem die Risikostufe für jede Finanztransaktion und die für jede Transaktion erforderliche Stufe der Kundenauthentifizierung festgelegt werden. RBA hilft bei der Verhinderung von Betrug bei der Kontoübernahme und anderen Arten von Online- und mobilen Betrugsangriffen, indem die Authentifizierung an das Risiko angepasst wird. Herkömmliche Identitäts- und Zugriffsverwaltungstechnologien reichen angesichts der sich ständig weiterentwickelnden Bedrohung der Landschaft und regelmäßiger Datenverletzungen nicht mehr aus. Die risikobasierte Authentifizierung wird auch als adaptive Authentifizierung oder Step-up-Authentifizierung bezeichnet.

In der Vergangenheit haben sich viele Unternehmen für alle Kunden und Transaktionen auf eine Art der Authentifizierung verlassen: statische Kennwörter und Benutzernamen. Dies wird als binäre Authentifizierung bezeichnet. Passwörter und Benutzernamen gelten als schwache Sicherheit, da sie für Betrüger so einfach zu stehlen und auszunutzen sind. Andererseits ist die risikobasierte Authentifizierung eine Form der starken Authentifizierung, da sie dem Benutzer und seiner Transaktion einen Kontext bietet, um das Risikograd und die Anfälligkeit für Betrug zu bestimmen. Bei einer Transaktion mit hohem Risiko wird der Benutzer zur zusätzlichen Authentifizierung aufgefordert, um seine Identität zu bestätigen.

Die 3 Faktoren der Authentifizierung

Für die Authentifizierung werden drei allgemeine Faktoren verwendet:

  1. Etwas, das du weißt
  2. Etwas was du hast
  3. Etwas was du bist

Die häufigste Authentifizierung ist etwas, das Sie kennen und das ein Passwort oder eine einfache persönliche Identifikationsnummer (PIN) sein kann. Es ist jedoch auch für Betrüger am einfachsten zu schlagen.

Der Faktor, den Sie haben, bezieht sich auf Elemente wie ein mobiles Gerät oder Hardware-Authentifizierungs-Token, die einen einmaligen Passcode für den einmaligen Gebrauch generieren. Die Hardwareauthentifizierung bietet eine Zwei-Faktor-Authentifizierung (2FA). Smartphone-basierte Optionen wie eine Push-Benachrichtigung und ein Einmalkennwort (OTP) bieten ebenfalls eine Überprüfung mit mehreren Faktoren.

Biometrie ist der Faktor „etwas, das Sie sind“ und kann Fingerabdrücke, Gesichts-Scans oder Sprachanalysen sein und ist Teil einer Umstellung auf passwortlose Anmeldungen. Es gibt eine Reihe von Laptops und Telefonen mit Fingerabdrucksensoren sowie USB-Sticks.

Die drei Authentifizierungsfaktoren werden häufig kombiniert, um Betrügern eine höhere Sicherheit zu bieten. Die Kombination eines Fingerabdruckscans mit einem einmaligen Passcode erhöht die Sicherheit und ist ein Beispiel für die Multi-Faktor-Authentifizierung (MFA).


Die Bedeutung der risikobasierten Authentifizierung

Die risikobasierte Authentifizierung kann dazu beitragen, den unbefugten Zugriff auf Konten und den Diebstahl von Geldern oder personenbezogenen Daten zu verhindern. Es ist ein Schlüsselelement für die Verbesserung der Endbenutzererfahrung und -bindung, da es das digitale Bankerlebnis für legitime Kunden einfacher und sicherer macht - und für Betrüger schwieriger. Der unbefugte Zugriff auf Kundendaten ist eine Bedrohung für die Marke, den Ruf und die Wettbewerbsfähigkeit eines Finanzinstituts.

Wie risikobasierte Authentifizierung die Reibung für Kunden verringert

Die adaptive Authentifizierung verringert die Reibung für Kunden und verhindert gleichzeitig die Übernahme von Konten und andere Arten von Betrugsangriffen. Es nutzt Sicherheitsmaßnahmen, die im Hintergrund in Echtzeit stattfinden, während der Kunde seinen Geschäften nachgeht. RBA wendet das genaue Sicherheitsniveau für jede einzelne Kundeninteraktion an und vermeidet unnötige Sicherheitsschritte für Transaktionen mit geringem Risiko, was zu Reibungsverlusten für den Benutzer führen kann. Ein gutes Beispiel ist ein legitimer Kunde, der sich mit einem bekannten Gerät, das bei der Bank registriert wurde, mit demselben Browser wie normalerweise beim Bankportal anmeldet. Sie führen eine risikoarme Aktion durch, z. B. die Überprüfung ihres Guthabens oder eine geringe Zahlung. In diesem Fall stellt das System fest, dass das Betrugsrisiko so gering ist, dass sie sich nach der Anmeldung nicht erneut authentifizieren müssen. Nur wenn das Verhalten des Benutzers von der normalen Aktivität abweicht, werden zusätzliche Authentifizierungsprobleme hinzugefügt, was zu erhöhten Sicherheitshürden für riskantere Transaktionen wie eine Banküberweisung führt. Der Kunde würde aufgefordert, sich in der einen oder anderen Form zu authentifizieren, und würde bei Erfolg sein Geschäft fortsetzen.

Blog icon
Blog

How Risk-based Authentication Cuts Fraud Losses and Improves Customer Satisfaction

Read More


Wie risikobasierte Authentifizierung Wachstum und Loyalität fördern kann

Die risikobasierte Authentifizierung ist der Schlüssel zur Erschließung von Wachstum und Kundenbindung für Banken, da sie die Reibung erheblich verringert und ein besseres Kundenerlebnis bietet. Im Rahmen der digitalen Transformation einer Bank werden unnötige Schritte zur Identitätsprüfung reduziert und die genaue Sicherheitsmenge zum richtigen Zeitpunkt für jede Transaktion basierend auf dem Risikograd angewendet. Die Benutzererfahrung wirkt sich direkt auf die Kundenbindung aus. Studien haben gezeigt, dass Kunden, die überall und jederzeit problemlos mit ihrem Finanzinstitut in Kontakt treten können, weniger wahrscheinlich wechseln. Gleichzeitig kann die Verwendung der risikobasierten Authentifizierung Banken und anderen Finanzinstituten helfen, Betrugsverluste zu reduzieren.

Warum die risikobasierte Authentifizierung ein wesentliches Sicherheitstool ist

Die risikobasierte Authentifizierung ist ein wesentliches Sicherheitstool, da sie in Echtzeit arbeitet, um Cyberbetrug zu verhindern, ohne legitime Kunden zu belästigen.

Während das Betrugspräventionssystem den Transaktionsrisikowert generiert, bietet die risikobasierte Authentifizierung die Möglichkeit, die Authentifizierungsmethoden im laufenden Betrieb entsprechend dem Risikograd anzupassen. Als Instrument zur Risikobewertung trifft die RBA auch sofort Entscheidungen darüber, welche Authentifizierungsmethoden verwendet werden sollen und in welchen Kombinationen.

Wie oben erwähnt, haben sich Finanzinstitute häufig auf eine schwache Authentifizierung verlassen, beispielsweise auf ein Passwort oder einen einmaligen Code, der per SMS gesendet wird. Fortschritte bei Betrugs-, Malware- und Angriffsstrategien erfordern jedoch eine wachsamere Sicherheit. Infolgedessen wenden sich Banken der risikobasierten Authentifizierung zu, bei der ein Kunde möglicherweise aufgefordert wird, eine Authentifizierungsaufforderung durchzuführen, abhängig von der Risikostufe, die er zu tun versucht. Wenn beispielsweise jemand versucht, 90% des auf einem Bankkonto verfügbaren Geldbetrags mit einem dem System unbekannten Gerät und zu einer Tageszeit zu überweisen, die nicht den historischen Mustern des Kunden entspricht, wird er gebeten, dies weiter zu überprüfen ihre Identität mit zusätzlicher Authentifizierung, wie z. B. einem einmaligen Passcode, der von einem Fingerabdruckscan oder einer Gesichtsbiometrie begleitet wird. Die Verwendung von RBA kann riskante Anmeldeversuche identifizieren und den Zugriff oder Transaktionen bei Bedarf insgesamt verweigern.

Whitepaper zur intelligenten adaptiven Authentifizierung
Weißes Papier

Adaptive Authentifizierung | Wachstum durch intelligente Sicherheit

Laden Sie dieses Whitepaper herunter, um das Kundenerlebnis zu verbessern, Betrug zu reduzieren und Wachstum zu erzielen.

Whitepaper abrufen

Wie Risikobewertungen in der RBA ermittelt werden

Risikobewertungen sind der Schlüssel zur risikobasierten Authentifizierung. Eine Risikobewertung wird aus einer Reihe von Faktoren erstellt, die mit einem Zugriffsversuch oder einem Versuch, eine Transaktion auszuführen, zusammenhängen.

Beispielsweise analysiert RBA Hunderte und sogar Tausende von Datenpunkten, z. B. das Gerät des Kunden, die IP-Adresse, die Geolokalisierung, das Netzwerk, die Tageszeit und die Transaktion selbst. Diese Daten werden verwendet, um in Echtzeit eine Risikotransaktionsbewertung zu erstellen. Abhängig von der Risikobewertung kann RBA bei Bedarf eine sofortige Authentifizierungsaufforderung auslösen. Ein Risiko-Score kann auch die Historie des Benutzers von Sicherheitsvorfällen, die Anzahl der Anmeldungen und die Vertraulichkeit der Daten umfassen, auf die zugegriffen werden soll. Der Grund dafür, dass eine Risikobewertung auf einer Kombination vieler kontextbezogener und anderer Datenpunkte basiert, liegt darin, dass ein Datenpunkt allein von einem Angreifer geschlagen werden kann und wird. Viele Zugriffsanforderungen unterschreiten jedoch die definierten Risikoschwellen und erfordern keine zusätzliche Authentifizierung.

Die Rolle der Biometrie in der RBA

Die biometrische Authentifizierung wird zunehmend in Mobile-Banking-Apps verwendet, um die Sicherheit zu gewährleisten und eine komfortable Benutzererfahrung zu bieten. Digitale Kunden gehen davon aus, dass ihre Transaktionen reibungslos und sicher sind. Viele gestohlene Passwörter und Benutzernamen werden online verkauft und viele Leute verwenden Passwörter wieder, was sie zu einer weniger sicheren Authentifizierungsoption macht. Das Übermitteln eines Kennworts zusammen mit einem Fingerabdruck ist jedoch weitaus sicherer als Authentifizierungstechniken. Die Verwendung von Biometrie wurde von Apples TouchID populär gemacht und die Unterstützung für Biometrie geht über Fingerabdruckscans hinaus zu Gesichtsscans und Iris- oder Retina-Scans. Benutzer haben die Möglichkeit, die Authentifizierungsmethode auszuwählen, die für sie in einer bestimmten Situation am einfachsten ist, oder die Methode, mit der sie sich am sichersten fühlen.     

Um einen zunehmend mobilen Kundenstamm zu authentifizieren, können Verhaltensbiometrien angewendet werden, um zu erfahren, wie ein Kunde tippt, das Telefon hält oder wischt, welche Hand verwendet wird und wie die Tasten gedrückt werden. Verhaltensbiometrische Daten liefern ein kontinuierliches Signal über die Authentizität des Benutzers und können daher für Betrüger derzeit schwer zu besiegen sein.

Analystenempfehlungen für eine risikobasierte Authentifizierungslösung

Das Marktforschungsunternehmen Forrester stellt fest, dass die risikobasierte Authentifizierung für Finanzinstitute relevanter denn je ist, da Online- und mobile Transaktionen immer beliebter werden. Laut Forrester ist die Fähigkeit, Unannehmlichkeiten und Ärger für Kunden zu reduzieren, ohne die Sicherheit zu beeinträchtigen, ein Wettbewerbsvorteil. Das Marktforschungsunternehmen sagt auch, dass ein Betrugsbekämpfungssystem in der Lage sein muss, so viele Benutzer-, Geräte- und Transaktionsdaten wie möglich über digitale Kanäle hinweg zu analysieren, um eine möglichst genaue Risikobewertung zu erzielen.

Bei der Bewertung von RBA-Lösungen empfiehlt Forrester außerdem, nach Anbietern zu suchen, die Vorlagen für Betrugsregeln bereitstellen, mit denen die Genauigkeit Ihrer Risikobewertungen erhöht wird. Ein Betrugsbekämpfungssystem sollte Transparenz darüber bieten, wie und warum diese Betrugsregeln über digitale Kanäle hinweg ausgelöst werden. Darüber hinaus muss das System zeigen, wie maschinelles Lernen die Betrugsregeln ergänzt, um Verhaltensmuster zu erkennen, die vom normalen Verhalten eines Kunden abweichen und möglicherweise auf neu auftretende Betrugsmethoden hinweisen.

Stellen Sie außerdem sicher, dass die Lösung mehr als nur Betrugsrisikoanalysen durchführt. Stellen Sie sicher, dass nicht nur Daten erfasst und analysiert werden können, sondern dass der Benutzer bei Bedarf eine höhere Authentifizierungsaufforderung ausführen muss.

Kontaktieren Sie uns

Wenden Sie sich an einen unserer Sicherheitsexperten, um mehr darüber zu erfahren, wie unsere Lösungen Ihre digitalen Sicherheitsanforderungen erfüllen können

Kontakt