Foto: HID Global

Gefahren beim Online- und Mobile-Banking

Flexibel, aber sicher

Online- und Mobile-Banking: Für Banken ist das keine Frage des Ob, sondern des Wie. Die Nutzung dieser Kommunikationskanäle ist in einem zunehmend wettbewerbsintensiveren Umfeld unverzichtbar, da das Multi-Channel-Banking zu den zentralen Kundenanforderungen gehört. Für Finanzdienstleister bedeuten zusätzliche Online-Angebote aber auch ein höheres Bedrohungspotenzial.

Gefragt sind deshalb Lösungen, die einerseits eine hohe Sicherheit bieten, aber andererseits nicht den Benutzerkomfort auf Kundenseite einschränken. Der Trend ist unverkennbar: Bankkunden wollen heute zu jeder Tages- und Nachtzeit, an jedem Tag der Woche und von überall auf der Welt aus auf ihre Konten zugreifen und Finanztransaktionen tätigen. Dabei möchten sie flexibel zwischen unterschiedlichen Endgeräten auswählen und wechseln können. Für das Online-Banking von zu Hause aus wollen sie den heimischen PC verwenden, und von unterwegs für das Mobile-Banking das Smartphone oder Tablet. Mit der Nutzung zusätzlicher Kommunikationskanäle erhöht sich aber auch das Sicherheitsrisiko für Banken. Je mehr unterschiedliche Geräte und Anwendungen sie unterstützen müssen, desto größer wird die Angriffsfläche.

Kriminelle Organisationen

Dabei haben es Banken heute nicht mehr mit dem Hacker vergangener Tage zu tun, der sich durch seine Aktionen selbst verwirklichen wollte. Sie sind vielmehr verstärkt mit kriminellen Organisationen konfrontiert, die ganz gezielt mit ihren Angriffen Informationen über Konten und Zugangsdaten ausspähen, um diese entweder selbst für Zugriffe auf Konten zu nutzen oder diese an Dritte weiter zu veräußern. Abgesehen davon, dass sich Banken aktuell einer wachsenden Anzahl von Nutzern des Online- und Mobile-Bankings gegenübersehen, ist auch zu erkennen, dass Kunden heute in diesen Bereichen eine hohe Flexibilität erwarten. Das heißt, der Kunde verlangt nicht nur, dass seine Bank Online- und Mobile- Banking anbietet, er geht auch davon aus, dass seine unterschiedlichen Endgeräte, sei es Notebook, Tablet oder Smartphone, unterstützt werden.

Sicherheit wird vorausgesetzt

Die Erwartungshaltung des Kunden zwingt die Banken, das Online- und Mobile-Banking zu einem wesentlichen Bestandteil ihrer Marketing- und Vertriebsstrategie zu machen. Wettbewerbsvorteile definieren sich heute nicht zuletzt über das unterschiedliche Online-Angebot. Und das ist in einer Zeit, in der Kunden in höherem Maße als in der Vergangenheit bereit sind, eine zweite oder dritte Bank zu wählen oder auch die Bank zu wechseln, von essenzieller Bedeutung. Die Einfachheit der Nutzung bei Online- und Mobile-Banking- Diensten ist dabei eine zentrale Anforderung auf Kundenseite, das heißt, die Bankenanwendung muss intuitiv bedienbar sein, wie es der Nutzer von Apps auf Smartphones und Tablets der neuesten Generation gewohnt ist. Die einfache Anwendbarkeit darf aus Bankensicht aber andererseits nicht zu Lasten der Sicherheit gehen.

Online- und Mobile-Banking über eine starke Authentifizierung – häufig Zwei- Faktor-Authentifizierung mittels Einmal- Passwort-Token – abzusichern, ist in Zeiten steigender Sicherheitsbedrohungen nicht mehr ausreichend. Sichere Authentifizierung des Kunden ist zwar wichtig, sie muss aber in ein erweitertes, mehrschichtiges Sicherheitsmodell eingebunden werden. Erster Schritt bei der Konzeption eines solchen Sicherheitsmodells muss dabei die Analyse des Risikopotenzials einer Kommunikation beziehungsweise Transaktion sein. Dabei sollten unterschiedliche Risikoklassen für verschiedene Aktionen definiert werden: Das Laden eines Flyers oder eine Abfrage des Kontostands erfordern nicht dieselben umfangreichen Sicherheitsmaßnahmen wie die Überweisung mehrerer tausend Euro. Weitere Parameter, die in eine Risikobewertung eingehen können, sind der Ort, von dem aus sich der Kunde verbindet, das genutzte Endgerät oder das Verhalten des Internet-Browsers.

In Abhängigkeit vom Ergebnis der Risikoanalyse muss ein geeignetes Sicherheitsmodell dann unterschiedliche Authentifizierungsverfahren unterstützen, die für den Kunden so einfach wie möglich anzuwenden sind, aber gleichzeitig die adäquate Sicherheit bieten. Das können Einmal-Passworte sein, die direkt auf dem mobilen Endgerät des Bankkunden oder sogar nur im Hintergrund in der Mobile-Banking-Anwendung generiert und verwendet werden. Für die höchste Absicherung der Finanztransaktion empfehlen sich Lösungen, die die gesamten Transaktionsdaten digital signieren.

Authentifizierung der Geräte

Es liegt auf der Hand, dass eine zukunftsweisende Authentifizierungslösung heute unterschiedliche Authentifizierungsmethoden unterstützen muss. Das betrifft zum einen die Möglichkeit, verschiedene Authentifizierungsgeräte zu nutzen, beispielsweise Hardware-Einmal-Passwort-Generatoren, Smartcards oder USB-Token. Zum anderen sollte auch der Einsatz von Soft-Token zur Einmal-Passwort-Erzeugung auf mobilen Geräten möglich sein, die auf iOS, Android, Windows 10 Mobile oder anderen Betriebssystemen basieren.

Nicht zuletzt sollte die Authentifizierungslösung den Versand von Einmal-Passwörtern per SMS oder E-Mail ermöglichen. Unter Sicherheitsgesichtspunkten ist das Thema Authentifizierung zwar ein wesentlicher, aber nicht ausreichender Part. Die Notwendigkeit der Integration einer Mehr- Faktor-Authentifizierung für einzelne User sollte für eine Bank heute nicht mehr in Frage stehen. Fasst man das Thema allerdings etwas weiter, stellt sie lediglich eine Sicherheitsebene dar, die durch weitere ergänzt werden sollte. Zu nennen ist hier die Geräteauthentifizierung. Sobald bestimmt ist, dass der Kunde derjenige ist, der er zu sein vorgibt, kann auch überprüft werden, ob er ein bekanntes Gerät verwendet. Auf dieser Ebene kann es zusätzlich wichtig sein, diese Geräteidentifikation mit Elementen wie automatischer Proxy-Erkennung oder Geolokation zu kombinieren.

Ein weiterer Layer betrifft die Transaktionsauthentifizierung, die die Sicherheit für besonders kritische Transaktionen erhöht. Ein solcher Layer kann eine Out-Of-Band (OOB)-Verifizierung, Transaktionssignierung oder eine Transaktionsüberwachung beinhalten. Auch verhaltensbasierte Lösungen sind denkbar, die bei Normabweichungen wie einer deutlich langsameren PIN-Eingabe zusätzliche Authentifizierungen erforderlich machen.

Eine effiziente Implementierung dieser unterschiedlichen Security-Layer erfordert auch eine integrierte und flexible Authentifizierungsplattform mit Threat-Detection- Funktionalität in Echtzeit. Die Threat- Detection-Technologie wird gegenwärtig bereits vereinzelt in den Bereichen Online- Banking und E-Commerce verwendet, es ist allerdings davon auszugehen, dass sie künftig gerade im Finanzdienstleistungssektor verstärkt zum Einsatz kommen wird – und zwar als zusätzliche Sicherheitsebene für Remote-Zugriffe. Die Ausgabe und Verwaltung von digitalen Identitäten auf Medien wie Smartcards oder Smartphones zieht einen erheblichen Administrationsaufwand nach sich. Abhilfe kann hier eine integrierte Gesamtlösung schaffen, wie sie HID Global mit der ActivID Appliance und Software bereitstellt. Sie bietet hohe Flexibilität, da mit ihr eine adaptive Sicherheits- und Authentifizierungsstrategie umgesetzt werden kann: Es können in Abhängigkeit von den Nutzungsszenarien verschiedene Zugangsebenen festgelegt werden, indem definiert wird, welches Credential eine Person für die Authentifizierung benötigt und welche Art von Zugang gewährt wird.

Dirk Losse
Foto: HID Global

HID Global

Sichere Online- und mobile Finanztransaktionen

HID Global verstärkt seine Aktivitäten zur Unterstützung von Finanzdienstleistern. Dabei sollen Lösungen für sicheres Online-Banking umgesetzt werden.

Foto: HID Global

Zwei- oder Multifaktor-Authentifizierung?

Adaptiver Ansatz

Das einfache Passwort zum Schutz von Daten sollte längst ausgedient haben und die Zweifaktor-Authentifizierung ein Kernelement jeder Sicherheitsstrategie sein. In vielen Fällen ist zudem auch eine Multifaktor-Authentifizierung zwingend erforderlich.

Foto: HID

Konvergente Zugangslösungen

Ein Ausweis für alles

Lückenlose Sicherheit stellt Unternehmen vor ganz neue Herausforderungen. Sie gelingt nur, wenn sowohl der Zutritt zu Gebäuden als auch der Zugriff auf Daten oder Online-Anwendungen durchgängig gesichert werden. Der beste Ansatz hierfür ist eine umfassende und flexible Authentifizierungslösung.

Foto: HID Global

HID Global

Lösung bekämpft Betrug im Mobile Banking

HID Global hat seine Authentifizierungslösung ActivID für digitales Banking um eine Push-Benachrichtigung erweitert. Finanzinstitute erhalten damit eine einfache Methode, um Kunden über offene Transaktionen auf Handys oder Tablets zu informieren.