Spracherkennung als biometrisches Kundenmerkmal

Die beim Onlinebanking vorgeschriebene doppelte Kundenauthentifizierung ließe sich auch durch das Merkmal einer fortlaufenden Spracherkennung realisieren, wie das Unternehmen Spitch erklärt. Vor rund einem Jahr ist die Europäische Zahlungsdienstrichtlinie PSD2 (Payment Services Directive 2) in Kraft getreten, die beim Onlinebanking eine doppelte Kundenauthentifizierung vorschreibt. Beim Login muss sich jeder Kunde durch zwei von drei Faktoren legitimieren: etwas, das nur er weiß, beispielsweise PIN oder Passwort, etwas, das nur er besitzt, etwa Karte oder Smartphone, und etwas, das nur er haben kann, also Fingerabdruck, Stimme oder Gesicht. Viele Banken in Deutschland verlassen sich bislang auf die ersten beiden Aspekte, also Wissen (PIN/Passwort) und Besitz (Karte/Smartphone), und vernachlässigen das biometrische Merkmal.

Karten und Smartphones können gestohlen werden, PIN und Passworte lassen sich knacken oder erraten. Zwar können biometrische Daten ebenfalls entwendet werden, aber nur bei biometrischen Merkmalen lässt sich die Echtheit während einer Transaktion fortlaufend verifizieren. Konkret: Während der Kunde eine Transaktion spricht, wird seine Stimme kontinuierlich auf Echtheit überprüft. Diese sogenannte „Lebend-Erkennung“ während der Identifizierung sollte zügig in alle Onlinebanking-Verfahren aufgenommen werden, um Missbrauch zu unterbinden, wie Spitch fordert. Das Unternehmen betont zudem den Vorteil der Authentifizierung per Stimme gegenüber anderen biometrischen Verfahren wie Fingerabdrucks- oder Gesichtserkennung. Für die Stimmerkennung genügt ein Mikrofon, wie es jedes Telefon, jedes Handy und jedes Smartphone hat, während bei anderen Verfahren zusätzliches technisches Equipment benötigt wird oder nicht jedes Smartphone damit ausgestattet ist.

Zudem kritisert der Deutschland-Verantwortliche der Spitch AG, Bernd Martin, dass beim heutigen Onlinebanking per Smartphone zwar die Zwei-Faktor-Authentifizierung (2FA) gemäß Vorgaben gewährleistet sei, aber beide Authentifizierungen in der Regel auf ein- und demselben Smartphone stattfinden. Seiner Meinung nach sei es in der Praxis doch meistens so, dass sich die Banking- und die TAN-App auf einem Smartphone gegenseitig anfordern und autorisieren, eine Finanztransaktion durchzuführen. Wenn also das Gerät einmal geknackt wird, beispielsweise die Geräte-PIN, dann ist unautorisierten Finanztransaktionen Tür und Tor geöffnet. Faktisch schrumpfen die vorgeschriebenen zwei Authentifizierungen damit auf eine einzige Authentifizierung durch das Smartphone zusammen. Das ist eher unsicher statt sicher.