Geldinstitute > Security

28.11.2018 von bf

Kunden-Apps nutzerfreundlich absichern

Mobilgeräte sind ständige Begleiter der meisten Kunden. Es ist deshalb für die Unternehmen ein logischer Schritt, eine App mit jederzeit verfügbaren Services ­kundenfreundlich anzubieten. Die Verweildauer im Konto ist allerdings begrenzt und viele Nutzer schließen lediglich die App, ohne die begonnene Sitzung richtig zu beenden.

„Eine zeitgemäße Authentifizierungs­lösung muss eine kontinuierliche Verifizierung des Nutzers mit Transparenz vereinen,“ Sebastian Mayer, Country Manager CEE von BehavioSec

Obwohl die meisten Anbieter den Nutzer automatisch ausloggen, ermöglicht das Zeitfenster böswilligen Angreifern, die ­Sitzung zu übernehmen.

Session Hijacking ermöglicht Zugriff auf sensible Daten


Eine übernommene Sitzung bietet den ­Cyberkriminellen die Möglichkeit, personenbezogene Daten auszulesen, begünstigt den Missbrauch des Kontos für betrügerische Absichten sowie sensible Daten wie ärztliche Befunde oder Rechnungen zu ­kopieren, die der Kunde mit der App gescannt und an seinen Versicherer zur ­Abrechnung übermittelt. Der Gedanke ­daran dürfte für viele Kunden unangenehm sein und kann sowohl für den Betroffenen als auch das Versicherungsinstitut große ­finanzielle Schäden und einen Reputationsverlust nach sich ziehen. Die Zwei-Faktor-Authentifizierung, die normalerweise selbstverständlich ist, verhindert das Session Hijacking nicht aus­reichend wirksam, weil sie bereits beim Log-in aktiv waren. Um Lösungen und weitere Herausforderungen für das Identitäts- und Zugriffsmanagement zu diskutieren, war Sebastian Mayer, Country Manager DACH/CEE bei ­BehavioSec, mit der Roadshow Identitätsmanagement und seinen Partnern Nevis Security, Kalweit IT und PwC deutschlandweit unterwegs. Über 100 IT-Experten aus namhaften Versicherungen, Banken und IT-Dienstleistern im Finanzsektor diskutierten während der ­Veranstaltungsreihe über die denkbaren Lösungsansätze. „Die Diskussionsbeiträge zur Roadshow zeigen deutlich, dass Versicherungen und Banken zwei wesentliche Aufgaben haben: Auf der einen Seite steht die Sicherheit von Kundendaten, Apps und Online-Portalen. Auf der anderen steht die Nutzerfreundlichkeit“, resümiert Mayer.

Usability und Transparenz durch kontinuierliche Verhaltensbiometrie


Das Spannungsfeld zwischen Sicherheit und Benutzerfreundlichkeit hängt eng mit der starken Authentifizierung durch mindestens zwei Faktoren zusammen. Das typische Szenario ist, dass Passwörter als primärer Faktor in Kombination mit physischen Tokens, zusätzlichen Einmalpasswörtern, Fingerabdruckscans und Ähnlichem als zweiten Faktor erforderlich sind. Diese verifizieren allerdings nur punktuell zu einem bestimmten Zeitpunkt die Legitimität eines Log-ins und lösen beispiels­weise nicht das Problem, dass die Sitzung danach manipuliert oder durch illegitime ­Personen übernommen wird. Theoretisch müsste dafür jede einzelne Transaktion durchgängig überwacht werden. Es ist offensichtlich, dass eine solche Praxis die Usability drastisch reduzieren und die Kunden bald den Anbieter wechseln würden. „Eine zeitgemäße Authentifizierungslösung muss eine kontinuierliche Verifizierung des Nutzers mit Transparenz vereinen. Das heißt, sie muss ihre sicherheitskritische Aufgabe zuverlässig erfüllen, ohne dass der Anwender aktiv eingreifen muss. Um diese Ansprüche zu vereinen, eignen sich verhaltensbiometrische ­Methoden, beispiels­weise anhand des Tippverhaltens“, erklärt Mayer als Fazit der Diskussionen.

Eingaben beginnen beim Einloggen und sind über die gesamte Session-Dauer hinweg nicht zu vermeiden, sodass der Nutzer keinen zusätzlichen Aufwand hat – vielmehr spart er sich das Mitführen von Tokens und ergänzende Einmalpasswörter. Gleichzeitig gibt es zahlreiche unnachahmliche Merkmale, die eine biometrische Lösung nutzen kann, um die Identität eines Nutzers zu bestätigen. So schließt die Verhaltens­biometrie die Lücken zwischen punktuellen Verfahren, bleibt transparent und verhindert Session Hijacking, Bot-Angriffe sowie viele andere Szenarien, bei denen die Daten des Versicherungsnehmers von Unbefugten ausgelesen, legitime Eingaben manipuliert oder gänzlich gefälschte Vorgänge in ­seinem Namen angestoßen werden.