Geldinstitute > Bank-IT

18.12.2018 von red

Authentifizierung per Tippverhalten

Eine repräsentative Umfrage sagt, dass 76 Prozent der deutschen Internetnutzer bereits Online-Banking über Desktop- und Mobilgeräte nutzen. Weitere acht Prozent denken ­darüber nach und jeder der derzeitigen sowie zukünftigen Kunden erwartet von seiner Bank, dass der Zugang zuverlässig geschützt wird, ohne die Usability zu beeinträchtigen.

Da das Tippverhalten unnachahmlich ist und jede legitime Transaktion Eingaben erfordert, muss der Kunde keine zusätz­lichen Aktionen ausführen. Gleichzeitig ist eine hohe Sicherheit gewährleistet.

Für viele Banken führt das zu einem ­Kompromiss, eine Form von Einmal-Passwörtern wie eine TAN zu verwenden, die entweder auf ein Mobilgerät des Nutzers gesendet werden oder zusätzliche Geräte wie TAN-Generatoren, -Empfänger oder -Listen voraussetzen.

Sicherheit und Nutzerfreundlichkeit


Es gibt viele Situationen, in denen eine komfortable Nutzererfahrung nicht gewährleistet werden kann, wenn für eine Transaktion zusätzliche Geräte benötigt werden. Ebenso schwierig ist es, wenn zusätzliche TAN-Apps oder Textnachrichten auf das Mobilgerät gesendet werden, das der Kontoinhaber möglicherweise für seine Banking-Aktivitäten verwendet. Auf der Roadshow Cyber Security 2018 diskutierten die Teilnehmer die Probleme, die Banken mit der Authentifizierung haben. Die Experten von den auf Security fokussierten Firmen BehavioSec, Nevis Security, Kalweit IT und PwC beleuchteten das Spannungsfeld mit über 100 IT-Sicherheitsspezialisten aus Banken, Versicherungen und IT-Dienstleistern im Finanzsektor von strategischer, technischer und praktischer Seite, um Online- sowie Mobile-Banking sicherer zu machen. „Der Austausch unter den Spezialisten zeigt deutlich: Sicherheit und Nutzerfreundlichkeit dürfen keine Gegensätze sein, die sich ausschließen. Vielmehr muss die Cybersicherheit von Kundendaten, Apps und Online-Portalen mit einer einfachen Bedingung vereint werden“, resümiert Sebastian Mayer, Experte für biometrische Verhaltensanalyse bei BehavioSec. Das ­typische Szenario für Kunden-Apps ist, dass die Banken eine Zwei-Faktor-Authentifizierung einsetzen, die Wissen mit Besitz, also Passwörter mit Einmalkennwörtern als zweiten Faktor, kombiniert. Selbst relativ bequeme Lösungen wie Fingerabdruck­scans sind technisch nicht so einfach.

„Diese zweiten Faktoren erhöhen die ­Sicherheit, weil sie zu bestimmten Zeitpunkten den Nutzer zusätzlich verifizieren. Technisch haben Cyberkriminelle zwischen den Identifikationen allerdings genug Zeit, Daten zu manipulieren, zu ­kopieren oder Bank­kunden und Finanzinstitute um ihr Geld zu bringen“, erklärt Mayer. Banken sollten eine kontinuierliche Authentifizierung sicherstellen, lautete das Fazit der Veranstaltung. Mit den bisherigen zweiten Faktoren ist das offensichtlich nicht leistbar, da es die Usability drastisch reduzieren würde, in Sekunden­abständen nach Passwörtern, TANs oder auch nur Fingerabdrücken zu fragen.

Verhaltensbiometrie ist eine Lösung


Eine zeitgemäße Authentifizierungslösung muss eine kontinuierliche Verifizierung des Nutzers mit Transparenz vereinen – also für den Anwender unsichtbar sein. Um diese Ansprüche zu vereinen, eignen sich verhaltensbiometrische Methoden besonders anhand von Merkmalen wie dem Tippverhalten. Da das Tippverhalten unnachahmlich ist und jede legitime Transaktion Eingaben erfordert, muss der Kunde keine zusätz­lichen Aktionen ausführen, während eine hohe Sicherheit gewährleistet wird – vielmehr spart er sich das Mitführen von ­Tokens und ergänzender Einmalpasswörter.


„Wie getippt wird, ergibt eine unverwechselbare Melodie für jeden Menschen, anhand derer eine biometrische Lösung eine zuverlässige Sicherheit gewährleisten kann, um die Identität eines Nutzers zu bestätigen“, resümiert Sebastian Mayer, Country Manager CEE von BehavioSecMayer.

So schließt die ­Verhaltensbiometrie die Lücken zwischen den punktuellen Verfahren, bleibt transparent und verhindert die Übernahme von ­Sitzungen, Attacken durch Bots, Angriff mit gestohlenen Benutzerdaten sowie viele andere Szenarien, bei denen die Daten und Banking-Funktionen des Bankkunden von Unbefugten ausgelesen oder manipuliert werden können.