Banken befinden sich in einem ständigen Kampf mit der organisierten Kriminalität. Skimming-Feldzüge an den Geldautomaten und Phishing-Attacken auf Onlinebanking-Kunden sind kostspielige Ärgernisse für die Kreditinstitute. Und die steigende Zahl von Transaktionen über Smartphones könnte noch einmal neue Herausforderungen mit sich bringen. Sicherheitslösungen sind also gefragter denn je. Und tatsächlich bewegt sich einiges.
Erstaunlich ist nur, dass Biometrie anscheinend in Deutschland keine Rolle spielt. Denn in einigen Ländern sind solche Verfahren längst im Einsatz. In Japan erfordert das Geldabheben am Automaten eine zusätzliche Autorisierung über biometrische Verfahren wie Fingerprint oder Handvenenscan. In Indien sind gewaltige Projekte gestartet worden, die den großflächigen Einsatz zum Ziel haben – Fingerprint und Iriserkennung sind die favorisierten Technologien.
Doch der erste Schein trügt. Zwar haben deutsche Kreditinstitute tatsächlich noch keinen Roll-out von biometrischen Verfahren initiiert, hinter den Kulissen werden aber mit großer Konsequenz die Voraussetzungen dafür geschaffen. Denn insbesondere die organisatorischen Grundlagen sind erheblich schwieriger aufzubauen als in Asien. Hierzulande machen Ambitionen für eine flächendeckende Einführung nur dann Sinn, wenn keine Bedenken in puncto Datenschutz bestehen, eine Akzeptanz beim Verbraucher gesichert ist und selbstverständlich die Technik perfekt funktioniert.
In Asien sind bekanntermaßen die Anforderungen an den Datenschutz geringer. In Japan hat zudem eine Beweislastumkehr für Druck gesorgt. Weil Banken im Streitfall in der Pflicht stehen, dem Kunden ein Verschulden nachzuweisen, wird bereits seit 2005 ein dritter – biometrischer – Autorisierungsschritt am Automaten angewendet.
Der steigende Bedarf in Deutschland spiegelt sich in der Tatsache wider, dass Banken vermehrt IT-Dienstleister einladen, um biometrische Konzepte für mehr Sicherheit im Onlinebanking sowie an Geldautomaten und SB-Terminals zu diskutieren. Die GFT Technologies AG hat bereits Feldversuche begleitet und selbst Prototypen entwickelt. Für eine deutsche Bankengruppe sind Verfahren für Fingerprints und Handvenenscans an Automaten in einem Pilotprojekt erprobt worden. Diese Machbarkeits- und Akzeptanzstudien haben gezeigt, dass die Biometrie als Komfortgewinn vom Kunden empfunden wird – auch weil sie die PIN-Eingabe ablöst. Aktuell wird diskutiert, ob ein großflächigerer Feldversuch oder bereits die Vorbereitungen für den großen Roll-out der Lösung erfolgen sollen.
Sogar noch etwas vehementer als bei den Geldautomaten wird derzeit in Deutschland auf neue Verfahren im Onlinebanking gedrängt. Die M-TAN oder der TAN-Generator rücken stärker ins Blickfeld. Aber auch ein zunehmendes Interesse an der Voice-Biometrie, die ein noch höheres Sicherheitsniveau bieten kann, ohne dabei den Komfort einzuschränken, ist zu beobachten. GFT hat einen Prototypen entwickelt, mit dem die Funktionsfähigkeit aufgezeigt wird: Im ersten Schritt erfolgt die Registrierung des Anwenders. Der Nutzer wird um eine Stimmprobe gebeten. Das heißt: Er muss Wort- oder Zahlenfolgen am Handy nachsprechen. Daraus wird ein Template erzeugt und hinterlegt. Im Falle einer Onlinebanking-Transaktion wird nicht mehr die TAN zur Autorisierung eingegeben, stattdessen ist ein Button zu betätigen – der mit „Verifizierung per Stimmbiometrie“ beschrieben sein könnte. Das System initiiert daraufhin einen Anruf auf dem Handy. Der Anwender wird aufgefordert, einen vorgesprochenen Text nachzusprechen. Dieser Text darf kein Standardtext sein, sondern wird jeweils neu generiert. Um eindeutig festzustellen, dass in diesem Augenblick der Kontoinhaber – oder die berechtigte Person – am Handy spricht, erfolgt schließlich die Verifizierung über den Abgleich der Stimmprobe mit dem Template.
Bei diesen Entwicklungen muss beachtet werden, dass der Datenschutz ausreichend berücksichtigt wird. Es dürfen nicht unangemessen viele Daten über den Anwender gespeichert werden. Die Selbstbestimmungsrechte der Nutzer sind zu gewährleisten. Ebenso müssen die hohen Informationspflichten gegenüber dem Kunden Berücksichtigung finden. Also: Möglichst wenig Daten sammeln und diese am besten dezentral ablegen. Die Girocard ist beispielsweise der geeignete Einsatzort für den Fingerprint. Dort sollte das registrierte Muster zum Abgleich hinterlegt sein. Auch bei der Sprachbiometrie ist zu überlegen, ob das Template nicht auch auf dem Handy gespeichert werden kann.