Sicherheit ist der wichtigste – und wahrscheinlich auch komplizierteste – Service, den Banken, Mobilfunkbetreiber und Unternehmen ihren Kunden anbieten können. Das Thema Sicherheit ist so komplex, da jedes Mitglied des mobilen Ökosystems Finanzinstitute, Anwendungsentwickler, Mobilfunkbetreiber, Unternehmen/Marken/Einzelhändler und Kunden viel dazu beitragen muss, damit Finanzdaten und persönliche Informationen auf jeder Ebene geschützt sind. Dazu gehören physikalische Räumlichkeiten, Netzwerk, Transaktionen und Nutzeraktivitäten.
Bei den ersten drei Bereichen physikalische Räumlichkeiten, Netzwerk und Transaktionen – kann die Branche auf bewährte, in den IT-Abteilungen wohlbekannte und vielfach angewandte Technologien und Best Practices in Sachen Sicherheit zurückgreifen. Beim Thema Nutzeraktivitäten sieht es dagegen ganz anders aus. Endnutzer verwenden aus Bequemlichkeit häufig unsichere Praktiken. Da dies bekannt ist, müssen Banken und Unternehmen mit einem Sicherheitskonzept arbeiten, dass in den mCommerce-Workflow integriert ist. Im Folgenden werden verschiedene Arten von mCommerce-Kanälen und Empfehlungen zum sicheren Datenverkehr kurz vorgestellt.
mCommerce für jeden
Finanzinstitute, Mobilfunkbetreiber und Unternehmen haben verschiedene Kanäle zur Auswahl, über die sie mCommerce anbieten können: SMS, Rich-Client-Anwendungen und mobile Browser. SMS ist derzeit der beliebteste mCommerce-Kanal, da jedes Mobilfunkgerät SMS unterstützt und die Nutzer damit vertraut sind. In Zukunft ist mit einer erheblichen Zunahme an Rich-Client-Anwendungen und mobilen Browsern zu rechnen. Da Smartphones sich immer mehr durchsetzen und Betriebssysteme mit Commerce-Features entwickelt werden, erleben diese Anwendungsarten zukünftig einen starken Zuwachs.
SMS
Wenn man mCommerce-Transaktionen über SMS anbieten möchte, muss man sich mit dem Thema Datenerfassung beschäftigen. Jede Textnachricht wird im SMS-Speicher des Mobiltelefons abgelegt. Die Nachrichten sollten keine Informationen enthalten, die einen Verstoß gegen die Sicherheitsbestimmungen hervorrufen könnten. Die Anwendung sollte Account Masking unterstützen und den Wert der im SMS-Log gespeicherten Daten begrenzen. Sind diese Informationen verborgen, ist der Nutzer im Fall eines Verlustes oder Diebstahls geschützt. Zudem sollten Überweisungsoptionen durch Genehmigungsworkflows, Transaktions- oder Destinationslimits beschränkt sein.
Rich-Client-Anwendungen
Die Anwendungen müssen von einer vertrauenswürdigen Quelle angeboten werden, wie zum Beispiel dem Apple App Store oder Android Market. Diese Quelle muss Schutzmechanismen gegen Trojaner-Anwendungen zur Verfügung stellen, die das Gerät eines Nutzers und damit verbundene Konten beeinträchtigen könnten.
Mobile Browser
Secure-Sockets-Layer(SSL)-Zertifikate und 128-bit-Verschlüsselungen sind universelle Datenschutz-Sicherheitstechniken, die bereits beim Onlinebanking zur Anwendung kommen.
Weitere Sicherheitsmaßnahmen
▷Multi-Faktor-Authentifizierung (MFA): Die Nutzer werden gebeten, ihre Identität auf verschiedene Arten zu verifizieren (Passwort, Shared Secret, Stimmen-Authentifizierung oder Token).
▷Interactive-Voice-Response(IVR)-Rückruf: Um eine Transaktion auszuführen, ruft die Anwendung das Mobiltelefon des Nutzers an und bittet ihn, eine Personal Identification Number (PIN) einzugeben, um der Transaktion zuzustimmen.
▷SMS-Token: Für die Ausführung einer Transaktion muss ein Key Fob oder eine andere Hardware-Art verwendet werden.
Eine weitere Sicherheitsebene kann hinzugefügt werden, indem verlangt wird, dass der Nutzer über Aktivitäten wie Geldbewegungen, Passwortänderungen, neue Kontoregistrierung und Nutzerprofiländerungen vorab informiert wird. Mit diesen Benachrichtigungen werden Veränderungen des Kontos angekündigt. Sollte der Nutzer diese Veränderung nicht veranlasst haben, scheint das Konto gefährdet zu sein. Der Nutzer kann die Bank kontaktieren, um den Schaden zu begrenzen. Ziel dieser Benachrichtigungen ist es, Nutzer adäquat und zeitnah zu informieren, ohne sie zu überfordern.
Unabhängig vom gewählten Kanal müssen Banken und Unternehmen sich mit Schwachstellen befassen. Einer der besten Ansätze hierfür ist die Zusammenstellung von Anwendungsfällen, wie etwa „Anwendungsfall Verlust des Mobiltelefons“. Der jeweilige Anwendungsfall sollte für jede einzelne Transaktionsart durchgespielt werden, um Risiken zu identifizieren. Im folgenden Szenario wird das Risikoniveau für ein verlorenes Mobiltelefon, das SMS-Banking ermöglicht, ermittelt. Hierbei sind folgende Fragen zu stellen:
▷Könnte das SMS-Log irgendwelche Kontoinformationen enthalten, die das Konto des Nutzers gefährden?
▷Enthalten die Textnachrichten Informationen über Geldüberweisungstransaktionen?
▷Welche Daten werden für den Zugriff auf die Anwendung benötigt?
▷Könnten die Zugangsdaten für die SMS-Transaktion auf ein anderes Mobiltelefon angewendet werden und welche Schutzmaßnahmen könnten dieses Problem lösen?
▷Welche Prozesse beschränken den Zugriff auf die Konten bei den Finanzinstituten?
▷Welche zusätzlichen Empfehlungen können Finanzinstitute den Nutzern geben, wenn diese sie kontaktieren, wie zum Beispiel Kontaktaufnahme mit dem Mobilfunkbetreiber, um die Deaktivierung des Mobiltelefons zu veranlassen?
▷Stellen Banken Nutzern hilfreiche Informationen im Callcenter, in der Filiale, IVR und auf ihrer Website zur Verfügung, um sie im Verlustfall oder bei Diebstahl zu unterstützen?
Auch für alle anderen Kanäle müssen Anwendungsszenarien entwickelt werden, um das Risikoniveau voll zu erfassen.
Ein Appell
Der Markt wird sich 2011 insbesondere im Bereich der mCommerce-Kanäle mit neuen Features, Funktionen und Sicherheitsaspekten weiterentwickeln. Je definierter die Anwendungen werden, desto enger müssen Mobilfunkbetreiber und Finanzinstitute zusammenarbeiten, damit die Anwendungen wie gewünscht funktionieren.
Anstatt sich darüber zu streiten, wer die Beziehung zum Kunden pflegt, müssen Mobilfunkbetreiber und Finanzinstitute Standards entwickeln und Best Practices für mCommerce anwenden, die alle Ökosystemteilnehmer schützen. Finanzinstitute verfügen über das Tool für Geldbewegungen und Kundenkonten und sie sind an Know-Your-Customer(KYC)-, Anti-MoneyLaundering(AML)- und Office-of-Foreign-Asset-Control(OFAC)-Regulierungen gebunden. Mobilfunkbetreiber haben die Verantwortung für Netzwerk und Bereitstellung. Realistisch gesehen ist es unwahrscheinlich, dass Finanzinstitute die Funktionen von Mobilfunkbetreibern ersetzen oder dass Mobilfunkbetreiber in das Bankengeschäft einsteigen (obwohl dies außerhalb der USA tatsächlich teilweise der Fall ist). Die Beziehung zum Kunden pflegen beide Gruppen; wenn sie diese Beziehung erhalten wollen, müssen sie zusammenarbeiten, um die Transaktionssicherheit zu gewährleisten.