Eines der höchsten Güter der Kreditwirtschaft sind Kundendaten, die geschützt werden müssen. Eignen sich dafür biometrische Verfahren? geldinstitute hat zwei Experten um ihre Meinung gebeten.
Einer Studie der International Biometric Group zufolge, wird der weltweite Umsatz für alle biometrischen Technologien und Lösungen in den nächsten fünf Jahren überproportional stark ansteigen. So wurde in Asien bereits vor fünf Jahren mit der großflächigen Implementierung von biometrischen Sensoren in Bankautomaten begonnen. Der Einsatz von Biometrie kann zum einen eine signifikant höhere Sicherheit gegen das Ausspionieren von Pin-Nummern gewährleisten, zum anderen kann der Kredit- und Debitkartenmissbrauch drastisch reduziert werden. Bei der Selektion der richtigen biometrischen Technologie stehen Sicherheit und Anwenderfreundlichkeit genauso im Vordergrund wie eine ROI-orientierte Lösung. In Asien hat sich ähnlich wie in Südamerika dabei die biometrische Erkennung des Venenmusters durchgesetzt, wobei die Handflächenvenentechnologie unter den verfügbaren Venentechnologien die mit Abstand meistakzeptierte ist. Denn im Gegensatz zu anderen Technologien arbeitet sie kontaktfrei und ist damit äußerst hygienisch. Auch in Deutschland wurde die Handflächenvenentechnologie bereits erfolgreich in öffentlichen Pilotprojekten erprobt. Allerdings wird der Einsatz von Biometrie in Deutschland nach wie vor mit sehr gemischten Gefühlen betrachtet. Grund dafür waren unter anderem Tests im öffentlichen bargeldlosen Zahlungsverkehr einiger Einzelhandelsketten, bei denen zunächst eine kostengünstige Lösung und weniger die Sicherheit und Anwenderfreundlichkeit im Vordergrund stand. Diese konnten aufgrund von nicht zweckmäßig eingesetzter biometrischer Sensorik schnell überlistet werden. Wird aber die richtige Biometrie-Lösung, die wenn möglich entsprechend Sicherheits-zertifiziert sein sollte, am richtigen Ort eingesetzt, kann Biometrie unsere alltäglichen Prozesse wesentlich angenehmer und sicherer gestalten. Insbesondere der Einsatz von Kredit- /Debitkarten mit einem biometrischen Merkmal gekoppelt wobei das biometrische Template sicher und von Außenstehenden nicht reproduzierbar im Chip der Karte verwaltet wird ermöglicht eine hochsichere und bequeme Möglichkeit um Geld vom Bankautomaten abzuheben, einen Leihwagen zu mieten oder im Hotel einzuchecken. Die unzähligen, verschiedenen Pin-Nummern und Passwörter ließen sich dadurch auf ein für den Anwender überschaubares Maß reduzieren. K
Sämtliche Kundendaten werden in Rechenzentren, die mit Millionen von dezentralen Endstellen verbunden sind, verarbeitet. Diese „Endstellen“ sind allein national über 57.000 Geldautomaten, knapp 600.000 POS-Terminals und 355.000 E-Geld-Terminals sowie 39,3 Millionen Rechner, über die Kunden Online Banking betreiben. Aufgabe der Kreditwirtschaft ist es, nur Transaktionen berechtigter Personen über die Endstellen zu autorisieren, wofür die Betreffenden authentifiziert werden müssen. Die bekanntesten Methoden hierfür sind Passwort und PIN. Diese Eigenschaften des „Wissens“ werden oft mit der Eigenschaft des „Besitzes“ (Bankkarte) gekoppelt. Biometrie erlaubt zusätzlich noch die eineindeutige Kopplung an das „Sein“ der Person, so dass nur der berechtigte Bankkunde eine Transaktion anstoßen kann. Die Kreditwirtschaft stellt besondere Anforderungen an die Authentifizierung. Zunächst müssen alle Bankkunden das verwendete biometrische Merkmal besitzen, es muss bei jedem Kunden einzigartig, mindestens fünf Jahre (Bankkartenlaufzeit) unveränderbar und in der Bankumgebung handhabbar sein. Schon diese Basisanforderungen werden nicht durch alle biometrischen Verfahren befriedigt. Sind diese vier Hürden genommen, harrt die alles Entscheidende noch ihrer Erfüllung: Biometrische Verfahren müssen im alltäglichen Kundengeschäft zuverlässig funktionieren. Sprich: Der berechtigte Kunde muss mit einem einzigen Verifikationsversuch Zugang zur beabsichtigten Aktion etwa das Abheben von Bargeld am Geldautomaten erhalten. Eine weitere harte Anforderung stellt die Interoperabilität biometrischer Verfahren dar, das heißt dass sowohl die Sensoren über BioAPI nach ISO/IEC 19784 als auch die Algorithmen über die Speicherung der biometrischen Referenzen im standardisierten Austauschformat nach ISO/IEC 19794 austauschbar sein müssen. Ferner muss das biometrische Verfahren technisch zuverlässig funktionieren, was der Hersteller durch Vorlage eines Testberichts nach ISO/IEC 19795 belegen kann. Biometrie kann zwar die Echtheit einer berechtigten Person bestätigen, allerdings kann sie bisher nicht eine durch diese Person gewollte Transaktion sichern. Das ist aber eine Grundvoraussetzung für den Einsatz im Online Banking. Hiefür müssen die Protokolle für Online Banking und Biometrie zu einem einzigen Transaktionssicherungsprotokoll weiter entwickelt wurden. K