Mehr Sicherheit für Banken mit Biometrie

Ein Artikel von Andrew Shikiar, Executive Director bei der FIDO Alliance | 20.02.2021 - 10:01

Zu Hause arbeiten ist in der Corona-Krise ein wichtiges Mittel, um die Ausbreitung des Virus zu verlangsamen. Jedoch entstehen dadurch neue Risiken für Mitarbeiter und Unternehmen: Viele Rechner in Privatwohnungen sind nur unzureichend geschützt und öffnen Cyberattacken Tür und Tor – die entsprechend rasant zugenommen haben. Allein im Juli 2020 ermittelten IT-Sicherheitsforscher deutschlandweit rund 100.000 Angriffe auf mittelständische Unternehmen und Privatpersonen. Aber auch Banken und Finanzdienstleister sind für Betrüger ein äußerst beliebtes Ziel, da hier mit den Konten großer Unternehmen und Organisationen wesentlich lukrativere Ziele winken. 

Finanz- und Kreditinstitute haben daher in den vergangenen Jahren einiges in ihre Sicherheitsmaßnahmen investiert, um ihre Privat- und Geschäftskunden vor Angriffen dieser Art schützen zu können. Das reicht jedoch in vielen Fällen nicht mehr aus, um mit den sich ständig weiterentwickelnden neuen Betrugsmethoden Schritt zu halten. Eine Lösung verspricht die Ergänzung durch biometrische Authentifizierungslösungen, die mit kryptografischen Methoden kombiniert und nicht mehr zentral auf Servern gespeichert werden.

Betrüger werden immer raffinierter

VB_news_89121678_0e25465f37.jpg

© fffranz - Fotolia

Hacker entwickeln immer raffiniertere Methoden, um ihre Opfer zu überlisten – vom einfachen direkten Phising von Benutzeranmeldedaten vom Server über Credential Stuffing bis hin zum Spear Phishing. Beim Credential Stuffing beispielsweise werden lange Listen mit gestohlenen Kontodaten genutzt, die im Darknet angeboten werden. Hacker können damit vollkommen automatisiert auf einer ganzen Reihe von Websites und Anwendungen Login-Versuche durchführen, um sensible Kontodaten zu erbeuten.

Die Methode erfreut sich zunehmender Beliebtheit: So haben die Forscher des Hasso-Plattner-Instituts mehr als drei Milliarden gestohlene E-Mails und Passwörter im Internet entdeckt, auf die Kriminelle zugreifen können. Beim Spear-Phishing wiederum erfolgt der Angriff direkt und personalisiert auf bestimmte Personen innerhalb einer Organisation, die über wichtige Informationen verfügen oder bestimmte Zugriffsrechte haben. Ziel ist, an wertvolle Informationen zu gelangen oder die Opfer zu veranlassen, Geld zu überweisen. 

Mithilfe von traditionellen 2-Faktor-Authentifizierungsmethoden hat die Branche bereits Maßnahmen ergriffen, um für mehr Sicherheit zu sorgen. Jedoch halten die Betrüger auch hier Schritt und leiten beispielsweise unvorsichtige Nutzer über eine täuschend echt aussehende Phishing-Website zur eigentlichen Website weiter. Dabei können sie sowohl Passwörter als auch Einmal-Passwörter (One-Time Password, OTP oder Transaktionsnummern, TAN) mitlesen und trotz doppelter Sicherheitsmaßnahmen abgreifen und weiterverkaufen. 

Viele Dienste haben daher weitere Differenzierungen vorgenommen und speichern weitere zugängliche Informationen wie Browsertyp und -version, Sprache, Bildschirmauflösung, installierte Schriftarten oder sogar die Tippgeschwindigkeit des Benutzers. Gibt dieser beim nächsten Login zwar das richtige Passwort ein, weicht aber zu stark von den über ihn gespeicherten Merkmalen ab, schlägt die sogenannte Risk Based Authentication, kurz RBA, Alarm. Je nachdem, ob sich nur der Provider ändert oder ob etwa eine Kreditkarte, die bislang nur in Deutschland genutzt wurde, plötzlich in einem weit entfernten Land zum Einsatz kommt, sendet das System entweder eine Warn-SMS an die hinterlegte Handynummer oder sperrt vorsichtshalber die Karte gleich ganz. 

Aber auch ein solcher „digitaler Fingerabdruck“, die jedem Benutzer ein eindeutiges Profil zuordnet, stellt für Betrüger keine unüberwindliche Hürde da. So veröffentlichte Kaspersky Lab 2019 seine Ergebnisse zu einem im Darknet angesiedelten Online-Shop, auf dem mehr als 60.000 digitale Doppelgänger tatsächlich existierender digitaler Identitäten gehandelt werden. Gefragt ist daher eine neue und schon vom Prinzip her bessere Authentifizierungsmethode, die gleichzeitig bedienerfreundlich bleibt. 

Die Quadratur des Kreises

Das traditionelle Passwort hat also ausgedient. Es kann einfach nicht die erforderliche Sicherheit gewährleisten, die eine globalisierte vernetzte Welt benötigt. Denn solche Passwörter werden zusammen mit dem Benutzernamen auf zentralen Servern gespeichert oder auf Login-Seiten eingegeben – und auf beides können Betrüger zugreifen, die diese Daten stehlen und dann ohne große Hindernisse Transaktionen durchführen können. Nicht zuletzt ist das so einfach, weil immer noch viele Benutzer viel zu simpel gestrickte Passwörter gleich für mehrere Accounts einsetzen. 

Um ihre Kunden und natürlich auch sich selbst besser zu schützen, aber auch um den neuesten Vorschriften gerecht zu werden, hat die Finanzbranche bereits zahlreiche neue Sicherheitsfunktionen umgesetzt. Seien es chipTAN, photoTAN, pushTAN oder mTAN – sie alle sollen eine bequeme und dabei sichere Authentifizierung ermöglichen. Die Art und Weise, wie Unternehmen und Konsumenten bezahlen oder ihre Konten verwalten, hat sich in den letzten Jahren im Zuge des digitalen Wandels jedoch grundlegend verändert.

So sind mit der neuen EU-Richtlinie PSD2 nicht nur neue Regeln in Kraft getreten, sondern die damit verbundene Verpflichtung zur starken Kundenauthentifizierung und Öffnung der Zahlungskonten für „Dritte“ haben auch die technologischen Möglichkeiten noch einmal deutlich vervielfacht. Gefordert ist heute eine starke Multi-Faktor-Authentifizierung, also ein Authentifizierungsverfahren, das zwei oder mehr Berechtigungsnachweise kombiniert.

Schon im Vorfeld von PSD2 hat daher die Europäische Bankenaufsichtsbehörde festgelegt, dass Nutzer sich anhand von mindestens zwei spezifischen Merkmalen ausweisen müssen, d.h. ein Einmal-Passwort per SMS reicht nicht mehr aus – denn auch diese wurden von raffinierten Phishing-Seiten bereits „geknackt“. 

Banken und Finanzdienstleister stehen somit vor der Herausforderung, auch unter den neuen Richtlinien die Benutzerfreundlichkeit mit den nötigen Sicherheitsstandards in Einklang zu bringen. Denn wenn Benutzer sich aufgrund der ständig steigenden Sicherheitsbestimmungen immer komplexer werdende Buchstaben- und Zahlenkombinationen – die unter Umständen auch noch alle drei Monate geändert werden müssen – merken müssen und dann noch Einmalpasswörter über Extrageräte generieren müssen, sind sie schnell überfordert. Das Ergebnis ist ein Teufelskreis, der Cyberkriminellen den Zugang zu noch mehr Daten öffnet. 

Die Lösung: biometrische Authentifizierung plus Kryptographie-Verfahren

Shikiar Andrew 2021.jpg

Andrew Shikiar ist Exekutivdirektor der FIDO Alliance, einem globalen Firmenverbund, das an der Schaffung eines offenen Standards für die Authentifizierung arbeitet. Er verfügt über umfassende Erfahrung in Multi-Stakeholder-Organisationen: Vor der FIDO Alliance war Andrew Shikiar verantwortlich für das Marketing und Business Development von Tizen Association, LiMo Foundation und Liberty Alliance Project.

Eine Lösung verspricht der Einsatz biometrischer Authentifizierungsmethoden in Kombination mit kryptographischen Verfahren. Dabei wird der vorhandene Faktor „Wissen“, also etwas, das der Nutzer weiß, wie beispielsweise ein Passwort, durch weitere Faktoren ergänzt. Biometrische Charakteristika (Faktor „Inhärenz“) können von einem Benutzer ganz einfach auf seinem jeweiligen Gerät genutzt werden.

Die rasche Verbreitung von Fingerabdruckleser und Gesichtserkennung zum Entsperren persönlicher Geräte zeigt, dass diese Technologien benutzerfreundlich sind und gerne eingesetzt werden. Alternativ können Benutzer auch eine PIN verwenden. Dabei verbleiben sowohl die PIN als auch die biometrischen Daten auf dem Gerät des Benutzers, werden also nicht an den Server geschickt. Kryptographische Verfahren, die sich auf jedem Server unterschiedlich darstellen, bilden schließlich den Faktor „Besitz“.  

Diese Kombination verbindet also eine wirklich starke Authentifizierung mit hoher Benutzerfreundlichkeit. Daher spricht nichts dagegen, dass biometrische Authentifizierungsverfahren auch in der Finanzindustrie zum Einsatz kommen. Letzten Endes werden Banken und Finanzdienstleister damit nicht nur den Vorschriften gerecht, sondern bieten ihren Kunden auch ein hohes Maß an Komfort – und vermeiden das Risiko, dass Cyberkriminelle sensible Login-Daten erbeuten könnten.