Multifaktor-Authentifizierung und Vorteile eines adaptiven Ansatzes

Foto: gettyimages.com

Die Digitalisierung im Finanzbereich bringt immer mehr Cyberbedrohungen für unsere Geldbörsen mit sich.

In einer Welt, in der arglistige Akteure versuchen, Konten zu übernehmen (engl.: Account Takeover; ATO) und ständig neue Betrugsmethoden zu entwickeln, sind umfassende Sicherheitsmaßnahmen zu Autorisierung und Authentifizierung zwingend erforderlich. Die Anzahl der Betrugsversuche im Sektor Finanzdienstleistungen ist in den letzten Jahren um mehr als das Achtfache in die Höhe geschossen  und hat Milliarden Dollar in Gefahr gebracht.

Es gibt eine Vielzahl an möglichen ATO-Szenarien, darunter fallen z. B. ausgefeilte Formen von Phishing, Infektionen mit Schadsoftware, Bank-Trojaner und Credential Stuffing. Die Tatsache, dass über 60 % der Opfer von ATO-Angriffen dasselbe Passwort für zahlreiche Plattformen verwendet haben, einschließlich sozialer Medien, zeigt deutlich, wie riskant es ist, sich auf ein einziges Passwort zu verlassen. Stattdessen ist es unbedingt ratsam, ein Verfahren mit einer Zwei-Faktor-Authentifizierung (2FA) zu nutzen.

Foto: gettyimages.com

Sicherheit für die App ohne Nachteil für das Benutzererlebnis

Häufig treten Probleme auf, sobald Finanzinstitute Sicherheitslösungen für ihre sorgfältig gestalteten Anwendungen implementieren. Nehmen wir bspw. verschiedene Apps für Bankgeschäfte, Zahlungen und Vermögensverwaltung. Der Umfang bereitgestellter Dienstleistungen gilt unter den Finanzinstituten nicht länger als wichtiges Kriterium der Wettbewerbsfähigkeit, da sich die angebotenen Serviceleistungen kaum noch voneinander abheben. Einen echten Unterschied macht dagegen das Benutzererlebnis (engl.: User Experience; UX), das bei der Verwendung von Apps zum Tragen kommt. Aus diesem Grund wird auch ein Schwerpunkt darauf gelegt, das Benutzererlebnis so reibungslos wie möglich zu gestalten.

Neben dem Benutzererlebnis sind jedoch noch weitere Aspekte zu berücksichtigen. So legen Chief Information Security Officers (CISOs) großen Wert darauf, angemessene Sicherheitsmaßnahmen wie die Multifaktor-Authentifizierung (MFA) durchzusetzen. Solche Strategien erfordern vom Benutzer bei jeder Handlung, die er vornehmen möchte, zusätzliche Schritte. Beispiel: Jedes Mal, wenn Benutzer sich von einem neuen Gerät aus in der App anmelden, Überweisungen tätigen möchten, die einen vorgegebenen Grenzwert überschreiten, oder versuchen, die Daten vertrauenswürdiger Empfänger zu ändern, werden sie dazu aufgefordert, diesen Vorgang auf verschiedene Weise zu bestätigen. Das kann durch die Verwendung eines Einmalpassworts (engl.: One-Time Password; OTP) geschehen, das per SMS übermittelt wird, durch das Anklicken einer Push-Nachricht oder per Eingabe einer PIN, die über einen Hardware-Token generiert wird. 

In den meisten Fällen erhalten Benutzer dann die Berechtigung, ihre Transaktionen fortzusetzen. Doch manchen gelingt es unter Umständen nicht, ihre Identität nachzuweisen. Dies können Kunden sein, die ihre PIN oder ihr OTP falsch eingegeben haben oder die eine Push-Nachricht nicht schnell genug bestätigt haben. Es kann sich allerdings auch um ATO-Angriffe handeln. Im Hinblick auf das Benutzererlebnis wäre es hier wünschenswert, dass lediglich diejenige Gruppe einen zusätzlichen Autorisierungsschritt machen muss, die tatsächlich Betrüger sind und gerade eine Kontoübernahme versuchen. Somit würden legitime Benutzer nicht durch übermäßige Abfragen belästigt.

Foto: gettyimages.com

Adaptive Vorgehensweise bei Transaktionsrisiken 

Wie lässt sich nun aber ermitteln, wann eine MFA sinnvoll ist? Bei den neuesten Lösungen zum Schutz vor Cyberbetrug werden zu jeder Transaktion Risikoberechnungen im Hintergrund durchgeführt, anstatt in jedem einzelnen Fall MFA anzuwenden. Nur wenn das Risiko einer gegebenen Transaktion den definierten Grenzwert übersteigt, werden Benutzer zu einem weiteren Identitätsnachweis aufgefordert. Dieses Vorgehen nennt sich adaptive Authentifizierung und bedeutet, dass eine ausgewählte Authentifizierungs- und Autorisierungsmethode je nach spezifischer Situation auf Grundlage einer Risikokalkulation zum Einsatz kommt.

Das Risiko berechnet sich aus einer breiten Menge an Daten, die mit den einzelnen Transaktionen verbunden sind. Zu den Daten können Informationen über das Endgerät des Kunden, dessen Verhalten, den geografischen Standort etc. gehören. Alle Hinweise auf ungewöhnliches Verhalten werden als verdächtig vermerkt und bei der Berechnung des Gesamtrisikos berücksichtigt.

Des Weiteren wird nach Schadsoftware gesucht und Benutzer-Apps werden analysiert, vor allem um festzustellen, ob es Anhaltspunkte gibt, die auf die Verwendung übermäßig vieler Berechtigungen und somit den Missbrauch von Anmeldedaten hindeuten, z. B. durch den unerlaubten Einsatz von Keyloggern.

Foto: gettyimages.com

Innovation zugunsten der Kunden

Damit Finanzdienste auch wirklich von der Digitalisierung profitieren, müssen die entsprechenden Institute größtmögliche Sicherheit für die persönlichen Geräte ihrer Kunden gewährleisten. Eine Kombination der bewährten Multifaktor-Authentifizierung mit dem innovativen Ansatz der risikobasierten adaptiven Authentifizierung ist eine Möglichkeit, Kunden Sicherheit zu geben, ohne dabei das Benutzererlebnis zu vernachlässigen. Es lohnt sich also definitiv, diese Lösung in Betracht zu ziehen, da sie die Interessen von Geschäftsexperten wie auch von Spezialisten für Cybersicherheit vereint. Und all dies im Dienste des Kunden, der am Ende stets die wichtigste Rolle spielt.

Natalia Karbowska-Niedbała, Product Manager, Comarch 

Mehr zum Thema

Die Digitalisierung der Bankprozesse

Weiterlesen

Datenkultur – mehr Wort als Tat

Weiterlesen

Multifaktor-Authentifizierung und Vorteile eines adaptiven Ansatzes

Weiterlesen

V.i.S.d.P.: Marta Yahadkina, Marketing Communications Manager Financial Services, Al. Jana Pawła II 39a, 31-864 Krakow, Poland