Für Kunden gehören heute online Interaktionen mit Unternehmen zur Tagesordnung. Je sensibler diese Interaktion ist, desto höher die Anforderungen in Punkto Sicherheit. Ein einfaches Login reicht dann nicht mehr aus, um das Einfalltor für Hacker zu stopfen. Sicherer muss jedoch nicht zwingend komplizierter bedeuten. Was wir von Banken lernen können und welche Fehler wir uns ersparen können.
Das Smartphone ist zum täglichen Begleiter geworden und beeinflusst unseren Alltag von morgens bis abends. Dies verändert nicht nur das Nutzerverhalten, sondern beeinflusst auch massgeblich, wie wir Dienstleistungen in Anspruch nehmen. Kunden erwarten heutzutage, dass sie mit Produkten und Unternehmen auf digitalen Kanälen kommunizieren und interagieren können – und dies möglichst einfach und unkompliziert, sei dies im Gesundheitswesen, im Baugewerbe, bei Lieferdiensten, in der Mobilität oder beim Onlineeinkauf generell.
Futurae's passwortlose Authentisierung (Bild: Futurae)
Sicher ohne Kompromisse bei der Benutzerfreundlichkeit
Die Benutzerfreundlichkeit sollte bei der gesamten Interaktion im Vordergrund stehen, denn jedes Hindernis kann dazu führen, dass Kunden frustriert den Prozess abbrechen. Dabei gilt es, Registrierung und Logins nicht ausser Acht zu lassen, denn sie sind die ersten Berührungspunkte, die Kunden mit dem Unternehmen haben.
Oftmals werden gerade Logins lieblos als notwendiges Übel behandelt. Nicht nur die Endanwender leiden unter fehlender Benutzerfreundlichkeit, sondern auch die Unternehmen selbst: Spätestens dann, wenn Nutzer sich nicht mehr an Passwörter erinnern und massenhaft Anfragen im Support landen. Erhebungen zeigen, dass sich zum Beispiel in der Finanzindustrie rund die Hälfte der Supportanfragen um Login- oder Authentisierungsprobleme drehen. Bei telefonischer Unterstützung kostet bereits ein 5-minütiger Anruf 25 Schweizer Franken im Durchschnitt.
Das Dilemma mit den Passwörtern
Hatten Benutzer vor 15 Jahren höchstens eine Handvoll Passwörter, die sie sich merken und verwalten mussten, verfügt eine durchschnittliche Person heute über Hunderte von Accounts. Für jedes Kundenportal gibt es einen Benutzernamen und ein Passwort. Bei vielen, den «Sicheren», kommt dann noch ein zweiter Faktor hinzu. Die Zwei-Faktor-Authentisierung sorgt dafür, dass die Online-Daten sicher sind, auch wenn die Benutzer immer wieder das gleiche Passwort wählen. Denn wenn die liebgewonnene Nutzername-Passwort-Kombination an einem Ort in die falschen Hände geraten sollte, sind alle anderen Anwendungen, wo dieselbe Kombination im Einsatz ist, nicht mehr sicher – ein leichtes Einfallstor für jeden Hacker. Für Login-Daten werden im Untergrund hohe Beträge bezahlt, daher sind und bleiben solche Datenbanken ein lukratives Geschäft.
Eine Mehrfachverwendung des Passworts führt also nicht nur zu Sicherheitslücken, sondern kann auch kostspielig werden, wenn man Opfer einer Cyberattacke wird. Die Verantwortung den Kundendaten gegenüber verschärft sich nicht erst, wenn in der Schweiz die neue Datenschutzordnung in Kraft tritt. Ist Zwei-Faktor-Authentisierung also wirklich nötig? Oder steigen nur stetig die Kosten für die Verwaltung der IT-Infrastruktur Ihres Unternehmens? Überwiegt der Nutzen oder schädigt es die User Experience zu stark?
Lehren aus 20 Jahren Online-Interaktionen bei Banken
Glücklicherweise können Unternehmen jeder Grösse, von neu entstehenden Start-ups mit ehrgeizigen Wachstumsplänen über KMUs bis hin zu grossen internationalen Unternehmen, das Know-how nutzen, das in den letzten zwanzig Jahren in der Finanzdienstleistungsbranche aufgebaut wurde. Da sie von je her stark reguliert sind, haben sie mit Technologien bereits viele Maturitäten durchlebt.
Ein kurzer Blick in die Geschichte der Authentisierung bei Banken: Es begann mit Hardware-Token, den lästigen kleinen Plastik-Dongles mit 6-stelligen Zahlen, die sich alle paar Sekunden ändern. Jeder von uns hat sich schon einmal die Mühe gemacht, die letzten beiden Ziffern einzugeben, bevor sich der Code vor unseren Augen änderte und wir alles noch einmal eintippen mussten.
Unternehmen begannen, diese Hardware-Token für ihre Mitarbeitenden zu verwenden. Und schon bald begannen die Banken, Tausende rund um den Globus an ihre Kunden zu verschicken, um die Online-E-Banking-Interaktionen zu sichern. Die Kosten waren hoch, die Logistik ein Albtraum, ganz zu schweigen von der Freude der Nutzern.
SMS als heiliger Gral?
Die nächste Welle kam gleich danach mit SMS. Statt des Hantierens mit Hardware-Tokens nutzten die Banken die immer allgegenwärtigen Mobiltelefone: den 6-stelligen Code per SMS übermitteln, und – voilà – alles gelöst! Nicht ganz.
Das SMS-Netz ist von Natur aus unzuverlässig, Stauzeiten sind keine Seltenheit. Ein «Frohe Weihnachten, Mama!», das von Tausenden von Menschen etwa zur gleichen Zeit verschickt wurde, bedeutete, dass Verzögerungen eher die Regel als die Ausnahme waren. Und das Schlimmste ist, dass die SMS-Technik nie für das Versenden von Sicherheitscodes gedacht war. Heute können Kriminelle mit einem einfachen Gadget, das ein paar hundert Schweizer Franken kostet, jede Sicherheits-SMS ihrer Nachbarn abfangen. Ein speziell entwickeltes Spiel, das Ihre Kinder vielleicht ganz harmlos auf Ihrem Telefon installieren, kann alle Ihre Texte auslesen, inklusive den Sicherheitscodes der Banken. Als die Betrugsfälle in die Höhe schossen, mussten die Banken eine Lösung finden.
Nun kommt das Smartphone ins Spiel: Egal ob Android- oder iOS-Fan, eines funktioniert: eine App. Smartphones sind von Haus aus sicherer als Computer, wo immer noch die grösste Anzahl von Hackerangriffen umgesetzt wird. Zusätzlich verfügen fast alle Mobiltelefone mittlerweile über lokale Biometriefunktionen. Über Sicherheits-Apps lassen sich heute sensible Vorgänge abwickeln: das Bankkonto prüfen, Aktien handeln, den Parkplatz bezahlen oder ein besonderes Geschenk für die Liebsten bestellen. Und so nutzen Banken diese Sicherheit, um alle Arten von Authentisierungs- und Transaktionsbestätigungslösungen zu implementieren.
Überspringen Sie die Warteschlange: Diesmal ist es kein Verbrechen!
Aber was funktioniert und was nicht? Klar, kein Warten mehr auf eine SMS, kein Versand von Token, aber ist das Scannen eines QR-Codes wirklich so viel besser für Ihre Kunden? Was ist schneller: eine Push-Benachrichtigung oder das Kopieren eines 6-stelligen Codes aus einer App (machen Sie den Link: es ist die gleiche Lösung wie die ganz alten Hardware-Token, aber jetzt in Ihrem Telefon!)? Und was ist mit dem ganzen Rummel um Betrugserkennung, risikobasierte Authentifizierung, Datenschutz und so weiter?
Zu denken, dass eine App all diese Probleme löst, ist naiv. Zu denken, dass ein Praktikant schnell mal etwas inhouse bauen kann, ist völliger Wahnsinn.
Wenn es um Ihre Kunden geht, gibt es keine «Einheitsgrösse»: Sie müssen die technisch affinen Generationen authentifizieren, bis hin zu den Älteren, die noch in ihren Print-Katalogen stöbern und einkaufen wollen. Authentifizierung ist ein Mittel zum Zweck: Sie sollte nicht im Weg sein, sie sollte sicher sein und sie sollte immer funktionieren. Gefahren ändern sich, je nach der typischen Nutzergruppe, die man bedienen möchte. Es müssen alle Anwendungsfälle bedacht werden: Was ist mit dem Benutzer, der gerade offline ist oder vielleicht gerade auf ein neues Handy Modell gewechselt ist und nun nicht mehr auf Ihre Kundenplattform zugreifen kann?
Passwort ade und Blick in die Zukunft
Manchmal liegt die Lösung schon die ganze Zeit vor uns: Hunderte von Benutzernamen und Passwörter später, könnte die beste Lösung darin bestehen, die Benutzer gar nicht erst nach einem Passwort zu fragen. Sogenannte passwortlose Lösungen, entweder über den FIDO2-Standard oder als kundenspezifische Authentisierungsanwendungen, bieten die ideale Kombination aus Benutzerfreundlichkeit und Sicherheit. Stellen Sie sicher, dass sich Ihre Benutzer immer anmelden können, und zwar mit einem Minimum an Aufwand. Das ist ein Weg in eine sichere Zukunft, der bereits heute möglich ist.
Adaptive Authentifizierung läutet die nächste Generation der Benutzerauthentisierung ein. Diese Art der Anmeldung erfordert im Vergleich zu allen anderen Methoden keine Benutzerinteraktion. Diese Art der Authentisierung ist für verschiedenste Anwendungsfälle von grossem Vorteil, wie z. B. bei der Arbeit mit Handschuhen (in Labors) oder auch für Personen mit Beeinträchtigungen. Dahinter stecken innovative Technologien, die im Hintergrund verschiedene Risikoparameter überprüfen und auswerten. Dabei handelt es sich um verhaltens- aber auch kontextbezogene Daten. Diese risikobasierte Authentifizierung bietet die höchste Sicherheit und das beste Benutzererlebnis überhaupt. Hohe Kundenzufriedenheit ist garantiert!
Die Anforderungen der Kunden und Gefahren durch Kriminelle werden sich auch künftig ständig verändern. Es reicht daher nicht aus, nur auf eine Technologie zu setzen. Wichtig ist, dass man sich im Design der Kundenschnittstellen- und Sicherheit Flexibilität bewahrt und nicht das Rad von vorne erfinden muss, wie dies die Banken während den letzten 20 Jahren tun mussten.
Die Autorin
Sandra Tobler arbeitet viele Jahre in der IT-Industrie und ist passionierte Unternehmerin. Sie ist Gründerin und CEO von Futurae Technologies AG. Sandra hat die Firma zusammen mit einigen der besten IT-Sicherheitsforschern der ETH gegründet, um Datenschutz, Sicherheit und Nutzerfreundlichkeit zu optimieren. Die Schweizer Cybersecurity Firma unterstützt bereits über 100 internationale Firmen bei der Sicherung von Kundenportalzugriffen und Transaktionen.
Dieser Artikel entstand in Zusammenarbeit mit Swonet.
Magazin kostenlos abonnieren
Abonnieren Sie das topsoft Fachmagazin kostenlos. 4 x im Jahr in Ihrem Briefkasten.