Sicherheit im Mobile Banking

3 Komponenten für die Abwehr von Cyberattacken

Cyberattacken nehmen auf breiter Front zu, gerade mobile Geräte stehen dabei zunehmend im Fokus. Ein kritischer Bereich ist hier das Mobile Banking. An der Konzeption und Umsetzung mehrstufiger Sicherheitsstrategien führt kein Weg vorbei. Grundkomponenten müssen eine starke Kundenauthentifizierung und zuverlässige Fraud Prevention sein.

Sicherheitskomponenten für das Mobile Banking

Drei Sicherheitskomponenten sorgen für die richtige Balance beim Mobile Banking.

Es liegt auf der Hand, dass mit der zunehmenden Verbreitung von Mobile Banking die Gefahr von Cyberattacken steigt, bei denen vertrauliche Zugangsdaten entwendet werden. Angreifer nutzen hierfür z.B. Spear Phishing, Browser Redirection, Zero-Day-Malware, Advanced Persistent Threats, Keylogger, Screenlogger, Remote-Access-Trojaner (RAT) oder auch verlorene bzw. gestohlene Geräte. Starke Authentifizierung und Fraud Prevention sind deshalb unabdingbar, und zwar unter Einsatz einer mehrstufigen Sicherheitsstrategie. Ein effizientes Security-Framework sollte laut HID Global zumindest folgende drei Komponenten beinhalten.

1. Zweifaktor- und Multifaktor-Authentifizierung

Eine Basissicherheitsanforderung stellt die Zweifaktor-Authentifizierung dar, die deutlich über die Sicherheit eines einzelnen statischen Passworts hinausgeht. Sie erfordert weitere Komponenten (Faktoren), um die Identität des Benutzers zweifelsfrei zu bestimmen. Der Faktor „Wissen“ (Passwort oder PIN) wird um den Faktor „Besitz“ (Authentifizierungs-Token) und eventuell noch um den Faktor „Eigenschaft“ (Biometrie) oder „Verhalten“ erweitert. Eine Zweifaktor-Authentifizierung kann bereits sehr effektiv sein, allerdings hat sie auch ihre Grenzen; mit einer Multifaktor-Authentifizierung, etwa durch das Hinzufügen von der Eigenschaft als drittem Faktor unter Nutzung biometrischer Verfahren wie Fingerabdruck oder Gesichtserkennung, können Zahlungsdienstleister ein deutlich höheres Maß an Datensicherheit realisieren. Prinzipiell sollte eine Sicherheitslösung zudem mehrere Authentifizierungsmethoden für verschiedene Anwendungsfälle unterstützen, z.B. für unterschiedliche Kanäle, Nutzergruppen oder Bankgeschäfte.

2. Mobile Application Protection

Die Malware-Attacken auf mobile Applikationen nehmen kontinuierlich zu, Lösungen im Bereich Mobile Application Security müssen deshalb standardmäßig integriert sein. Sie sollten neben bekannten Verfahren zur Sicherung mobiler Applikationen u.a. auch eine Erkennung von Debuggern, Emulatoren, Manipulationen und Code-Verschleierungen bieten. Ebenso empfiehlt sich die Nutzung einer RASP-Sicherheitssoftware (Runtime Application Self-Protection), um auf der Anwendungsebene Angriffe zu erkennen und zu blockieren.

3. Transaktionssignierung und Verhaltensanalyse

Banken verfügen über umfangreiche Informationen zum Kundenverhalten bei Transaktionen. Sie können diese Informationen für Verhaltensanalysen zur Bestimmung des Fraud-Risikos bei jeder Transaktion verwenden. Tätigt eine Kunde beispielsweise in der Regel Transaktionen in Höhe einiger Hundert Euro von einem lokalen Standort aus und initiiert plötzlich eine Überweisung über mehrere Tausend Euro aus dem Ausland, erkennt eine Transaktionsanalyse das ungewöhnliche Verhalten und kann die Aktion unterbinden, bis sie zusätzlich autorisiert ist. Beim Mobile Banking kann bei einem verdächtigen Transaktionsversuch etwa mittels Push-Technologie eine Nachricht an das mobile Endgerät des Anwenders gesendet werden, der die Aktion mit einer einfachen Wischgeste bestätigen oder ablehnen kann.

Dies ist ein Artikel aus unserer Print-Ausgabe 3-4/2018. Bestellen Sie ein kostenfreies Probe-Abo.

Es steht außer Frage, dass für Finanzinstitute die Entwicklung und Implementierung von mehrstufigen Sicherheitsstrategien unerlässlich ist. Nur so können die Gefahren für Kundendaten minimiert und auch Reputationsverluste für das Institut im Fall eines Sicherheitsvorfalls vermieden werden.

Wichtig ist dabei immer, dass implementierte Sicherheitslösungen nicht zu einer Beeinträchtigung des Benutzerkomforts führen. Anwender erwarten einen einfachen Zugriff auf Apps, Services und Inhalte, wobei eine hohe Sicherheit „quasi automatisch“ standardmäßig gewährleistet sein sollte. Die Kundenbeeinträchtigung kann z.B. ohne Abstriche hinsichtlich der Sicherheit minimiert werden, indem die Anmeldung des Nutzers durch Verfahren wie Geräteidentifikation, Geolokation oder verhaltensbasierende Authentifizierung unterstützt wird, Verfahren, die für den Anwender im Hintergrund ablaufen. Mit der richtigen Balance zwischen Security und Nutzererfahrung schafft eine Bank die nötige Basis für eine hohe Akzeptanz der Nutzer, die schließlich für den Erfolg oder Misserfolg von Mobile-Banking-Services ausschlaggebend ist.

©2018Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok