Sicherheit bei Finanzinstituten

Erfolg des Mobile Banking hängt von Sicherheit ab

Ein Mobile-Banking-Angebot ist für Banken heutzutage unverzichtbar, da das Multi-Channel-Banking zu den zentralen Kundenanforderungen gehört. Erfolgreich sind Lösungen aber nur, wenn sie eine hohe Sicherheit bieten und den Benutzerkomfort nicht einschränken. Wie sich dies umsetzen lässt, berichtet Marc T. Hanne, Director of Sales EMEA and India, IAM Solutions bei HID Global, im Interview.

Marc T. Hanne, HID Global

„Um sichere Mobile-Banking-Services bereitzustellen und das Kundenvertrauen in die Sicherheit bei Bankgeschäften zu erhöhen, sind mehrstufige Sicherheitslösungen unverzichtbar", weiß Marc T. Hanne.

Herr Hanne, für den Erfolg von Mobile Banking ist es wichtig, dass Finanzinstitute das Thema Sicherheit in den Vordergrund rücken. Wie gelingt es?
Marc T. Hanne:
Gefragt sind proaktive Schritte der Banken bei der Konzeption und Umsetzung neuer, strikter Sicherheitsstrategien und -richtlinien. Die von der EU verabschiedete und Anfang 2018 in Kraft tretende „Payment Services Directive 2“ (PSD2) wird dazu beitragen, dass Finanzdienstleister die Sicherheit ihres Online- und Mobile-Banking-Angebotes überprüfen, vor allem hinsichtlich der genutzten Authentifizierungslösungen. Schließlich fordert die Richtlinie eine starke Kundenauthentifizierung beim Online-Kontenzugriff und beim Auslösen von elektronischen Zahlungsvorgängen. Unter starker Kundenauthentifizierung versteht die Richtlinie die Nutzung von mindestens zwei Komponenten der Kategorien Wissen, Besitz und Eigenschaft. Beispiele für den Faktor Wissen sind Passwort oder PIN, für den Besitz Smartphone, Smartcard oder Authentifizierungs-Token und für die Eigenschaft biometrische Verfahren wie Fingerabdruck oder Gesichtserkennung.

Welches sind die derzeit größten Risiken in Bezug auf Mobile-Banking-Services beziehungsweise vor welchen konkreten Gefahren müssen Finanzinstitute sich und ihre Kunden schützen?
Hanne:
Im Mobile Banking muss bei der Festlegung einer Sicherheitsstrategie zunächst berücksichtigt werden, dass ein mobiles Gerät jederzeit abhanden kommen kann, zum Beispiel durch Diebstahl. Die vielfältigen Nutzungsmöglichkeiten mobiler Geräte bringen zudem zahlreiche Sicherheitsgefahren mit sich. Anwender öffnen E-Mails und Dateianhänge aus unbekannten Quellen, besuchen nicht vertrauenswürdige Webseiten und laden beliebige Apps herunter. Erschwerend kommt hinzu, dass vielfach die gleichen Login-Daten und Passwörter für unterschiedlichste Webseiten oder Anwendungen genutzt werden. Dadurch sind mobile Geräte einer Vielzahl von Sicherheitsbedrohungen ausgesetzt, beispielsweise Phishing, Malware oder Social Engineering. Auch die zunehmende Nutzung öffentlich zugänglicher WLAN-Hotspots trägt unbeabsichtigt zu einer Bedrohung der Gerätesicherheit bei.

Sind aus Sicherheitsperspektive Unterschiede zwischen Online- und Mobile Banking zu berücksichtigen?
Hanne
: Finanzinstitute haben in der Vergangenheit umfangreiche Investitionen getätigt, um effiziente Security-Frameworks für das herkömmliche Online-Banking zu realisieren. Auf das Mobile Banking lassen sie sich allerdings nicht 1:1 übertragen. Hier sind spezifische Herausforderungen zu beachten, vor allem auch hinsichtlich der starken Zunahme von Malware, die gerade Mobilgeräte adressiert. Wenn somit lediglich bestehende Online-Banking-Infrastrukturen und -Tools für das Mobile Banking genutzt werden, sind unweigerlich auch hohe Sicherheitsrisiken in Kauf zu nehmen. Es ist deshalb zwingend erforderlich, einen neuen mobil-zentrierten Sicherheitsansatz zu wählen.

Was muss eine Sicherheitslösung für das Mobil Banking generell bieten?
Hanne:
Um sichere Mobile-Banking-Services bereitzustellen und das Kundenvertrauen in die Sicherheit bei Bankgeschäften zu erhöhen, sind mehrstufige Sicherheitslösungen unverzichtbar. Sie müssen alle potenziellen Gefahren bei Transaktionen berücksichtigen und damit auch alle möglichen Angriffspunkte: Dazu gehören das Frontend, also das Anwendergerät, und das Backend, also die Bankanwendung, die die Legitimierung von Anwenderanfragen über mobile Geräte übernimmt, sowie der Kommunikationsweg. 

Was sollte eine zukunftsweisende Mobile-Security-Lösung konkret bieten?
Hanne:
Es gibt mehrere Punkte und ich möchte hier drei besonders wichtige herausgreifen. Erstens ist es zwingend erforderlich, dass eine Zweifaktor- oder sogar Mehrfaktor-Authentifizierung genutzt wird; die Sicherheitslösung sollte dabei mehrere Authentifizierungsmethoden für verschiedene Anwendungsfälle unterstützen, etwa für unterschiedliche Kanäle, Nutzergruppen oder Bankgeschäfte. Zweitens müssen Lösungen im Bereich Mobile Application Security standardmäßig integriert sein; sie sollten neben bekannten Verfahren zur Sicherung mobiler Applikationen unter anderem auch eine Erkennung von Debuggern, Emulatoren, Manipulationen und Code-Verschleierungen bieten. Und drittens muss die Lösung eine starke Authentifizierung ohne Beeinträchtigung der User Experience ermöglichen; die Kundenbeeinträchtigung kann ohne Abstriche hinsichtlich der Sicherheit minimiert werden, indem etwa die Anmeldung des Nutzers durch Verfahren wie Geo-Lokation, verhaltensbasierende Authentifizierung oder Geräteidentifikation unterstützt wird, Verfahren, die für den Anwender im Hintergrund ablaufen.

Wie sehen Sie die Zukunft des Mobile Banking?
Hanne:
Mobile Banking wird in den kommenden Monaten und Jahren weiter an Popularität gewinnen. Eine wichtige Voraussetzung für den durchschlagenden Erfolg wird aber sein, dass Finanzinstitute die Entwicklung und Implementierung von mehrstufigen Mobile-Security-Strategien weiter vorantreiben. Nur so können die Gefahren für Kundendaten minimiert und auch Reputationsverluste für das Institut im Fall eines Sicherheitsvorfalls vermieden werden. Die Herausforderung für Banken liegt dabei darin, eine Lösung zu finden, die einerseits hohe Sicherheit garantiert, andererseits aber auch eine positive User Experience bietet. Schließlich wird die Akzeptanz der Nutzer das ausschlaggebende Kriterium für den Erfolg oder Misserfolg von Mobile-Banking-Verfahren sein.

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok