2FA in der Bankenwelt
Benutzername und Passwort – so einfach war in der Vergangenheit der Zugriff auf das Online-Banking und die Finanz-App, zumindest in der EU. Doch diese Zeiten sind seit dem 14. September 2019 vorbei. Um Zahlungen sicherer zu machen und der Cyberkriminalität Einhalt zu gebieten, verlangt die EU seit 2019, wie die Schweiz schon seit einigen Jahren, eine starke Authentifizierung mit zwei Identifikationsmerkmalen. Diese Regelverschärfung – Stichwort PSD2 – betrifft nicht nur Finanztransaktionen, sondern auch den Zugriff für Drittanbieter über APIs. Das Ziel ist dabei klar: Dank «Open Banking» soll ein Ökosystem gefördert werden, welches das Teilen von Daten ermöglicht, so dass auch Drittanbieter über APIs bestimmte Operationen und Transaktionen auf Bankkonten auslösen können. Diese grundsätzliche Regeländerung bedeutet in der Praxis: Bankkunden wie auch Drittanbieter müssen zwei Faktoren nutzen, um auf Konten zugreifen zu können.
2FA-Methoden im Vergleich
Die gebräuchlichste 2FA-Variante bei Banken ist immer noch mTAN, bei dem der Kunde zuerst Benutzername und Passwort eingibt (Faktor Wissen), bevor er dann per SMS eine Transaktionsnummer (TAN) auf seinem Mobiltelefon (Faktor Besitz) erhält. Allerdings ist diese Variante nicht nur sicherheitstechnisch bedenklich. Auch in puncto Benutzerfreundlichkeit gilt mTAN als überholt, denn das mühsame Abtippen der TANs wird mittlerweile als echte Zumutung empfunden. Heutzutage gibt es moderne Alternativen wie «One-Touch» oder «QR Code», auch für die Freigabe von Transaktionen.
Authentifizierung mit einer Berührung
Mit «One-Touch», auch in Kombination mit biometrischen Verfahren, wie Touch ID oder Face ID, werden Benutzer eindeutig identifiziert und können mit nur einer Bildschirmberührung ihre Bankgeschäfte tätigen. Die Anmeldung am Online-Banking oder die Freigabe einer Transaktion (Transaction Approval) kann mit dieser Technologie einfach und schnell durchgeführt werden.
Authentifizierung über QR-Code
Durch das Scannen eines im Online-Banking angezeigten QR-Codes mit der Airlock 2FA-App, können sich die Benutzer in Sekundenschnelle anmelden oder eine Transaktion freigeben.
2FA – ein Wettbewerbsvorteil?
Was bei gestandenen Banken nur über mühsame Prozesse geht, funktioniert bei FinTechs mit Scrollen und Swipen – die Kontoeröffnung, die Überweisung, der Wertpapierkauf. Dabei unterliegen FinTechs denselben Sicherheitsregularien wie traditionelle Banken. Allerdings gehen sie mit diesen anders um, z.B. mit integrierten Sicherheitslösungen, die auf cIAM und 2FA basieren. Dieser andere, reibungslose Umgang mit digitalen Technologien ist einer der wesentlichen Gründe, warum FinTechs auf so grosse Resonanz stossen.
Moderne Varianten der Zwei-Faktor-Authentifizierung werden für Banken also wichtiger denn je. Womit sich die nächste grosse Frage für Finanzdienstleister stellt, die bereits verschiedenste starke Authentifizierungsmittel einsetzen: Wie kann die Umstellung auf eine moderne Authentifizierungsmethode erfolgen, ohne Kunden, interne IT und Helpdesk vor grösste Herausforderungen zu stellen?
Der integrierte Ansatz von Zwei-Faktor-Authentifizierung und Customer IAM gibt hier entscheidende Antworten. In der Kombination der beiden Lösungen können Migrationsabläufe definiert und automatisiert werden, die einen stufenweisen Wechsel erlauben. Dieser kann bis zu einem Stichtag erzwungen werden oder bei der nächsten Anmeldung. Die Einführung des neuen zweiten Faktors wird dabei so einfach und intuitiv wie nur möglich zu gestaltet.
Beispielsweise durch eine E-Mail mit allen Informationen und Hinweisen zum Download der App, zur neuen Authentifizierung und einem QR-Code beim nächsten Login, der dann mit dem Smartphone gescannt werden muss. Das ist kinderleicht und so sollte es auch sein.
Die E-Mail oder auch ein Informationsbrief kann direkt aus dem cIAM verschickt werden. Die Kunden-Hotline wird dadurch nicht stark ausgelastet.
Blognews direkt in Ihr Postfach
Der Airlock Newsletter informiert Sie laufend über neue Blogartikel.