STUDIEN & UMFRAGEN13. Oktober 2020

Banken droht Desaster bei Kundenidentifizierung im E‑Commerce

Fico

Ab dem kommenden Jahr verlangt die PSD2 bei allen E-Commerce-Transaktionen verpflichtend eine starke Kundenauthentifizierung. Doch wie zwei Fico-Studien zeigen, könnte diese Überprüfung bei vielen Kunden scheitern – allein schon weil Kontaktdaten nicht aktuell sind. Als größte Probleme machte der Analytics-Spezialist neben der starken Regulierung mangelnde Ende-zu-Ende-Digitalisierung der Kundenidentifizierung aus.

Fragt man die deutschen Banken nach der Qualität ihrer Kundendaten, dann zeigen diese sich weitgehend optimistisch: 78 Prozent geben an, für mehr als 70 Prozent ihrer Kunden die korrekten Kontaktdaten in ihren Datenbanken zu haben. Aus Sicht der Kunden ergibt sich jedoch ein ganz anderes Bild. Hier geben 37 Prozent an, dass ihre Bank beispielsweise nicht die aktuelle Mobilfunknummer kennt. Und daraus könnten ab dem kommenden Jahr schwerwiegende Probleme erwachsen.

Das ist das Ergebnis zweier Umfragen von Fico, einem Anbieter von Analytics-Software und -Dienstleistungen. Im Auftrag von Fico befragte Omdia 172 Banken in acht Ländern, jede sechste davon in Deutschland. Die zusammengefassten Ergebnisse für Banken in Deutschland und England stellt das Unternehmen in seiner Studie „Germany and UK Banking Survey 2020“ zum kostenlosen Download bereit. Die Vergleichszahlen auf Kundenseite erhob Dynata in einer Umfrage unter 5.000 Personen in 10 Ländern, davon 500 deutsche Erwachsene.

PSD2 verschärft die Anforderungen

Nach dem 31. Dezember 2020 ist in Deutschland im Rahmen von PSD2 eine starke Kundenauthentifizierung mittels MFA (Multi-Faktor-Authentifizierung) für alle E-Commerce-Transaktionen Pflicht. Das bedeutet, dass ab dem 1. Januar 2021 alle deutschen Online-Shopper beim „Check-Out“, also dem Kaufabschluss, nach einer Verifikation ihrer Identität gefragt werden müssen. Genau diese Verifikation ist jedoch bei vielen Konsumenten zum Scheitern verurteilt, wenn die Kundendaten der Banken nicht aktuell sind.

Eine ganze Reihe von Herausforderungen haben Banken zu meistern, um eine zuverlässige Kundenidentifizierung zu etablieren; hier die Ergebnisse der Befragung von deutschen und britischen Banken. <Q>Fico
Eine ganze Reihe von Herausforderungen haben Banken zu meistern, um eine zuverlässige Kundenidentifizierung zu etablieren; hier die Ergebnisse der Befragung von deutschen und britischen Banken. Fico

Die fehlenden Handynummern sind bei der geplanten Multi-Faktor-Authentifizierung nicht die einzige Sicherheitshürde. Denn lediglich 36 Prozent der deutschen Banken nutzen durchgehend den gleichen Kanal für die Kontoeröffnung. So kommt es in vielen Fällen vor, dass die Kunden spätestens bei der Authentifizierung auf Postident oder andere Kanäle ausweichen müssen. Immerhin überwiegen aber die digitalen Methoden in der Authentifizierung an sich, so 69 Prozent der befragten Bankvertreter.

Alternativen zu SMS-TANs

Die von einem Großteil der deutschen Banken präferierte MFA-Methode ist das Versenden von Einmal-TANs per SMS. Diese birgt jedoch gleich mehrere Risiken in sich. Neben der Frage, ob die Nummer, an die eine solche SMS-TAN verschickt wird, überhaupt aktuell ist, wird dieses Verfahren auch häufig angegriffen. So zum Beispiel per „SIM Swap Fraud“, also den Versuch von Kriminellen, sich beim Mobilfunkprovider eine neue SIM-Karte für die Nummer des Opfers zu besorgen und damit die TANs abzufangen. Oder per SS7-Hacking, bei der direkt das Mobilfunknetz gehackt wird, um die Datenübertragung mitzulesen. Und nicht zuletzt auch per Social Engineering, bei dem sich die Angreifer am Telefon als Bankmitarbeiter abgeben und das Opfer dazu bringen, die Einmal-TAN durchzusagen.

Wie die Fico-Studien ergaben, wären die Deutschen prinzipiell bereit, auf sicherere Varianten der Multi-Faktor-Authentifizierung umzuschwenken – wenn die Banken diese anbieten würden. 65 Prozent der Befragten zeigten sich bereit, ihrer Bank entsprechende biometrische Authentifizierungsmerkmale zur Verfügung zu stellen, um die Sicherheit zu erhöhen.

<q>Xing</q>
Xing

„Unsere Umfragen haben gezeigt, dass zwischen den von Banken erwarteten Kundenwünschen und den tatsächlichen Bedürfnissen der Kunden eine deutliche Diskrepanz herrscht. Hier müssen beide Seiten definitiv stärker aufeinander zugehen, sonst kommt spätestens im kommenden Jahr das böse Erwachen.“

Jens Dauner, Regional Manager DACH & Central Europe bei Fico

Auf Bankenseite sieht man Biometrie dagegen kritisch – und beruft sich dabei auf eine angebliche Ablehnung durch die Konsumenten. 63 Prozent der befragten Institute gehen davon aus, dass ihre Kunden biometrische Identifizierungsverfahren ablehnen würden. Dabei haben diese sich bereits mit dem Einsatz auf Smartphones in breiten Nutzerschichten etabliert – und darüber auch in den Banken-Apps. Sieben von zehn deutschen Banken geben an, die Konten per Fingerabdruck zu sichern, jeweils 26 Prozent durch Stimmerkennung oder Gesichts-Scan. Investitionen in entsprechende Sicherheitsfunktionen sind für ein Drittel der Banken im kommenden Jahr Priorität. hj

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert