STRATEGIE2. Januar 2019

Banking: Verhaltensbasierte Biometrie lässt sich nicht hacken oder ausspionieren

Sebastian Mayer, Country Manager CEE bei BehavioSec
Sebastian Mayer, Country Manager CEE bei BehavioSecBehavioSec

Die biometrische Authentifizierung anhand des Nutzerverhaltens weckt eine Assoziation der umfangreichen Überwachung von Nutzerprofilen und Personen durch Unternehmen. Diese Assoziation ist vollkommen unbegründet. Warum? Ein genauer Blick auf die technische Umsetzung der BehavioSec-Verhaltensbiometrie zeigt, dass von einem solchen Verfahren selbst im Falle eines erfolgreichen Angriffs durch böswillige Akteure keine Gefahr durch das Ausspionieren dieser sensiblen Informationen besteht.

von Sebastian Mayer, Country Manager CEE bei BehavioSec

Die Implementierung der Verhaltensbiometrie anhand des Tippverhaltens bietet eine hohe Zuverlässigkeit und Identifikation der Kunden, ohne Daten zu speichern, die sich für andere Zwecke als zur Authentifizierung eignen.

Der erste Grund dafür ist, dass der Kunde nicht anhand dessen authentifiziert wird, was er eingibt, sondern wie er es eingibt.”

Die Technologie wertet die Geschwindigkeit der Eingabe sowie Melodie der Anschläge, bevorzugte Trefferzonen auf Tasten, Bewegungen auf Mobilfunkgeräten und ähnliche Eigenschaften des Tippverhaltens aus, anstatt den Inhalt der Eingabe. Dadurch bleibt die Privatsphäre der Nutzer und das Bankgeheimnis gewahrt.

Der zweite Sicherheitsfaktor ist, dass keine sensiblen Daten verschickt werden, die für einen böswilligen Akteur verwertbar sind. Die Unternehmen, die in ihren Apps oder auf ihren Webseiten das Tippverhalten als zweiten Faktor einsetzen möchten, können dies per Software Development Kit (SDK) in ihre App oder per JavaScript auf ihre Webseite integrieren. In der App oder während des Besuchs der Webseite misst die Lösung die benötigten Messgrößen, die zusammen für jede Person ein einzigartiges Informationspaket bilden. Statt jedoch dieses umfangreiche Paket zu übertragen, berechnen die Algorithmen daraus Hashwerte, die sich für einen Abgleich mit dem Profil des Nutzers eignen, ohne Rückschlüsse auf das tatsächliche Verhalten des Nutzers zu ermöglichen.

Kon­ti­nu­ier­li­che Au­then­ti­fi­zie­rung
BehavioSense/BehavioSec (Website) sei ei­ne Si­cher­heits­lö­sung, um Ano­ma­li­en im Nut­zer­ver­hal­ten früh­zei­tig zu er­ken­nen und ei­ne kon­ti­nu­ier­li­che Au­then­ti­fi­zie­rung zu er­mög­li­chen. Die Lö­sung messe die un­ver­wech­sel­ba­re Kom­bi­na­ti­on aus Ei­gen­schaf­ten des Tipp­ver­hal­tens wie der Dy­na­mik der Tas­ten­an­schlä­ge, Be­rüh­rung, Maus­be­we­gun­gen und mehr, um für je­den Nut­zer ein in­di­vi­du­el­les Pro­fil sei­nes Tipp­ver­hal­tens zu er­stel­len und sei­ne Iden­ti­tät zu be­stä­ti­gen. Ty­pi­sche An­griffs­sze­na­ri­en wie der Ein­satz von Bots, Re­ply-An­grif­fe, Mi­cro­soft Scram und ähn­li­che kön­nten da­durch schnell er­kannt wer­den, um Ge­gen­maß­nah­men ein­zu­lei­ten oder bei Auf­fäl­lig­kei­ten zu­sätz­li­che Au­then­ti­fi­zie­rungs­schrit­te ein­zu­lei­ten.

Einsatz in der Bank-Praxis

Sobald die Daten im System der Bank eintreffen, leitet dieses den Wert an die Server weiter, auf denen die Lösung von BehavioSec installiert wurde. Die Bank hat dabei die freie Wahl, das System als On-Premises-Lösung auf ihrer eigenen Hardware einzurichten oder diese als Biometrics-as-a-Service zu beziehen. Auf den Zielservern wird der Hashwert mit dem gespeicherten Profil des Kunden abgeglichen, ohne wahrnehmbare Verzögerungen zu verursachen, da die Dateigröße mit rund 30 Kilobyte gering ist und nur ein einzelner Vergleich mit dem bisherigen Wert durchgeführt wird.

Das Ergebnis der Verifizierung des Nutzers anhand seines Tippverhaltens kommt mit einem Risk Score und ergänzenden Informationen als Entscheidungsgrundlage für das Security-System des Unternehmens. Banken könnten auf Grundlage dieser Informationen beispielsweise entscheiden, für High-Risk-Transaktionen eine zusätzliche Step-Up-Authentifizierung einzuleiten, wenn die Kontextinformationen Unregelmäßigkeiten melden. Dazu können etwa Remote-Access-Programme zählen, die ein Hinweis auf einen Microsoft Scam sein können oder die Nutzung eines Accounts durch mehrere Personen, die unter Umständen gegen die Geschäftsbedingungen der Organisation verstoßen. Somit bleibt die Kontrolle bei dem Anbieter, der gemäß seiner eigenen Policies flexibel reagieren kann.

Sebastian Mayer, BehavioSec
Sebastian Mayer, Country Manager CEE bei BehavioSecSebastian Mayer ist Director Sales DACH/CEE bei BehavioSec (Website), einem Anbieter für verhaltensbasiertes, biometrisches Identitätsmanagement, und vom Standort München aus verantwortlich für den Aufbau der DACH- und CEE-Region. Mit über 20 Jahren Erfahrung bei namhaften Herstellern in verschiedenen Bereichen der IT-Sicherheit hat er vielseitige Einblicke und ein tiefgehendes Verständnis für die Themen der IT-Sicherheit gewonnen.

Die Prüfsumme wird stetig aktualisiert

Da sich das Tippverhalten eines Menschen über Monate und Jahre hinweg langsam ändern kann, werden die Hashwerte aus einem erfolgreichen Authentifizierungsvorgang dazu verwendet, das Profil des Kunden laufend zu aktualisieren. So lernt das System die neuen Nutzer während der Trainingsphase des Systems zunächst kennen und stellt anschließend sicher, dass die Kunden langfristig zuverlässig verifiziert werden können und das Sicherheitsniveau stetig steigt.

Um den Unterschieden zwischen den verschiedenen Geräten gerecht zu werden, die das Tippverhalten beeinflussen, werden für unterschiedliche Geräte jeweils eigene Profile für den Kunden trainiert. So stehen beispielsweise bei Mobilfunkgeräten wie Smartphones andere Messgrößen zur Verfügung als auf einem Laptop oder auf der Tastatur eines stationären Rechners. Durch diese Unterscheidungen wird auf jedem Gerät eine hohe Genauigkeit erzielt, die den Differenzen zwischen den Eingabemöglichkeiten angemessen ist.

Bereits heute ist die Zuverlässigkeit der Verhaltensbiometrie hoch, die von der European Banking Authority (EBA) als zweiter Faktor im Sinne der PSD2 anerkannt wurde.”

BehavioSec misst die Zuverlässigkeit seiner Lösung beispielsweise anhand der Equal Error Rate (EER), die bereits heute bei über 99,98 Prozent liegt und damit Methoden wie Fingerabdruckscanner hinter sich gelassen haben. Die EER ist ein Maß für die Unsicherheit biometrischer Erkennungsverfahren, bei dem False Positives und False Negatives ausgeglichen sind, das heißt, das System ein bestmögliches Ergebnis darin erzielt, keine Nutzer fälschlich abzuweisen und keinen Unbefugten fälschlicherweise als legitim zu bestätigen.

BehavioSec-Fazit

Die Verhaltensbiometrie bietet ein hohes Niveau an Sicherheit und Bequemlichkeit für den Kunden, während Banken wertvolle Ressourcen in ihrem Budget einsparen und in andere Projekte investieren können. Die Implementierung der notwendigen Module und die dahinterstehende Architektur stellen sowohl sicher, dass das Sicherheitsniveau durchgängig hoch ist, während es verhindert, dass sensible, personenbezogene Verhaltensprofile für andere als den vorgesehenen Zweck ausgewertet werden können. Für Banken und ihre Kunden ist das ein wertvoller Gewinn.aj

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert