PSD2 & Open-Banking: Die Offenlegung von Kundendaten für Dritte birgt enorme Sicherheitsrisiken
Im Finanzdienstleistungssektor bricht die Zeit des Open Banking an. Die Öffnung der Banken und die Offenlegung von Kundendaten für Drittanbieter bringen zusätzliche Sicherheitsrisiken mit sich. An der Konzeption und Umsetzung mehrstufiger Sicherheitsstrategien führt deshalb kein Weg mehr vorbei. Grundkomponenten müssen eine starke Kundenauthentifizierung und zuverlässige Fraud Detection sein.
von Marc T. Hanne, IAM Solutions, HID Global
Einer der entscheidenden Treiber für das Open Banking oder API (Application Programming Interfaces)-Banking wird die im Januar 2018 in Kraft tretende „Payment Services Directive 2“ (PSD2) der EU sein. Die Richtlinie regelt den Internet-Zahlungsverkehr neu und verpflichtet Finanzinstitute, den Zahlungsverkehr über APIs auch für Nicht-Banken zu öffnen, das heißt, ihnen einen Kontenzugriff zu ermöglichen. Vor allem FinTech-Unternehmen werden von der Neuregelung profitieren.Auch wenn vielfach von einem verschärften Wettbewerb zwischen Banken und FinTechs die Rede ist, so zeichnet sich doch eines ab:
Sowohl die Banken als auch die agilen, technikaffinen FinTech-Startups erkennen zunehmend, dass sie voneinander profitieren können.”
Die Gründe liegen auf der Hand. Zum einen haben viele FinTechs größere Schwierigkeiten bei der Kundenakquisition und sind auch noch weit von der Profitabilität entfernt. Folglich wächst ihre Bereitschaft, Partnerschaften mit traditionellen Finanzinstituten einzugehen. Banken können genau das bieten, woran es FinTechs mangelt: eine große, vertrauenswürdige Kundenbasis und exzellente Kundenkenntnisse, die zum Beispiel im Zuge der Einführung von Systemen zur Bekämpfung der Geldwäsche gewonnen wurden. Zum anderen betrachten Banken Partnerschaften mit agilen, technologieverhafteten FinTechs zunehmend als Möglichkeit, profitable, FinTech-ähnliche Services zu entwickeln, die sie im verschärften Wettbewerb um Kunden dringend benötigen.
Neue Services, Innovationen und Partnerschaften führen aber zwangsläufig auch zu einer größeren „Offenheit“ für die traditionell strikt abgeschottete und geschützte Banken-IT.”
Dadurch ergibt sich für Banken die zwingende Notwendigkeit, die eigene Sicherheitsinfrastruktur zu ertüchtigen, um Kundenkonten und -informationen in einer zunehmend durchlässigeren Banking-Umgebung zuverlässig zu sichern. Vor allem geht es dabei um die Implementierung von Lösungen für die starke Identitäts- und Kundenauthentifizierung und für Fraud Prevention und Detection. Dank ihrer detaillierten Kundenkenntnisse sind Banken dafür prädestiniert, diese Applikationen bei Kundentransaktionen erfolgreich einzusetzen, einschließlich solcher, die über FinTech-, Mobile- oder Social-Media-Kanäle erfolgen.
Mehrstufiger Schutz ist zwingend erforderlich
Es liegt auf der Hand, dass mit der zunehmenden Verbreitung von Open Banking oder auch von Online- und Mobile-Banking die Gefahr von Cyberattacken steigt, bei denen vertrauliche Zugangsdaten entwendet werden. Angreifer nutzen hierfür zum Beispiel Spear Phishing, Browser Redirection, Zero-Day-Malware, Advanced Persistent Threats, Keylogger, Screenlogger, Remote-Access-Trojaner (RAT) oder auch verlorene beziehungsweise gestohlene Geräte.”
Autor Marc T. Hanne, IAM Solutions, HID GlobalStarke Authentifizierung und Fraud Prevention sind deshalb unabdingbar, und zwar unter Einsatz einer mehrstufigen Sicherheitsstrategie. Wichtig ist dabei immer, dass implementierte Sicherheitslösungen nicht zu einer Beeinträchtigung des Benutzerkomforts führen. Anwender erwarten einen einfachen Zugriff auf Apps, Services und Inhalte, wobei eine hohe Sicherheit „quasi im Hintergrund“ standardmäßig gewährleistet sein sollte. Deshalb ist es extrem wichtig, die richtige Balance zwischen Security und User Experience zu finden.
Was braucht eine mehrstufige Sicherheitsstrategie konkret?
Es liegt auf der Hand, dass mit der zunehmenden Verbreitung von Open Banking oder auch von Online- und Mobile-Banking die Gefahr von Cyberattacken steigt, bei denen vertrauliche Zugangsdaten entwendet werden. Angreifer nutzen hierfür zum Beispiel Spear Phishing, Browser Redirection, Zero-Day-Malware, Advanced Persistent Threats, Keylogger, Screenlogger, Remote-Access-Trojaner (RAT) oder auch verlorene beziehungsweise gestohlene Geräte.”
Fünf Punkte sind entscheidend:
1. Zweifaktor- und Multifaktor-Authentifizierung: Eine Basis-Sicherheitsanforderung stellt die Zweifaktor-Authentifizierung dar. Wie von der PSD2 vorgegeben, muss prinzipiell eine Lösung für die starke Authentifizierung genutzt werden. Die starke Authentifizierung geht deutlich über die Sicherheit eines einzelnen statischen Passworts hinaus. Sie erfordert weitere Komponenten (Faktoren), um die Identität des Benutzers zweifelsfrei zu bestimmen. Der Faktor „Wissen“ (Passwort oder PIN) wird zum Beispiel um den Faktor „Besitz“ (Smartphone, Smartcard oder Authentifizierungs-Token) und eventuell noch um den Faktor „Eigenschaft“ (Biometrie) oder „Verhalten“ erweitert. Eine Zweifaktor-Authentifizierung kann bereits sehr effektiv sein, allerdings hat sie auch ihre Grenzen; mit einer Multifaktor-Authentifizierung, das heißt durch das Hinzufügen von der Eigenschaft als drittem Faktor unter Nutzung biometrischer Verfahren wie Fingerabdruck oder Gesichtserkennung können Zahlungsdienstleister ein deutlich höheres Maß an Datensicherheit realisieren.
2. Device Fingerprinting: Device Fingerprinting nutzt eine Vielzahl von Techniken zur Erkennung des Anwenders und des Anwendergeräts, etwa die Identifizierung von Geräte-IP-Adresse, Zeitzone, Betriebssystem, Browser oder Bildschirmgröße. So können Fraud-Prevention-Services etwa schnell erkennen, ob ein Gerät bereits bei einem früheren Hacking-Versuch verwendet wurde und es auf die Blacklist setzen.
3. Endgeräte-Browserschutz: Von essenzieller Bedeutung ist auch die Nutzung von Browserschutz-Technologien, die bösartige Software – einschließlich von Zero-Day- und zielgerichteten Attacken – auf Endgeräten identifizieren und verhindern, dass Hacker Informationen stehlen oder betrügerische Transaktionen vornehmen können. Moderne Browserschutz-Lösungen nutzen darüber hinaus Technologien, die auch Websession-Manipulationen, Cookie-Hijacking oder „Man in the Browser“-Attacken erkennen können.
4. Mobile Application Protection: Die Malware-Attacken auf mobile Applikationen nehmen kontinuierlich zu, Lösungen im Bereich Mobile Application Security müssen deshalb standardmäßig integriert sein. Sie sollten neben bekannten Verfahren zur Sicherung mobiler Applikationen unter anderem auch eine Erkennung von Debuggern, Emulatoren, Manipulationen und Code-Verschleierungen bieten. Ebenso empfiehlt sich die Nutzung einer RASP (Runtime Application Self-Protection)-Sicherheitssoftware, um auf der Anwendungsebene Angriffe zu erkennen und zu blockieren. Als Sicherungsmaßnahmen bieten sich nicht zuletzt auch Echtzeit-Geräte-Analysen und -Ortungen an.
5. Transaktionssignierung und Verhaltensanalyse: Banken verfügen über umfangreiche Informationen zum Kundenverhalten bei Transaktionen. Sie können diese Informationen für Verhaltensanalysen zur Bestimmung des Fraud-Risikos bei jeder Transaktion verwenden. Tätigt eine Kunde beispielsweise in der Regel Transaktionen in Höhe einiger hundert Euro von einem lokalen Standort aus und initiiert plötzlich eine Überweisung über mehrere tausend Euro aus dem Ausland, erkennt eine Transaktionsanalyse das unübliche Verhalten und kann die Aktion unterbinden, bis sie zu zusätzlich autorisiert ist. Beim Mobile Banking etwa kann bei einem verdächtigen Transaktionsversuch mittels Push-Technologie eine Nachricht an das mobile Endgerät des Anwenders gesendet werden, der die Aktion mit einer einfachen Wischgeste bestätigen oder ablehnen kann. Generell können auf Basis von Verhaltensanalysen und -mustern beim Online-Banking zum Beispiel die Geschwindigkeit vor Tastatureingaben oder Mausbewegungen überwacht werden, um festzustellen, ob es sich um einen berechtigten Nutzer oder einen Hacker handelt. Immer mehr Banken setzen auch solche verhaltensbiometrischen Technologien ein.
Es steht außer Frage, dass für Finanzinstitute die Entwicklung und Implementierung von mehrstufigen Sicherheitsstrategien unerlässlich ist – nicht zuletzt im Hinblick auf die ab Mai 2018 in allen EU-Mitgliedsstaaten geltende neue Datenschutz-Grundverordnung (EU-DSGVO). Nur so können die Gefahren für Kundendaten minimiert und auch Reputationsverluste für das Institut im Fall eines Sicherheitsvorfalls vermieden werden. Die Herausforderung für Banken liegt dabei darin, Lösungen zu implementieren, die ein nahtloses digitales Kundenerlebnis unterstützen, das heißt Lösungen, die einerseits eine hohe Sicherheit gewährleisten, andererseits aber auch eine positive User Experience bieten. Schließlich wird die Akzeptanz der Nutzer das ausschlaggebende Kriterium für den Erfolg oder Misserfolg neuer Bank-Services sein.aj
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/62365
Schreiben Sie einen Kommentar