Klick, Scroll, Switch – So sichert Verhaltensbiometrie Bankgeschäfte

Der Mensch ist ein Gewohnheitstier. Auch im digitalen Raum ändert sich daran nichts. Banken sollten diese Tatsache nutzen, denn die Verhaltensdaten der Kunden schaffen unverkennbare digitale Identitäten, die im Sinne der Verhaltensbiometrie besonders sichere und nahtlose Geschäfte und Transaktionen ermöglichen.

von Katie Björk, HID Global

Finanzinstitute ste­hen vor gro­ßen Her­aus­for­de­run­gen. Ei­ner­seits müs­sen sie den Ver­brau­chern al­le Dienst­leis­tun­gen auch on­line an­bie­ten, mög­lichst oh­ne kom­pli­zier­te Re­gis­trie­rung und Au­then­ti­fi­zie­rung für das mo­bi­le Ban­king. An­de­rer­seits sit­zen ih­nen die Re­gu­lie­rungs­be­hör­den im Na­cken, die die Com­p­li­an­ce mit der Da­ten­schutz­grund­ver­ord­nung (DS­GVO) und der Zah­lungs­dienst­richt­li­nie Pay­ment Ser­vices Di­rec­tive2 (PSD2) überwachen.

Durch den Einsatz von Verhaltensbiometrie und die Nutzung von Behavorial Intelligence können Banken der sich ständig weiterentwickelnden Bedrohungslandschaft proaktiv begegnen und ihren Kunden eine nahtlose Nutzung ihrer Dienste ermöglichen.“

Immerhin sind die meisten Transaktionen im Bankgeschäft mit dem Austausch von Geld, aber auch sensiblen personenbezogenen Daten verbunden und müssen dementsprechend vor Cyberkriminalität und Missbrauch geschützt werden.

Unabhängig von den gesetzlichen Vorgaben muss es im Interesse jeder Bank liegen, ihre Kundinnen und Kunden und deren Vermögen zu schützen.”

Gleichzeitig sollten Bankkunden nur mit Finanzinstituten zusammenarbeiten, die hohe Sicherheitsstandards erfüllen. Um diesem Anspruch gerecht zu werden, sollten deren Identitäts- und Authentifizierungsmanagementsysteme nicht allein auf Passwörtern basieren, da Sicherheitsexperten diese Methodik längst als unsicher einstufen. Hacker sind in der Lage, jedes noch so lange und komplizierte Passwort zu knacken. Außerdem, wer kann sich schon mehrere zehn- oder mehrstellige Abfolgen von Zahlen, Buchstaben und Sonderzeichen merken?

Biometrische Daten sind schon länger ein zuverlässigeres Mittel zur Authentifizierung einer echten Identität und der beste Weg, um ein erstklassiges Kundenerlebnis sowie höchste Sicherheit über alle Banksysteme und Servicekanäle hinweg zu gewährleisten.”

Aktuelle Methoden kombinieren sogar zwei biometrische Merkmale, um die eindeutige Identität festzustellen und somit die Sicherheit zu stärken: So erschaffen neue Bankkunden während ihrer Online-Registrierung zunächst einen Vertrauensanker, indem sie ein Selfie aufnehmen und es gemeinsam mit einem Ausweisdokument bereitstellen. Anschließend können sie als biometrische Merkmale einen Fingerabdruck- sowie einen Gesichtsscan für die spätere Verifizierung hinterlegen.

Betrugsprävention mit Merkmalen der Verhaltensbiometrie

Um bei der Betrugsprävention noch einen Schritt weiter zu gehen, können Banken auf moderne Risikomanagement- und Betrugspräventionssysteme zurückgreifen, die auch verhaltensbiometrische Verfahren umfassen.

Die Verhaltensbiometrie verarbeitet Verhaltensdaten, Gerätedaten sowie Transaktionsdaten der Nutzer, um eindeutige Nutzerprofile zu erstellen.”

Diese Profile werden dann zur Validierung des Nutzers herangezogen. Das System erkennt, ob es sich um einen Betrüger handelt, der sich nur als User ausgibt, oder ob es sich tatsächlich um einen echten Nutzer handelt, der eine legitime Transaktion durchführen möchte.

Die Verhaltensbiometrie erstellt ein vertrauenswürdiges Profil des Benutzers, indem sie Verhaltensmuster wie Mausbewegungen, Tastendynamik, Scroll-Bewegungen und Navigationsmuster innerhalb einer Anwendung beobachtet.”

Die Kombination dieser Verhaltensdaten mit Gerätedaten wie Standort, gerätespezifische Informationen, Uhrzeit und Datum sowie Transaktionsdaten ermöglicht es dem System, ein präzises Nutzerprofil zu erschaffen.

Datenerfassungspunkte sammeln die Daten dynamisch und unauffällig im Hintergrund der aktiven Anwendung, so dass die Benutzererfahrung in keinster Weise beeinträchtigt wird.”

Allein aus der Art und Weise, wie ein Benutzer mit der Tastatur interagiert, erfassen und analysieren die Lösungen mehr als 6.000 Merkmale. Die Dynamik des Tastenanschlags, also wie lange ein Finger eine einzelne Taste drückt, ist ein wichtiger Faktor, um die Identität eines Benutzers zu bestimmen. Komplexe Algorithmen des maschinellen Lernens erstellen aus der Vielzahl der gesammelten Daten dann ein benutzerspezifisches Verhaltensprofil, das ständig aktualisiert und verbessert wird. Ein Betrugsversuch kann solch ein System sofort erkennen – weil die Verhaltensmuster nicht zum Kontoinhaber passen – und in Echtzeit verhindern.

Nahtlose Customer Journey – endlich auch bei der Bank

Neben der Betrugsprävention erleichtert die Verhaltensbiometrie auch das Einhalten von Sicherheitsrichtlinien wie DSGVO und PSD2. Die Europäischen Bankenaufsichtsbehörde (EBA) formuliert als Herausgeber der PSD2 ganz klar, dass Informationen, die sich auf physische Eigenschaften, physiologische Merkmale und Verhaltensprozesse beziehen, als Authentifizierungsfaktor für Inhärenz verwendet werden dürfen.

Im Gegensatz zu anderen physischen biometriebasierten Authentifizierungsverfahren wie Fingerabdruck, Netzhautscan und Stimmerkennung sind bei der Verhaltensbiometrie keine zusätzlichen Geräte zum Erstellen und Vergleichen individueller Profile erforderlich.”

Für die Nutzer bedeutet eine Authentifizierung auf Basis von Verhaltensmustern, dass ihnen endlich auch ihr Kreditinstitut eine nahtlose Customer Journey bietet und einen Weg zu einer sichereren und betrugsfreien digitalen Welt eröffnet. Schließlich laufen Erfassung und Analyse verhaltensbiometrischer Daten im Hintergrund ab und sind für den Benutzer der Anwendung unsichtbar. Ergebnis: Ein optimales und reibungsloses Nutzererlebnis ohne lästige Passworteingabe oder SMS-OTPs, die sich seit Jahren als unsicher erweisen. Katie Björk, HID Global