2FA in der Bankenwelt

Benutzername und Passwort – so einfach war in der Vergangenheit der Zugriff auf das Online-Banking und die Finanz-App, zumindest in der EU. Doch diese Zeiten sind seit dem 14. September 2019 vorbei. Um Zahlungen sicherer zu machen und der Cyberkriminalität Einhalt zu gebieten, verlangt die EU seit 2019, wie die Schweiz schon seit einigen Jahren, eine starke Authentifizierung mit zwei Identifikationsmerkmalen. Diese Regelverschärfung – Stichwort PSD2 – betrifft nicht nur Finanztransaktionen, sondern auch den Zugriff für Drittanbieter über APIs. Das Ziel ist dabei klar: Dank «Open Banking» soll ein Ökosystem gefördert werden, welches das Teilen von Daten ermöglicht, so dass auch Drittanbieter über APIs bestimmte Operationen und Transaktionen auf Bankkonten auslösen können. Diese grundsätzliche Regeländerung bedeutet in der Praxis: Bankkunden wie auch Drittanbieter müssen zwei Faktoren nutzen, um auf Konten zugreifen zu können.

2FA-Methoden im Vergleich

Die gebräuchlichste 2FA-Variante bei Banken ist immer noch mTAN, bei dem der Kunde zuerst Benutzername und Passwort eingibt (Faktor Wissen), bevor er dann per SMS eine Transaktionsnummer (TAN) auf seinem Mobiltelefon (Faktor Besitz) erhält. Allerdings ist diese Variante nicht nur sicherheitstechnisch bedenklich. Auch in puncto Benutzerfreundlichkeit gilt mTAN als überholt, denn das mühsame Abtippen der TANs wird mittlerweile als echte Zumutung empfunden. Heutzutage gibt es moderne Alternativen wie «Zero-Touch», «One-Touch» oder «QR Code», auch für die Freigabe von Transaktionen.

Authentifizierung ohne Interaktion
Die momentan eleganteste Authentifizierungsmethode ist zweifellos «Zero-Touch». Dabei werden verschiedene Kanäle, wie z.B. Umgebungsgeräusche, Ultraschall, bekannte Bluetooth-Geräte oder das WLAN genutzt, um festzustellen, ob sich der zu identifizierende Nutzer aktuell in einer vertrauten Umgebung aufhält. So können Kunden ohne ihr aktives Zutun und scheinbar unsichtbar sicher authentifiziert werden.

Authentifizierung mit einer Berührung
Mit «One-Touch», auch in Kombination mit biometrischen Verfahren, wie Touch ID oder Face ID, werden Benutzer eindeutig identifiziert und können mit nur einer Bildschirmberührung ihre Bankgeschäfte tätigen. Die Anmeldung am Online-Banking oder die Freigabe einer Transaktion (Transaction Approval) kann mit dieser Technologie einfach und schnell durchgeführt werden.

Authentifizierung über QR-Code
Durch das Scannen eines im Online-Banking angezeigten QR-Codes mit der Airlock 2FA-App, können sich die Benutzer in Sekundenschnelle anmelden oder eine Transaktion freigeben.

2FA – ein Wettbewerbsvorteil?

Was bei gestandenen Banken nur über mühsame Prozesse geht, funktioniert bei FinTechs mit Scrollen und Swipen – die Kontoeröffnung, die Überweisung, der Wertpapierkauf. Dabei unterliegen FinTechs denselben Sicherheitsregularien wie traditionelle Banken. Allerdings gehen sie mit diesen anders um, z.B. mit integrierten Sicherheitslösungen, die auf cIAM und 2FA basieren. Dieser andere, reibungslose Umgang mit digitalen Technologien ist einer der wesentlichen Gründe, warum FinTechs auf so grosse Resonanz stossen.

Moderne Varianten der Zwei-Faktor-Authentifizierung werden für Banken also wichtiger denn je. Womit sich die nächste grosse Frage für Finanzdienstleister stellt, die bereits verschiedenste starke Authentifizierungsmittel einsetzen: Wie kann die Umstellung auf eine moderne Authentifizierungsmethode erfolgen, ohne Kunden, interne IT und Helpdesk vor grösste Herausforderungen zu stellen?

Der integrierte Ansatz von Zwei-Faktor-Authentifizierung und Customer IAM gibt hier entscheidende Antworten. In der Kombination der beiden Lösungen können Migrationsabläufe definiert und automatisiert werden, die einen stufenweisen Wechsel erlauben. Dieser kann bis zu einem Stichtag erzwungen werden oder bei der nächsten Anmeldung. Die Einführung des neuen zweiten Faktors wird dabei so einfach und intuitiv wie nur möglich zu gestaltet.

Beispielsweise durch eine E-Mail mit allen Informationen und Hinweisen zum Download der App, zur neuen Authentifizierung und einem QR-Code beim nächsten Login, der dann mit dem Smartphone gescannt werden muss. Das ist kinderleicht und so sollte es auch sein.

Die E-Mail oder auch ein Informationsbrief kann direkt aus dem cIAM verschickt werden. Die Kunden-Hotline wird dadurch nicht stark ausgelastet.

Blognews direkt in Ihr Postfach

Der Airlock Newsletter informiert Sie laufend über neue Blogartikel.

Blognews abonnieren

Kommentare 0

Weitere interessante Artikel

Sicherheit konkret - 2FA in der Industrie
2FA

Sicherheit konkret - 2FA in der Industrie

Sicherheit konkret - 2FA in der Versicherungsbranche
2FA

Sicherheit konkret - 2FA in der Versicherungsbranche

Airlock 2FA: IT-Security leicht gemacht
2FA

Airlock 2FA: IT-Security leicht gemacht

Wir informieren Sie

-Unsere Whitepaper-

IT-Sicherheitslösungen

Die Digitalisierung stellt Unternehmen vor neue Herausforderungen, die weit über die IT hinausgehen. Das betrifft vor allem einen Aspekt, der heute immer wichtiger wird: Die IT-Sicherheit.

In unserem Whitepaper erfahren Sie, wie IT-Security zum Beschleuniger der Digitalisierung wird.

Kostenlos anfordern

Digitalisierung beschleunigen

Wer in der digitalen Transformation bestehen will, muss vermehrt auf Hybrid-Cloud Umgebungen umstellen. Dies erfordert neue Security Ansätze sowie ein abgestimmtes Identitäts- und Berechtigungsmanagement.

Erfahren Sie mehr dazu in unserem Whitepaper in Zusammenarbeit mit Deloitte, eperi und SHE.

Kostenlos anfordern

OWASP Top 10 für API Sicherheit

OWASP hat eine neue Top10 Liste für API Security erstellt. Die gelisteten Top 10 geben einen breiten Konsens darüber wieder, was die derzeit wichtigsten API Sicherheitsthemen sind.

In unserem Whitepaper erfahren Sie, wie unsere Airlock API die OWASP Top 10 adressiert.

Kostenlos herunterladen

Weitere Whitepaper

Zu folgenden weiteren Themen stellen wir Ihnen kostenlos Whitepaper zur Verfügung:

  • erfolgreiche IAM Projekte
  • Compliance
  • Datenschutz (DSGVO)
  • Einführung von PSD2
  • PCI DSS Anforderungen
Kostenlos anfordern