2FA in der Bankenwelt

Benutzername und Passwort – so einfach war in der Vergangenheit der Zugriff auf das Online-Banking und die Finanz-App, zumindest in der EU. Doch diese Zeiten sind seit dem 14. September 2019 vorbei. Um Zahlungen sicherer zu machen und der Cyberkriminalität Einhalt zu gebieten, verlangt die EU seit 2019, wie die Schweiz schon seit einigen Jahren, eine starke Authentifizierung mit zwei Identifikationsmerkmalen. Diese Regelverschärfung – Stichwort PSD2 – betrifft nicht nur Finanztransaktionen, sondern auch den Zugriff für Drittanbieter über APIs. Das Ziel ist dabei klar: Dank «Open Banking» soll ein Ökosystem gefördert werden, welches das Teilen von Daten ermöglicht, so dass auch Drittanbieter über APIs bestimmte Operationen und Transaktionen auf Bankkonten auslösen können. Diese grundsätzliche Regeländerung bedeutet in der Praxis: Bankkunden wie auch Drittanbieter müssen zwei Faktoren nutzen, um auf Konten zugreifen zu können.

2FA-Methoden im Vergleich

Die gebräuchlichste 2FA-Variante bei Banken ist immer noch mTAN, bei dem der Kunde zuerst Benutzername und Passwort eingibt (Faktor Wissen), bevor er dann per SMS eine Transaktionsnummer (TAN) auf seinem Mobiltelefon (Faktor Besitz) erhält. Allerdings ist diese Variante nicht nur sicherheitstechnisch bedenklich. Auch in puncto Benutzerfreundlichkeit gilt mTAN als überholt, denn das mühsame Abtippen der TANs wird mittlerweile als echte Zumutung empfunden. Heutzutage gibt es moderne Alternativen wie «Zero-Touch», «One-Touch» oder «QR Code», auch für die Freigabe von Transaktionen.

Authentifizierung ohne Interaktion
Die momentan eleganteste Authentifizierungsmethode ist zweifellos «Zero-Touch». Dabei werden verschiedene Kanäle, wie z.B. Umgebungsgeräusche, Ultraschall, bekannte Bluetooth-Geräte oder das WLAN genutzt, um festzustellen, ob sich der zu identifizierende Nutzer aktuell in einer vertrauten Umgebung aufhält. So können Kunden ohne ihr aktives Zutun und scheinbar unsichtbar sicher authentifiziert werden.

Authentifizierung mit einer Berührung
Mit «One-Touch», auch in Kombination mit biometrischen Verfahren, wie Touch ID oder Face ID, werden Benutzer eindeutig identifiziert und können mit nur einer Bildschirmberührung ihre Bankgeschäfte tätigen. Die Anmeldung am Online-Banking oder die Freigabe einer Transaktion (Transaction Approval) kann mit dieser Technologie einfach und schnell durchgeführt werden.

Authentifizierung über QR-Code
Durch das Scannen eines im Online-Banking angezeigten QR-Codes mit der Airlock 2FA-App, können sich die Benutzer in Sekundenschnelle anmelden oder eine Transaktion freigeben.

2FA – ein Wettbewerbsvorteil?

Was bei gestandenen Banken nur über mühsame Prozesse geht, funktioniert bei FinTechs mit Scrollen und Swipen – die Kontoeröffnung, die Überweisung, der Wertpapierkauf. Dabei unterliegen FinTechs denselben Sicherheitsregularien wie traditionelle Banken. Allerdings gehen sie mit diesen anders um, z.B. mit integrierten Sicherheitslösungen, die auf cIAM und 2FA basieren. Dieser andere, reibungslose Umgang mit digitalen Technologien ist einer der wesentlichen Gründe, warum FinTechs auf so grosse Resonanz stossen.

Moderne Varianten der Zwei-Faktor-Authentifizierung werden für Banken also wichtiger denn je. Womit sich die nächste grosse Frage für Finanzdienstleister stellt, die bereits verschiedenste starke Authentifizierungsmittel einsetzen: Wie kann die Umstellung auf eine moderne Authentifizierungsmethode erfolgen, ohne Kunden, interne IT und Helpdesk vor grösste Herausforderungen zu stellen?

Der integrierte Ansatz von Zwei-Faktor-Authentifizierung und Customer IAM gibt hier entscheidende Antworten. In der Kombination der beiden Lösungen können Migrationsabläufe definiert und automatisiert werden, die einen stufenweisen Wechsel erlauben. Dieser kann bis zu einem Stichtag erzwungen werden oder bei der nächsten Anmeldung. Die Einführung des neuen zweiten Faktors wird dabei so einfach und intuitiv wie nur möglich zu gestaltet.

Beispielsweise durch eine E-Mail mit allen Informationen und Hinweisen zum Download der App, zur neuen Authentifizierung und einem QR-Code beim nächsten Login, der dann mit dem Smartphone gescannt werden muss. Das ist kinderleicht und so sollte es auch sein.

Die E-Mail oder auch ein Informationsbrief kann direkt aus dem cIAM verschickt werden. Die Kunden-Hotline wird dadurch nicht stark ausgelastet.

Blognews direkt in Ihr Postfach

Der Airlock Newsletter informiert Sie laufend über neue Blogartikel.

Blognews abonnieren

Kommentare 0

Weitere interessante Artikel

FIDO2: Was ist das und wie kann die Authentifizierung davon profitieren?
2FA

FIDO2: Was ist das und wie kann die Authentifizierung davon profitieren?

5 Sicherheitsherausforderungen in einem Open-Banking-Ökosystem
Banken

5 Sicherheitsherausforderungen in einem Open-Banking-Ökosystem

Sicherheit konkret - 2FA in der Industrie
2FA

Sicherheit konkret - 2FA in der Industrie

Wir informieren Sie

-Unsere Whitepaper-

Zero Trust ist eine Reise

Die kontinuierliche digitale Transformation der Welt schreitet voran und wirkt sich tiefgreifend auf das Privat- und Berufsleben in einer Weise aus, die vor wenigen Jahren noch schwer vorstellbar war.

Dieses Whitepaper behandelt die Effekte der kontinuierlichen Digitalisierung und ihre Auswirkungen.

Kostenlos anfordern

Auf zu DevSecOps

Erfahren Sie in diesem Whitepaper die wichtigsten Erkenntnisse, wie Sie DevSecOps erfolgreich und effizient umsetzen können, welche Sicherheitskomponenten es dafür braucht und welche Vorteile eine Microgateway Architektur bringt.

Kostenlos anfordern

Airlock 2FA - Starke Authentifizierung. Einfach.

Doppelte Sicherheit – das bietet die Zwei-Faktor-Authentifizierung im Bereich IT-Security.

Erfahren Sie in unserem Whitepaper mehr über starke Authentifizierung und die Möglichkeiten, die Airlock bietet.

Kostenlos herunterladen

Weitere Whitepaper

Zu diesen und weiteren Themen stellen wir Ihnen kostenlos Whitepaper zur Verfügung:

  • erfolgreiche IAM Projekte
  • Compliance
  • Datenschutz (DSGVO)
  • Einführung von PSD2
  • PCI DSS Anforderungen
Kostenlos anfordern