Starke Kundenauthentifizierung: ein notwendiges Übel oder die grosse Chance?

An einer starken Kundenauthentifizierung und Transaktionsbestätigung kommt man in den Finanz-, Versicherungs- und anderen Branchen nicht mehr vorbei. Auch die Regulatoren schreiben diese vor wie z.B. die Zahlungsdiensterichtlinie PSD2 (Payment Services Directive), welche die Zahlungsdienstleister in der gesamten Europäischen Union einheitlich reguliert. Diese schreibt unter anderem eine sichere Zwei-Faktor-Authentifizierung (2FA) für Zahlungen über 30 Euro vor. Die zurzeit weitverbreiteten Anmeldeverfahren führen jedoch meist zu einem erheblichen Anstieg der Betriebskosten, da sie unflexibel in der Anwendung sind, eine unbefriedigende Benutzererfahrung bieten, teuer sind und teilweise nicht mehr als sicher gelten. Werfen wir einen Blick auf die aktuelle Situation und die Zukunft der starken Authentifizierung.

Hohe Betriebskosten

Die Notwendigkeit, die IT-Sicherheit in verschiedenen Sektoren radikal zu erhöhen, hat dazu geführt, dass sich die Kunden von Banken, Versicherungen und vielen anderen Dienstleistungen an die Komplexität der Onboarding- und Login-Prozesse auf Kundenportalen oder beim E-Banking gewöhnen mussten. Um auf sensible Daten zuzugreifen und eine einfache Finanztransaktion durchzuführen, wurden zusätzliche Sicherheitsebenen hinzugefügt, z.B. die Eingabe eines per SMS erhaltenen Codes, einer PIN, einem Passwort oder das Scannen eines QR-Codes.

Die mangelnde Benutzerfreundlichkeit einiger dieser Systeme hat nicht nur direkte Auswirkungen auf die Benutzer, sondern auch auf die Unternehmen selbst. Das Helpdesk-Team ist die erste Anlaufstelle, wenn die Anmeldung zu kompliziert ist, wenn das Login nicht funktioniert oder wenn Sie sich die Benutzer nicht mehr an ihr Passwort erinnern können. Als ob dies nicht schon genug wäre, fallen vermehrt Kosten für den Support an, etwa beim Kauf eines neuen Smartphones. In diesen Fällen muss oft die Aktivierung via Brief neu initialisiert werden, was sich für den Nutzer als äusserst mühsam erweist, weil er für Tage aus der Dienstleistung ausgeschlossen ist.

Gemäss einer Marktstudie sind 45 Prozent aller Supportanfragen bei Finanzdienstleistern im DACH-Raum auf Probleme beim Einloggen, Onboarding oder Gerätewechsel zurückzuführen. Diese Anrufe verursachen jährliche Kosten, die sich leicht auf mehr als hunderttausend Euro belaufen. Nach Angaben von Gartner kostet ein fünfminütiger Anruf beim Helpdesk durchschnittlich 25 Euro. Wenn man davon ausgeht, dass bei grossen Unternehmen, die Finanzdienstleistungen anbieten, durchschnittlich 20 000 Anrufe pro Jahr eingehen, belaufen sich die Kosten für die Unterstützung der Kunden auf rund 500 000 Euro, während sie für mittlere Unternehmen bei 250 000 Euro liegen.

SMS -– teuer und nicht mehr sicher

Die Verwendung von SMS als Mittel zur Generierung eines OTP-Codes (One-Time Password) für die Benutzerauthentifizierung hat ihre Blütezeit längst hinter sich, aber dennoch wird diese Methode weltweit und in verschiedenen Branchen noch immer als starke Authentifizierungsmethode eingesetzt. Erstaunlicherweise wird diese Lösung angesichts der bekannten Sicherheitsrisiken und der zunehmenden Zahl von Cyberangriffen von den Aufsichtsbehörden weiterhin als sicher angesehen, insbesondere im Finanzdienstleistungs- und Gesundheitssektor.

Das Problem: SMS Nachrichten können lokal in Echtzeit einfach abgefangen werden, da das verwendete Kommunikationsprotokoll veraltet ist. Auch gelingt es den Hackern immer wieder durch Social Engineering Attacken mit gestohlenen Informationen über den Mobilfunkbetreiber in den Besitz einer gültigen SIM-Karte eines Nutzers zu gelangen. Aber aufgepasst, oft verbirgt sich die Schachstelle direkt auf dem eigenen Smartphone in Form von als Spiele- oder Krypto- getarnten Apps, die im Hintergrund ganz unbemerkt eingehende SMS-Nachrichten lesen. Zudem ist die starke Authentifizierung per SMS recht teuer, da das Unternehmen für jede gesendete SMS eine Gebühr entrichten muss. Auch fehlt die Nachvollziehbarkeit komplett; ist es nicht möglich zu kontrollieren, ob oder wann eine SMS tatsächlich zugestellt oder ob sie vom Nutzer tatsächlich gelesen wurde. Vor allem in einigen Regionen der Welt (z.B. Asien) ist der SMS-Versand oft kompliziert, da die Telefonanbieter die Zustellung blockieren oder verzögern.

Zukunftssichere starke Authentifizierungen und Trends

Neue Authentifizierungsprodukte und innovative benutzerzentrierte Lösungen machen nicht nur umständliche Logins für Unternehmenskunden überflüssig und reduzieren deren Kosten drastisch, sondern sind auch den aktuellen Lösungen auf dem Markt einen Schritt voraus. Vom Onboarding über das Login bis sogar zur Migration des Geräts sind sie so intuitiv und einfach, dass die Nutzer alles selbst erledigen können, ohne Unterstützung durch das Unternehmen oder weitere Informationen zu benötigen. Auch die Passwörter haben ihren Zenit erreicht.

Die meisten Benutzer entscheiden sich angesichts der Schwierigkeit, sich lange und komplizierte Passwörter zu merken, meist für die Verwendung schwacher Passwörter. Ausserdem verwenden die meisten dasselbe Passwort auf verschiedenen Webseiten. Es ist daher nicht überraschend, dass Passwörter die Schwachstelle und das bevorzugte Ziel von Cyberkriminellen sind. Tatsächlich zeigen Studien, dass mehr als 80 Prozent aller digitalen Sicherheitsverluste in Unternehmen auf gestohlene Passwörter zurückzuführen sind. Der Ersatz von Passwörtern durch sicherere und innovative Authentifizierungsmethoden kann daher die IT-Sicherheit deutlich erhöhen und gleichzeitig die Benutzerfreundlichkeit und -zufriedenheit steigern.

Authentifizierung per App

Heute ist es möglich, Passwörter bei der Anmeldung durch Softwarelösungen zu ersetzen, die eine Authentifizierung über eine App ermöglichen, oder durch Hardwarelösungen wie FIDO2-Tokens. Die nächste Generation läutet die adaptive Benutzerauthentifizierung ein. Diese hochinnovative kontextbasierte Lösung nutzt Technologien des maschinellen Lernens, um eine variable Anzahl von Risikoparametern im Hintergrund zu bewerten, und ermöglicht bei geringem Risiko eine Anmeldung ohne jegliche Benutzerinteraktion. So bietet die adaptive Authentifizierung ein Höchstmass an Sicherheit und ein optimales Nutzererlebnis. Die perfekte Chance, die Zufriedenheit der Nutzer durch nahtlose und sichere Prozesse zu erhöhen!