Signieren von Transaktionen, Meet Selfie

Fort mit euch, ihr Geld stehlenden Trojaner. Wann haben Sie das letzte Mal nach Ihrer Anmeldung am Bankingportal eine Zahlungstransaktion vorgenommen, dann eine Benachrichtigung zur Validierung der Transaktionsdetails auf Ihrem Handy erhalten und diese durch Antippen bestätigt? Oder besser: Wann haben Sie das letzte Mal physische Hardware verwendet, um eine Transaktion zu signieren?

Wenn Sie in eine Bank gehen und die Zahlungsabwicklung einer hohen Summe fordern, die Ihr Vermögen betrifft, dann gehört es zum Standardverfahren, dass der Bankangestellte Ihnen eine Zusammenfassung des Transaktionsauftrags ausdruckt, die Sie dann bestätigen. Nachdem Sie die Transaktion überprüft haben, sagen Sie dem Bankangestellten ganz einfach, dass er die Zahlung abwickeln soll.  Zu diesem Zeitpunkt besteht aufgrund Ihrer Validierung von Natur aus die Erwartung, dass nicht plötzlich ein Hijacker im Hinterzimmer der Bank den Transaktionsauftrag übernimmt und das Vermögen auf ein anderes Konto überweist.  In Sachen Onlinebanking ist der Validierungsprozess einer Transaktion ein wichtiger Schritt zur Verringerung von auf hochentwickelten Trojanern basierten Betrugsfällen.  Je nach Ihrem globalen Standort beinhaltet Ihre tägliche Onlinebanking-Erfahrung möglicherweise bereits einen& kryptografischen Signierungsprozess zur Out-of-band-Validierung von Transaktionen, wenn Sie eine Zahlung vornehmen.  Anderen ist dieser zusätzliche Schritt unbekannt – Was soll das heißen – ich muss einen Extraschritt zur Bestätigung der Transaktionsdetails unternehmen, um eine bereits angeforderte Zahlungstransaktion abzuschließen?

Als ich kürzlich in Holland war, gönnte ich mir in einem Café meinen ersten Amsterdamer Espresso &und versuchte, herauszufinden, wie lange es dauern würde, ein Taxi zu finden. Während ich an meinem Espresso nippte, saß eine Frau neben mir mit aufmerksamem Blick vor ihrem Laptop und nahm ein Authentifizierungsgerät aus ihrer Handtasche.  Sie tätigte offenbar eine Zahlung über ihre Onlinebank, denn sie hämmerte Nummern in ein zusätzliches Gerät ein, um die Transaktion abzuschließen. Das Gerät zum Signieren der Transaktion war von grauer Farbe und stand in starkem Kontrast zu ihrem großen, brandneuen iPhone 6 plus.  Ich fragte mich, warum sie die Transaktion nicht einfach mithilfe ihres Smartphones abschloss.

Zahlungen per Onlinebanking sollten eine komfortable und sichere Erfahrung sein – schließlich geht es hier um unser Geld. Während neue Arten von Malware seit den Zeiten von Zeus & und Citadel bis hin zu Tinba und Co weiterhin Neuland erschließen, gestalten hinterlistige Trojaner den Prozess nicht so einfach, wie die Banken es sich wünschen würden.  Finanzinstitute müssen die Gatekeeper-Funktion übernehmen und uns über das uralte Tauziehen zwischen Komfort und Sicherheit nachdenken lassen.  Man-in-the-Browser-Trojaner (MITB) verursachen – für das Opfer unbemerkt – Probleme für Anwender, die eine einfache Zahlungstransaktion abschließen wollen, indem sie die Transaktionsdaten (im Hintergrund) manipulieren und die Gelder auf einen Mule-Account transferieren.

In dem Bestreben, die Gefahren zu reduzieren, die von solchen diebischen Trojanern ausgehen, haben einige Banken einen mehrstufigen Ansatz zum Schutz von Transaktionen eingesetzt, um die Zahl der MITB-Angriffe zu verringern.   Während manche Finanzinstitute aufgrund von gesteigerter Sensibilisierung schlicht dazu entschlossen sind, die Reifestatus ihrer Sicherheitsmaßnahmen zu erhöhen, erfüllen andere möglicherweise Bestimmungen wie PSD2, die strengere Kontrollen fordern.  Im Endeffekt entspricht ein angemessenes Maß an Kontrollen sowohl den Bestimmungen als auch dem Wissen der Bank um die Erwartungen von Benutzern. Zu diesen Erwartungen zählen üblicherweise eine schnelle Abwicklung von Transaktionen, Sicherheitskontrollen zum Schutz ihrer Einlagen und ein gewisses Maß an Komfort durch ein intuitives Benutzerdesign.  Neben Sicherheit sorgen eine positive Benutzererfahrung und nahtlose Übergänge bei der Verwendung eines Service für zufriedene Benutzer.

Drucken
 

Die zunehmende Kombination von mobiler Smartphonetechnologie und Biometrie macht es um so leichter, die Erwartungen von Endbenutzern zu erfüllen. Goode Intelligence formuliert es so: „Biometrie bietet eine glaubwürdige Lösung für das zweifache Problem des Ersetzens schwacher Authentifizierungsmechanismen mit Passwörtern und PIN sowie der Lösung des Dilemmas mobiler Authentifizierung: die Bereitstellung komfortabler Strong Authentication-Lösungen für intelligente Geräte.“  Mit Mobile Software Development Kits können Finanzinstitute ihre Banking-Apps durch die Validierung von Transaktionsdetails in Kombination mit einer kryptografischen Signatur mit einer starken, transparenten Risk-Based Authentication und Transaktionsintegrität ausstatten.  In Mobile SDK eingebettete Biometrie wie Fingerabdrücke und sogar aus Selfies generierte Eyeprints ermöglichen dem Benutzer eine Authentifizierung im Handumdrehen.  Durch die Nutzung von Mobile SDK bietet das Signieren von Transaktionen eine Integritätssicherung, eine kryptografische Signatur und die Authentifizierung für Zahlungstransaktionen, um den Betrug durch fortschrittliche Angriffe mit Finanzmalware zu bekämpfen.

Wenn eine Bank diese Art von Sicherheit in ihre mobilen Apps integriert, profitieren die Endbenutzer: Nimmt der Benutzer eine Zahlungstransaktion vor, erhält er eine Push-Benachrichtigung auf sein Mobiltelefon, die ihn zur Validierung der Zahlungsempfänger- und Zahlungsdetails auffordert. Durch einfaches Antippen zum Bestätigen wird die Transaktion kryptografisch signiert.  Je nach Risikolevel verwendet der Benutzer zur Authentifizierung ein Selfie oder seinen Fingerabdruck und die Zahlungstransaktion ist sicher abgeschlossen.

Komfort oder Sicherheit – der immerwährende Balanceakt wird wohl nie enden, aber der Verbraucher kann beides haben und hat beides verdient. Wenn Finanzinstitute einen kryptografisch signierten Validierungsprozess für Zahlungstransaktionen mit einer anschließenden biometrischen Authentifizierung in einem anwenderfreundlichen, für Mobilgeräte optimierten Workflow kombinieren, dann können Endbenutzer auf lästige Geräte zum Signieren von Transaktionen verzichten und Banken können auf der anderen Seite Betrugsfälle reduzieren und ihren Kunden Sicherheit bieten.

No Comments