Die Biometrie hält, dank neuen und sensibleren Sensoren, seit einiger Zeit Einzug in das IT-Business, und wir möchten in dieser Ausgabe einen Blick auf existierende und vielleicht noch künftige biometrische Signatur- und Authentifizierungsmöglichkeiten werfen und die Frage aufbringen, inwiefern denn eine biometrische Authentifizierung im Bezahlvorgang Sinn macht.
Im Retail eBanking merken die Banken schon länger, dass die Verwendung von Tan-Nummern nicht sicher genug ist um sich einzuloggen oder Zahlungen auslösen zu können, respektive keine abschliessende Sicherheit darüber gibt, welches Individuum tatsächlich hinter dem Prozess steht. Auch bei Kartenzahlungen kommt es immer wieder zu Missbrauch. Doch die Änderung des Legitimationsmittels für das Onlinebanking und bei Karten bedeutet für eine Bank oder den Kartenhersteller immer ein aufwändiges, teures, zeitintensives und alles andere als kundenfreundliches Projekt. Ein Vorgang, den man als Finanzinstitut alleine schon aus Reputationsgründen besser nicht alle paar Jahre wiederholen müssen sollte.
Als Apple vor einigen Jahren das iPhone 5 mit der integrierten Touch-ID (https://de.wikipedia.org/wiki/Touch_ID)auf den Markt brachte, ging – unterstützt durch die Snowden-Affäre – ein Aufschrei über die Lippen der Datenschützer. Mittlerweile spricht aber kaum mehr jemand über die Touch-ID, der Prozess ist etabliert und wird auch von vielen Apps als Authentifizierungsmerkmal akzeptiert und verwendet.
Seit es im Internet jedoch immer mehr Anleitungen gibt, wie man Fingerabdrücke fälschen und Devices und Apps damit entsperren kann, setzt Apple bei den jüngeren Ausführungen des iPhones auf die Face-ID. So bekommt der Nutzer quasi spielerisch mit einem Lächeln Zugang zu seinem Smartphone.
Während Apple das Gesicht scannt, setzen die Banken bisher zum Identifizieren der Kunden auf eine Zwei-Faktor-Authentifizierung. Man kombiniert also nach Möglichkeit etwas, das der Kunde hat (z.B. eine Bankkarte) mit etwas, das er weiss (z.B. einen Code) oder neuerdings, wie eben erwähnt, auch mit etwas, das er ist (z.B. seinem Fingerabdruck). So weise ich mich also in einem herkömmlichen Zahlungsprozess mit einer Karte inkl. PIN oder wie bei Apple-Pay mit einer Karte und meinem Fingerabdruck aus.
Oberstes Gebot dabei ist natürlich die Sicherheit. Und diese konnte in der Vergangenheit bei diversen Systemen mehrfach gehackt oder auf andere Weise ausgehebelt werden. So sind Überlegungen, wie denn die Sicherheit erhöht werden kann, durchaus legitim. Bei der Suche nach eindeutigen menschlichen und fälschungssicheren Merkmalen kommt man dabei rasch auf die weiterführende Biometrie. Der Vorteil einer biometrischen Identifikation, liegt auf der Hand: der Kunde kann mittels persönlicher, individueller Körpermerkmale eindeutig bestimmt werden – Fingerabdrücke zählen hier nicht mehr dazu aus den oben genannten Gründen. Darüber hinaus können die biometrischen Daten vom Kunden nicht vergessen oder verloren werden, was durchaus im weiteren Verlauf zu einer Aufwandsminderung auf der Bankseite führen kann. Klingt also nach einer Win-win-Situation, sowohl für die Bank wie auch für den Kunden, der an Sicherheit gewinnt.
Was also lässt die Banken zögern, hier Nägel mit Köpfen zu machen? Erst einmal sehen sich die Finanzdienstleister der simplen Frage gegenüber, welche Art der biometrischen Authentifizierung überhaupt sicher und zur Freigabe welcher Prozesse geeignet ist. Ist es das individuelle Tipp-Verhalten des Kunden oder möchte man doch lieber das Abbild seines Ohres scannen oder vielleicht die Iris? - Wer sich inspirieren lassen möchte, soll sich bitte folgende Liste (https://www.biometricsinstitute.org/types-of-biometrics) anschauen. Selbst der Herzschlag weist offenbar individuelle Merkmale auf und lässt somit den Rückschluss auf die Person eindeutig zu. Mit welchen Devices aber sollen diese Daten erhoben und geprüft werden? Reicht es aus, sich der Sensoren in den Smartphones und vielleicht der Apple Watch zu bedienen? Oder braucht es neuartige Geräte um den Herzschlag zu prüfen oder das Gesicht auch für bankeigene Dienstleistungen zu scannen? Und macht es für die Bank Sinn, sich von Geräten und Herstellern wie Apple oder andere grossen Brands abhängig zu machen, oder anders gefragt: Welche Alternativen haben sie überhaupt?
Unabhängig von der Methode, für die sich ein Finanzdienstleister entscheiden mag, geht es in erster Linie auch darum, die Daten sicher zu verwahren und in Echtzeit verarbeiten zu können. Hierzu müssen sich die Banken wohl noch stärker digitalisieren, dynamischer werden und im IT-Bereich zukunftgerichtetes Knowhow aufbauen.
Wer weiss, vielleicht wird es in nicht allzu ferner Zukunft möglich sein, einer Zahlungssaufforderung mit dem Blick in die rechte obere Brillenecke nachzukommen, oder mittels eines Chips im Ehering, der die Echtheit unseres Herzschlages bestätigt oder uns mittels der Analyse des Körperduftes identifiziert.
Die Technik ist heute schon so weit, dass wir solche Prozesse umsetzen können. Die Kostenstruktur wird vorläufig ein Thema bleiben, aber am Kundenwunsch nach Einfachheit und dennoch mehr Sicherheit wird sich auch künftig nichts ändern und das ist auch im Eigeninteresse der Bank. Wer simple und sichere Lösungen anbieten kann, ist vorne mit dabei. Meist gehen aber Sicherheit und ‚keep it simple’ nicht reibungslos miteinander einher. Und den Faktor, den die Entwickler gerne vergessen, ist die Gesellschaft. Sind wir grundsätzlich bereit, für mehr Sicherheit die letzten individuellen Geheimnisse zu opfern und noch gläserner zu werden? Die Zukunft wird’s zeigen, und die gestalten wir als Gesellschaft bekanntlich selber.
Dieser Blog wurde von Matthias Hungerbühler gepostet
#Biometrie #Authentifizierung #Onlinebanking #eGesellschaft #Identifikation
0 Kommentare:
Kommentar veröffentlichen