Zwei-Faktor-Authentifizierung (2FA) – Symbiose regulatorischer Anforderungen und technischer Innovationen

• Zwei-Faktor-Authentifizierung durch MaSi ab November 2015 verbindlich bei Internetzahlungen

• Technologische Trends ermöglichen neue, sichere Identifikationsverfahren

Das klassische Retail-Banking-Geschäft war in den letzten Jahren zunehmend von Veränderungen gekennzeichnet. Einhergehend mit der fortschreitenden Digitalisierung und dem rasanten Wachstum der E-Commerce-Branche nahmen jedoch auch die Vorfälle der Online-Identitätsverluste zu.

Abbildung 1: Anzahl der polizeilich erfassten Fälle von Datenausspähung bis 2012 steigend, leichter Rückgang in 2013 und 2014 erkennbar.

Als Gegenmaßnahme steht im Onlinebanking seit Langem der Identitätsnachweis eines Nutzers mittels der Kombination von zwei der folgenden drei verschiedenen und insbesondere voneinander unabhängigen Faktoren zur Verfügung:

• Wissen (z.B. statisches Passwort)
• Besitz (z.B. mTAN)
• Sein (z.B. Fingerabdruck).

Zur weiteren Reduzierung von Identitätsdiebstählen wurde von der Europäischen Bankenaufsicht später die Leitlinie zur Sicherheit von Internetzahlungen veröffentlicht, wodurch die jeweiligen nationalen Finanzaufsichten dazu angehalten waren, diese in nationales Recht zu überführen. In Deutschland wurde diese Forderung vonseiten der BaFin im November 2015 innerhalb der Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSi) verpflichtend eingeführt.

Im Zuge der Umsetzung erster regulatorischer Leitlinien etablierte sich der Faktor Besitz in Form einer mTAN als Marktstandard. Innerhalb kurzer Zeit erwies sich jedoch auch dieser als zunehmend sicherheitskritisch, und es gelang Hackern im Oktober 2015, mehr als eine Million Euro von fremden Konten abzubuchen. Es ist zudem davon auszugehen, dass das mTAN-Verfahren zunehmend als sicherheitskritisch einzustufen ist und es alternativer Authentifizierungsmethoden auf Basis biometrischer Verfahren bedarf.

Durch die Etablierung neuer Identifizierungstechnologien und der immer weiter fortschreitenden Integration technischer Hilfsmittel in den Alltag ist es heute jedoch problemlos möglich, den sicherheitskritischen Faktor Besitz durch den (vermeintlich) sicheren Faktor Sein zu ersetzen. Zudem werden nach Einschätzung von Experten bereits 2020 der Mehrheit der Nutzer biometrische Verfahren zur Identifikation zur Verfügung stehen.

Abbildung 2: Prognose zur flächendeckenden Nutzung biometrischer Identifikationsverfahren in Deutschland

Eines der gängigsten Verfahren biometrischer Identifikationsmethoden ist der Scan des Fingerabdrucks per Smartphone. Zudem führte Barclays im Geschäftskundenbereich bereits eine Identifikation anhand der Venenstruktur mittels eines Infrarotscans ein. Darüber hinaus gibt es eine Vielzahl an Verfahren zur Identifikation anhand einer Gesichts- oder Iriserkennung oder einer Analyse des Herzschlags.

Aufgrund überproportional steigender Umsätze auf mobilen Geräten bedarf es der verstärken Ausrichtung biometrischer Identifikationsverfahren für den mobilen Einsatz. Für die Berücksichtigung des digitalen Marktes bieten biometrische Identifikationsverfahren eine regulatorisch konforme, risikominimierte und kundenfreundliche Transformation etablierter Zwei-Faktor-Authentifizierungsmethoden.