Suchen

Expertenbeitrag

Andreas Baumhof

Andreas Baumhof

CTO bei ThreatMetrix, ThreatMetrix

Cybersicherheit

Digitale Identitäten und Biometrie - ein starkes Team

| Autor/ Redakteur: Andreas Baumhof / Jürgen Schreier

Der kombinierte Einsatz digitaler Identitäten und biometrischer Services erfüllt eine der aktuellen Herausforderungen, der sich Zahlungs- und Finanzdienstleister stellen müssen: Konformität zur überarbeiteten EU-Richtlinie für Zahlungsdienste (PSD2).

Firmen zum Thema

Andreas Baumhof ist CTO von Threat Metrix. Er ist dort verantwortlich für Informationen über mögliche Cyber-Threats und Forschung zu Malware sowie für die Bereitstellung von technologischen Innovationen. (Bild: Threat Metrix)
Andreas Baumhof ist CTO von Threat Metrix. Er ist dort verantwortlich für Informationen über mögliche Cyber-Threats und Forschung zu Malware sowie für die Bereitstellung von technologischen Innovationen. (Bild: Threat Metrix)
(Bild: Threat Metrix )

Viele Nutzer digitaler Geräte haben sich durch den einfachen und bequemen Einsatz biometrischer Lösungen überzeugen lassen und nutzen diese etwa zum Entsperren ihres Mobilgeräts oder für den Zugriff auf eine App. Diese hohe Akzeptanz haben natürlich auch die Gerätehersteller erkannt. Fast jedes heute im Markt platzierte Mobilgerät verfügt daher über einen Fingerabdruck-Scanner, ein Gesichtserkennungssystem oder eine andere biometrische Identifikationslösung.

Gemeinsam für mehr Sicherheit

Die Biometrie hat sich zwar bei der Erkennung von Benutzern bewährt, aber sie ist nicht narrensicher. Und jede Fehlerkennung oder Überlistung kann zu einer unangenehmen Situation führen – im günstigen Fall lediglich zu einer Verzögerung oder Verhinderung bei der Serviceausführung, im schlimmsten zu einem Betrug mit negativen finanziellen Folgen. Wenn man bedenkt, dass sich frustrierte Nutzer bereits nach zehn Sekunden Verzögerung an Konkurrenten wenden, kann man sich ausmalen, wie wichtig eine zuverlässige und reibungslose Authentifizierung für die Kundenbindung ist. Für Organisationen in der Finanzbranche etwa bedeutet diese Art von unliebsamen Zwischenfällen einen Verlust an Umsätzen und Transaktionen von mindestens vier Prozent des theoretischen Gesamtvolumens.

Wenn die biometrische Erkennung fehlschlägt, besteht die typische Reaktion darin, zu einem statischen Passwort oder einem Passcode zurückzukehren, um eine Anmeldung am Service auf diesem Weg zu ermöglichen. Das Problem: Viele Unternehmen waren bereits Opfer umfangreicher Datendiebstähle, sodass ein umfangreicher Bestand an Datensätzen mit Anmeldeinformationen im Dark Web erhältlich ist. Für Betrüger, die im Besitz der Anmeldedaten sind, ist es daher ein Leichtes, die eigenen biometrischen Daten für den Zugang zu einem kompromittierten Account zu hinterlegen.

Gerade die stark zunehmende Bedrohung durch Angriffe, die eine Kontoübernahme zum Ziel haben, ist besorgniserregend – besonders für Unternehmen, die ihre mobilen Kanäle sicher ausbauen möchten. So weist der ThreatMetrix Cybercrime Report ThreatMetrix Cybercrime Report für das vierte Quartal 2017 bei den Attacken zum Zweck einer Kontoübernahme eine Steigerungsrate von 182 Prozent im Vergleich zum entsprechenden Vorjahresquartal aus.

Digitale Identität bindet Gerät an eine Benutzeridentität

Natürlich wurden biometrische Lösungen nicht dafür entwickelt, abseits der Authentifizierung andere betrügerische Aktivitäten zu erkennen – ganz gleich, ob es sich um kompromittierte Geräte (etwa durch Rooting), manipulierte Applikationen (z B. mit Malware oder Trojanern) oder die Übernahme einer authentifizierten Session durch Hacker oder Snooping-Attacken handelt. Biometrie identifiziert auch keine Spyware und stoppt keinen Man-in-the-Middle-Angriff.

Daher bietet sich der Einsatz digitaler Identitäten an, die biometrische Systeme an den richtigen Stellen sinnvoll ergänzen können. Denn die Erkennung der oben aufgeführten Bedrohungen ist eine ebenso wichtige wie oft übersehene Funktionalität der digitalen Identität. Mittels einer Verifizierung der spezifischen digitalen Existenz eines Individuums lassen sich sowohl kompromittierte Apps als auch gefährdete Geräte identifizieren. Mit Funktionen wie Strong ID für Web und Mobile bindet die digitale Identität ein bestimmtes Gerät an eine Benutzeridentität. So kann das Gerät selbst als Authentifikator verwendet werden, womit die Forderungen von PSD2 nach einer starken (Zwei-Faktor-) Kundenauthentifizierung erfüllt sind.

Daher ist eine dem biometrisch gestützten Anmeldeprozess vorgeschaltete Verifizierung der digitalen Identität die geeignete Grundlage für eine dynamische, risikobasierte Authentifizierung, die dem Konsumenten mehr Sicherheit bietet, ohne Komfortabstriche in Kauf nehmen zu müssen.

Mehr Informationen und Diskussionsbeiträge zur Kombination von digitalen Identitäten und biometrischen Technologien bietet der unter "Definitive Guide to Digital Identity".

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 45470596)

Über den Autor

Andreas Baumhof

Andreas Baumhof

CTO bei ThreatMetrix, ThreatMetrix