computerwoche.de

Security

Wie die Migros Bank die Sicherheit erhöht und dabei noch spart

Mehr Sicherheit für mobiles Banking

17.11.2014
Von 
Christoph Witte arbeitet als Publizist, Sprecher und Berater. 2009 gründete er mit Wittcomm eine Agentur für IT /Publishing/Kommunikation. Dort bündelt er seine Aktivitäten als Autor, Blogger, Sprecher, PR- und Kommunikationsberater. Witte hat zwei Bücher zu strategischen IT-Themen veröffentlicht und schreibt regelmäßig Beiträge für die IT- und Wirtschaftspresse. Davor arbeitete er als Chefredakteur und Herausgeber für die Computerwoche. Außerdem ist Witte Mitbegründer des CIO Magazins, als dessen Herausgeber er bis 2006 ebenfalls fungierte.
Alle Posts des Autors Email: Connect:

Um den Faktor zehn pro Kunde billiger

Selbstverständlich hat die Bank bei der Auswahl der Lösung nicht nur die Funktionen, sondern auch auf die Kosten pro Nutzer. Die USB-basierende Lösung schlägt pro Anwender mit mehr als 50 Euro zu Buche. Da ist der Wunsch nach einer preiswerten Alternative nachvollziehbar. Vor allem, weil die Migros Bank von einem rasanten Wachstum im E- und Mobile Banking ausgeht sowie weitere Self-Service-Dienstleistungen anbieten möchte. Heute wickeln rund 150.000 der 800.000 Kunden ihre Bankgeschäfte über das Internet ab. In fünf Jahren werden es rund 50 Prozent der Klientel sein, schätzt Wick. "Mit dem neuen System können wir zusätzliche E-Banking-Kunden um den Faktor zehn günstiger anschließen als mit einer Hardware-basierenden Lösung", so der Migros-Bank-Manager.

Kostensenkend wirkt sich der Verzicht auf SMS-Nachrichten aus, die von verschiedenen anderen Verfahren wie SMS-TAN benutzt werden, um Transaktionen einzeln abzusichern. Selbst im Großeinkauf werden per SMS rund sechs Eurocent fällig. Bei einer großen Bank mit aktiver Online-Nutzerschaft kann sich das schnell zu einem Kostenfaktor auswachsen.

Anstelle von SMS-Nachrichten nutzt die neue Lösung zur Autorisierung von Transaktionen in vielen Fällen verschlüsselte Internet-Nachrichten, die über einen weiteren Kommunikationskanal an ein zweites, bei der Bank registriertes Endgerät des Kunden gesendet werden.Das ist nicht nur billiger, sondern auch sicherer als die leicht angreifbaren SMS.

Allerdings sei der Vollständigkeit halber erwähnt, dass in M-Identity Protection ebenfalls dezidierte Hardware einbezogen werden muss, falls der Bankkunde über kein zweites mobiles Endgerät verfügt oder keines benutzen darf, wie es in bestimmten Unternehmen der Fall ist. In diesem Fall ist der Kostenvorteil deutlich geringer.

Foto: Migros Bank

Mobile Banking aus Kundensicht

So gestaltet sich das Mobile Banking aus der Perspektive des Migros-Bank-Kunden:

  • Der Kunde lädt sich auf jedes mobile Endgerät, das er für E-Banking nutzen möchte, die Banking-Ap.

  • Möchte er einen PC nutzen, installiert er ein kleines Programm, das ihm ebenfalls von der Bank zur Verfügung gestellt wird.

  • Bestehenden E-Banking-Kunden wird für jede angemeldete Gerät ein Aktivierungscode zugeteilt; neue E-Banking-Kunden erhalten die Codes per Post.

  • Sobald der Aktivierungscode in App oder Software eingegeben wurde, ist das Gerät registriert und mit den Konten des Kunden verbunden.

  • Ist die Anwendung aktiviert, muss der Kunde nur noch seine selbstgewählte PIN eingeben, um die E-Banking-Anwendung zu starten.

  • Will er beispielsweise Überweisungen tätigen, muss er die Transaktion bei bisher unbekannten Empfängern oder Auslandsüberweisungen über ein zweites Gerät bestätigen. Dazu wird an die App des zweiten Geräts über eine Internet-Verbindung eine verschlüsselte Nachricht "gepusht". Sie enthält noch einmal die Überweisungsdetails und bittet den Kunden, die Überweisung oder eine andere Transaktion zu bestätigen oder abzulehnen.

  • Nicht jede Transaktion muss über ein zweites Gerät bestätigt werden. Empfänger, an die der Kunde regelmäßig Geld überweist, oder Unternehmen, die von der Bank über eine White List als verlässlich eingestuft werden, zum Beispiel der örtliche Stromversorger, sind nicht gesondert zu bestätigen.

  • Der Kunde kann dabei weitgehend selbst bestimmen, welche Empfänger als sicher eingestuft werden. Die Bank geht davon aus, dass nach der anfänglichen Lernphase nur noch drei bis fünf Prozent der Transaktionen gesondert bestätigt werden müssen.

Integration in Core-Banking-Software

Insgesamt haben rund 50 Entwickler mehr als anderhalb Jahre an der Sicherheits- und Prozessoptimierung des E-Bankings für die Migros Bank gearbeitet. Dabei wurde M-Identity Protection in die Standard-Banking-Software der Finnova AG integriert. Kobil entwickelte in Zusammenarbeit mit dem Standardsoftware-Hersteller eine eigene Schnittstelle, die die Funktionen der Sicherheitslösung mit der Standardsoftware verbindet, so dass auch künftige Online-Services damit abgesichert werden können.

Für das Frontend beim Kunden entwickelte der Migros-Bank-Partner Netcetera unter Verwendung des Kobil Software Development Kit eine mobile App. Ab November dieses Jahres geht die Lösung in den Probebetrieb, ab Januar 2015 soll sie an die Kunden ausgerollt werden.

Zusätzliche Einsatzmöglichkeiten

Die Migros Bank will die neue Identity- Processing-Engine auch für andere Dienstleistungen nutzen. So ist ein Direct-Pay-Service für E-Commerce-Händler geplant. Gedanken macht sich das Unternehmen zudem über Mobile Payment in stationären Kaufhäusern.

Ein sicheres Mobiltelefon macht darüber hinaus zusätzliche Anwendungsfälle möglich, die sowohl den Kundennutzen als auch die Verarbeitungseffizienz der Bank erhöhen sollen. So ist zum Beispiel eine Lösung angedacht, mit der sich der Kunde beim Anruf im Call Center vorgängig in seiner mobilen App identifiziert und dadurch rascher und ohne lästige Sicherheitsfragen direkt bedient werden kann.

Wie Wick ergänzt, ist die Lösung auch einsetzbar, um sichere E-Mails mit Dokumentenanhängen zu schicken oder elektronisch Termine zu vereinbaren: "Der Kunde kann sicher sein, dass die Mail tatsächlich von uns kommt, und wir sind sicher, dass der Richtige die Mail erhalten hat." Die Migros Bank sei das erste Schweizer Finanzinstitut, das diese sicheren Services Endgeräte-übergreifend anbieten werde. Das führe zu mehr Kundenbindung, und zugleich senke es die Kosten durch mehr Selbstbedienung. (qua)