Biometrische Authentifizierung

Sicherheit in der Finanzindustrie

15.01.2021
Von   IDG ExpertenNetzwerk
Dr. Rolf Lindemann ist seit der ersten Stunde in die FIDO Alliance involviert. Der erste Entwurf für die FIDO-UAF-Spezifikation stammte von ihm. Heute ist er Board-Mitglied und Co-Chair mehrerer Arbeitsgruppen. Hauptberuflich arbeitet er für Nok Nok Labs als VP Products. Dr. Rolf Lindemann bringt mehr als 20 Jahre Erfahrung in der IT-Sicherheitsbranche mit. Er hält regelmäßig Vorträge zu Themen wie FIDO, IT-Sicherheit, IoT und Blockchain.
Für Hacker sind Banken ein beliebtes Ziel. Biometrische Authentifizierungsmethoden könnten Cyberattacken einen Riegel vorschieben und für mehr Sicherheit sorgen.
Gesichtserkennung ist für Verbraucher schon heute eine beliebte Option, um sich schnell und sicher zu authentifizieren.
Gesichtserkennung ist für Verbraucher schon heute eine beliebte Option, um sich schnell und sicher zu authentifizieren.
Foto: Fractal Pictures - shutterstock.com

Die Anzahl der polizeilich erfassten Hackerangriffe steigt von Jahr zu Jahr, doch im Kontext der Coronakrise sind die Fälle nahezu explodiert (PDF-Download). IT-Sicherheitsforscher stellten fest: Allein im Juli 2020 gab es in Deutschland mehr als 100.000 Hackerangriffe - und das bei Privatpersonen sowie über alle Unternehmensgrößen hinweg.

Vor allem die Finanzbranche ist für Internetbetrüger ein beliebtes Ziel. Hier erhoffen sie sich nicht nur an die Ersparnisse der Privatkunden, sondern mit viel Glück sogar an die Reserven großer Unternehmen oder Organisationen zu gelangen. Um ihre Privat- und Geschäftskunden vor Angriffen dieser Art schützen zu können, haben Finanz- und Kreditinstitute in den vergangenen Jahren bereits einige Sicherheitsmaßnahmen ergriffen. Damit ist es aber noch lange nicht getan. Was es jetzt braucht, sind Lösungen, die robust gegen neue Betrugsmethoden sind. Biometrische Authentifizierungslösungen, die mit kryptografischen Methoden kombiniert und nicht mehr zentral auf Servern gespeichert werden, könnten hierfür der passende Schlüssel sein.

Lesetipp: Was ist Kryptografie?

Die Maschen der Internetbetrüger

Vom Stehlen der Passwörter von Servern über Credential Stuffing bis hin zum (Spear) Phishing: Wenn es darum geht ans Ziel zu gelangen sind Internetbetrüger äußerst kreativ. Bei der Wahl der eingesetzten Methode kommt es vor allem darauf an, wer ihr Opfer ist und ob sie versuchen, an viele kleine Häppchen zu gelangen oder doch eher direkt an den dicksten Fisch. Bei der erstgenannten Methode, dem Diebstahl von Passwörtern von Servern, geht es darum, sich Zugriff auf eine möglichst große Menge von Anmeldedaten zu verschaffen.

Diese werden anschließend auch des Öfteren im Darkweb zum Kauf angeboten. So können die Hacker auf einer ganzen Reihe von Websites Login-Versuche durchführen, um im Namen der Opfer an Geld zu gelangen - und zwar vollkommen automatisiert. Das Ausmaß dieser Vorgehensweise ist enorm: Wie Forbes berichtet, ist es dem Team von The Digital Shadows Photon Research gelungen, mehr als 15 Millionen gestohlene Login-Informationen im Darkweb ausfindig zu machen. Insgesamt wurden schon mehr als zwei Milliarden Passwörter von Servern gestohlen.

Aufgrund dieser prinzipiellen Schwächen von Passwörtern haben viele Anbieter die Passwörter durch Einmal-Passwörter ergänzt. Leider sind auch diese kombinierten Systeme in das Visier der Betrüger geraten. Hierfür setzen diese auf Phishing-Angriffe und leiten den unwissenden Nutzer über eine täuschend echt aussehende Phishing-Website zur eigentlichen Website weiter. Dabei werden sowohl Passwörter als auch Einmal-Passwörter vom Angreifer mitgelesen und können trotz doppelter Sicherheitsmaßnahmen verwendet und weiterverkauft werden.

Um derartige Angriffe zu erschweren, haben viele Dienste weitere inkrementelle Verbesserungen vorgenommen: sie speichern zusätzliche Merkmale eines jeden Nutzers. Dazu gehört der verwendete Browser, die Sprache oder auch die Tipp-Geschwindigkeit. Durch die Prüfung dieser für jede (Web-)Applikation einsehbaren Merkmale soll beim nächsten Login sichergestellt werden, dass es sich tatsächlich um den Nutzer handelt, dessen Daten zum Einsatz kommen. Bei etwaigen Unregelmäßigkeiten schlägt das System Alarm. Je nachdem, ob nur ein anderer Browser verwendet wird oder ob beispielsweise eine Kreditkarte plötzlich in einem Land am anderen Ende der Welt auftaucht, bewertet die sogenannte "Risk Based Authentication" das jeweilige Risiko und sendet entweder eine Warn-SMS an die hinterlegte Handynummer oder sperrt die Karte aus Sicherheitsgründen komplett.

Doch auch diese Kombination aus Passwort, Einmal-Passwort und Erfassung weiterer Gerätemerkmale sind längst nicht mehr unantastbar. Im April 2019 berichtete Kaspersky beispielsweise von einem Untergrund-Marktplatz, der sich auf eine besonders heimtückische Form des Identitätsdiebstahls spezialisiert hat. Angeboten werden digitale Identitäten, welche jene Charakteristika beinhalten, die Google, Amazon und Co. zur Erkennung der Nutzer zusätzlich abfragen und die dadurch ebenso nutzlos werden wie herkömmliche Passwörter.

Lesetipp: Anti-Phishing - Die besten Tools und Services

Authentifizierung - ein Balanceakt

Um ihre Kunden - und natürlich auch sich selbst - vor dem Zugriff unbefugter Dritter zu bewahren, hat die Finanzindustrie bereits zahlreiche Sicherheitsmaßnahmen eingeführt und setzt große Teile des IT-Budgets für die Aufrechterhaltung dieser ein. Egal ob TAN-Lesegerät, Einmal-Passwort oder Risk Based Authentication: Jede dieser Lösungen soll dazu dienen, eine sichere und bequeme Authentifizierung zu gewährleisten. Innerhalb der letzten Jahre hat sich die Branche jedoch enorm verändert. Nicht nur neue Richtlinien sind hinzugekommen, auch eine größere Bandbreite an technologischen Möglichkeiten haben zusätzliche Komplikationen wie die Multi-Faktor-Authentifizierung unabdingbar gemacht.

So hat beispielsweise die Europäische Bankbehörde festgelegt, dass ein Einmal-Passwort per SMS allein zur Authentifizierung des Benutzers bei Online-Zahlungen nicht mehr ausreicht und stattdessen ein zweiter Authentifizierungsfaktor erforderlich ist. Diese Sicherheitsstandards mit einem größtmöglichen Maß an Benutzerfreundlichkeit in Einklang zu bringen, ist eine wichtige Aufgabe, vor der Banken und Kreditinstitute derzeit stehen.Der erste Schritt, diese Herausforderung zu bewältigen, besteht in der Erkenntnis, dass traditionelle Passwörter schon heute nicht mehr die Sicherheit gewährleisten können, der es in unserer global vernetzten Welt bedarf. Da sie - zusammen mit dem Benutzernamen - vom zentralen Server gestohlen oder durch Phishing abgegriffen werden können, ist es für Kriminelle möglich, Transaktionen ohne große Hindernisse durchzuführen.

Erschwerend hinzu kommt die Tatsache, dass herkömmliche Passwörter oft gleich für mehrere Accounts verwendet werden. Fakt ist nämlich auch: Aufgrund der ständig steigenden Sicherheitsbestimmungen fällt es den Nutzern zunehmend schwerer, sich die immer komplexer werdenden Buchstaben- und Zahlenkombinationen zu merken. Was sich daraus ergibt, ist ein echter Teufelskreis, der Internetbetrügern Tür und Tor öffnet, um an noch größere Mengen ihrer digitalen Beute zu gelangen. Die Kombination von Passwort mit einem Einmal-Passwort wurde bisher seltener angegriffen, aber gegen die aktuellen Phishing-Methoden helfen auch die Einmal-Passwörter nicht.

Lesetipp: So erstellen und merken Sie sich wirklich sichere Passwörter

Das Zeitalter der Biometrie beginnt

Biometrische Authentifizierungsmethoden kombiniert mit Kryptografie könnten diese Problematik endlich lösen. Sie bieten nicht nur für Banken, Kreditinstitute und deren Kunden, sondern auch für alle anderen Branchen erhebliche Vorteile. Gesichtserkennung und Fingerabdrucksensoren sind benutzerfreundlich anzuwenden. Entscheidend ist allerdings, dass die Fehler, die bei der Verwaltung von herkömmlichen Passwörtern bisher gemacht wurden, sich mit der neuen Methode keinesfalls wiederholen dürfen. Die Kryptografie liefert dabei den Besitz-Faktor - der sich darüber hinaus auch noch für jeden Server unterschiedlich darstellt. Die Biometrie (Inhärenz-Faktor) macht es für den Benutzer einfach, das Verfahren auf seinem jeweiligen Gerät zu verwenden.

Alternativ zur Biometrie können Benutzer auch eine PIN verwenden. Weder die PIN, noch die biometrischen Daten werden dabei an den Server gesendet. Werden diese Schritte beachtet, spricht nichts dagegen, dass die biometrische Authentifizierung sich bald auch in der Finanzindustrie durchsetzt und traditionelle Passwörter durch eine sicherere und bequemere Alternative ersetzt. (bw)