Frankfurt – Vor rund einem Jahr ist die Europäische Zahlungsdienstrichtlinie PSD2 (Payment Services Directive 2) in Kraft getreten, die beim Online-Banking eine doppelte Kundenauthentifizierung vorschreibt. Beim Login muss sich jeder Kunde durch zwei von drei Faktoren legitimieren: etwas, das nur er weiss, beispielsweise PIN oder Passwort, etwas, das nur er besitzt, etwa Karte oder Smartphone, und etwas, das nur er haben kann, also Fingerabdruck, Stimme oder Gesicht. Viele Banken in Deutschland verlassen sich bislang auf die ersten beiden Aspekte, also Wissen (PIN/Passwort) und Besitz (Karte/Smartphone), und vernachlässigen das biometrische Merkmal.
Fortlaufende Stimmerkennung während der Kunde die Transaktion spricht
„Das muss sich zügig ändern, denn die biometrische Authentifizierung ist am sichersten“, fordert Bernd Martin, Deutschland-Verantwortlicher der Schweizer Spitch AG, die Sprachbiometriesysteme anbietet. Er argumentiert: „Karten und Smartphones können gestohlen werden, PIN und Passworte lassen sich knacken oder erraten. Zwar können biometrische Daten ebenfalls entwendet werden, aber nur bei biometrischen Merkmalen lässt sich die Echtheit während einer Transaktion fortlaufend verifizieren. Konkret: Während der Kunde eine Transaktion spricht, wird seine Stimme kontinuierlich auf Echtheit überprüft.“ Diese sogenannte „Lebend-Erkennung“ während der Identifizierung sollte zügig in alle Online-Banking-Verfahren aufgenommen werden, um Missbrauch zu unterbinden, regt Bernd Martin an. Er sagt: „Machen wir uns nichts vor: Viele Verbraucher bewahren ihre Bankkarte und ihre PIN im selben Portemonnaie auf. Allerdings kommt es auch bei der biometrischen Erkennung darauf an, wie sie implementiert ist. Vorgefertigte Profile genügen nicht, sondern es kommt darauf an, während der Transaktion die Authentifizierung fortlaufend zu überprüfen. Die Stimme ist hierfür ideal.“
Umstellung auf biometrische Verfahren ist Gewohnheit
Der Spitch-Manager erkennt zwar an, dass viele Verbraucher bei biometrischen Methoden noch unsicher seien und stattdessen lieber auf das althergebrachte PIN/TAN-Verfahren vertrauen. „Doch das wird sich mit der Gewöhnung ändern“, ist Bernd Martin fest überzeugt. „Viele Verbraucher entsperren heute schon ihr Smartphone wie selbstverständlich mittels Fingerabdrucks- oder Gesichtserkennung und verwenden Spracherkennung zur Gerätesteuerung. Mit der gleichen Selbstverständlichkeit werden sie künftig Banktransaktionen durchführen“, ist der Spitch-Verantwortliche überzeugt. Umfragen, die beweisen wollen, dass die Verbraucher biometrischen Verfahren nicht trauen, hält Bernd Martin für „wenig aussagekräftig, weil sie den Gewöhnungseffekt bei neuen Technologien nicht widerspiegeln“. „Keiner konnte sich vorstellen, sein Smartphone mittels Fingerabdrucks- oder Gesichtserkennung zu entsperren – bevor es über Nacht Realität wurde. Bedenken wir: Viele Menschen haben in ihrem Smartphone die Essenz ihres Lebens gespeichert, also Kontakte, Fotos, Termine und auch Finanzen. Das erforderliche Sicherheitsniveau beim Smartphone ist somit durchaus vergleichbar mit einer alltäglichen Finanztransaktion“, argumentiert Bernd Martin. Er betont zudem den Vorteil der Authentifizierung per Stimme gegenüber anderen biometrischen Verfahren wie Fingerabdrucks- oder Gesichtserkennung: „Für die Stimmerkennung genügt ein Mikrofon, wie es jedes Telefon, jedes Handy und jedes Smartphone hat, während bei anderen Verfahren zusätzliches technisches Equipment benötigt wird bzw. nicht jedes Smartphone damit ausgestattet ist.“
Smartphone-Banking „eher unsicher“
Zudem moniert der Deutschland-Verantwortliche der Spitch AG, dass beim heutigen Online-Banking per Smartphone zwar die Zwei-Faktor-Authentifizierung (2FA) gemäss Vorgaben gewährleistet sei, „aber beide Authentifizierungen in der Regel auf ein- und demselben Smartphone stattfinden“. Er sagt: „Es ist in der Praxis doch meistens so, dass sich die Banking- und die TAN-App auf einem Smartphone gegenseitig anfordern und autorisieren, eine Finanztransaktion durchzuführen. Wenn also das Gerät einmal geknackt wird, beispielsweise die Geräte-PIN, dann ist unautorisierten Finanztransaktionen Tür und Tor geöffnet. Faktisch schrumpfen die vorgeschriebenen zwei Authentifizierungen damit auf eine einzige Authentifizierung durch das Smartphone zusammen. Das ist eher unsicher statt sicher.“
Einsatzbeispiel Migros Bank
Als gelungenes Einsatzbeispiel für sicheres Online-Banking mit Sprachbiometrie verweist Bernd Martin auf die Schweizer Migros Bank. Bei einem Anruf erkennt die Bank automatisch die Stimme des Kunden, so dass dieser per Telefon sichere Finanztransaktionen durchführen kann. Sobald der Anrufer zu reden beginnt, prüft das System binnen Sekunden die Identität und führt diese Prüfung kontinuierlich während des gesamten Gesprächs weiter. Damit das funktioniert, kann jeder Kunde ein Stimmprofil hinterlegen. Wie Bank und Spitch betonen, erfolgen die Abgabe und Speicherung des Profils auf freiwilliger Basis und in Übereinstimmung mit der Datenschutz-Grundverordnung. Kunden, die diese biometrische Identifizierung nicht möchten, können sich auch weiterhin auf herkömmlichem Wege durch Sicherheitsabfragen zu erkennen geben. Für den Datenschutz und die Datensicherheit ebenfalls wichtig: Die von Spitch gelieferte Sprachbiometriesoftware läuft durchweg auf Bank-eigenen Servern, also nicht in einer Cloud. Damit ist gewährleistet, dass die Kundendaten die Bank nicht verlassen, auch nicht zur Sprachverarbeitung. (Spitch/mc/ps)