Vor rund einem Jahr ist die Europäische Zahlungsdienstrichtlinie PSD2 (Payment Services Directive 2) in Kraft getreten, die beim Online-Banking eine doppelte Kundenauthentifizierung vorschreibt.
Beim Login muss sich jeder Kunde durchzwei von drei Faktoren legitimieren: etwas, das nur er weiß, beispielsweise PIN oder Passwort, etwas, das nur er besitzt, etwa Karte oder Smartphone, und etwas, das nur er haben kann, also Fingerabdruck, Stimme oder Gesicht. Viele Banken in Deutschland verlassen sich bislang auf die ersten beiden Aspekte, also Wissen (PIN/Passwort) und Besitz (Karte/Smartphone), und vernachlässigen das biometrische Merkmal.
"Das muss sich zügig ändern, denn die biometrische Authentifizierung ist am sichersten", fordert Bernd Martin, Deutschland-Verantwortlicher der Schweizer Spitch AG, die Sprachbiometriesysteme anbietet. Er argumentiert: "Karten und Smartphones können gestohlen werden, PIN und Passworte lassen sich knacken oder erraten. Zwar können biometrische Daten ebenfalls entwendet werden, aber nur bei biometrischen Merkmalen lässt sich die Echtheit während einer Transaktion fortlaufend verifizieren. Konkret: Während der Kunde eine Transaktion spricht, wird seine Stimme kontinuierlich auf Echtheit überprüft." Diese sogenannte "Lebend-Erkennung" während der Identifizierung sollte zügig in alle Online-Banking-Verfahren aufgenommen werden, um Missbrauch zu unterbinden, regt Bernd Martin an. Er sagt: "Machen wir uns nichts vor: Viele Verbraucher bewahren ihre Bankkarte und ihre PIN im selben Portemonnaie auf. Allerdings kommt es auch bei der biometrischen Erkennung darauf an, wie sie implementiert ist.
Vorgefertigte Profile genügen nicht, sondern es kommt darauf an, während der Transaktion die Authentifizierung fortlaufend zu überprüfen. Die Stimme ist hierfür ideal."
Der Spitch-Manager erkennt zwar an, dass viele Verbraucher bei biometrischen Methoden noch unsicher seien und stattdessen lieber auf das althergebrachte PIN/TAN-Verfahren vertrauen. "Doch das wird sich mit der Gewöhnung ändern", ist Bernd Martin fest überzeugt. "Viele Verbraucher entsperren heute schon ihr Smartphone wie selbstverständlich mittels Fingerabdrucks- oder Gesichtserkennung und verwenden Spracherkennung zur Gerätesteuerung. Mit der gleichen Selbstverständlichkeit werden sie künftig Banktransaktionen durchführen", ist der Spitch-Verantwortliche überzeugt. Umfragen, die beweisen wollen, dass die Verbraucher biometrischen Verfahren nicht trauen, hält Bernd Martin für "wenig aussagekräftig, weil sie den Gewöhnungseffekt bei neuen Technologien nicht widerspiegeln". "Keiner konnte sich vorstellen, sein Smartphone mittels Fingerabdrucks- oder Gesichtserkennung zu entsperren - bevor es über Nacht Realität wurde. Bedenken wir: Viele Menschen haben in ihrem Smartphone die Essenz ihres Lebens gespeichert, also Kontakte, Fotos, Termine und auch Finanzen. Das erforderliche Sicherheitsniveau beim Smartphone ist somit durchaus vergleichbar mit einer alltäglichen Finanztransaktion", argumentiert Bernd Martin. Er betont zudem den Vorteil der Authentifizierung per Stimme gegenüber anderen biometrischen Verfahren wie Fingerabdrucks- oder Gesichtserkennung: "Für die Stimmerkennung genügt ein Mikrofon, wie es jedes Telefon, jedes Handy und jedes Smartphone hat, während bei anderen Verfahren zusätzliches technisches Equipment benötigt wird bzw. nicht jedes Smartphone damit ausgestattet ist."
Smartphone-Banking "eher unsicher" Zudem moniert der Deutschland-Verantwortliche der Spitch AG, dass beim heutigen Online-Banking per Smartphone zwar die Zwei-Faktor-Authentifizierung (2FA) gemäß Vorgaben gewährleistet sei, "aber beide Authentifizierungen in der Regel auf ein- und demselben Smartphone stattfinden". Er sagt: "Es ist in der Praxis doch meistens so, dass sich die Banking- und die TAN-App auf einem Smartphone gegenseitig anfordern und autorisieren, eine Finanztransaktion durchzuführen.
Wenn also das Gerät einmal geknackt wird, beispielsweise die Geräte-PIN, dann ist unautorisierten Finanztransaktionen Tür und Tor geöffnet. Faktisch schrumpfen die vorgeschriebenen zwei Authentifizierungen damit auf eine einzige Authentifizierung durch das Smartphone zusammen. Das ist eher unsicher statt sicher."
