Passkey-Authentifizierung hilft bei der Betrugsbekämpfung

Die weitgehende Anonymität, die der Einzelne im Internet genießt, war von Anfang an ausschlaggebend für seinen rasanten Erfolg. Der Schutz der Privatsphäre galt als oberstes Gebot. Seitdem ist viel passiert. Die Onlinenutzung und die damit verbundenen Anwendungsfälle sind vielfältiger geworden. Heute stellt sich die Frage: Wie kann die Identität einer Person nachgewiesen werden und wie kann sich die Person authentifizieren?

Wie sich die beiden voneinander unterscheiden, kann am besten ein Experte wie Quintin Stephen, Global Business Lead, Authentication bei G+D Netcetera, erklären: „Die erste Frage, die Frage nach der Identität, bedeutet: „Wer bin ich und wie kann ich das anderen beweisen?“ Die zweite, ebenso wichtige Frage nach der Authentifizierung übersetzt Stephen so: „Wie kann ich dauerhaft bestätigen, dass diese Person, diese Entität im Internet, wirklich ich bin?“ 

Identitäts- und Authentifizierungsprozesse finden in allen Lebensbereichen statt, nicht nur online. „Wenn ein Polizist nach dem Führerschein fragt, authentifiziert er Sie als die Person, die Sie vorgeben zu sein. Das ist ein allgegenwärtiger, alltäglicher Vorgang“, sagt Quintin Stephen. „Aber so, wie die Online-Welt funktioniert, und angesichts der explosionsartigen Zunahme von Cyberattacken sind dynamische Lösungen gefragt.“

Diese Bedrohungen sind mit finanziellen Kosten verbunden. Eine aktuelle Studie erwartet, dass der weltweite Betrug im elektronischen Handel bis 2029 107 Milliarden Dollar übersteigen wird.¹ Je mehr wir unser Leben ins Internet verlagern, desto häufiger geben wir dort Geld aus. Ohne irgendeine Form der Bezahlung geht online tatsächlich nur sehr wenig. Und genau dann kommt es am häufigsten zu Schäden.

Um diese Angriffe und Bedrohungen abzuwehren, bedarf es künftig einer breiten Einführung von Biometrie, dynamischer Kryptografie und einer sogenannten „öffentlich-privaten Schlüsselinfrastruktur“ (Public-Private-Key-Infrastruktur; PKI). Sie wird für alle verfügbar sein, ohne den Datenschutz zu gefährden. „Das sind alles Bereiche, auf die wir spezialisiert sind“, sagt Quintin Stephen. 

Doch warum ist das überhaupt notwendig und warum reichen die bisherigen Funktionen nicht mehr aus?

Die Passwort-Problematik

Wie sichern und authentifizieren wir unsere Identität in der digitalen Welt? Richtig, mit einem Passwort. Eine Schwachstelle, die regelmäßig von Betrügern ausgenutzt wird. „Sei es durch Angriffe auf die Infrastruktur, sogenannte Hacks, um an kritische Informationen zu gelangen, oder indem sie Menschen dazu verleiten, Informationen freiwillig oder unfreiwillig preiszugeben.“

Kriminelle haben es auf die Daten anderer Menschen abgesehen, um deren Identität zu übernehmen oder für betrügerische Zwecke zu missbrauchen. Benutzername und Passwort waren die ersten Authentifizierungsprotokolle im Internet. Leider liegt es in der Natur des Menschen, Passwörter zu wiederholen. (Den Namen Ihres Haustieres als Passwort zu verwenden, reicht nicht wirklich aus!) Einem Betrüger genügt schon ein einziges Passwort, um es auf anderen Plattformen zu verwenden. Dafür muss er sich nicht erst durch die sicherste Umgebung, beispielsweise das Computersystem einer Bank, wühlen. Sein Ziel ist das schwächste Glied, das Passwort des Kunden.Vielleicht verwendet er für sein Fitnessportal dasselbe Passwort wie für seine Bank. Zur Übernahme der Konten dieser Person ist es dann nur noch ein kleiner Schritt.

„Betrachten Sie sämtliche Schritte, die Sie zur Sicherung Ihrer Identität unternehmen, als Wissensfaktoren“, so Quintin Stephen. „Das Passwort war der erste Wissensfaktor im Internet. Später wurden die Passwörter stärker, aber die Rechenleistung hielt Schritt. Der zweite Wissensfaktor war das Einmalkennwort (One-Time-Pad; OTP). Aber auch das kann durch Phishing, manipulierte Anwendungen und dergleichen kompromittiert werden. Das Problem ist, dass sowohl Passwörter als auch OTPS sehr phishinganfällig sind.“

Täglich frische Phishing-Mails

Im Großen und Ganzen werden heute drei Arten von Authentifizierungsfaktoren verwendet, die zusammen eine Multi-Faktor-Authentifizierung (MFA) bilden. Diese sind:

1. etwas, das Sie kennen (Passwort und/oder OTP).
2. biometrische Daten, die nicht ohne weiteres gehackt werden können.
3. etwas, das Sie besitzen, ein Besitzfaktor wie beispielsweise ein mobiles Gerät, das durch ein Passwort geschützt ist.

Während der erste Systemfaktor anfällig für Phishing ist, geht die neue Richtung in der MFA hin zu Elementen, die nicht durch Phishing oder auf andere Weise kompromittiert werden können. In der Praxis bedeutet dies eine Abkehr vom menschlichen Wissensfaktor hin zu einem Besitzfaktor und einem biometrischen Faktor.

Das Ziel ist es, gegen Phishing resistent zu sein, so Quintin Stephen. Schaffen Sie Passwörter und OTPs vollständig ab. Phishing ist der am weitesten verbreitete Angriffsvektor, der immer raffinierter und schwieriger zu erkennen ist.

Da die Technologie, insbesondere die generative KI, immer besser wird, ist es sehr schwierig, Phishing-Angriffe zu erkennen. „An der Art, wie eine E-Mail adressiert ist oder wie eine Website aussieht, lässt sich das mittlerweile kaum noch erkennen“, so Stephen. Tatsächlich gaben in einer kürzlich durchgeführten Umfrage mehr als 50 Prozent der Befragten an, dass sowohl die Anzahl verdächtiger Nachrichten als auch die Komplexität der Versuche, an ihre Daten zu gelangen, zugenommen haben.²

Woran erkennt der Normalverbraucher nun einen Phishing-Versuch? Laut Quintin Stephen gebe es in der Regel immer noch einige verräterische Anzeichen.

• Die Nachricht ist nicht an den Benutzer persönlich gerichtet.
• Sie suggeriert Dringlichkeit.
• Sie verspricht etwas, das zu schön ist, um wahr zu sein.

Ein branchenweites Bündnis

Jüngste Entwicklungen bei der Regulierung beschleunigen die Einführung noch sicherer Authentifizierungsverfahren in der Finanzbranche. In Europa werden Vorschriften wie die Payment Services Directive 2 (PSD2, und bald PSD3) eingeführt. Sie schützen die Nutzer, indem sie Banken und andere Finanzdienstleister für Verluste durch Onlinebetrug haftbar machen, was in Deutschland bereits der Fall ist, es sei denn, der Kunde hat fahrlässig gehandelt. 

Bankkunden sind es gewohnt, Benutzernamen und Passwörter sowie ein OTP zu verwenden, aber es sei an der Zeit, sich davon zu verabschieden. „Das wird dauern“, so Quintin Stephen, „aber es wird sich lohnen.“ Die Zusammenarbeit von Banken und anderen Institutionen bei der Betrugsbekämpfung sowie die Bündelung von Wissen und Ressourcen sind dabei hilfreich.

Die FIDO Alliance umfasst Unternehmen, die ein besonderes Interesse am Thema der Authentifizierung haben. Dazu gehören Finanzinstitute, Big-Data-Unternehmen, die wichtigsten Zahlungsdienstleister und Originalgerätehersteller. Zu ihren Mitgliedern zählen Meta, Amazon, Visa und Mastercard, PayPal, Apple und Google, weltweit agierende Banken sowie staatliche Institutionen aus Ländern wie den USA und Deutschland und G+D ist ebenfalls ein langjähriges Mitglied. Die Allianz hat sich zum Ziel gesetzt, neue technische Spezifikationen festzulegen, die die Abhängigkeit von Passwörtern bei der Authentifizierung verringern.Ein besonderes Augenmerk liegt dabei auf der Verwendung von Passkeys als Schutzmaßnahme gegen Phishing.

Endgerätesicherheit

„Stellen Sie sich einen Public- und Private-Passkey wie ein Schloss und einen Schlüssel vor“, sagt Quintin Stephen. „Nur wenn beide zusammen verwendet werden, funktioniert eine Transaktion.“ Passkeys sind an ein bestimmtes Gerät gebunden, das den Besitzfaktor darstellt. (Es gibt auch eine andere cloudbasierte Variante.)

Eine Transaktion funktioniert nur, wenn beide Schlüssel zusammenpassen. In Bezug auf den Datenschutz ist die Sicherheit des Benutzers gewährleistet, da sich das biometrische Template nicht in einer Datenbank an irgendeinem entfernten Ort befindet. Es wird auf dem eigenen Telefon gespeichert und nirgendwo sonst. Der private Schlüssel wird ebenfalls auf dem Gerät in einer sicheren Umgebung gespeichert, die von den OEMs bereitgestellt wird.

Möchte der Benutzer eine Transaktion durchführen, wird er möglicherweise um eine biometrische Verifizierung gebeten, sei es per Fingerabdruck oder Gesichtserkennung. Die Authentifizierung erfolgt in mehreren Schritten, ist jedoch in Millisekunden abgeschlossen. Der Benutzer sieht lediglich die Aufforderung, sich biometrisch zu authentifizieren. Die gesamte Erfahrung ist so einfach wie das Einloggen in ihr Telefon.

Dieses Szenario mag den Anschein erwecken, dass die Benutzererfahrung so reibungslos wie möglich gestaltet werden soll. Banken müssen sich jedoch auch in einem regulatorischen Umfeld bewegen, in dem sie zunehmend für Verluste aufgrund betrügerischer Aktivitäten haften. Es liegt auf der Hand, dass alle Beteiligten vor Angriffen und Betrug geschützt werden müssen. 

Sicherheit durch Design ist von entscheidender Bedeutung. Ebenso muss die Benutzererfahrung so problemlos wie möglich sein.

Hierbei den optimalen Kompromiss zu finden, erfordert Erfahrung und Fachwissen. Entscheidend ist, den richtigen Partner zu finden. G+D ist aufgrund seiner umfassenden Erfahrung und herausragenden Erfolgsbilanz in den Bereichen Sicherheitstechnologie, Zahlungsverkehr und Authentifizierung dafür bestens geeignet.