„Alexa, wie sicher sind meine digitalen Finanzdienste?“

Große Banken und Finanzunternehmen sind dabei, die Bereitstellung ihrer digitalen Dienste über virtuelle persönliche Assistenten (VPAs) wie Alexa von Amazon, Siri von Apple oder den Google Assistant weiter zu optimieren.

Kundinnen und Kunden in Großbritannien und den USA sowie fünf weiteren Ländern in der Region Asien-Pazifik können nun per Sprachbefehl ihren Kontostand abfragen, Rechnungen bezahlen und teilweise sogar Geld senden.

Weitere Länder und digitale Dienste sollen folgen. Dies trägt sicherlich zur Verbesserung der digitalen Angebote von Banken bei und macht aus wettbewerbstechnischer Sicht Sinn. Die Möglichkeit, sensible finanzielle Transaktionen über einen smarten Lautsprecher wie dem mit Alexa verknüpften Amazon Echo abzuwickeln, birgt jedoch auch Risiken für Privatsphäre und Sicherheit.

Teilen von sensiblen personenbezogenen Daten

Siri das Abspielen eines Liedes zu befehlen oder Google nach einer Restaurantempfehlung zu fragen, ist eine Sache. Das Teilen von persönlichen Daten eine ganz andere. VPAs und smarte Lautsprecher sind zunehmend beliebte Technologien, deren Nutzung für finanzielle Angelegenheiten Cyberkriminelle einen weiteren möglichen Angriffspunkt bietet.

Derzeit dominieren Amazon und Google den Markt der virtuellen Assistenten und bieten auf einer offenen Plattform basierende Systeme an, die den Anforderungen von Smart-Home-Anwendungen optimal gerecht werden. Mithilfe von Alexa und dem Google Assistant lassen sich jeweils mehr als 5.000 Smart-Home-Geräte von Tausenden unterschiedlichen Herstellern steuern und die Anzahl der unterstützten Sprachen und bereitgestellten Funktionen nimmt ständig zu. Laut Prognosen von Gartner sollten die Ausgaben von Endnutzerinnen und Endnutzern für VPA-fähige drahtlose Lautsprecher bis Ende 2020 die Marke von 2,1 Mrd. USD erreichen.

Aufrechterhaltung des Vertrauens in die Datensicherheit

Die Herausforderung für Banken besteht darin, einen ihrer wertvollsten Trümpfe nicht für einen kurzfristigen Wettbewerbsvorteil aufs Spiel zu setzen. Das Bankgeschäft gründet sich traditionsgemäß auf Vertrauen: Auch wenn die Kunden und Kundinnen zunehmend offen für datengestützte digitale und mobile Dienste sind, erwarten sie weiterhin einen sicheren Schutz ihrer persönlichen Daten.

WBC – ein Muss für absolute Cybersicherheit

Die wichtigsten Punkte bei einer umfassenden Cybersicherheitsstrategie für digitale Dienste sind der Schutz des Quellcodes der Banking-Programme und die Gewährleistung einer sicheren Kommunikation mit dem Backend einschließlich Verschlüsselung.

Die Kryptografietechnologie White Box Cryptography (WBC) spielt eine entscheidende Rolle für das Ziel, die Sicherheitsrisiken bei offenen Geräten zu minimieren. Jegliches unbefugte Analysieren oder Rooten dieser Geräte muss verhindert werden. WBC ermöglicht die sichere Ausführung von Vorgängen, ohne dass dabei vertrauliche Informationen offengelegt werden. Ohne WBC wäre es bei Angriffen einfach, sensible Informationen abzufangen oder sich kryptografische Schlüssel, die für die Abwicklung von Zahlungen verwendet werden, aus dem Speicher zu holen.

Daneben sorgt ein ganzheitlicher Ansatz dafür, dass auch die Umgebung, in der eine App ausgeführt wird, sicher ist. Beispielsweise gilt es zu verhindern, dass Apps von einem Gerät auf ein anderes kopiert oder geklont werden. Auf digitalen Fingerabdrücken basierende Touch-ID-Technologie kann genutzt werden, um festzustellen, ob eine Anfrage von dem Ursprungsgerät kommt und ob dieses Gerät sich in einem sicheren Betriebszustand befindet.

Cybersicherheit für den gesamten Lebenszyklus

Ein entscheidender Aspekt der Sicherheitsstrategie ist das Lebenszyklusmanagement. Neben Schutzmaßnahmen an den Geräten selbst wird serverseitig eine zusätzliche Sicherheitskomponente bereitgestellt, die eine effektive und umfassende Verwaltung der App über ihren gesamten Lebenszyklus hinweg gewährleistet. Beispielsweise wird so sichergestellt, dass Updates sicher installiert und die Zugangsdaten der Kundinnen und Kunden sicher verwaltet werden.

Der Wunsch der Banken, bei der Bereitstellung neuer, leistungsstarker und ansprechender digitaler Finanzdienste ganz vorn mitzumischen, muss sorgfältig abgewogen werden gegen die Notwendigkeit, eine hohe Sicherheit dieser Dienste sowie einen strikten Schutz privater Daten zu gewährleisten. Digitale Banking-Angebote mögen zwar einen Wettbewerbsvorteil bringen, die Banken dürfen jedoch nicht das Vertrauen der Kundschaft aufs Spiel setzen, auf das sich der Erfolg ihres Geschäftsmodells traditionsgemäß stützt.

Nur mit einer ganzheitlichen Strategie und einem durchgängigen Ansatz für eine geräteübergreifend hohe Cybersicherheit werden Finanzdienstleister ihre Kundinnen und Kunden im Zeitalter der digitalen Disruption überzeugen können, dass sie weiterhin vertrauenswürdig sind.

Veröffentlicht: 19.05.2020