STRATEGIE31. Januar 2018

Identitätsverbrechen machen 3,7 Milliarden Euro pro Jahr – ist Biometrie jetzt die sichere Bank?

Andreas Riepen, Vice President DACH, F5 Networks- Spezialist für Biometrie
Andreas Riepen, Vice President DACH, F5 NetworksF5 Networks

Banken wollen ihre Dienstleistungen einfacher und intuitiver für die Kunden gestalten. Biometrische Verfahren zur Identifizierung können dabei für hohe Sicherheit sorgen. Sie bieten Komfort, vereinfachen das Passwort-Management und ermöglichen eine reibungslose Anmeldung. Durch den zunehmenden Einsatz von Biometrie interessieren sich aber auch Cyber-Kriminelle immer stärker dafür. So müssen Banken genau auf die Sicherheit der Anwendungen und Systeme achten.

von Andreas Riepen, Vice President DACH, F5 Networks

Biometrie ist in: Nach aktuellen Studien soll der weltweite Markt für biometrische Systeme bis 2020 auf 27,4 Milliarden Euro anwachsen (Quelle Researchandmarkets).

Von TouchID über Irisscans bis zur Gesichts- und Stimmerkennung steigt der Bedarf ständig an – vor allem im Consumer-Bereich.”

So zeigt eine Umfrage von Equifax, dass die Hälfte der Verbraucher biometrische Verfahren den herkömmlichen Methoden wie Passwörter bei der Einwahl in Online-Finanzkonten vorzieht. Entsprechend setzen viele Finanzinstitute weltweit diese Technologie bereits ein.

Biometrie ist nicht narrensicher

Doch biometrische Verfahren sind keineswegs hundertprozentig sicher. Durch die spezifische Art der Verifizierung und die Tatsache, dass die digitalisierten Datensätze in einem abgesicherten Bereich des Geräts verschlüsselt gespeichert sind, werden die persönlichen Zugangsdaten zwar besser geschützt als bei herkömmlichen Methoden. Doch die Risiken sind höher.

Unverwechselbare, dauerhafte biologische Erkennungsmerkmale lassen sich bei einem Datendiebstahl nicht einfach austauschen oder ersetzen. Daher stellen sie eine große Gefahr dar, wenn sie in falsche Hände geraten.”

Die National Fraud Authority schätzt den Schaden durch solche Identitätsverbrechen bereits jetzt auf 3,7 Milliarden Euro pro Jahr. Falls Hacker sich vergleichsweise einfach Zugriff auf digitalisierte biometrische Datensätze verschaffen können, dürfte diese Zahl deutlich steigen.

Mögliche Schutzmaßnahmen

Daher müssen biometrische Verfahren streng geschützt werden. Dazu sollten Banken mehrere Maßnahmen miteinander kombinieren: Sie sollten überprüfen können, ob das Client-System, über das die biometrischen Daten erfasst werden, aus Sicht der IT-Sicherheit kompromittiert ist. Diese Überprüfung kann zum Beispiel mit Websafe oder Mobilsafe realisiert werden. Im Bedarfsfall müssen dann die Meta-Informationen für die Authentisierung gesperrt und erneuert werden.

Der Schutz der Daten auf der Server-Seite, im Rechenzentrum des Biometrie-Auswertenden, sollte über umfangreiche Sicherheitstechnologien wie Webapplication-Firewalls und entkoppelte Authentisierungs-Proxies (APM) realisiert werden.”

Denn je mehr unterschiedliche Nachweise auf verschiedenen Wegen zur Identifizierung nötig sind, desto schwieriger wird es für Cyber-Kriminelle, sämtliche notwendigen Daten eines Anwenders zu stehlen.

Andreas Riepen ist Vice President DACH bei F5 Networks
Andreas Riepen ist Vice President DACH bei F5 Networks, einem Anbieter von Cloud- und Sicherheitslösungen. Riepen hat 25 Jahre Erfahrung in der IT-Branche und beschäftigt sich intensiv mit dem Thema IT-Sicherheit. Als Vice President DACH bei F5 Networks trägt er dazu bei, dass möglichst viele, teilweise hochkomplexe Cyber-Attacken abgewehrt werden können und Unternehmen dabei trotzdem nicht auf Geschwindigkeit und die Kontrolle ihrer Systeme verzichten müssen.
Die Daten werden in der Regel verschlüsselt per TLS übertragen. Die sichere Zertifikatsverwaltung, die in diesem Umfeld notwendig ist, kann per Hardware-Security-Module realisiert werden.

Um eine hohe Verfügbarkeit der Anwendung zu erreichen, sollten Verfahren wie DDoS-Mitigation, Global Server Loadbalancing und lokales Loadbalancing eingeführt werden.

DNS-Spoofing, also ein Angriff auf das Domain-System und somit die Umleitung der Benutzer-Informationen auf die Rechner des Hackers, kann mit DNSSec (Erweiterung des Domain Name System), verhindert werden. Die DNS-Daten werden kryptographisch gegen Fälschungen abgesichert und die Quelle der DNS-Daten authentifiziert.

Ausblick

Vor allem maschinelles Lernen bietet Banken heute die Möglichkeit, Nutzer auf Basis mehrerer Kriterien zu authentisieren, etwa anhand ihres Verhaltens, ihres Aussehens, der Stimme und sogar anhand der Tippgeschwindigkeit.”

Mithilfe solcher Funktionen kann das Gerät eines Nutzers kontinuierlich einen Vertrauenswert errechnen, also die Wahrscheinlichkeit, dass der Nutzer auch wirklich derjenige ist, für den er sich ausgibt. Deloitte zufolge sind diese Faktoren gemeinsam zehnmal sicherer als Fingerabdrücke und hundertmal sicherer als vierstellige PINs.

Darüber hinaus werden derzeit Lösungen für das Problem entwickelt, dass biometrische Daten nach einem Diebstahl nicht weiter genutzt werden können. Ein Ansatz ist, die biometrischen Daten zwischen dem Gerät des Nutzers und dem Rechenzentrum aufzuteilen. Das bedeutet, selbst wenn der Hacker in eines der beiden Systeme eingedrungen ist, hat er nicht alle Daten, die er benötigt.

Zudem wird die Weiterentwicklung biometrischer Verfahren bald die Herausforderungen bisheriger Lösungen beheben: Diese ermöglichen dann zum Beispiel auch bei schlechten Lichtbedingungen eine zuverlässige Gesichtserkennung oder beim Fingerprint-Verfahren den rechtmäßigen Zugriff auf ein Gerät oder Daten, auch wenn der entsprechende Finger eine Schwiele oder Blase aufweist. Sind diese Probleme gelöst, bieten biometrische Verfahren eine zusätzliche Schutzmaßnahme gegen Cyber-Kriminelle und vereinfachen gleichzeitig die Bedienung.

Doch der Wettlauf zwischen Sicherheit und Gefahr wird auch dann weitergehen. Da immer mehr sensible Anwendungen wie Konto-Transaktionen online durchgeführt und immer mehr persönliche Daten bei Unternehmen gespeichert werden, müssen diese stärker dafür sorgen, dass die Kundendaten rundum geschützt sind. Gleichzeitig stehen lukrative Anwendungen wie Online-Banking ganz oben auf der Wunschliste von Cyber-Kriminellen.

Daher werden auch sichere biometrische Verfahren nicht alleine für einen vollständigen Schutz der sensiblen Anmeldedaten ausreichen. Dies gewährleistet nur die Kombination unterschiedlicher Maßnahmen.”aj

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert