Expertenplattform für den  Europäischen Zahlungsverkehr

App-basierte Sicherheits­verfahren im Digital Banking

Mittlerweile ist ein Großteil der Bevölkerung im Besitz eines solchen Kommunikationsmittels, das neue innovative Möglichkeiten neben der klassischen Sprachkommunikation eröffnet. Dank flächendeckend verfügbarer Mobilfunknetze, die Datenverbindungen ins Internet bereitstellen, wird die ortsunabhängige Nutzung von Internetdiensten ermöglicht.

Banken und Sparkassen haben schon lange vor der Einführung des Smartphones begonnen, Digital Banking über Datennetze und das Internet anzubieten. Der Zugriff auf die etablierten Bankportale erfolgte lange Zeit von einem Desktop oder Laptop aus. Neben den korrespondierenden klassischen Sicherheitsverfahren wie TAN-Listen und Chipkartenlösungen finden zunehmend mobile Endgeräte wie Smartphones und Tablets als Authentifikations- und Sicherheitsmedium Verwendung. Gleichzeitig verlagert sich der Zugriff auf die Dienstleistungen der Bank der Zukunft von stationären Rechnern mit Internetanschluss auf mobile Geräte und den darauf verfügbaren Apps.

Mobile Banking Trends für die Bank der Zukunft

Diverse regulatorische Anforderungen schaffen die Rahmenbedingungen für Mobile Banking-Trends, also für die Nutzung des Online-Bankings über mobile Endgeräte. Es entsteht ein Spannungsfeld zwischen rechtlichen Sicherheitsvorgaben, wie zum Beispiel der geforderten starken Kundenauthentifizierung, und einfacher Bedienung. Dieser Herausforderung begegnen Banken- und Sparkassen-Apps auf verschiedene Arten.

Drei Möglichkeiten für das Digital Banking

Die auf dem deutschen Markt verfügbaren Digital-Banking-Apps lassen sich aufgrund ihrer Funktionsweise in drei Kategorien einteilen.

  • Zwei getrennte Geräte mit zwei physischen Kanälen: Dieses Anwendungsszenario sieht eine physikalische Trennung der primären Digital-Banking-Anwendung von der Authentifizierungs-App vor, die auf einem zweiten Gerät installiert ist. Vorteile bietet dieses Verfahren nur durch eine Steigerung der Usability gegenüber Chip-TAN oder Mobile-TAN. Eine Alternative zu Mobile-Banking stellt dieses Verfahren nicht dar, da auf jeden Fall zwei Geräte benötigt werden.
  • Zwei logisch getrennte Apps auf einem Gerät: Dieses Verfahren bildet die aktuell gängigste Art der Umsetzung in mehreren Apps ab. Der Vorteil dieses Konzepts liegt in der Nutzung eines einzigen Gerätes für das Digital Banking. Die App und das Gerät selbst müssen in dieser Konstellation jedoch sämtliche regulatorische Anforderungen erfüllen, die folgende Maßnahmen vorsehen: logische Kanaltrennung, Schutz der kryptografischen Schlüssel und deren ausschließliche Bindung an das genutzte Gerät (Device Identity), gegenseitige Isolierung der Banking- und Authentisierungs-App, sowie Erkennung von Manipulationen an Betriebssystem oder Apps.
  • Digital Banking auf einem Gerät in einer App: Dieses Szenario stellt aus Usabilty-Sicht das nutzerfreundlichste dar, da sämtliche Funktionen des Digital Banking in einer App integriert sind. Gleichzeitig ist eine Entkopplung der fachlichen Anwendung von der Authentifizierung nicht gegeben, was unter Sicherheitsaspekten kritisch zu bewerten ist, da in diesem Fall nur noch die restlichen der zuvor genannten Faktoren zur Härtung der Anwendung herangezogen werden können.

Regulatorische Anforderungen geben den Rahmen vor

Die Studie "App-basierte Sicherheitsverfahren im Online-Banking" vergleicht die Apps aus dem Bereich der Deutschen Kreditwirtschaft und zeigt deren Funktionsumfang in Form von Verfahrenssteckbriefen auf. Darüber hinaus gibt sie Einblicke in die regulatorischen Anforderungen wie PSD2 und MaSI und erklärt die technischen Sicherungsmaßnahmen, die eine App auf einem mobilen Endgerät erfüllen muss, um die geforderten Sicherheitsstandards zu erfüllen.

 

Jetzt Whitepaper herunterladen:

App-basierte Sicherheitsverfahren im Digital Banking (PDF)

Artikel als PDF

Autoren

Kommentare

Schreiben Sie den ersten Kommentar.