Biometrische Au­then­ti­fi­zie­rung: Warum Fingerabdruck, Iris-Scan und Co. eine Chance für Drittanbieter sind

Wenn Banken und FinTechs künftig biometrische Verfahren zur Kundenidentifikation einsetzen wollen, brauchen sie Partner, die die Authentisierung für sie erledigen. Das Vertrauen in diese Dienstleister ist dabei noch wichtiger als in anderen Bereichen. Denn biometrische Eigenschaften lassen sich naturgemäß weniger leicht verändern als ein Passwort oder eine Identifikationsnummer – und müssen daher besonders nachhaltig vor Hackerangriffen geschützt werden.

Bislang ist die Zwei-Faktor-Authentifizierung oftmals noch eher ein Element, das die Conversion Rate im E-Commerce und bei Vertragsschlüssen mit Banken und Versicherungen senkt: Komplexe Verfahren mit Push-TAN und anderen mehrstufigen Verfahren sind nicht nur bei weniger technikaffinen Zielgruppen ein Hemmschuh. Die Komplexität ist zwar aus Sicht der haftenden Banken nur verständlich, den Händlern (online wie offline) aber oft ein Dorn im Auge. Dabei bieten biometrische Verfahren wie Gesichts- oder Iriserkennung, Fingerabdruck oder Stimmabgleich das Potenzial für Vereinfachung für den Kunden. Doch das nutzen bislang wenige Online-Banken und digitale Finanzdienstleister.

In der Filiale am POS sieht es keinen Deut besser aus: Da muss der Kunde oftmals der unzureichend geschulten Kassenkraft noch erklären, warum es jetzt ausreicht, wenn er sein Smartphone-Display über den Kassenscanner hält oder wie sein NFC-Chip jetzt die Zahlung auslösen kann. Wer in den letzten Wochen seit der Google-Pay-Einführung in Deutschland versucht hat, auf diese Weise zu bezahlen, kennt das Problem.

Handelsketten wollen Daten des Kunden beim Offline-Kauf

Für Händler, vor allem aber für große Handelsketten mit einem Multi-Channel-Ansatz, bietet die PSD2 dabei eine Vielzahl von Features und Möglichkeiten, den Kunden zu identifizieren, ohne ihn zu verprellen. Sie können dabei beispielsweise auf die biometrische Authentifizierung, die im Rahmen der Zwei-Faktor-Authentifizierung dank der entsprechenden Mobile-Technologien in Zukunft eine wichtigere Rolle spielen wird, setzen. Gerade das setzt allerdings voraus, dass hier die Banken oder der Zahlungsdienstleiter „mitspielen“.

Und die sind in Zugzwang. Denn implementieren Banken eine solche Lösung nicht, werden sie über kurz oder lang zumindest in dieser Hinsicht auf dem Abstellgleis landen und das Rennen gegenüber unkonventionelleren FinTechs, die diese Chancen zu nutzen wissen, verlieren. Denn Login per Fingerabdruck und Zahlung per Fingerabdruck sind in Kombination mit mobilen Endgeräten (zweiter Faktor also der Besitz) so einfache Vorgänge, dass die Händler schon aufgrund der signifikant höheren Conversion Rate über kurz oder lang danach fragen werden, insbesondere angesichts der steigenden Zahl an Fingerabdruckscannern selbst in Mittelklasse-Smartphones.

Doch eine Authentifizierung des Kunden im Zusammenhang mit einer speziellen App bringt nebenbei noch einen weiteren Vorteil in Hinblick auf die Kundenbindung: Die Handelsketten gewinnen, wenn sie eine eigene Native App einsetzen, am POS all jene Informationen über Interessen und Vorlieben der Kunden, die beim E-Commerce quasi nebenbei mit abfallen: Wer ist der Kunde, was hat er sonst gekauft und was könnte man ihm aufgrund seines Kaufverhaltens noch alles anbieten? Handelsketten bemühen sich seit Jahren mit Hilfe ihrer Apps darum, diesem blinden Fleck beim Offline-Kauf zu überwinden und ein ähnlich umfassendes Nutzungsportfolio ihres Kunden zu erhalten, wie dies im Online-Handel seit vielen Jahren selbstverständlich ist.

Doch die Händler werden nicht die einzigen Nutznießer der Zwei-Faktor-Authentifizierung sein. Auch die Banken kommen so einen Schritt näher heran an „Big Data“ und die 360-Grad-Sicht des Kunden. Sie können die PSD2 proaktiv nutzen, um beispielsweise nicht nur eine Zahlung auszulösen, sondern auch gleich den Kontozugriff darüber regeln oder zusätzliche Services auf diese Weise zu legitimieren.”

Die App-Economy ganz ohne Passwörter, Login-Namen oder ähnliches muss das Ziel der Banken sein. Denn der Kunde hat nur Aufmerksamkeit für eine begrenzte Zahl an App-Anwendungen – und die Wahrscheinlichkeit, dass hier die Hausbank mit dabei ist, wächst mit der Zahl an Services, die eine bankeneigene App abdecken kann.

Banken, Versicherungen und Finanzdienstleister können mit Hilfe biometrischer Elemente den Googles, Apples, Amazons dieser Welt Paroli bieten. Denn die verstehen es besser als viele Banken, eine Anwendung aus Design-Thinking-Sicht zu konstruieren, also beispielsweise vor den Bedenken, dass etwas unsicher sein könnte, die Frage zu stellen, wie es für den Kunden so intuitiv und einfach wie möglich sein kann. Die Ein-Klick-Bestellung bei Amazon ist so ein Beispiel, die Bezahlung kleinerer Beträge per NFC-Chip mit einfachem Fingerabdruck eine andere.

Dass die Kunden für die Nutzung biometrischer Verfahren bereit sind, ist offenkundig. Doch Umfragen ergeben regelmäßig, dass man gerade international bekannten Datensammlern wie Google, Apple oder Facebook nicht noch mehr Daten zur Verfügung stellen möchte. Hier ist ein Anknüpfungspunkt für deutsche Unternehmen: Wer einem in der EU ansässigen Dienstleister vertraut, hat meist auch das Vertrauen der Kunden.

Sicherheitsaspekte bei biometrischen Verfahren zur Authentifizierung

Trefflich streiten lässt sich darüber, wie sicher biometrische Verfahren sind. Gerade der Fingerabdrucksensor birgt zumindest in der Theorie eine Vielzahl von Risiken – das wissen wir spätestens seitdem der Chaos Computer Club 2008 den Fingerabdruck von Wolfgang Schäubles Wasserglas mit einer einfachen Folie kopierte und in einer spektakulären Aktion im Internet verteilte.

Klar ist aber auch: Biometrische Verfahren sind schwerer zu faken als etwa ein Passwort, beispielsweise weil inzwischen eine Iriserkennung oder Bilderverarbeitung erkennt, ob ein Foto vor die Kamera gehalten wird oder ob die echte Person dreidimensional davor steht. Und so ziemlich jede Sicherungsvorkehrung ist besser als das gute alte Passwort. Denn angesichts zahlreicher Passwörter, die wir uns merken müssen, wird der Zugang zu nicht täglich verwendeten Konten und Dienstleistungen zum Verwirrspiel. Die (unbefriedigende, da unsichere) Lösung: Viele Nutzer wählen Einheitspasswörter und wechseln diese selten bis gar nicht. Diese Strategie wird spätestens dann gefährlich, wenn irgendeiner der Dienste gehackt wird und die Angreifer so Zugang zu einer Vielzahl von Zugängen des Nutzers mit demselben Passwort erhalten.

Die Komplexität der Zugangskontrolle ist wohl auch der einsichtigste Grund für die vergleichsweise geringe Akzeptanz vieler Payment-Verfahren: Ein Passwort hier, eine zusätzliche 3D-Pin dort und noch eine Tan, die dann per Smartphone-Kamera mit dem Monitor abgeglichen werden muss. All das ist, so erstrebenswert das Maximum an Sicherheitsvorkehrungen ist, kein Modell für breite Teile der Bevölkerung. Die Biometrie ist dagegen in der Kombination mit einem anderen Element, wie es ja im Rahmen der Zwei-Faktor-Authentifizierung üblich und erforderlich ist, eine einfach zu handhabende Sicherheitsvorkehrung.

Biometrische Elemente sind (mit vertretbaren Mitteln) nur schwer bis gar nicht an Dritte zu übergeben. Dabei ist abzuwägen zwischen Sicherheit und Einfachheit: Ist ein Verfahren zu komplex, wird es nicht die breite Akzeptanz finden. Kommt es dagegen mehrfach zu Sicherheitspannen, ist das Verfahren erst recht ‘verbrannt’.”

Dabei haben viele Unternehmen allerdings ein Problem, das dafür spricht, eine biometrische Erkennung als Zugangskontrolle mit Hilfe eines Dienstleisters zu realisieren: Eine biometrische Authentisierung ist für viele Banken (geschweige denn Händler) nicht wirtschaftlich abbildbar, weil ihnen die Erfahrung und das Know-how fehlt – und das nicht ihr Kerngeschäft ist. Insbesondere wenn eine Bank eine datenschutzkonforme Lösung bereitstellen will, die beispielsweise auf einen Fingerabdruck, eine Gesichtserkennung oder ein Stimmmuster zurückgreifen will, ohne die Klardaten bei sich zu speichern, stößt sie schnell an Grenzen in Sachen Know-how.

Datenschutz als hohe Hürde: Übergabe von Hashwerten

Als Hürde hat sich in dieser Hinsicht gerade in Deutschland die Datenschutzfrage entwickelt. Denn datenschutzkonform darf ein Unternehmen ja nicht den Fingerabdruck selbst abgleichen, sondern muss dafür sorgen, dass ein solches System lediglich darüber informiert, ob beispielsweise ein Fingerabdruck korrekt ist, respektive ob es sich bei der zu authentifizierenden Person wirklich um den gewünschten Kunden oder Mitarbeiter handelt. Gerade die DSGVO sieht ja vor, dass Daten nur sparsam gespeichert werden dürfen und dass der Kunde darüber informiert werden muss, was da in welcher Form über ihn gespeichert wird. Eine Berechtigung zum Speichern des Fingerabdrucks dürfte bei einer solchen Zugangskontrolle in jedem Fall gegeben sein, ein ungutes Gefühl bleibt aber bei vielen Kunden dennoch.

Und das Vertrauen des Verbrauchers ist bei vielen digitalen Geschäftsbeziehungen der springende Punkt für eine Kundenbeziehung. Gerade bei etwas Persönlichem wie dem Fingerabdruck oder dem Irisfoto möchte der Verbraucher verständlicherweise sichergestellt wissen, dass dieser nicht in diversen Datenbanken abgelegt ist, die ja möglicherweise Opfer eines Hackerangriffs werden könnten.

Insofern tun Unternehmen gut daran, für eine solche biometrische Authentisierung auf einen Partner zu setzen, der nur genau das tut – und den Händler per verschlüsseltem Zugang über einen Hash-Wert nur darüber informieren, ob der Zugang gewährt oder verweigert wird. Der Händler weiß somit sicher, dass eine Aktion legitimiert ist, kann aus dem Hashwert aber keinerlei Rückschlüsse auf die hinterlegten Daten ziehen.”

Will sagen: Der Fingerabdruck ist aus dem Hashwert nicht rekonstruierbar, was für den Kunden immens wichtig ist. Denn anders als beispielsweise ein Passwort oder Kreditkartendaten kann man den Fingerabdruck eben nicht so einfach wechseln.

Fido-Standard als Grundlage für PSD2-konforme Anwendungen

Einen entscheidenden Beitrag zur Akzeptanz biometrischer Authentifizierung kann der Fido-Standard leisten. Die Fido-Alliance arbeitet seit 2012 an der Reduzierung der Abhängigkeit von Passwörtern. Fido steht für Fast Identity Online, einen Standard, der unter anderem auf Infineon, Lenovo und Paypal zurückgeht. Neben einem Netzwerkprotokoll zur kennwortlosen Authentifizierung (UAF) gibt es eine Hard- und Softwarespezifizierung für Zwei-Faktor-Authentifizierung (U2F). Public-Private-Schlüsselpaare werden dabei nicht von einer zentralen Stelle generiert, sondern in einer gesicherten Umgebung des Kunden erzeugt und verarbeitet.

In vielen aktuellen Mobilgeräten lassen sich die Schlüsselpaare in einer gesicherten Umgebung ablegen, so dass bei Kommunikation mit einer Gegenstelle nur der öffentliche Schlüssel sowie eine Bestätigung über das Vorhandensein des privaten übertragen wird. Für die Verifikation verwendete Informationen wie der eigene Fingerabdruck bleiben dabei auf dem Gerät selbst und werden somit nur in Form eines Hashwertes übertragen.“

Tobias Weidemann, IT Finanzmagazin

Der Fido-Authenticator, egal ob in Form eines Smartphones oder eines zusätzlichen Sticks, stellt bei der Zwei-Faktor-Authentifizierung den Faktor Besitz dar, der im Sinne der PSD2 mit dem Faktor Wissen (Passwort) und der Inhärenz kombiniert wird. Insbesondere weil alle gängigen Endgeräte (bis auf Apple) inzwischen in diesem Punkt auf den Fido-Standard setzen, ist dieser somit auch für die Servicedienstleister quasi verbindlich.

Vielzahl von Anwendungen bei biometrischer Authentifizierung

Die Anwendungen diesbezüglich sind vielfältig: So kann beispielsweise ein Hersteller von intelligenten Lautsprechern einfach die Bestellung per Voice Commerce gleichzeitig per Stimmabgleich zur Autorisierung nutzen und geht so sicher, dass auch wirklich der Besitzer des Lautsprechers die Bestellung aufgegeben hat. Oder ein Autoverleiher lässt den Kunden kurz seinen Fingerabdruck beim Öffnen des Fahrzeuges mit dem hinterlegten Fingerabdruck abgleichen, was die Diebstahlquoten senken könnte. Last not least eignet sich eine solche Lösung per Irisscan oder Gesichtserkennung auch dafür, einen Kunden zu identifizieren, der ein Paket aus einer Packstation abholen will. Die Zukunft wird hier eine Vielzahl von praktischen Anwendungen bringen. tw