Anzeige
STRATEGIE10. Februar 2021

SCA: Nervig – aber per risikobasierter Authentifizierung (RBA) auch für Kunden erträglich

RBA
Roy Prayikulam, INFORMINFORM

Die Strong Customer Authentication (SCA) soll Banken und Kunden vor betrügerischen Aktivitäten schützen, verursacht aber hohen Aufwand und beeinträchtigt Kundenkomfort und Umsatzchancen. Mit dem Einsatz einer risikobasierten Authentifizierung (RBA) lassen sich diese Hürden ohne Einbußen bei der Transaktionssicherheit abmildern.

von Roy Prayikulam, Bereichsleiter Inform

In der aktuellen Krisensituation haben sich digitale Zahlungswege als Segen erwiesen. Nicht zuletzt angeschoben durch den Boom von E-Commerce und Online-Shopping haben sie Kunden den Zugang zu Waren und Dienstleistungen ermöglicht und großen Teilen der Wirtschaft damit das Überleben gesichert. In einer Verbraucherstudie des Bundesverbandes E-Commerce und Versandhandel Deutschland e.V. (bevh) gab jeder Zweite der Befragten (54 %) an, zukünftig generell mehr online bestellen zu wollen.

Damit wächst der Druck auf die Finanzdienstleister, digitale Finanztransaktionen und Zahlungsoptionen breiter verfügbar und dabei gleichzeitig sicherer zu machen.”

Die Sicherheit von Finanztransaktionen muss erste Priorität haben. Die Finanzbranche benötigt die Sicherheit vor Betrugsversuchen und Zahlungsausfällen, der Handel und die Konsumenten brauchen den Schutz ihrer Daten, Konten und digitalen Identitäten. Diese Aufgabe wird jedoch dadurch erschwert, dass dafür regelmäßig neue Technologien, Kanäle und Zahlungsmethoden im Authentifizierungsprozess mit einbezogen werden müssen.

PSD2 macht Strong Customer Authentication verbindlich – RBA macht es wieder angenehm

Seit dem 1. Januar 2021 gilt die im Herbst 2019 verabschiedete zweite EU-Zahlungsrichtlinie (PSD2), die alle europäischen Banken zur Strong Customer Authentication verpflichtet. SCA ist ein Authentifizierungsverfahren, das von der Zahlungsindustrie weitere Sicherheitsmaßnahmen bei Finanztransaktionen verlangt. Bei der Initiierung einer Transaktion werden im Rahmen der Authentifikation Daten aus zwei von drei möglichen Kategorien abgefragt: Wissen (etwa PIN, Passwort oder einmaliger Passcode), Besitz (beispielsweise Smartcard oder Handy-App) oder Inhärenz (Fingerabdruckscan, Iris-Scan oder Gesichtserkennung).

RBA
INFORM

Diese Vorgaben erhöhen die Sicherheit von Transaktionen, erfordern aber in der Implementierung einen hohen Aufwand auf Seiten der Finanzdienstleister und beeinträchtigen gleichzeitig durch den zusätzlichen Authentifizierungsschritt (Zwei-Faktorauthentifizierung) das Nutzererlebnis, den Komfort und damit die Umsatzvolumen. Kunden haben zwar die Möglichkeit, bei ihrer Bank ausgewählte Konten und Händler auf eine Whitelist zu setzen, um ihre Zahlungen schneller abwickeln zu können. Dann würde eine einfache Authentifizierung genügen, damit die Bank die Überweisung freigibt. Damit würden allerdings auch die Sicherheitsmechanismen außer Kraft gesetzt, die PSD2 so wertvoll machen.

Es gibt jedoch einen eleganteren – und gleichzeitig sicheren – Weg, die Aufwände und Einschränkungen durch SCA zu verringern.”

Unter bestimmten, streng regulierten Bedingungen erlaubt PSD2 den Verzicht (Exemption) auf eine zusätzliche Authentifizierung ohne Sicherheitsverlust. Die Zahlungsrichtlinie ist damit die rechtliche Grundlage für die risikobasierte Authentifizierung (RBA). Wer in der Lage ist, Transaktionsrisikoanalysen zuverlässig in Echtzeit durchzuführen, kann risikoarme Transaktionen automatisiert ohne Verzögerungen durch weitere Abfrageschritte ermöglichen und den Kunden damit ein besseres Einkaufserlebnis bieten.

KI-Unterstützung für die risikobasierte Authentifizierung

Autor Roy Prayikulam, INFORM
Roy Prayikulam ist Leiter des Geschäftsbereiches Risk & Fraud beim Aachener Optimierungsspezialisten INFORM (Website). Nach seinem Studium an der RWTH Aachen begann seine Karriere im Bereich der Bekämpfung von Finanzkriminalität im Jahr 2009 bei INFORM, wo er seitdem verschiedene Rollen innehatte, vom Business Consultant über den Projektmanager bis hin zum Head of Professional Services. Roy Prayikulam verfügt über umfangreiche Erfahrungen in komplexen IT-Integrationsprojekten für den Finanzsektor wie z.B. im Bereich Acquiring,  Card Issuing, Internetbanking und AML-Compliance.
Die dafür notwendigen Daten werden beispielsweise über das 3D-Secure-Protokoll bereitgestellt. In der aktuellen Version liefert 3D Secure mehr als hundert Datenelemente pro Transaktion an Banken, Payment-Provider und Händler. Dazu gehören neben Basisdaten wie Kartennummer, Kaufsumme, Rechnungs- und Lieferadresse unter anderem auch Informationen über die Kundenbeziehung wie Kundendauer oder Zahlungsmoral. Zusätzlich kann die Transaktion mit weiteren Informationen angereichert werden, etwa Listen von Karten, die bei Banken oder Strafverfolgungsbehörden registriert sind.

Entscheidend für den Erfolg ist ein hybrider KI-Ansatz, der daten- und wissensgetriebene Verfahren integriert. Auf der einen Seite helfen lernende Systeme, auch komplexe Betrugsmuster aus Daten zu erlernen und fortan zu blockieren. Wichtig ist, dass die Verfahren transparent als Whitebox arbeiten, also die Schlussfolgerungen für die Compliance-Experten nachverfolgbar bleiben. Die Transparenz der Entscheidungslogiken ermöglicht ihnen, weitreichende Erkenntnisse über die Betrugsabwehr zu erlangen, Szenarien in Echtzeit zu simulieren und schnell auf Marktentwicklungen zu reagieren. Auf der anderen Seite braucht es wissensgetriebene Methoden zum Beispiel auf der Basis von Fuzzy-Logic-Technologie, deren Regel- und Entscheidungsmodelle ad hoc angepasst werden können. Damit lassen sich auch aus ungenauen Daten konkrete Entscheidungen und Handlungsempfehlungen ableiten.

RBA
INFORM

Ein KI-unterstütztes System kann so auf Basis der ausgewerteten Daten Betrugsrisiken in Echtzeit prüfen und bewerten, ohne dass das Nutzererlebnis beeinträchtigt wird. Dabei beruht ein Ergebnis nicht allein auf einzelnen Parametern nach dem Ja-Nein-Prinzip. Die Analyse einer Vielzahl von Datenelementen führt dank dem Einsatz intelligenter Algorithmen zu einer feingranularen Bewertung (Scoring), die auch Graustufen identifizieren kann. Damit lässt sich automatisiert und risikobasiert innerhalb von Millisekunden entscheiden, ob eine Transaktion zulässig ist, eine starke Kundenauthentifizierung durchgeführt werden muss oder die Transaktion abgelehnt wird.

Der Ansatz der risikobasierten Authentifizierung (RBA) hilft, das Betrugsrisiko zu mindern und kundenseitige Zahlungsausfälle wegen Zahlungsabbruch zu reduzieren.”

Durch die parallele Erhöhung des Sicherheitslevels und des Kundenkomforts können die Umsatzpotenziale besser ausgeschöpft und die Sicherheitsinteressen aller Beteiligten besser geschützt werden.Roy Prayikulam, INFORM

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert