ZAS bei der Sparkasse Krefeld: Sicherheit einfach gemacht

Dirk Leibold, Finanz Informatik, erklärt Sicherheit einfach gemacht: ZAS bei der Sparkasse Krefeld <q>FI — Dirk Leibold, Finanz Informatik FI

Mit dem Zentralen Authentifizierungsservice (ZAS) hat die Finanz Informatik (FI) ein Verfahren entwickelt, das die Identifikation im Kundendialog deutlich vereinfacht und gleichzeitig die Sicherheitsarchitektur stärkt. Die Sparkasse Krefeld gehörte zu den ersten Instituten, die ZAS in Kombination mit der S-pushTAN-App produktiv eingesetzt haben. Ein Blick in den erfolgreichen Praxiseinsatz.

von Dirk Leibold, Finanz Informatik

Wissensbasierte Sicherheitsabfragen und Rückrufverfahren prägen bis heute die telefonische Identifikation. Gleichzeitig gelten sie zunehmend als Schwachstelle: Antworten lassen sich recherchieren oder erschließen, Rückrufe erzeugen Medienbrüche und verlängern Prozesse. Für Mitarbeitende im Kundenservice bedeutet das zusätzlichen Aufwand, für Kundinnen und Kunden oft unnötige Wartezeiten.

Was für Kundinnen und Kunden wie eine kleine Komfortverbesserung aussieht, ist technisch ein bedeutender Schritt: Der Zentrale Authentifizierungsservice (ZAS) der FI verbindet die mobile Freigabe über die S-pushTAN-App mit einem standardisierten Verfahren für die telefonische Identifikation.“

Das bedeutet: mehr Sicherheit, weniger Aufwand und ein durchgängig digitales Erlebnis.

Architektur und Betrieb von ZAS

Der ZAS der FI verarbeitet monatlich über 120 Millionen Authentifizierungsanfragen von rund 26 Millionen Endkunden. Er ist als zentrale Plattform konzipiert, über die Anwendungen der Sparkassen-Finanzgruppe sichere Freigabeprozesse anstoßen können. Die Architektur basiert auf einem dreischichtigen Modell: Die APL-Schicht (Application Layer) ist als REST-API ausgeführt und verbindet die S-pushTAN-App mit dem Backend. Die DynS-Schicht vermittelt über SOAP-Schnittstellen zwischen APL und Core. In der Core-Schicht werden kryptografische Funktionen und die Authentifizierungslogik umgesetzt.

Durch diese Trennung ist ZAS modular skalierbar und erlaubt aufrufenden Anwendungen eine flexible Gestaltung des Authentifizierungsprozesses etwa hinsichtlich Ablauf, Gültigkeitsdauer oder Anzeigehinweisen.“

Die Kernfunktionen des Systems sind dabei Always-On-fähig: Selbst wenn im Rahmen zentraler Releases einzelne Komponenten temporär nicht verfügbar sind, kann das Authentifizierungsgeschäft über das APL Kubernetes Cluster weiterhin erfolgen.

Authentifizierung im Kundendialog

Dirk Leibold

Dirk Leibold ist seit 1999 bei der Finanz Informatik (Website) tätig und leitet heute die Abteilung Online-Banking und Sicherungsverfahren. In dieser Funktion verantwortet er unter anderem die strategische Weiterentwicklung des Zentralen Authentifizierungsservice sowie der S-pushTAN-App.
Der gelernte Bankkaufmann absolvierte seine Ausbildung bei einer hessischen Sparkasse und erwarb den Titel Bankbetriebswirt. Über acht Jahre war er in der FI-Revision als IT-Prüfer tätig und verfügt über fundierte Erfahrung in Revisionsarbeit und regulatorischen Fragestellungen.

Im Kundendialog kann eine Authentifizierung direkt aus dem Serviceprozess heraus angestoßen werden. Der Servicemitarbeiter startet dazu eine Freigabeanfrage über die angebundenen Anwendungen. Der ZAS erzeugt eine Authentifizierungsanfrage, die unmittelbar in der S-pushTAN-App des Kunden angezeigt wird. Der Kunde bestätigt die Anfrage direkt auf seinem Smartphone. Die Freigabe wird kryptografisch verarbeitet und an das aufrufende System zurückgemeldet. Klassische Identifikationsverfahren auf Basis von Sicherheitsfragen oder Rückrufen können dadurch ersetzt werden.

Krefeld setzt auf ZAS als Standard

Die Sparkasse Krefeld gehörte zu den ersten Instituten, die ZAS produktiv genutzt haben. Bereits im Zusammenhang mit der Ausgabe der neuen SparkassenCards im Jahr 2023 wurde intern der Grundsatz formuliert, pushTAN mit ZAS als Standard zu etablieren. Damit verbunden war eine klare Positionierung: Die Sparkasse setzt ZAS ausschließlich im Inbound-Kanal ein, also nur dann, wenn Kundinnen oder Kunden aktiv Kontakt aufnehmen.

ZAS wird ausdrücklich nicht im Outbound eingesetzt, um das Sicherheitsgefühl der Sparkassen-Kundinnen und -Kunden zu stärken und Missverständnisse zu vermeiden.“

Dieses Vorgehen orientiert sich an der Empfehlung des S-CERT-Gutachtens des DSGV.
„Wir haben früh erkannt, dass ZAS das wichtigste Medium im Kundenkontakt wird“, sagt Sebastian Ditges, Leiter Medialer Service der Sparkasse Krefeld. „Im Vergleich zu anderen Sparkassen sind wir bei der Nutzung von pushTAN mit ZAS dabei sehr weit – das wird auch die Erreichbarkeit von Gewerbekunden deutlich verbessern, wenn diese vollständig umgestellt sind.“
Aus Sicht von Matthias Hartmann, Referent strategisches Prozessmanagement, war die Entscheidung zur Einführung auch durch den Aspekt Sicherheit getragen. „Früher lag der Schwerpunkt auf der weichen Identifikation. Aber ab 2023 hat das Thema Sicherheit spürbar an Bedeutung gewonnen. Wir haben früh nach Alternativen gesucht, die den Angreifern das Leben schwerer machen – und gleichzeitig praktikabel im Servicealltag sind.“

Einführung mit klaren Leitplanken

Die Implementierung des Verfahrens wurde in Krefeld nicht dezentral angestoßen, sondern zentral geplant und eng begleitet. Erste interne Tests fanden bereits vor dem Rollout statt: Mitarbeiterinnen und Mitarbeiter richteten pushTAN mit ZAS ein und führten untereinander Freigaben durch, um das Verfahren kennenzulernen. Auf dieser Basis wurden zugleich Multiplikatoren geschult, standardisierte Abläufe entwickelt und die Einführung in der Fläche vorbereitet.

Unterstützt wurde das Projekt durch das Rolloutmanagement der Finanz Informatik.“

Die Bereitstellung praxisnaher Schulungsunterlagen, ein strukturierter Rollout-Plan sowie ein professionell aufbereiteter Rollout-Management-Ordner (ROM) halfen dabei, das Verfahren schnell und sicher im Kundenservice zu etablieren. Fachlichen Input lieferte auch die Fachtagung Kunden-Service-Center der Sparkassenakademie NRW. Anja Neubauer, Leiterin der medialen Filiale: „Auf der Tagung haben wir ebenfalls bereits früh über das Thema erfahren. Diese Tagungen sind für uns immer eine gute Gelegenheit, fachlich dranzubleiben. Die Qualität der Beiträge ist hoch – insbesondere im Plenum haben wir wertvolle Hinweise für die strategische Einordnung des Themas erhalten.“

Wirkung in der Praxis

Inzwischen ist ZAS fester Bestandteil des Kundenservice-Centers der Sparkasse Krefeld. Nach Einschätzung der Projektverantwortlichen laufen rund 70 bis 80 Prozent der eingehenden Anrufe über das neue Authentifizierungsverfahren.
Jennifer Nübel, Gruppenleiterin im Kundenservice, sieht darin eine spürbare Verbesserung für alle Beteiligten: „Unsere Kundinnen und Kunden empfinden das Verfahren als modern und vertrauenswürdig – und unsere Mitarbeitenden als effizient, sicher und deutlich nachvollziehbarer als frühere Methoden.“

Einordnung für die Praxis

Die Erfahrungen aus Krefeld zeigen, dass der Erfolg nicht allein in der Technologie liegt, sondern in der Art, wie sie eingeführt und priorisiert wird.

Entscheidend waren die frühe Positionierung von ZAS als strategisch relevantes Standardverfahren, die klare Begrenzung auf den Inbound-Kanal sowie die strukturierte Vorbereitung der Einführung.“

Auch die Integration in bestehende Medien wie die S-pushTAN-App war ein Erfolgsfaktor. Sie sorgte dafür, dass das neue Verfahren nicht erklärungsbedürftig war, sondern auf vertrauten Nutzergewohnheiten aufbauen konnte. Für Institute, die den nächsten Schritt in der Digitalisierung ihres medialen Kundenservice planen, bietet das Beispiel aus Krefeld eine konkrete Orientierung. Dirk Leibold, Finanz Informatik