Wann kommt das Ende der SMS-TAN, mobile-TAN und noch nötiger Zusatzhardware?
Anfang November stellte Kobil ein Verfahren vor, mit dem sich Kunden bei mobilen Transaktionen SMS, TAN oder Zusatzhardware sparen können. Basis dafür ist “m-Identity-Protection” und eine Server-Appliance. Fünf Monate nach der Einführung wollten wir von Ismet Koyun Gründer und Geschäftsführer Kobil Systems wissen, welche Banken nun aufgesprungen sind.
Herr Koyun, welche Banken setzen die Lösung inzwischen ein und wozu benutzen sie diese schwerpunktmäßig?
Ismet Koyun: Allein in der Türkei haben sich bereits acht Banken für unsere Plattform entschieden. ING-Diba, MigrosBank, sowie weitere internationale Kunden setzen bereits auf diese Plattform. Darunter sind nicht nur Banken, sondern auch Payment-Dienstleister, Logistik-Unternehmen, Dienstleister wie die DATEV oder Großkunden aus dem Automotive-Bereich. Außerdem nutzen immer mehr Partner unsere Plattform und binden sie in ihre Software-Anwendungen ein – zum Beispiel Hersteller von Core-Banking-Lösungen oder auch mobile Lösungsanbieter, die in Ihrer Anwendung Verbindlichkeit für Ihre Prozesse benötigen.
Mit der Einführung der Plattform verstärken sie ihre Authentifizierungs und Autorisierungs-Mechanismen und machen sie mobil. Außerdem schaffen sie mit der Einbindung von m-Identity in ihre Lösung die Grundlage für weitere Nutzungzwecke – zum Beispiel für Schutz und Signierung von Transaktionen oder die Einbindung in Apps, um eine sofortige Authentifizierung des Nutzers zu ermöglichen und verbindliche Geschäftsvorfälle am Telefon abzuschließen.
Wie begründen Banken, dass Sie die Kobil-Lösung oder ähnliche Schutz-Prinzipien nicht einsetzen? Mit welchen Argumenten wollen Sie überzeugen?
Aktuell ist es so, dass viele Banken auf veraltete Technologien wie SMS setzen. Doch wir wollen die Banken mit höherer Sicherheit, mehr Bequemlichkeit, vor allem aber mit neuen Geschäftsmöglichkeiten und Services überzeugen, die sie mit Hilfe unserer Plattform realisieren können. Denken Sie nur an Dinge wie verbindliche Kommunikation zwischen Banken und Kunden. Damit lassen sich Geschäfte direkt online abschließen, das Stattfinden gesetzlich notwendiger Beratungen kann verbindlich dokumentiert werden. Berater der Bank brauchen sich beim Online-Chat keine Sorgen mehr zu machen, dass Sie nicht mit dem richtigen Kunden sprechen und vieles andere mehr. Die Banken wissen, dass ihre einzigartige Stellung durch neue Spieler wie Google, Amazon, Paypal und andere bedroht wird. Ihr Ausweg heißt mehr Kundenbindung und mehr Service. Unsere Plattform hilft ihnen dabei, diese neuen Services verbindlich mobil bereitzustellen und abzusichern. Das alles kann SMS basierte Technologie nicht, denn dabei handelt sich nur um einen Code, der zugestellt wird. Nicht mehr und nicht weniger.
Wieso bezeichnen Sie die Verfahren SMS-TAN oder mobile TAN als unsicher?
Wir bezeichnen Sie nicht als unsicher. Sie sind unsicher!
SMS steht für Short Messaging System. Sie ist ursprünglich nicht für die sichere Übertragung von Transaktionsnummern oder Einmalpassworten gedacht gewesen. Deshalb ist es auch sehr einfach, diese Implementierungen erfolgreich anzugreifen. Darüber hinaus kostet das Versenden einer SMS jedes Mal Geld. Bei großen Banken kommen schnell mehrere Millionen Euro Transaktionsgebühren pro Jahr zusammen. Hinzu kommt, dass die SMS an Bedeutung verliert. Viele Banken haben ursprünglich auch auf SMS-TAN oder mobile TAN gesetzt, weil ihre Kunden damit umgehen können und jedes Handy die Technologie beherrscht. Doch heute wird die SMS von anderen Web basierten und kostenfreien Message-Services verdrängt. Da die Telekom-Provider außerdem dabei sind, auf IP umzustellen, funktioniert die Technik in den Internet-Prootkoll basierten Netzen nicht mehr. Sie sehen, SMS ist nicht nur unsicher, es ist auch nicht mehr state of the art.
Wann rechnen Sie dann mit einer Ablösung von SMS-TAN oder mobile TAN?
Ismet Koyun: Die vollständig Ablösung von SMS oder mobiler TAN wird sicher noch einige Zeit lang dauern. Das ist schwer vorherzusehen. Doch wir sind ziemlich sicher, dass Banken sich sukzessive von dieser nicht mehr adäquaten Technologie verabschieden müssen: sowohl aus Sicherheitsgründen, als auch aufgrund des fehlenden Mehrwertes, den die SMS nicht leisten kann. Das zeigen zumindest unsere Gespräche mit Kunden aus diesem Umfeld. Außerdem gibt es Hinweise von Telco-Dienstleistern, dass der klassische SMS Versand in einigen Jahren technisch nicht mehr möglich sein soll. Doch auch jenseits dieser Hinweise liegen die Nachteile von SMS als Medium der Wahl zum Versenden von Passworten auf der Hand: Es handelt sich um passive Nachrichten, die nicht beantwortet werden können, da sie von Systemen außerhalb der Banken-Infrastruktur und Prozesse versendet werden. Daher stellen SMS für die Banken eine Einbahnstraße dar, was eine tiefere Prozessintegration verhindert. Die Nachrichtenlänge ist auf 160 Zeichen begrenzt, ihre Darstellung kann nicht vergrößert (gezoomt) werden. Darüber hinaus nehmen die SMS nutzenden Banken Medienbrüche in Kauf, deren Benutzerfreundlichkeit sehr zu wünschen lässt. Ihre Kunden müssen sich den übertragenen Code merken und anschließen in einem anderen Gerät eintippen. Das erhöht die Fehleranfälligkeit und senkt die Benutzerfreundlichkeit. SMS funktioniert auch nur auf GSM fähigen Endgeräten. Was ist mit Tablets und Desktops? Hier sind die Einschränkungen dieser Technologie noch deutlicher.
Wie geht es weiter? Was hat Kobil vor? Können wir in nächster Zeit mit neuen Produkten und Entwicklungen rechnen?
Ja, wir entwickeln spannende neue Möglichkeiten. Der Trend zur Digitalisierung von Produkten und Services, von Prozessen und deren Verbindung innerhalb der Unternehmen und von Produktionsverfahren spielt uns in die Hände. Wir arbeiten weiter daran, Verbindlichkeit in der digitalen Welt herzustellen, auf Endverbraucherseite als auch im Unternehmensumfeld. Außerdem wollen wir für Verbraucher und Unternehmen die Komplexität aus diesem Vorgang herausnehmen, in dem wir zum Beispiele Identitätsmanagement anbieten, das über Unternehmensgrenzen hinwegreicht und sich über ganze Eco-Systeme erstreckt. Das funktioniert zum Beispiel im Bereich Reisen hervorragend, in dem sehr häufig mehrere verschiedene Unternehmen zusammenarbeiten müssen, um dem Kunden ein Komplettangebot aus Flug, Versicherung, Hotel und Vorort-Veranstaltungen zu bieten. Stellen Sie sich vor, das können sie alles verbindlich buchen und nur einmal ihre Identität nachweisen, die in diesem Fall Ihr Device darstellt. Im Banken- und Versicherungsbereich sowie in anderen Branchen sind solche Szenarien ebenfalls leicht vorstellbar.
Was war eigentlich der Treiber für die Entwicklung der Plattform?
Spätestens mit dem iPhone wurde uns klar, dass digitale Identitäten künftig per Smartphones verifiziert und nachgewiesen werden, nicht mehr über den Personalausweis oder über eine gesonderte Smartcard. Diese Smartphone-Identität wird in der realen und der digitalen Welt genutzt. Doch die Entwicklung wird nicht stoppen. Heute ist es das Smartphone, das die Identität verwaltet und schützt. Morgen – und dieser Trend ist bereits heute zu erkennen – ist es vielleicht ein „wearable“ – zum Beispiel die kürzlich vorgestellte iWatch, ein Smart Glass oder etwas ähnliches. Hinzu kommt, dass Nutzer ihre Geschäfte und ihre Kommunikation immer bequemer aber trotzdem verbindlich abwickeln wollen und auch müssen. Deshalb entwickeln wir unsere Plattform ständig weiter. Wir wollen auch in Zukunft in der digitalen Welt die notwendige Verbindlichkeit herstellen.
Vielen herzlichen Dank, Herr Koyun.
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/11930
Schreiben Sie einen Kommentar