Intelligente Zwei-Faktor-Authentifizierung: KI als Chance für die Finanzbranche

Seit dem 14. September 2019 gilt die EU-Richtlinie PSD2. Sie verpflichtet Banken und Zahlungsdienstleister zu einer starken Nutzerauthentifizierung mittels Zwei-Faktor-Authentifizierung (2FA). Der Balanceakt besteht darin, das Verfahren möglichst sicher zu gestalten, dabei jedoch gleichzeitig ein hohes Maß an Nutzerfreundlichkeit zu realisieren. Künstliche Intelligenz besitzt das Potenzial, diese beiden Ziele in Einklang zu bringen.

von Frank S. Jorga, CEO der WebID

Spätestens seit dem Inkrafttreten der Richtlinie Payment Services Directive 2 (PSD2) reicht eine einfache Kundenauthentifizierung, etwa mittels statischem Passwort, nicht mehr aus. Finanzinstitute müssen mindestens zwei starke Authentifizierungsfaktoren miteinander kombinieren, um den Vorgaben zu entsprechen. Zur Verfügung stehen hierbei folgende Komponenten:

1. Wissen (z. B. Passwort oder PIN)
2. Besitz (z. B. Kreditkarte, Personalausweis, Smartphone)
3. Biometrische Eigenschaft (z. B. Fingerabdruck, Gesichtserkennung, Stimmerkennung)

Als Standard galten in der Finanzbranche bislang die Faktoren Wissen und Gegenstand. Nutzer meldeten sich beispielsweise mit einem Passwort auf einem Desktop-PC an. Im zweiten Schritt wurde dann ein Einmalpasswort auf das Smartphone gesendet, welches via Desktop-PC einzugeben war. Somit war die Identität 2FA-konform bestätigt. Dieses Verfahren ist zwar kundenfreundlich, Sicherheit bietet es jedoch nur unzureichend.

Mittlerweile bestätigen zahlreiche Cyber-Security-Experten, dass diese klassische Form der Zwei-Faktor-Authentifizierung an mehreren Stellen verwundbar ist.”

So nutzen Cyber-Kriminelle unter anderem spezielle Spyware, gefälschte Authentifizierungswebsites oder sogenannte Scareware (gefälschte Sicherheitswarnungen), um Nutzer zur Nennung ihrer Zugangsdaten zu bewegen. Einmalpasswörter, die via SMS versandt werden, gelten ebenfalls als unsicher. Hierfür ist eine Sicherheitslücke in Mobilfunk-Netzen verantwortlich, die bereits mehrfach von Hackern genutzt wurde, um Informationen abzufangen.

Biometrische Verfahren rücken in den Fokus

Aufgrund der Schwachstellen klassischer 2FA-Verfahren, aber auch aufgrund der Verfügbarkeit neuer Technologien wie Gesichts-, Fingerabdruck- und Stimmerkennung, gewinnt der Faktor Biometrie zunehmend an Bedeutung. Entsprechende Ansätze sind nicht nur sicherer, sondern werden von Kunden sogar bevorzugt. Immerhin bieten sie Komfort und sorgen für deutlich verkürzte Bearbeitungszeiten durch einen hohen Automatisierungsgrad der Prozesse. Die vollen Potenziale lassen sich erschließen, wenn hierbei künstliche Intelligenz (KI) hinzugezogen wird.

Mit KI die Möglichkeiten vollständig ausschöpfen

Mit künstlicher Intelligenz lassen sich selbst komplexe Verfahren der Zwei-Faktor-Authentifizierung deutlich vereinfachen. Unter anderem können biometrische Eigenschaften wie Iris, Gesicht, Fingerabdruck und Stimme in die KI-basierten Prozesse einbezogen werden.”

Ein Beispiel für den Einsatz von Biometrie ist die automatisierte Identifikation von Personen, die sich bereits heute als Ergänzung zur GwG-konformen Videoidentifikation von Personen etabliert hat. Auf Basis dieses Verfahrens ist eine zulässige und tragfähige Form der Zwei-Faktor-Authentifizierung denkbar. Kombiniert werden die Faktoren Besitz (Ausweis) und biometrische Daten. Im Vergleich zu der klassischen Wissen-Besitz-Kombination bietet dieser Ansatz ein deutlich höheres Sicherheitsniveau und ist für den Nutzer sogar einfacher umzusetzen.

Um das Kundenerlebnis zu optimieren, die Konversionsrate zu steigern, das Betrugsrisiko weiter zu senken, und gleichzeitig die operativen Kosten zu reduzieren, bietet sich zusätzlich die Implementierung einer KI an. Unter anderem ist künstliche Intelligenz bereits heute in der Lage, Ausweisdokumente auf Authentizität zu überprüfen, Fälschungsmerkmale zu identifizieren und Gesichter zu erkennen.

Finanzinstitute haben auf diese Weise die Möglichkeit, Sicherheitsauffälligkeiten bereits frühzeitig abzufangen. Der Wegfall manueller Schritte sorgt gleichzeitig für Kosteneinsparungen. Kunden profitieren hingegen von einem schnellen, reibungslosen und sicheren Ablauf.”

Stärken vorwiegend bei bekannten Betrugsmustern

Trotz der enormen Entwicklungssprünge in jüngster Vergangenheit wird auch künstliche Intelligenz – zumindest mittelfristig – nicht für vollständige Sicherheit in der Zwei-Faktor-Authentifizierung sorgen können. Dies liegt schlicht in der grundlegenden Logik des maschinellen Lernens begründet. Algorithmen dieser Art benötigen umfangreiche Trainingsdaten, um im zweiten Schritt Muster in Daten erkennen zu können.

Übertragen auf Betrugsvorgänge im Finanzsektor bedeutet dies, dass die KI bekannte Betrugsverfahren erlernt, um sie anschließend eigenständig zu identifizieren.”

Ändern Kriminelle ihre Vorgehensweise, bleibt dies unerkannt. Da Betrüger jedoch vorwiegend auf ältere und „praxiserprobte“ Verfahren setzen, ist dennoch mit einer hohen Erfolgsquote zu rechnen.

Sicherheit und User Experience bestmöglich kombiniert

Spätestens seit dem 14. September hat jede Finanzorganisation eine individuelle Zwei-Faktor-Authentifizierung im Einsatz, auch wenn es in der praktischen Umsetzung teils zu Verzögerungen gekommen ist.

Die Resonanz aus dem Kreise der Kunden fällt jedoch alles andere als positiv aus. Die zusätzlichen Sicherheitsmaßnahmen werden überwiegend nicht als Vorteil, sondern als unnötig und störend wahrgenommen.”

Das Kundenerlebnis dennoch optimal zu gestalten, ist somit deutlich schwieriger geworden. Mit einer intelligenten 2FA-Variante, die biometrische Daten und KI enthält, können Finanzdienstleister diesem Trend jedoch entgegenwirken. Ansätze dieser Art bringen mehr Sicherheit in Authentifizierungsverfahren und sorgen gleichzeitig für eine positive Customer Journey.Frank S. Jorga, WebID