Authentifizierungsinstrumente

1.Stell dir vor, du möchtest ein wichtiges Paket abholen oder ein vertrauliches Dokument unterschreiben. Zuerst musst du deine Identität beweisen, zum Beispiel mit deinem Personalausweis – das ist die Authentifizierung. Erst danach bekommst du die Erlaubnis, das Paket mitzunehmen oder zu unterschreiben – das ist die Autorisierung. Im Bankwesen ist diese Unterscheidung entscheidend: Authentifizierung bestätigt, wer du bist, während Autorisierung dir erlaubt, was du tun darfst. Das ist ein häufiger Fehler, dass diese beiden Begriffe verwechselt werden. Die Zwei-Faktor-Authentifizierung ist wie ein Safe, der zwei verschiedene Schlüssel benötigt, die von zwei verschiedenen Personen aufbewahrt werden, um ihn zu öffnen. Ohne korrekte Authentifizierung sind deine Konten und Transaktionen nicht sicher. Wir müssen als Bank sicherstellen, dass nur berechtigte Personen Zugriff erhalten, um Betrug zu verhindern.

VisuellGeneriere ein fotorealistisches Bild: Eine Person zeigt ihren Personalausweis an einem Schalter in einer Bank, während eine Bankberaterin dies überprüft. Im Hintergrund ist ein Safe zu sehen, der zwei Schlüssellöcher hat.

2.Grundlage für viele unserer Sicherheitsstandards ist die Payment Services Directive 2, kurz PSD2. Das ist eine EU-Richtlinie, die den Zahlungsverkehr in Europa regelt und hohe Sicherheitsstandards vorschreibt. Ihr Hauptziel ist die Erhöhung der Sicherheit und die Reduzierung von Betrugsfällen. Seit dem 14. September 2019 ist die sogenannte Starke Kundenauthentifizierung, kurz SCA, für die meisten elektronischen Zahlungsvorgänge und den Online-Zugriff auf Zahlungskonten verpflichtend. Das bedeutet, Banken müssen sicherstellen, dass die von uns verwendeten Authentifizierungsinstrumente diesen strengen Anforderungen entsprechen. Die PSD2 hat die Rechte der Zahlungsdienstnutzer gestärkt und die Sicherheit im digitalen Zahlungsverkehr massiv verbessert.

VisuellEine Überschrift "PSD2 und Starke Kundenauthentifizierung (SCA)". Darunter eine Zeittafel mit "14. September 2019: SCA verpflichtend". Eine kurze Definition von PSD2 als EU-Richtlinie und SCA als Sicherheitsstandard, mit Icons für EU und…

3.Die starke Kundenauthentifizierung nach PSD2 erfordert mindestens zwei voneinander unabhängige Faktoren aus drei Kategorien. Erstens: Wissen – etwas, das nur der Nutzer weiß, wie eine PIN, ein Passwort oder eine Geheimfrage. Dieser Faktor ist anfällig für Phishing. Zweitens: Besitz – etwas, das nur der Nutzer besitzt, zum Beispiel ein Smartphone mit einer Banking-App, ein TAN-Generator oder eine Chipkarte. Dieser Faktor kann durch Verlust oder Diebstahl kompromittiert werden. Und drittens: Inhärenz – etwas, das der Nutzer ist, also biometrische Merkmale wie Fingerabdruck, Gesichtserkennung oder Iris-Scan. Dieser Faktor ist einzigartig, aber einmal kompromittiert, nicht änderbar. Ganz wichtig: Die Faktoren müssen voneinander unabhängig sein. Ein häufiger Fehler ist die Annahme, dass ein einzelner biometrischer Faktor wie nur ein Fingerabdruck allein schon eine starke Kundenauthentifizierung darstellt. Das ist nicht der Fall, es braucht immer einen zweiten unabhängigen Faktor.

VisuellEine definition_list mit dem Titel "Die drei Kategorien der Authentifizierungsfaktoren (PSD2)". Zeige die Kategorien "Wissen" (mit Icons für PIN/Passwort), "Besitz" (mit Icons für Smartphone/TAN-Generator) und "Inhärenz" (mit Icons für F…

4.Schauen wir uns nun gängige TAN-Verfahren an, die wir im Bankwesen nutzen. Die mTAN, also SMS-TAN, sendet die TAN per SMS. Sie gilt als weniger sicher wegen Risiken wie SIM-Swapping und Phishing und ist als alleiniger Besitzfaktor nicht mehr PSD2-konform. Die pushTAN generiert die TAN direkt in einer speziellen Banking-App auf dem Smartphone, bietet hohe Sicherheit durch Ende-zu-Ende-Verschlüsselung und Gerätebindung. Die photoTAN oder QR-TAN zeigt Transaktionsdaten als Grafik am PC an, die du mit einer App oder einem Lesegerät scannst, um die TAN zu erzeugen. Das bietet hohe Sicherheit durch optische Trennung. Und die chipTAN oder smartTAN erzeugt die TAN mit einem separaten TAN-Generator und deiner Bankkarte, was als sehr sicher gilt, da sie hardwarebasiert und manipulationsgeschützt ist. Hier sehen wir klar, dass nicht alle Verfahren das gleiche Sicherheitsniveau bieten und der Komfort variiert.

VisuellEine comparison_table mit dem Titel "Vergleich gängiger TAN-Verfahren im Bankwesen". Die Spalten sind "Verfahren", "Funktionsweise", "Sicherheit", "Komfort", "Anwendungsbereich" und die Zeilen enthalten die Daten für mTAN, pushTAN, photo…

5.Neben TAN-Verfahren gewinnt die Biometrie zunehmend an Bedeutung. Authentifizierung mittels Biometrie nutzt einzigartige körperliche Merkmale wie Fingerabdruck, Gesichtserkennung oder Iris-Scan. Ihre Vorteile liegen klar auf der Hand: Hoher Komfort, da Login oder Bestätigung schnell und einfach ohne Passworteingabe erfolgen. Biometrische Merkmale sind einzigartig und, im Idealfall, schwer zu fälschen, was eine hohe Sicherheit verspricht. Sie sind immer 'dabei', da sie untrennbar mit der Person verbunden sind – der Faktor Inhärenz. Zudem reduziert Biometrie das Risiko von Phishing, da keine Passwörter eingegeben werden müssen. Es gibt aber auch Nachteile: Datenschutzbedenken bei der Speicherung sensibler Daten, Irreversibilität bei Kompromittierung, technische Fehler bei der Erkennung und die Abhängigkeit von spezieller Hardware. Auch äußere Einflüsse können die Erkennung beeinträchtigen.

VisuellEine comparison_list mit dem Titel "Vorteile und Nachteile von Biometrie in der Authentifizierung". Eine Spalte "Vorteile" mit fünf Aufzählungszeichen und eine Spalte "Nachteile" mit fünf Aufzählungszeichen, jeweils mit passenden Icons (…

6.Der Ablauf einer starken Kundenauthentifizierung, kurz SCA, ist genau definiert. Zuerst initiierst du eine Transaktion oder den Zugriff, zum Beispiel eine Online-Überweisung oder den Login ins Online-Banking. Dann fordert das Bankensystem die Eingabe von mindestens zwei unabhängigen Authentifizierungsfaktoren an. Du gibst den ersten Faktor ein, etwa deine PIN oder dein Passwort. Anschließend bestätigst du die Transaktion mit dem zweiten Faktor, zum Beispiel per pushTAN-App oder Fingerabdruck. Wichtig ist, dass dir dabei die Transaktionsdetails klar angezeigt werden. Das Bankensystem überprüft dann die Korrektheit und Unabhängigkeit beider Faktoren sowie die Integrität der Transaktionsdaten. Bei erfolgreicher SCA wird die Transaktion autorisiert und ausgeführt oder der Zugang gewährt. Es gibt auch Ausnahmen von der SCA-Pflicht, beispielsweise bei geringen Beträgen unter 30 Euro, wiederkehrenden Zahlungen oder wenn du einen Empfänger auf eine sogenannte Whitelist gesetzt hast. Diese Ausnahmen sollen den Komfort erhöhen, ohne die Sicherheit grundlegend zu gefährden.

VisuellEine process_step-Darstellung mit dem Titel "Ablauf einer starken Kundenauthentifizierung (SCA) nach PSD2". Zeige die 6 Schritte als nummerierte Liste mit kurzen Beschreibungen und Pfeilen, die den Fluss der Authentifizierung darstellen.…

7.Fassen wir zusammen: Authentifizierung und Autorisierung sind zwei Seiten derselben Medaille, aber nicht dasselbe. Die PSD2 und die starke Kundenauthentifizierung sind das Rückgrat sicherer Bankgeschäfte. Wir haben die drei unabhängigen Faktoren – Wissen, Besitz und Inhärenz – kennengelernt und gesehen, dass ein einzelner biometrischer Faktor allein nicht ausreicht. Auch die Sicherheit von mTANs wird oft überschätzt. Du kannst jetzt die Vor- und Nachteile verschiedener TAN-Verfahren und Biometrie beurteilen. Für deine Prüfung: Achte besonders auf die genauen Anforderungen der PSD2 an die SCA, die drei Kategorien der Faktoren und deren Unabhängigkeit. Vergleiche die Vor- und Nachteile der verschiedenen Verfahren aus Sicht des Kunden und der Bank. So bist du bestens vorbereitet, um auch komplexe Prüfungsfragen zu beantworten und in deiner Kundenberatung zu glänzen!

VisuellGeneriere ein fotorealistisches Bild: Eine junge Bankkauffrau sitzt an einem Schreibtisch in einer modernen Bankfiliale und erklärt einem Kunden auf einem Tablet die Sicherheitsmerkmale des Online-Bankings. Im Hintergrund sind digitale A…