Biometrie bei Banken: Noch fehlt es an Standards und Erfahrungen


Biometrische Verfahren sind die Zukunft – diese Aussage hört man seit einigen Jahren. Besonders nach Phishing- oder Skimming-Attacken ist der Ruf nach mehr Sicherheit in der Finanzbranche groß. Gleichzeitig spielen aber auch Komfort- und Kostenaspekte eine Rolle. Richtig ist: Biometrische Verfahren können hohe Sicherheitsanforderungen erfüllen. Sie sind jedoch immer Teil einer Gesamtlösung. Wer wissen will, ob und wie er auf Biometrie für Sicherheit im Bankbetrieb setzen soll, muss vor allem eines: Erfahrungen sammeln. Und genau das passiert noch in zu wenigen Finanzinstituten.

Biometrie Fingerabdruck

Trotz aller Begeisterung für die technischen Möglichkeiten und konkreter Anwendungsszenarien blieb für Biometrie bislang innerhalb der Finanzbranche der Durchbruch zum flächendeckenden Einsatz aus. Zu groß waren die Hürden, zu gering im Vergleich zum geschätzten Aufwand die Notwendigkeit. Das könnte sich nun durch die aktuellen Entwicklungen im Mobile Payment und Mobile Banking Bereich ändern. Aber auch von anderer Seite kommt seit einigen Monaten Bewegung in das Thema.

Biometrische Authentisierung: nun auch von der EZB empfohlen
So sprach das Europäische Forum zur Sicherheit von Massenzahlungen (SecuRe Pay Forum), eine freiwillige Kooperation der für die Aufsicht über den Zahlungsverkehr und Zahlungsdienstleister zuständigen Behörden, Sicherheitsempfehlungen für die Sicherheit von Internetzahlungen wie auch für das mobile Bezahlen aus. Darin werden biometrische Charakteristika erstmals auch als eines von drei validen Authentisierungsmerkmalen genannt. Anfang Mai 2014 veröffentlichte die Europäische Zentralbank die Empfehlungen; umzusetzen sind sie bis zum 1. Februar 2015.

Seit Ende 2013 konzentriert sich die European Association for Biometrics (eab), bei der auch GFT als einziges unabhängiges Beratungsunternehmen Mitglied ist, verstärkt auf die Untersuchung, wie biometrische Verfahren im Bankbetrieb zum Einsatz kommen können. Dabei geht es nicht um eine punktuelle Nutzung wie man sie heute bereits findet sondern um die Frage, ob und wie sich Biometrie zum flächendeckenden Einsatz, also für die Massenanwendung, eignet.

Von ATM bis Mobile Payment – vielfältige Anwendungsbereiche für Biometrie
Der Bedarf seitens der Finanzbranche an sicheren biometrischen Anwendungen ist groß, die Einsatzmöglichkeiten vielfältig. Online oder mit dem Smartphone, am Geldautomaten oder POS-Terminal – das sind nur einige Anwendungsbereiche hierzulande.

Mit der wachsenden Verbreitung mobiler Zahlungsverfahren könnte etwa die Bedeutung der Spracherkennung und Stimmbiometrie zunehmen. Die Vorteile dieser biometrische Verfahren: relativ niedrige Implementierungskosten und die Nutzung bereits vorhandener Infrastrukturen (Kommunikationsnetz) und Endgeräte (Smartphones als Technologieträger). Dazu kommt: Mit zunehmendem Sicherheitsbewusstsein und –bedürfnis steigt bei Nutzern die Akzeptanz neuer Sicherheitstechnologien wie biometrischer Verfahren. Vorausgesetzt wird dabei die Einhaltung von Vorgaben zum Daten- und Verbraucherschutz.

Zur Akzeptanz biometrischer Verfahren an Geldautomaten hatte ein kreditwirtschaftlicher Spitzenverband in Deutschland 2009/2010 gemeinsam mit dem Beratungshaus einen Pilotversuch durchgeführt. Dabei wurden Verfahren für Fingerprints und Handvenenscans an Automaten erprobt. Ein Ergebnis: die Biometrie, die in diesem Fall die PIN-Eingabe ablöste, wurde von einem überwiegenden Teil der Testkunden als Komfortgewinn empfunden.

Wichtige Parameter zur Massenanwendung noch nicht erfüllt
Was hat sich seither in der Finanzbranche getan? Viel, aber nicht genug. Lösungen entstehen oft unter Laborbedingungen; fraglich bleibt, ob sie auch im Anwendungsfall belastbar sind. Dabei können technologisch anspruchsvolle Lösungen nur dann technisch robust sein, wenn sie sich in der Praxis bewährt haben. Zwar ist der Reifegrad einzelner Technologien deutlich gestiegen, jedoch sind wichtige Parameter für den flächendeckenden Einsatz biometrischer Verfahren noch immer nicht erfüllt.

  • Es fehlt an gemeinsam definierten technischen Standards, die Interoperabilität ermöglichen. Ähnlich wie bei der heute verwendeten Verifizierung von Transaktionen durch die PIN müssen sich die Finanzinstitute auf klare Standards einigen. Ein Abrücken von der PIN oder TAN stellt einen Systembruch dar, der für Banken zunächst einmal mit Kosten und Risiken verbunden ist. Ohne eine Harmonisierung im Rahmen der Inter-Operabilität wird es jedoch nicht gehen.
  • Die Registrierung und Verarbeitung des biometrischen Merkmals ist eine organisatorische Herausforderung, bei der es den Daten- und Verbraucherschutz ausreichend zu berücksichtigen gilt – in Zeiten steigender Regularien ein zusätzlicher organisatorischer Aufwand.
  • Auch wenn die Akzeptanz auf Nutzerseite zunimmt, muss die Lösung anwenderfreundlich, komfortabel und sicher sein. Ein angemessenes Kosten-Nutzen-Verhältnis ist gefragt.
  • Eine unzureichende Zertifizierung vieler Anbieter erschwert Banken die Umsetzung einsatzfähiger biometrischer Systeme.
  • Finanzinstituten und Systemanbietern fehlt es in Deutschland noch an Erfahrung im Umgang mit biometrischen Verfahren bei einer flächendeckenden Nutzung mit Kunden.

Welche Sicht hat der Kunde auf die biometrische Lösung? Wie kann sichergestellt werden, dass gespeicherte Merkmale sicher verarbeitet werden? Wie kann langfristig die Sicherheit gewährleistet werden? Nur wer Antworten auf diese Fragen hat, kann den flächendeckenden Einsatz erfolgreich gestalten.