Anzeige

Anzeige

VERANSTALTUNGEN

IT-SOURCING 2019 – Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

ACMP Competence Days Berlin
11.09.19 - 11.09.19
In Stiftung Deutsches Technikmuseum Berlin, Berlin

MCC CyberRisks - for Critical Infrastructures
12.09.19 - 13.09.19
In Hotel Maritim, Bonn

Rethink! IT 2019
16.09.19 - 17.09.19
In Berlin

DSAG-Jahreskongress
17.09.19 - 19.09.19
In Nürnberg, Messezentrum

Anzeige

Anzeige

Password Diebstahl 50838433 700

Totgesagte leben länger – das gilt offenbar auch für Passwörter. Diese Form der Authentifikation gilt schon lange als Anachronismus zur ständigen Modernisierung des Internets. Dennoch nutzen wir sie immer noch für die Anmeldung im E-Mail-Postfach, bei sozialen Netzwerken und nicht zuletzt beim Online-Shopping. 

Selbst wer das Internet nur gelegentlich zum Einkaufen nutzt, hat schnell eine große Fülle an Accounts zusammen. Zwar gibt es die Möglichkeit der Anmeldung über Drittanbieter, wie etwa Google oder Facebook, doch genießen diese spätestens nach diversen Datenskandalen nicht mehr das unbedingte Vertrauen der Nutzer.

Mit dem neuen Standard FIDO2 ist es nun prinzipiell möglich, Hardware-Token oder biometrische Merkmale für die Authentifizierung direkt über einen Browser zu nutzen. Was steckt dahinter und welches Potential hat die Technologie? Roger Niederer, Head of Merchant Services bei SIX Payment Services, macht den Reality Check.

Was genau ist FIDO2 und welche konkreten Möglichkeiten eröffnet es?

Hinter der Abkürzung verbergen sich eigentlich zwei Standards. Der eine, WebAuthn, wurde von der FIDO-Alliance (Fast Identity Online) in Zusammenarbeit mit der Organisation W3C (World Wide Web Consortium) entwickelt. Er ermöglicht die Integration FIDO-basierter Authentifikationsmethoden direkt in verschiedene Browser mittels einer standardisierten API. Mozillas Firefox unterstützt WebAuthn bereits ab Version 60 und auch Microsoft und Google wollen nachziehen. Den anderen Teil von FIDO2 bildet das Client to Authenticator Protocol (CTAP). Dieses ermöglicht es verschiedenen externen Geräten Anmeldeinformationen über Bluetooth, NFC oder USB an Computer zu übermitteln.

Der neue Standard bietet gleich mehrere Möglichkeiten, ein Passwort zu ersetzen. Ein USB-Stick als Hardware-Token stellt eine Art digitalen Schlüssel dar. Wenn ein Nutzer den Stick in den USB Port seines PCs steckt, wird er authentifiziert, genauso einfach wie eine Tür aufzuschließen. Daneben lassen sich aber auch die technischen Kapazitäten von Smartphones ausnutzen. Viele Mobiltelefone verfügen bereits über Fingerabdrucksensoren. Man könnte also auch dieses unverwechselbare Merkmal zur Authentifizierung heranziehen.

Wie steht es um die Sicherheit?

Um ein Passwort zu knacken muss man oft nicht einmal ein versierter Hacker sein, viele Menschen verwenden immer noch sehr leicht zu erratende Zeichenkombinationen wie Namen und Geburtstage. Ist das nicht der Fall können sich Kriminelle immer noch verschiedenster Software bedienen, um Passwörter zu knacken. Diese Risiken bestehen bei einem Hardware-Token nicht, allerdings kann dieser, wie ein ganz gewöhnlicher Schlüssel auch, verlorengehen oder gestohlen werden. Ist also der Fingerabdruck das Mittel der Wahl? Schließlich gibt es diesen nur einmal auf der ganzen Welt, es sei denn jemand fertigt eine Kopie davon an und trickst den Sensor aus. Genau das tat der Chaos Computer Club bereits 2013. Seitdem hat sich die Erkennungstechnik natürlich weiterentwickelt, aber auch die Methoden um sie zu überlisten. Mithilfe von Machine Learning und künstlicher Intelligenz ist es amerikanischen Sicherheitsexperten letztes Jahr gelungen, eine Art Master-Abdruck zu erzeugen, der circa zwei von drei getesteten Smartphones entsperren konnte. Ein potentieller Angreifer braucht mit dieser Methode nicht einmal mehr den Originalabdruck des Besitzers als Vorlage. Es stellt sich bei biometrischen Authentifikationsverfahren also auch immer die Frage, ob es möglich ist, dass sich Kriminelle Kopien der Merkmale verschaffen. Anders als beispielsweise ein Passwort kann man seinen Fingerabdruck natürlich nicht einfach zurücksetzen.

Hundertprozentige Sicherheit gibt es nirgends, auch nicht in der digitalen Welt, aber man kann es Cyber-Kriminellen so schwer wie möglich machen. Das erreicht man am besten durch die Kombination verschiedener Sicherheits-Features. Der Fingerabdruck lässt sich etwa mit der Stimme und einem Iris-Scan als weitere biometrische Elemente kombinieren, oder man kann zusätzlich noch einen Hardware-Token einsetzen. Mit jeder weiteren Stufe in dieser Multifaktorauthentifizierung potenziert sich die Sicherheit. So kann man Identitätsdiebstahl zwar nicht vollkommen ausschließen, aber die Hürden so hoch setzen, dass er äußerst unwahrscheinlich wird. Für den Endanwender bleibt die Handhabung trotzdem einfach.

Was kommt damit auf den Handel zu?

Wenn die Eingabe von Passwörtern wegfällt wird das Online-Shopping für die Kunden einfacher und intuitiver. Davon profitieren natürlich auch Verkäufer. Außerdem müssen die Betreiber von Shops keine Passwörter mehr zurücksetzen und können die dafür nicht mehr benötigten Ressourcen sinnvoller nutzen. Besonders interessant sind biometrische Verfahren auch für eine Vereinfachung von 3-D Secure, bei diesem Dienst müssen Kunden neben den normalen Kreditkartendaten oft noch ein zusätzliches Passwort angeben, was dazu führt das viele Kunden ihren Einkauf abbrechen. Bei Identitätsfeststellungsverfahren die kein Passwort erfordern müssten Unternehmen nicht mehr auf diese Abschlüsse verzichten.

Neben den positiven Aspekten erhöht jedes neue Bezahlsystem aber auch die Komplexität bei der Kaufabwicklung. Für Kunden ist es mittlerweile selbstverständlich, dass Shops verschiedene Kreditkarten akzeptieren, gleichzeitig verbreitet sich PayPal immer weiter. Auch die fernöstliche Konkurrenz Alipay ist bereits über China hinaus auf dem Vormarsch. Wie der Markt für E-Payment-Lösungen aussehen wird, sollten biometrische Verfahren Passwörter ablösen, lässt sich schwer prognostizieren, ob es den etablierten Dienstleistern gelingt ihre Marktanteile auszubauen, oder ob neue Innovatoren auf den Plan treten.

Fazit: Auf alles vorbereitet sein

Eines ist sicher, die Digitalisierung lässt sich nicht mehr umkehren. Von diesem Megatrend bleiben auch Finanztransaktionen nicht unberührt. Stattdessen bieten Entwicklungen wie das Internet of Things ganz neue Perspektiven. Jedes vernetzte Gerät kann schließlich auch der Zugang zu einem Shop sein. Dort möchten Kunden dann auch direkt bequem bezahlen, damit entwickelt sich ein regelrechtes Internet of Payments. Verfahren der Multifaktorauthentifizierung, unter anderem auf Biometrie gestützt, können dazu beitragen, dieses sicherer zu machen und potentiellen Nutzern ihre Skepsis zu nehmen. Um nicht von den Entwicklungen beim E-Payment überrannt zu werden sollten Händler auf die Hilfe eines Service-Providers setzten, der über zukunftsfähige Lösungen verfügt, die sich in bestehende Systeme integrieren lassen. So sind sie gut aufgestellt für eine vollvernetzte Zukunft ohne lästige Passwörter.

Roger NiedererRoger Niederer, Head of Merchant Services bei SIX Payment Services
 

GRID LIST
SEO

Worauf Konzerne bei der Suchmaschinenoptimierung achten sollten

SEO und Content sind wichtige Bausteine im Search Marketing. Aber was muss man als…
Tb W190 H80 Crop Int 1e6e9e95b25992b6dbcb9c8b2c9ec91e

CUSTOMER EXPERIENCE IN ZEITEN DES ONE-CLICK-SHOPPING

Der gesamte E-Commerce-Sektor ist schon seit mehreren Jahren ein großer Wachstumsmarkt…
KI

Im Kundenservice steht KI noch allzu oft für „Kühle Intelligenz“

Beim Umgang mit Kunden zeigt sich Künstliche Intelligenz bislang wenig empathisch. Das…
UX Design

Anleitung für ein gelungenes UX-Design im E-Commerce

In diesem Artikel geht es darum, wie man nur in wenigen Schritten das UX-Design seines…
Facebook Like-Button

EuGH-Urteil zu Like-Buttons – das müssen Shopbetreiber jetzt wissen

Der Europäische Gerichtshof (EuGH) hat am vergangenen Montag eine für Webseiten- und…
Smileys

Auch im Kundenservice ist Selbsterkenntnis der erste Schritt zur Besserung

Warum haben immer noch so viele Unternehmen einen schlechten Kundenservice? Offenbar…