Die fortschreitende Entwicklung, insbesondere im digitalen Raum, schafft immer höhere Anforderungen an die digitale Authentifizierung oder gar eine digitale Identität. Um diese rasanten Entwicklungen und Veränderungen ein wenig einordnen zu können, lohnt sich ein Blick in die Payment-Branche.
Insbesondere Payment Service Provider (PSP) sind aufgrund der Sensibilität ihrer Geschäftsprozesse gefordert, dem Thema digitale Authentifizierung eine zentrale Rolle einzuräumen. Mit welchen neuen Bedrohungsszenarien sie sich dabei auseinandersetzen müssen, welche wertvolle Rolle die verschiedenen Nutzerdaten und auch KI dabei spielen und wie eine State-of-the-Art-Implementierung überhaupt aussehen kann, widmet sich dieser Aufsatz.
Das Internet hat sich von einem einfachen Medium für den Informationsaustausch zu einem dynamischen Ökosystem entwickelt, das einen ständigen Fluss von Inhalten und Interaktionen ermöglicht. Die Einführung generativer KI hat diesen Strom durch die automatisierte Generierung von Inhalten weiter verstärkt, wodurch die Grenzen zwischen real und künstlich verschwimmen. Gleichzeitig führt die fortschreitende Digitalisierung dazu, dass wichtige Geschäftsprozesse in den digitalen Raum verlagert werden. In dieser rasanten Entwicklung werden die Sicherheit und Integrität digitaler Identitäten zu einer drängenden Herausforderung.
Die EU hat den dringenden Handlungsbedarf bereits frühzeitig erkannt und versucht mit der eIDAS-Verordnung einen einheitlichen Standard für die elektronische Identifizierung mittels ID-Wallets durchzusetzen. Neben verschiedenen Branchen steht hier insbesondere die Zahlungsverkehrsbranche im Fokus. Diese ist aufgrund der Sensibilität ihrer Geschäftsprozesse besonders gefordert, die digitale Authentifizierung ihrer Kunden sorgfältig umzusetzen. Aus diesem Grund geht die europäische Regulierung bewusst einen Schritt weiter und sieht in der dritten Payment Services Directive (PSD3) und der damit verbundenen Payment Services Regulation (PSR) eine besondere Verantwortung der Emittenten von Zahlungsmitteln vor, ihre Kunden zu schützen und über mögliche Risiken aufzuklären.
Permanenter Wettlauf zwischen Banken und Betrügern
Das Eigeninteresse der Banken an einer guten Umsetzung überwiegt jedoch den regulatorischen Druck bei weitem. Die Schäden durch Betrug im E-Commerce steigen weiterhin rasant an. Man kann von einem permanenten Wettlauf zwischen Banken und Betrügern sprechen, wobei sich letztere gerade in den letzten zehn Jahren weiter professionalisiert und industrialisiert haben. Dies erzeugt einen enormen Innovationsdruck auf die Payment Service Provider, den immer neuen Angriffsszenarien wie Phishing, Spoofing oder Social Engineering im Allgemeinen zu begegnen und neue Lösungen zu entwickeln.
Diese Lösungen basieren auf zwei wesentlichen Aspekten: Assessment und Action. Die Bewertung, genauer gesagt die Risikobewertung einer Transaktion, ist eine komplexe Analyse verschiedenster Datenpunkte, Nutzerhistorien und Verhaltensanalysen, die mittels künstlicher Intelligenz nahezu in Echtzeit ausgewertet werden. Diese Bewertungen werden in der Regel in Scores ausgedrückt und dienen als Grundlage für den zweiten Schritt – die Aktion.
Dabei geht es nicht mehr nur um die Frage, ob eine starke Kundenauthentifizierung implementiert werden soll oder nicht. Vielmehr sind moderne Lösungen in der Lage, die initiale Bewertung differenziert zu betrachten und die zur Verfügung stehenden Authentifizierungsmechanismen dynamisch an das Risiko der Transaktion anzupassen. Beispielsweise könnte bei einer risikoreichen Transaktion (beispielhafte Indikatoren: neu registriertes Gerät, unbekannte IP-Adresse, verdächtige Nutzung des Gerätes, …) eine zusätzliche Authentifizierung durch einen Wissenscode oder sogar einen harten Besitzfaktor (wie das Scannen oder elektronische Auslesen des Personalausweises oder der Bankkarte) verlangt werden.
Mögliche Authentifizierungsverfahren
Der Pool an möglichen Authentifizierungsverfahren entwickelt sich ständig weiter, insbesondere da die geräteseitige Unterstützung, vor allem für biometrische Verfahren, immer weiter ausgebaut wird. Jedes moderne Smartphone verfügt heute über entsprechende Möglichkeiten, die Zahlungsdienstleister in ihre Autorisierungsprozesse integrieren können. Auch hierfür gibt es Regularien und Industriestandards, die unter anderem von der FIDO Alliance vereinheitlicht werden.
Die Geräteunterstützung geht aber mittlerweile weit über Smartphones hinaus. Auch verschiedene Wearables bieten Authentifizierungsmöglichkeiten, die sogar eine „permanente Authentifizierung“ ermöglichen. So kann beispielsweise eine ständig getragene Smartwatch Rückschlüsse auf den Nutzer und sein Verhalten zulassen. Darüber hinaus sind bereits erste Fahrzeuge mit Authentifizierungsmitteln ausgestattet, die schon heute sogenannte In-Car-Payments ermöglichen.
Sicherheit und Benutzerfreundlichkeit vereinen
Es ist zu beobachten, dass die eigentliche Authentifizierung immer allgegenwärtiger wird und bei einer permanenten Authentifizierung sogar immer mehr in den Hintergrund rückt. Durch die Risikobewertung werden auch die Anwendungsmethoden immer bedarfsorientierter gesteuert, wodurch die digitale Authentifizierung zu einem allgegenwärtigen Faktor im digitalen Raum wird.
Mit Hilfe von Daten und Technologien gelingt es Payment Service Providern somit bereits heute, die ehemals gegensätzlichen Ziele Sicherheit und Benutzerfreundlichkeit zu vereinen und innovative Autorisierungsverfahren zu entwickeln. Bei aller technischen Innovation liegt es aber letztlich an jedem Einzelnen, die Bedeutung und Schutzwürdigkeit der eigenen digitalen Identität zu kennen und zu bewahren.