«Mehr Sicherheit bedeutet nicht automatisch weniger Kundenzufriedenheit»
Banken erweitern laufend ihre digitalen Angebote und erhöhen dadurch die digitalen Interaktionen mit ihren Kundinnen und Kunden. Hierbei zählt oftmals: «Convenience is king». Dies darf aber niemals zu Lasten von Sicherheit geschehen. Höhere Sicherheitsanforderungen korrelieren aber nicht immer mit einer besseren Nutzerfreundlichkeit. Wie dieser Balanceakt dank neuen Technologien aus der Schweiz gemeistert werden kann, erläutern Christoph Klossner, CISO der Valiant Bank AG, und Sandra Tobler, CEO von Futurae.
Social Bookmarks
Frau Tobler, wie kann sich eine Bank auch im digitalen Raum vertrauenswürdig positionieren?
Sandra Tobler: Historisch kommen die Banken aus einer Zeit, in der persönlicher Kontakt das Vertrauen stark beeinflusst hat. In der heutigen digitalen Zeit und der zunehmenden Interaktion über Mobile Banking, E-Banking und beliebige Kunden- oder Partnerportale spielen neben der Marke und dem Vertrauen in den Datenschutz auch die nahtlose Kundenerfahrung eine entscheidende Rolle, um Vertrauen zu erhalten. Das beginnt beim Onboarding und zeigt sich in den digitalen Aktivitäten und Anwendungsfällen im Banking. Hier gilt es, alle Prozesse optimal und für die Nutzenden intuitiv zu gestalten. Gerade in Situationen, in denen die Nutzenden zum Beispiel unterwegs keinen Netzempfang haben oder ein neues Smartphone in Betrieb nehmen, darf es heute zu keinem Medienbruch oder zusätzlichem Risiko kommen. Sonst bedeutet dies für eine Bank schnell hohen operativen Aufwand und könnte auch weit darüber hinaus die Kundenbeziehung negativ beeinflussen.
Herr Klossner, welche Herausforderungen sehen Sie mit Valiant in diesem Kontext?
Christoph Klossner: Eine der grössten Herausforderungen ist es, die Sicherheit angesichts wachsender Möglichkeiten zu gewährleisten. Ich denke hier beispielsweise an Open Banking mit den dazugehörigen Schnittstellen in immer grösseren und komplexeren Ökosystemen. Weiter sehe ich zum Beispiel die Notwendigkeit für plattform- und unternehmensübergreifende Authentifizierungsmöglichkeiten mittels Identitätsanbieter, um die Anzahl der Logins für die Nutzenden, also meist von Kundinnen und Kunden, zu reduzieren. Dies reduziert die Komplexität, den Aufwand für die Plattformen und leistet einen Beitrag für mehr Sicherheit. In diesem Zusammenhang ist die Wahl der richtigen Technologiepartner entscheidend.
Frau Tobler, deckt sich diese Einschätzung mit dem, was Sie als Herausforderungen sehen?
Sandra Tobler: Je zahlreicher die Interaktion der Kundinnen und Kunden mit ihren Banken über digitale Kanäle ist, desto mehr Situationen entstehen, in denen Banken und deren Kundinnen und Kunden auch angemessen geschützt werden müssen. All diese Anforderungen mit nur einer Technologie abzudecken, reicht heute in den meisten Fällen leider nicht mehr aus. So verändern sich die Cyberbedrohungen laufend. Auch sind die Anwendungsfälle und die Bedürfnisse der Endnutzerinnen und -nutzer meist zu verschieden.
Können Sie dies noch konkretisieren?
Sandra Tobler: IT-Sicherheit ist sehr schnelllebig. Kriminelle passen ihre Strategien ständig an. Deshalb reicht es nicht aus, ein statisches Softwareprodukt zu benützen. Aktuell sind es oft Phishing- oder Social Engineering Attacken, auf die wir rasch reagieren und dann alle unsere Kunden von dem Schutz profitieren. Ein Beispiel: Die Verwendung von SMS für die Benutzerauthentifizierung, im Fachjargon mobile Transaktionsnummer, kurz mTAN, genannt, gilt als nicht besonders sicher. Einige Behörden empfehlen daher explizit, auf dieses Verfahren zu verzichten. Auch traditionelle Benutzername und Passwort Kombinationen haben langsam aber sicher ihren Zenit überschritten. So werden Passwörter leider zu häufig über Phishing-Attacken gestohlen oder geraten in Vergessenheit. Hier braucht es neue Wege, um Online-Dienste angemessen und einfach für die Kundinnen und Kunden zu schützen.
Und wie sehen diese aus?
Christoph Klossner: Die Balance zwischen IT-Sicherheit und Benutzerfreundlichkeit zu halten, ist gar nicht so einfach. Umso wichtiger ist es, die Bedürfnisse der Kundinnen und Kunden vor die Technik zu stellen, damit sie von sicheren Lösungen profitieren können, ohne diese im Kern verstehen zu müssen.
Sandra Tobler: Die nächste Generation an Authentifizierungslösungen wird aus meiner Sicht zunehmend auf die sogenannte «adaptive Benutzerauthentifizierung» fokussieren. Solche innovativen, kontextbasierten Lösungen nutzen Technologien des maschinellen Lernens, um eine variable Anzahl von Risikoparametern im Hintergrund automatisch zu bewerten. So wird eine Anmeldung ohne jegliche Benutzerinteraktion ermöglicht – aus meiner Sicht ein Höchstmass an Sicherheit und das beste Nutzererlebnis.
Herr Klossner, die Valiant verwendet bereits ein solches Verfahren. Welche Erfahrungen haben Sie bisher gemacht?
Christoph Klossner: Der beschriebene Lösungsansatz hat in der Branche einen Paradigmenwechsel vollzogen. Früher korrelierte höhere Sicherheit in vielen Fällen mit geringerer Benutzerfreundlichkeit. Dieses Zusammenspiel aus «Security» und «Usability» war auch bei uns intern oft ein Diskussionspunkt. Hier hat der Ansatz von Futurae geholfen. Ihre Authentifizierungs-, Transaktionssignierungs- und Betrugserkennungs-Plattform bietet neben höchster Sicherheit eben auch eine hohe Benutzerfreundlichkeit und Flexibilität in der Anwendung. Sie ist damit zu einem wichtigen Baustein in unserem Sicherheitsframework geworden. Von einfachen Prozessen im Bereich Log-in und Transaktionssignierung profitieren unsere Kundinnen und Kunden – und zugleich wird auch unser Kundendienst entlastet.
Und wohin wird die Reise aus Ihrer Sicht in Zukunft noch gehen?
Christoph Klossner: In der Schweiz gibt es aus meiner persönlichen Erfahrung generell noch immer zu viele und zu komplizierte Login-Verfahren. Daher verfolgen wir mit Spannung die Entwicklung von adaptiven Lösungen, bei denen das System anhand von Risikoparametern beispielsweise automatisch erkennt, ob sich der richtige Bankkunde einloggt. Des Weiteren prüfen wir passwortlose Methoden, um das Login noch einfacher zu gestalten. Aus meiner Sicht stehen wir hier erst am Anfang. Das Potenzial ist riesig.
Frau Tobler, wie sehen Sie das?
Sandra Tobler: Wir haben in der Schweiz ausgezeichnete Rahmenbedingungen und führende Hochschulen im technischen Bereich wie die ETH und die EPFL. In diesem Umfeld lassen sich viele innovative und zukunftsweisende Ansätze zur sicheren Authentifizierung im Internet entwickeln. Ich bin überzeugt, dass wir hier in den nächsten Jahren noch einige spannende Sprünge machen werden.
Danke für das Gespräch.