Identitätsprüfung und Authentifizierung: Sicherheit für Anbieter und Verbraucher

Eine Rekordzahl an Verbrauchern und Unternehmen steigt in diesem Jahr auf Onlinedienste um. Knapp ein Viertel der Deutschen geht davon aus, dass sie nach Aufhebung der Pandemiebeschränkungen mehr Onlinedienste nutzen werden als zuvor (Quelle: ForgeRock .

Eine der Schattenseiten dieser Entwicklung ist der dramatische Anstieg von Betrugsversuchen. Das belegt auch der Identity Fraud Report 2020 von Onfido: Zwischen Oktober 2019 und Oktober 2020 ist die durchschnittliche Rate des Identitätsbetrugs in Deutschland um 23 Prozent gegenüber dem Vorjahr gestiegen. Unternehmen müssen daher zukünftig auf ausgeklügelte Überprüfungsmethoden von Identitäten zurückgreifen. Die Kombination aus maschinellem Lernen und Biometrie, um neue Arten der Authentifizierung zu ermöglichen, wird deshalb immer beliebter. Im Folgenden erläutern zwei Experten aus dem Bereich digitale Identität und Biometrie, wie Unternehmen ihre Prozesse und Kunden absichern können.

Oliver Krebs, Vice President Central EMEA bei Onfido 

Mehr Online-Transaktionen und -Zahlungen eröffnen eine Reihe von Möglichkeiten für Betrüger. Das erschwert das Risiko- und Betrugsmanagement für Unternehmen. Schätzungen gehen davon aus, dass sich die weltweiten Verluste allein durch Zahlungsbetrug im Jahr 2020 auf 32,39 Milliarden US-Dollar belaufen haben. Das ist das Dreifache des Werts von 2011.

Effektive Betrugsbekämpfungsstrategien

Ein erfolgreiches Modell für Betrugsrisikomanagement bietet einen umfassenden Ansatz zur Identifizierung, Bewertung, Abschwächung und Überwachung von Betrug. Laut der Association of Certified Fraud Examiners (ACFE) ist der beste Ansatz für das Betrugsrisikomanagement proaktiv – nicht reaktiv.
Unternehmen müssen einen risikobasierten Ansatz in Bezug auf Betrug verfolgen, indem sie herausfinden, wie sie angegriffen werden könnten, und dies mit ihrer Risikobereitschaft abgleichen. Ist dies geschehen, geht es darum, robuste Rahmenwerke zur Betrugserkennung und -prävention einzurichten und Betrugstrends zu analysieren, um neuen Angriffsmethoden einen Schritt voraus zu sein. Was brauchen Unternehmen also für eine effektive Anti-Betrugs-Strategie? 

1. Governance: Betrugsrisikomanager sollten die Betrugsstrategie für ein Unternehmen definieren und durchsetzen. Ein erfolgreiches Modell braucht die richtige Kultur und die richtigen Personen. Zudem ist fehlende Kundenorientierung oft der Punkt, an dem Teams scheitern.
2. Balance: Die besten Fraud-Teams existieren nicht in einem Vakuum. Betrugsteams sollten mit kundenerfahrenen und wachstumsorientierten Teilen des Unternehmens zusammenarbeiten, um ein Gleichgewicht zwischen dem Risiko, das sie eingehen, und der Anzahl der Kunden, die sie an Bord holen, zu erreichen.
3. Bewertung: Welchen Betrugsrisiken ist Ihr Unternehmen ausgesetzt? Wie haben diese sich verändert? Wie hoch sind die potenziellen Kosten für das Unternehmen? Die Grundlage für die Prävention und Aufdeckung von Betrug beginnt mit der Risikobewertung. Um Risiken zu verstehen, brauchen Sie einen guten Überblick über die Betrugslandschaft.
4. Prävention: Wie verhindern Sie Kontoübernahmen? Wie schützen Sie sich vor gefälschten oder gestohlenen Identitäten oder Daten ohne echte Kunden abzuschrecken? Mit einer digitalen Identitätsprüfungslösung können Unternehmen ihre Benutzer verifizieren, ohne Kompromisse bei der Benutzererfahrung, der Konversion, dem Datenschutz oder der Sicherheit einzugehen.

Gerhard Zehethofer, Vice President IoT & Technology Partnerships bei ForgeRock 

Um mit den gestiegenen Erwartungen der Nutzer Schritt zu halten, müssen digitale Erlebnisse heute mehr als eine Identität umfassen. Denn oft sind autorisierte Benutzer geografisch getrennt oder verwenden Geräte, die nicht miteinander verbunden sind. Viele Anwendungen verlassen sich dabei noch auf traditionellere Mittel der Authentifizierung, wie die Multi-Faktor-Authentifizierung (MFA). Aber Transaktionen, die mehr als eine Person oder Identität betreffen, sind im Kern kein Authentifizierungsproblem. Stattdessen helfen Technologien wie User-Managed-Access Kunden und Mitarbeitern dabei, zu verwalten, wer, wie lange und unter welchen Bedingungen auf bestimmte Daten zugreifen darf. Lösungen, die auf eine effiziente zentrale Plattform für die Organisation sämtlicher digitaler Identitäten setzen, werden die traditionellen Authentifizierungs- und MFA-Kontrollen ersetzen bzw. ergänzen.

Zero Login-Prozesse für reibungslose Authentifizierungsvorgänge

Dank passwortloser Authentifizierungstechnologien wie Biometrie bewegen wir uns hin zu einem „Zero Login“-Prozess, der sämtliche Reibungsverluste für den Benutzer in der Authentifizierung beseitigt. Anmeldedaten, die man sich merken muss und die in falsche Hände geraten können, wird es künftig nicht mehr geben. Zero Login analysiert Faktoren wie Fingerabdrücke des Nutzers, Tastaturtippmuster oder die Art und Weise, wie das Gerät gehalten wird, um die Identität im Hintergrund – also ohne Zutun des Nutzers – zu überprüfen. Damit ist diese Methode komfortabler und sicherer als die Verwendung von Passwörtern. Damit Zero Login erfolgreich ist, müssen Unternehmen zusätzlich in der Lage sein, Authentifizierungsschritte in den Prozess einzuführen, wenn ungewöhnliche oder potentiell risikoreiche Aktionen getätigt werden. Das ist der Ansatz, den Onlinehändler wie Amazon verfolgen, wenn Kunden teure Artikel kaufen. „Mit einem Klick kaufen“ führt dann nicht mehr zum Abschluss der Transaktion. Stattdessen wird ein zusätzlicher Schritt eingefügt, um sicherzustellen, dass der Käufer wirklich derjenige ist, der er vorgibt zu sein. Zusätzliche Sicherheitsschritte werden direkt am Punkt des potenziellen Betrugs hinzugefügt. Zero Login ermöglicht damit eine intelligentere Authentifizierung, die sich bei Bedarf anpasst. Identitäts- und Zugriffsmanagement wird daher in den kommenden Jahren an Wichtigkeit gewinnen. Denn ohne Identitätssicherheit gibt es keine Sicherheit.