Banken sehen sich einer ernüchternden Realität gegenüber: das Einmalpasswort (OTP), lange als zuverlässige Absicherung zum Schutz von Konten angesehen, ist in einem Umfeld, das zunehmend von Automatisierung und Täuschung geprägt ist, nicht mehr ausreichend. Schalk Nolte, CEO von Entersekt, betonte, dass die Finanzbranche die Grenzen von OTPs seit über einem Jahrzehnt kennt, die Intensität ihrer Ausnutzung jedoch dramatisch zugenommen hat.
Die eskalierende Bedrohung für OTPs
Die grundlegenden Schwachstellen von OTPs haben sich nicht geändert, wohl aber die Skalierung der Angriffe. Nolte erklärte, dass hochentwickelte Bots mittlerweile rasant gestohlene Zugangsdaten durchprobieren und zahlreiche Anmeldeversuche unternehmen können, bis sie erfolgreich ein OTP abfangen oder entlocken. Was in einer weniger volatilen Bedrohungsumgebung einst eine angemessene Kontrolle darstellte, sieht sich nun unerbittlichem Druck ausgesetzt. Dieselben Schwächen werden weitaus häufiger ausgenutzt.
Warum Banken weiterhin auf OTPs setzen
Trotz dieser offensichtlichen Einschränkungen sind OTPs weiterhin tief in vielen Authentifizierungsabläufen von Banken verankert. Nolte führt diese Beharrlichkeit auf betriebliche Bequemlichkeit und Kosteneffizienz zurück. Die Implementierung von OTPs ist unkompliziert und erfordert vom Kunden wenig mehr als eine Mobilfunknummer. Diese Einfachheit steht im Einklang mit langjährigen Prioritäten hinsichtlich der Benutzererfahrung, da sie den Kunden die Notwendigkeit erspart, Anwendungen herunterzuladen oder komplexe Registrierungsschritte abzuschließen. Der Prozess ist oft unmittelbar und vertraut.
Auch die Kosten spielen eine bedeutende Rolle. OTP-Systeme sind im Vergleich zu fortschrittlicheren Authentifizierungsmethoden erheblich günstiger in der Implementierung. Für kleinere Finanzinstitute, wie Gemeinschaftsbanken und Kreditgenossenschaften, führt das Gleichgewicht zwischen Kosten, Benutzerfreundlichkeit und wahrgenommener Sicherheit oft zur fortgesetzten Abhängigkeit von diesen Werkzeugen. Diese Abhängigkeit birgt jedoch Nachteile. Wenn Institute versuchen, die inhärenten Risiken durch zusätzliche Authentifizierungsaufforderungen auszugleichen, können Kunden zunehmende Reibungsverluste erfahren, was ihre Aufmerksamkeit und ihr Vertrauen in die Sicherheitsmaßnahmen potenziell mindert.
Ermüdung schwächt das Signal
Nolte hob ein wachsendes Problem der Übernutzung hervor, das zu einer Art Authentifizierungsermüdung führt. Wenn Authentifizierungsanfragen zu häufig erscheinen, verlieren sie an Bedeutung. Kunden reagieren möglicherweise automatisch statt nachdenklich, was den Zweck der Sicherheitskontrolle untergräbt. Dieses Umfeld schafft fruchtbaren Boden für Betrüger, die zunehmend auf Überzeugung statt auf technische Exploits setzen.
Social Engineering rückt in den Vordergrund
Laut Nolte hat sich Social Engineering zu einer primären Methode entwickelt, um OTP-basierte Sicherheit zu umgehen. ‚Social Engineering ist leider… etwas, das all diese Dinge umgeht‘, erklärte er. Diese Angriffe erfordern kein Brechen von Verschlüsselungen oder Abfangen von Nachrichten. Stattdessen zielen sie darauf ab, Kunden dazu zu manipulieren, ihre OTPs freiwillig preiszugeben. Diese Methode nutzt menschliches Vertrauen und nicht technische Infrastruktur aus.
Nolte erzählte von einem Fall, in dem ein Betrüger sich als Bankmitarbeiter ausgab, der einen Sicherheitstest durchführte. Dem Kunden wurde angewiesen, ein Einmalpasswort vorzulesen, um den angeblichen Check zu unterstützen. ‚Ein paar hunderttausend Dollar später… war es kein Test‘, bemerkte er. Dieses Beispiel veranschaulicht eindrücklich eine breitere Schwäche: Wenn die Authentifizierung auf der Kooperation des Benutzers ohne klaren Kontext beruht, wird sie anfällig für Manipulation.
Kontextbezogene Authentifizierung
Um diese kritischen Lücken zu schließen, plädiert Nolte für eine Abkehr von statischen Authentifizierungsherausforderungen hin zu intelligenteren, kontextbezogenen Prozessen. ‚Machen Sie Ihre dumme Authentifizierung intelligent‘, riet er. Ziel ist es, eine Vielzahl von Signalen rund um jede Interaktion zu bewerten, einschließlich des Benutzerverhaltens, des Standorts und der Geräteeigenschaften. Die Authentifizierung sollte dynamisch auf der Grundlage des ermittelten Risikos angepasst werden, anstatt für alle Transaktionen einen einheitlichen Standard anzuwenden.
Dieser adaptive Ansatz ermöglicht es Banken, unnötige Reibungsverluste für legitime Benutzer zu reduzieren und gleichzeitig die Aufmerksamkeit und strengere Überprüfung dort zu konzentrieren, wo Anomalien auftreten. Anstatt jeden Benutzer für jede Aktion aufzufordern, können Systeme die Überprüfung nur dann eskalieren, wenn verdächtige Muster erkannt werden. Nolte betonte, dass es keine einzelne Patentlösung gibt; verschiedene Authentifizierungsmethoden adressieren unterschiedliche Risiken, und Institute müssen sie in einem koordinierten Rahmen integrieren.
Schichtweise Verteidigung ohne Kundenstörung
Entersekts Strategie, wie von Nolte dargelegt, beinhaltet die Integration von Intelligenz in bestehende Authentifizierungsstacks, anstatt diese vollständig zu ersetzen. Ziel ist es, die vertraute Benutzererfahrung für Kunden zu erhalten und gleichzeitig die Entscheidungsprozesse im Hintergrund erheblich zu verbessern. ‚Wir integrieren uns in Ihren Authentifizierungsstack und machen Ihren Authentifizierungsstack intelligent‘, erklärte er.
Dies beinhaltet die Einbeziehung von Verhaltensanalysen und einer breiteren Palette von Datensignalen zur Identifizierung verdächtiger Aktivitäten. Nolte verwendete eine Analogie: traditionelle Systeme sind wie ein generischer Alarm, der ein Problem signalisiert, ohne dessen Ursache zu identifizieren. Fortgeschrittenere Systeme können jedoch angeben, was passiert, und die entsprechende Reaktion empfehlen. Dieses schichtweise Modell ermöglicht auch eine schrittweise Einführung. Banken können damit beginnen, ihre aktuellen Kontrollen zu verbessern und dann nach Bedarf zusätzliche Methoden wie Passkeys oder Biometrie einzuführen.
Die fortgesetzte Abhängigkeit von OTPs spiegelt eine grundlegende Spannung zwischen Bequemlichkeit und robuster Absicherung wider. Da sich die Betrugstaktiken weiterentwickeln und intensivieren, wird es immer schwieriger, dieses Gleichgewicht mit statischen Werkzeugen aufrechtzuerhalten. Nolte sieht den Weg nach vorn als einen inkrementellen Prozess, der Intelligenz und Kontext priorisiert. ‚Nehmen Sie, was Sie haben, und ergänzen Sie es mit etwas, das Intelligenz liefert‘, schloss er und betonte die Notwendigkeit für Banken, ihre bestehende Sicherheitsinfrastruktur mit intelligenteren, kontextbezogenen Lösungen zu erweitern.
