Delegated Authentication : Neues Verfahren verspricht mehr Sicherheit und dennoch zufriedene Kunden
Nicht selten „stolpern“ Kunden über zusätzliche Authentifizierungsschritte beim Online-Shopping und brechen dann ihren Bestellvorgang ab. Da eine erhöhte Sicherheit heute aber unumgänglich ist, sind Alternativen gefragt, die für den Nutzer keinen Kontextwechselerfordern. Aus der FIDO Alliance kommt hierzu ein relativ neuer Lösungsvorschlag.
Von Rolf Lindemann, San José (US/CA)
Der Onlinehandel ist aufgrund der Pandemie sprunghaft angestiegen – das Verbraucherverhalten hat sich nachhaltig geändert und der bequeme Einkauf im Internet ist bei vielen fester Bestandteil des Alltags geworden. Gleichzeitig hat jedoch der Betrug in erschreckendem Maße zugenommen: Der E-Commerce-Markt in Europa erreicht Schätzungen zufolge in diesem Jahr ein Volumen von 465 Mrd. US-$ [1] – 30 % mehr als vor Ausbruch der Pandemie. Gleichzeitig sind die verursachten Verluste durch Cyberkriminalität um über 87 % angestiegen [2].
Zahlreiche Finanzdienstleister haben daher bereits zusätzliche Authentifizierungsmethoden, wie Push-Benachrichtigungen oder SMS-One-Time-Passwords (OTPs), eingeführt, um die Sicherheit zu verbessern. Doch das führt auch zu Nebenwirkungen, die das Nutzererlebnis beeinträchtigen. Es verstärkt nämlich ein allgegenwärtiges Phänomen, das Onlinehändlern graue Haare bereitet: Kaufabbrüche. Schließlich werden 13 % aller Zahlungen [3], die über die Sicherheitsspezifikation EMVCo 3D Secure, welche die meisten großen Banken und Zahlungssysteme verwenden, verifiziert werden müssen, am Ende nicht abgeschlossen. 57 % der Verbraucher räumen ein, dass sie ihre Einkäufe schon abgebrochen haben, weil ihnen die Abwicklung zu kompliziert war [4].
Das macht sich direkt im Umsatz bemerkbar: Laut einer Forrester-Studie entgehen Unternehmen durch Kaufabbrüche jährlich über 18 Mrd. US-$. Darüber hinaus führen komplexe Abwicklungs- und Registrierungsprozesse dazu, dass immer mehr Verbraucher als Gast einkaufen – bei der Nutzung eines Smartphones sogar noch wahrscheinlicher. Dies bedeutet, dass weniger wertvolle Kundendaten erfasst werden, keine Kundenbindung möglich ist und die durchschnittlichen Warenkörbe kleiner sind, da registrierte Kunden in der Regel mehr ausgeben.
Eine mögliche Antwort auf diese Probleme liefert eine relativ neue Lösung: Delegated Authentication. Händler erhalten damit die Kontrolle über den Authentifizierungsprozess und können gleichzeitig die Sicherheit sowie die Nutzererfahrung verbessern.
Überblick
Delegated Authentication ist eine Entwicklung der Zahlungs- und Authentifizierungsbranche. Die Lösung setzt auf die Standards des offenen Branchenverbands FIDO Alliance („Fast IDentity Online“, https://fidoalliance.org) – zu den Mitgliedern zählen unter anderem Apple, Google, Microsoft, MasterCard, Visa und auch Nok Nok.
Das Verfahren bietet qualifizierte Händler oder Wallet-Anbieter die Möglichkeit, ihre eigenen Authentifizierungs- oder Anmeldeverfahren zur Genehmigung von Einkäufen zu verwenden – diese können jetzt erstmals Kundenkonten mit dem 3D-Secure-Zahlungsverifikationsverfahren verknüpfen. Die Nutzer wiederum können sich sicher bei ihrem Händlerkonto anmelden und dieselbe Methode für die Zahlungsfreigabe verwenden. Eine „Step-up“-Authentifizierung erübrigt sich, während gleichzeitig eine sichere Kundenauthentifizierung in nur einem einzigen Schritt erfolgt.
Ein Blick auf die klassischen Authentifizierungsmethoden zeigt: Die meistverbreitete Methode basiert immer noch auf Passwörtern. Ihre alleinige Nutzung ist jedoch rückläufig, weil ihre Nachteile für Kunden, Händler und Banken immer offensichtlicher werden: Nicht nur die Benutzerfreundlichkeit, sondern auch die Sicherheit ist schlecht, da Passwörter sehr anfällig für Angriffe wie Phishing sind. Verstärkt wird dies durch mangelnde Pass worthygiene, da viele Menschen dieselben Anmeldedaten für verschiedene Konten verwenden.
Die gängigsten zusätzlichen Authentifizierungsmethoden sind die bereits erwähnten Push-Benachrichtigungen und SMS-OTPs – diese führen jedoch häufig zu Kaufabbrüchen und sind anfällig für Social-Engineering, bei dem Betrüger Verbraucher dazu verleiten, ihre Einmalpasswörter selbst preiszugeben. Noch ausgefeilter ist das sogenannte „SIM-Swapping“: Betrüger geben sich dabei mithilfe öffentlich gefundener und/oder durch Social-Engineering gewonnener Informationen gegenüber Mobilfunkbetreibern als das Opfer aus und behaupten zum Beispiel, ihr Telefon sei verloren gegangen, um eine neue SIM-Karte für eigene Zwecke anzufordern.
Außerdem ist das Versenden von Push-Benachrichtigungen an Banking-Apps für die Benutzererfahrung problematisch: Denn Kunden müssen hierfür die App oder das Gerät wechseln, wodurch der Zahlungsfluss unterbrochen und der Vorgang bis zu einem gewissen Maße unberechenbar wird. Zudem ist die Reichweite gering, da schätzungsweise nur die Hälfte der Nutzer eine solche App einsetzt.
Vorteile
Einhaltung der PSD2-SCA-Richtlinien
Die EU-Zahlungsdienstrichtlinie PSD2 fordert von
europäischen Finanzdienstleistern eine starke Authentifizierung (SCA), das heißt, sie schreibt die Zwei-FaktorAuthentifizierung (2FA) für Bankdienstleistungen oder
Zahlungen vor. Dabei müssen zwei der drei Sicherheitsfaktoren „Besitz“, „Wissen“ und „Sein“ (Biometrie) erfüllt
sein, genauer:
- Besitz: Der Verbraucher ist im Besitz eines Authenticators, der sich entweder in einem allgemeinen (z. B. Smartphone) oder in einem speziellen Gerät (z. B. Smartcard, Sicherheitsschlüssel) befindet. Die Authentifizierung bestätigt den Besitz über einen geheimen Schlüssel (Private Key), der sicher im Gerät gespeichert ist.
- Biometrische Daten oder Wissen: Das zweite Element besteht entweder aus einem inhärenten Faktor, wie einem biometrischen Merkmal, oder Wissen (z. B. Passwort, PIN oder geometrisches Muster), das lokal vom Authenticator überprüft wird.
Indem Delegated Authentication die eingehende Bankanfrage mit den Transaktionsdetails verknüpft, können sich die Kunden in einer einzigen Aktion mittels 2FA verifizieren.
Verbesserung der Benutzerfreundlichkeit
2FA wird allzu oft mit 2SV, also einer zweistufigen Verifizierung verwechselt, bei der Nutzer zwei separate Aktionen durchführen müssen, um sich zu authentifizieren. Das ist bei Delegated Authentication jedoch nicht erforderlich: Nutzer können mit einer einzigen Methode zwei Authentifizierungsfaktoren nachweisen.
Da das Verfahren auf neuesten Standards basiert, können Verbraucher zwischen verschiedenen Methoden wählen – beispielsweise einem in ihr Smartphone integrierten Authenticator oder einem Hardware-Token (auch als Sicherheitsschlüssel oder Security-Key bekannt). Nutzer können außerdem ein von ihnen bereits genutztes Verfahren einsetzen, etwa Fingerabdruck, Gesichtserkennung oder PIN. Damit ist auch das Problem der uneinheitlichen Benutzererfahrung auf verschiedenen Websites passé: Sie wird planbar, da man nicht je nach Wert der Transaktion und sonstigen Ausnahmekriterien eine andere Authentifizierungsmethode verwenden muss.
Aufbau von Kundenbeziehungen
Mit Delegated Authentication können Händler die Authentifizierung über ihre eigene Anmeldeplattform anbieten. Das ist wertvoll: Sie bieten Kunden damit nicht nur einen besseren, passwortlosen Checkout an, sondern diese werden auch dazu motiviert, weitere Einkäufe zu tätigen, sofern sie ein Konto beim Händler anlegen. Das fördert nachweislich die Kundenbindung und erhöht den durchschnittlichen Wert des Warenkorbs, da eingeloggte Kunden tendenziell mehr ausgeben. Durch den Aufbau ihres eigenen Kundenstamms erhalten Händler außerdem einen besseren Einblick in das Kundenverhalten und können so ihre Geschäftsmodelle anpassen.
Erhöhung der Sicherheit
Der Einsatz offener Standards – wie FIDO – bedeutet auch, dass Delegated Authentication von einem Privacy-by-Design-Ansatz profitiert. Damit ist die Methode sehr widerstandsfähig gegen Man-in-the-Middle-Attacken, bei denen sich Angreifer in die bestehende Kommunikation einschleichen.
Je nach Implementierung kann Delegated Authentication auch die verbaute Hardwaresicherheit eines Geräts nutzen. Bei einem Smartphone wäre dies die vertrauenswürdige Ausführungsumgebung (Trusted Execution-Environment, TEE), bei PCs in der Regel ein Trusted-Management und Wissen Zahlungssystem-Sicherheit Platform-Module (TPM) und bei Smartcards ein Secure Element (SE). Die Nutzung der Hardwaresicherheit ist ein weiteres Schlüsselelement des FIDO-Ansatzes – dadurch werden keine sensiblen Daten an Dritte weitergegeben.
Leicht skalierbare Authentifizierung
Der FIDO-Standard wird von allen großen Plattformen unterstützt und lässt sich daher leicht implementieren und skalieren. Zudem werden Standards wie FIDO auch von Zertifizierungsprogrammen unterstützt: Händler können somit die Qualität und Kompatibilität ihrer Implementierungen mit dem Rest des Ökosystems garantieren – sei es durch den Kauf einer bereits validierten Standardlösung oder durch eine eigene Zertifizierung.
FIDO-Authenticator sind händlerunabhängig: Ein Authenticator, der bei einem Händler registriert ist, kann also dennoch auch für einen anderen Händler verwendet werden. Schließlich wird nur der öffentliche Schlüssel (Public Key) an den Händler oder Wallet-Server übertragen, während der geheime Schlüssel (Private Key) im Authenticator verbleibt. Nutzer benötigen somit nicht für jeden Händler einen eigenen FIDO-Authenticator und die Händler müssen auch nicht einen separaten Server für die sichere Bereitstellung betreiben. Das senkt sowohl die Kosten als auch die Komplexität für die Händler und reduziert gleichzeitig das Risiko.
Implementierung und Customer-Journey
Händler und Wallet-Anbieter, die Delegated Authentication einführen möchten, sollten einige Aspekte beachten: So können Händler entweder bewährte Lösungen von zugelassenen Anbietern beziehen oder die Komponenten selbst entwickeln. Plattform-Authenticator werden bereits von den meisten verbreiteten Geräten unterstützt – zum Beispiel von Android- und iOS-Smartphones und -Tablets, Windows-10-Computern und von MacOS.
Für die einmalige Benutzerregistrierung sind vor der Nutzung von Delegated Authentication drei Schritte erforderlich:
- Identifizierung und Verifizierung: Die Bank bestätigt, dass der registrierte Verbraucher der rechtmäßige Eigentümer des Zahlungsinstruments ist. Dies geschieht in der Regel über das EMV-3DS-Protokoll mittels des sogenannten Challenge Flow – entweder während des Transaktionsprozesses oder unabhängig davon. Hauptsache, die Bank authentifiziert den Kunden.
- Authenticator-Registrierung: Sobald Händler oder Wallet-Anbieter eine Bestätigung von der Bank erhalten haben, muss der Verbraucher zustimmen, dass sein Authenticator für weitere Authentifizierungen registriert wird. Anschließend gibt er eine von ihm bevorzugte Methode an (z. B. Biometrie oder PIN). Sobald dies abgeschlossen ist, gilt die Benutzerverifizierung als erfolgreich und es wird ein neues Schlüsselpaar für den Verbraucher sowie Händler/Wallet erstellt.
- Authenticator-Bindung: Zuletzt wird der Authenticator mit dem Verbraucherprofil und dem Zahlungsinstrument verknüpft, das heißt, die Bank kann fortan die Authenticator verifizieren, das Zahlungsinstrument des Verbrauchers mit dem Händler oder Wallet verknüpfen und die erforderlichen Public-Key-Daten speichern, um künftige Authentifizierungen zu verifizieren.
Für den Endanwender ist die Kaufabwicklung einfach: Er wählt lediglich die von ihm bevorzugte Karte oder Zahlungsart aus. Dann wird er aufgefordert, entweder dem Händler den Zugriff auf das zugehörige Konto zu gestatten oder die Transaktion mit der gespeicherten Zahlungsmethode zu authentifizieren.
Hinter den Kulissen sucht der Händler oder Wallet-Anbieter dann auf dem Gerät des Nutzers nach dem Berechtigungsnachweis und prüft, ob dieser korrekt und lokal gespeichert ist (und nicht auf einem anderen Gerät). Sobald der Authenticator identifiziert ist, wird der Nutzer aufgefordert, ihn zu verifizieren. Nach erfolgreicher Überprüfung wird eine signierte Antwort an den Händler zur abschließenden Validierung gesendet. Damit ist keine abschließende „Step-up“-Authentifizierung mehr erforderlich. Das vereinfacht den Zahlungsvorgang und sorgt gleichzeitig für mehr Sicherheit – eine seltene Kombination aus Bequemlichkeit und Sicherheit.
Fazit
Händler müssen bei der Implementierung von Delegated Authentication lediglich sicherstellen, dass sie die neuesten EMV-3DS-Spezifikationen sowie die FIDO-Authentifizierung nutzen und an einem Programm für Delegated Authentication teilnehmen.
Wichtig ist jedoch der Business-Case: Eine starke Authentifizierung, die Kaufabbrüche reduziert! Mit Delegated Authentication können Händler und Wallet-Anbieter ihre Strong-Customer-Authentication-(SCA)-Compliance sicherstellen, während sie gleichzeitig die Benutzererfahrung verbessern und Umsatzeinbußen vorbeugen.
Auch andere gängige Lösungen wie Passwörter und SMS-OTPs gewährleisten zwar aktuell die Einhaltung der Vorschriften. Delegated Authentication bietet Händlern und Kunden jedoch eine zukunftssichere Lösung – denn es könnte durchaus sein, dass weniger sichere Authentifizierungsmethoden langfristig aus den Richtlinien gestrichen werden.
Rolf Lindemann ist Vice President Products bei Nok Nok Labs und Board Member der FIDO Alliance.
Literatur
[1] Paul Skeldon, European eCommerce revenues jump 30 % to US$465bn in 2021, Internet Retailing, April 2021,
https://internetretailing.net/rxgeu/rxgeu/europeanecommerce-revenues-jump-30-to-us465bn-in-2021
[2] The Paypers, Fraud Prevention in Ecommerce Report 2020/2021, November 2020, erhältlich via https://thepaypers.com/reports/fraud-prevention-in-ecommercereport-20202021/r1245810 (Registrierung erforderlich)
[3] Ravelin, Global Payment Regulation & Authentication Report 2020, verfügbar über https://pages.ravelin.com/
global-payment-regulation-map (Registrierung erforderlich) oder online auf https://docplayer.net/203094644-Global-payment-regulation-authentication-report-2020.html
[4] IT4Retailers, Passwort-Frust: Jeder Zweite hat bereits einen Kauf abgebrochen, November 2020, https://it4retailers.de/sicherheit/passwort-frust-jeder-zweite-hat-bereitseinen-kauf-abgebrochen/
[5] FIDO Alliance, FIDO for PSD2, Providing for a satisfactory customer journey, September 2018, White Paper, https://media.fidoalliance.org/wp-content/uploads/FIDO-PSD2_Customer_Journey_White_Paper.pdf
[6] Jonathan Grossar, Alain Martin, Melanie Maier, Bernard Joly, Felix Magedanz, Arshad Noor, FIDO for SCA Delegation to Merchants or Wallet Providers, FIDO Alliance White Paper, März 2021