Markt Magazin

istock.com/FotografiaBasica

KI-basierte Verhaltensbiometrie als Chance für die Finanzbranche?

Mit der Einführung der zweiten EU-Zahlungsdiensterichtlinie (PSD2) im September 2019 wurde die Zwei-Faktor-Authentifizierung (2FA) bei vielen finanziellen Transaktionen zur Pflicht. Hierfür müssen zwei Authentifizierungsverfahren aus den Bereichen Besitz, Wissen oder Inhärenz (Biometrie) kombiniert werden. Diese zusätzliche Sicherheitsstufe bedeutet mehr Aufwand für Banken, Händler und Kunden. Um Letztere nicht zu verärgern und schließlich zu verlieren, sind die Unternehmen auf der Suche nach PSD2-kompatiblen Verfahren, die größtmögliche Sicherheit garantieren und gleichzeitig eine optimale User Experience (UX) ermöglichen.

Biometrische Verfahren rücken in den Fokus
Aufgrund der schlechten User Experience und bekannten Sicherheitslücken bei Passwörtern, aber auch Dank der Integration in moderne Mobilgeräte, gewinnt der Faktor Biometrie zunehmend an Bedeutung. Über biometrische Verfahren wie Fingerabdruck, Gesichtserkennung und neuerdings Verhaltensbiometrie – auch passive Biometrie genannt – können zuverlässig und ohne großen Aufwand individuelle Datenpunkte gesammelt werden, die den Nutzer eindeutig identifizieren. Bei der Verhaltensbiometrie verläuft dieser Prozess sogar ganz ohne aktive Mitwirkung des Anwenders im Hintergrund.

Sowohl die Entersekt-Studie zum Online und Mobile Banking aus dem Jahr 2019 als auch die im August 2020 veröffentlichte PwC-Studie „Biometrische Authentifizierungsverfahren 2020“ zeigen die Beliebtheit dieser Lösungen. » 1 Laut PwC-Untersuchung authentifizierten sich im vergangenen Jahr 29 Prozent der Nutzer mit biometrischen Verfahren, das sind 11 Prozentpunkte mehr als 2018. Hier spielt das Thema Sicherheit eine entscheidende Rolle: Mehr als zwei Drittel der Deutschen (68 Prozent) halten die biometrische Authentifizierung für sicher.

KI-basierte Datenanalyse
Verhaltensbasierte Lösungen gehören zu den jüngsten biometrischen Entwicklungen. Dabei werden umfangreiche Daten durch die KI-basierte Auswertung des Umgangs der Verbraucher mit ihren digitalen Geräten gesammelt. Folgende Aktionen werden dabei beispielsweise analysiert:

  • Druck: Wie viel Druck üben Nutzer aus, wenn sie den Bildschirm ihres Geräts berühren?
  • Tippfrequenz: Wie schnell streichen und tippen sie auf dem Bildschirm ihres Geräts?
  • Position: Wie halten sie ihr Gerät, wenn sie mit ihm interagieren?
  • Gerät und Verbindung: Wie verbinden sie sich mit der Umgebung?
  • Erwartetes Verhalten: Ist ihr Verhalten konsistent mit früherem Verhalten?

Zusätzliche Daten wie geografischer Standort, IP-Adresse und die Transaktionshistorie des Geräts werden verwendet, um eine statistisch validierte Wahrscheinlichkeitseinschätzung zu erstellen, ob die Person tatsächlich der legitime Nutzer ist. So werden Hunderte von Datenpunkten gesammelt und Interaktionen auf Abweichungen vom erwarteten Verhalten, Verdacht auf automatisiertes Verhalten, Spoofing, Abfangen/Manipulation durch Malware oder andere Anomalien geprüft.

Insgesamt beruht die KI-basierte Datenanalyse bei der Verhaltensbiometrie auf vier Säulen:

  1. Identifizierung von Gerät, Verbindung und Standort: Informationen wie Gerätetyp und Geodaten werden verwendet, um eine Geräte-ID zu erstellen, die Spoofing oder Gerätemaskierung erkennt.
  2. Passive (unsichtbare) biometrische Validierung: Die Art und Weise, wie ein Benutzer Eingaben auf dem Gerät vornimmt, (z. B. Tippgeschwindigkeit, Abweichungen beim Tastenanschlag) wird gemessen, um menschliches versus nichtmenschliches Verhalten zu identifizieren und potenzielle Betrüger vom rechtmäßigen Nutzer zu unterscheiden.
  3. Verhaltensanalyse: Das Benutzerverhalten wird kontinuierlich analysiert und mit dem Verhalten in der Vergangenheit abgeglichen, um Anomalien sowohl auf individueller als auch auf Gesamtbevölkerungsbasis zu erkennen.
  4. Abgleich mit einem anonymisierten Datenpool und bekannten Betrugsmustern.

Die KI der passiven Biometrie verwendet eine Technik ähnlich der Ausreißererkennung, um eine aktuelle Transaktion mit einem historischen Profil des Kontos zu vergleichen und um zu klassifizieren, ob es sich um denselben oder möglicherweise einen anderen Benutzer handelt. Techniken des Supervised Learnings werden genutzt, um langfristig sehr zuverlässige statistische Bewertungsmodelle zu erstellen. Unsupervised-Learning-Techniken dagegen werden eingesetzt, um Volumen- und Musteränderungen zu erkennen, die sich von bestehenden Modellen unterscheiden und ein hohes Risiko darstellen könnten.

Die Verhaltensanalyse erfasst die Daten, die sowohl vom Gerät selbst als auch von der im Hintergrund laufenden, biometrischen Anwendung gesammelt werden und übersetzt sie in ein Benutzerverhaltensprofil. Dieses Profil wird bei jeder Transaktion mit dem früheren Verhalten des Nutzers verglichen. Tauchen Abweichungen auf – ist beispielsweise die Tippfrequenz zu schnell oder der Anschlag fester als üblich – schlägt das System Alarm. Mithilfe Künstlicher Intelligenz lassen sich Muster im Anmeldeverhalten und verdächtige Aktionen identifizieren und so illegitime Zugangsversuche erkennen. Dann entscheidet die Bank oder der Händler, wie weiter verfahren werden soll. Möglich ist die Weiterleitung von Transaktionen zur Überprüfung durch einen Mitarbeiter, oder ein weiterer Authentifizierungsschritt wird verlangt.

Die Echtzeit-Verhaltensvalidierungsbewertung ermöglicht auch Vorhersagen über das wahrscheinliche künftige Verhalten. Diese KI-basierte Analyse ist äußerst zuverlässig und wird laufend besser. Dies liegt schlicht in der grundlegenden Logik des Maschinellen Lernens begründet. Algorithmen dieser Art benötigen umfangreiche Trainingsdaten, um im zweiten Schritt Muster in Daten zu erkennen. Bereits heute gibt es Lösungen, die eine Fehlerquote von unter 5 Prozent aufweisen. Das heißt, in weniger als 5 Prozent der Fälle wird ein legitimer, bekannter Nutzer fälschlicherweise als unbekannter Benutzer klassifiziert.

Einsatzszenarien für Verhaltensbiometrie
Passive Biometrie kann verwendet werden, um Logins vor Login-/Passwort-Validierungsangriffen und Konten vor betrügerischem Zugriff (ATO = Account Takeover) zu schützen. Außerdem wird sie eingesetzt, um Transaktionen und Interaktionen, wie E-Commerce-Checkouts, Finanztransaktionen und andere hochwertige digitale Interaktionen, zu validieren. » 2 Dabei hat sie sich sowohl bei der Aufdeckung einzelner, von Menschenhand gezielt gesteuerten AccountÜbernahme- Versuchen, als auch bei ungezielten Massen- Angriffen bewährt.

Ziel der Verhaltensbiometrie ist jedoch nicht nur, Betrüger zu identifizieren, sondern auch, gute Nutzer zu erkennen und zu belohnen. Diesen wird erlaubt, ohne zusätzliche Sicherheitsstufen Transaktionen durchzuführen. Für die guten Nutzer bringt sie also eine erheblich bessere und einfachere Nutzererfahrung. Allein kann Verhaltensbiometrie jedoch nicht die geforderte starke Kundenauthentifizierung leisten. Sie liefert aber einen Hinweis, ob der Authentifizierung eines Konsumenten vertraut werden kann oder ob der Kunde zusätzlich mit weiteren Schritten authentifiziert werden sollte.

Im Laufe der letzten Monate hat sich herausgestellt: Wenn Biometrie an der richtigen Stelle im Authentifizierungsprozess eingesetzt und mit Faktoren aus den Bereichen Besitz oder Wissen kombiniert wird, entsteht ein hochsicheres Verfahren ohne Einbußen bei der Nutzerfreundlichkeit. Authentifizierungslösungen mit Biometrie-Elementen sind sicher und werden vom Kunden bevorzugt. Denn diese Lösungen bieten Komfort und sorgen für deutlich verkürzte Bearbeitungszeiten durch einen hohen Automatisierungsgrad der Prozesse. KI-basierte Verfahren ermöglichen es erstmals, Identitätsprüfungen von Personen quasi als Echtzeit-Service zu leisten.

Fazit
Kunden erwarten heute ein intuitives Anwendererlebnis und möchten ihre Anliegen gerne möglichst bequem und sofort erledigt wissen. Für Unternehmen – egal ob Banken, Retail- oder Servicedienstleister – bedeutet dies, dass sie sich auf diesen Wunsch nach unmittelbarer Verfügbarkeit einstellen müssen. Mit den neuen Vorschriften zur starken Authentifizierung ist es schwieriger geworden, das Kundenerlebnis optimal zu gestalten. Mit einer intelligenten 2FA-Variante, die biometrische Daten und KI enthält, können Finanzdienstleister und Händler jedoch die geforderte Sicherheit bei Authentifizierungsverfahren gewährleisten und gleichzeitig für eine positive User Experience sorgen.

 

Autoren



Robert Capps, VP, Marketplace Innovation, NuData Security.

 

Uwe Härtel, Country Manager Central Europe, Entersekt.

Stichworte

Verwandte Artikel

Anzeige

Lexikoneinträge