ENISA fordert sicheres E-Banking und E-Payment

Nicht replizierbare, einmalige Anmeldedaten für Web-Identitäten in der Finanzbranche erforderlich

[datensicherheit.de, 21.01.2014] Unterschiedliche Token, Geräte, Mobiltelefone, elektronische Signaturen, etc. werden verwendet, um unsere E- Identitäten zu authentifizieren. Dennoch gibt es Finanzinstitute, die die Gefahren eines unzureichenden Authentifizierungsmechanismus immer noch nicht berücksichtigen, wie eine neue Studie der EU Agentur ENISA belegt. Der Bericht analysiert aktuelle Betrugsfälle bei online Finanzdienstleistungen und vergleicht diese mit den Authentifizierungsmechanismen der Finanzinstitute. Der Bericht betont die Notwendigkeit moderner Sicherheitsmechanismen und bietet 10 Empfehlungen für eine bessere Sicherheit.

Die Agentur analysierte über 100 Umfrageantworten von Händlern und E-Banking-Sicherheitsexperten über die elektronischen Identitäts- und Authentifizierungsverfahren (eIDA). Diese werden täglich von Bürgern, Kunden und Unternehmen in Elektronischen Finanz- und Zahlungssystemen verwendet. Zusätzlich bestimmte die Agentur Risiken und Angriffsmuster für jedes Authentifizierungsverfahren( einschließlich „Phishing“ (gezielte Angriffe), ID-Diebstahl, Session- und Identitäts-Hijacking, etc.) der Finanzinstitute, Händler und Zahlungsdienstleister.

Als Ergebnis hat die Agentur Richtlinien, Best Practices und Empfehlungen für E-Banking und Internet-Zahlungen produziert. Unter den wichtigsten Empfehlungen sind:

1. Verbessern Sie die Sicherheit der E-Finance-Umgebung, was bedeutet, dass Finanzakteure folgendes durchführen sollten:
   • Eine Risikoanalyse basierend auf dem Profil des Kunden und Größe der Institution,
   • Verbesserung des Bewusstsein und der Fähigkeiten der Kunden,
   • Authentifizierungsmethoden , die auf das Verhaltensprofil des Kunden und den Parametern der Transaktionen (z.B. Zielland, Betrag) zugeschnitten sind,
   • Frühere Erkennung von Gefährdungen der Geräte des Kunden, durch Geräteregistrierung, Prüfung und Bewertung der Sicherheit („Geh davon aus, dass alle Geräte infiziert sind“).
2. Verbessern Sie die Sicherheit von E-Finance -Anwendungen und deren Vertriebskanälen zu den Kunden:
   Förderung des traditionellen „Sicherheit durch Design“. Sie sollten auch den Vorschlag für neue Richtlinien zum Schutz personenbezogener Datenberücksichtigen und vertrauenswürdige Kanäle verwenden, um Anwendungen auf den Geräten des Kunden zu installieren.
3. Fördern Sie Verhältnismäßigkeit zwischen der Widerstandsfähigkeit ausgewählter Methoden und dem festgestellten Risiko
   (Angemessenheit der eIDA zum Kontext der Transaktion) mit Schwerpunkt auf der Verwendung der „2 – Faktor – Authentifizierung „, auch für Operationen mit geringem Risiko (z.B. Geldautomaten haben dies: eine Karte und eine PIN-Code).
4. Verbessern Sie die Kenntnisse und das Verhalten sowohl von Kunden als auch von Profis:
   Zusammenfassend kann gesagt werden, dass die aktuellen eIDA Praktiken in der Finanzbranche nicht viele Risiken abdecken. Die EZB und die Europäische Kommission entwickeln Empfehlungen und Verordnungen basierend auf dem ENISA-Bericht, um Werkzeuge zu identifizieren und zu produzieren, durch die finanzielle Verluste durch Betrug verringert werden.

Der Geschäftsführende Direktor der ENISA , Professor Udo Helmbrecht , kommentierte:  „Der Finanzsektor verwaltet E-Transaktionen von Hunderten von Milliarden Euro jedes Jahr. Daher sind sichere E-Identitäten und Authentifizierungen einfach ein Muss für die Wirtschaft Europas. Die Finanzinstitute sollten Sicherheit als Wettbewerbs Marketing -Tool verwenden. Mit diesem Bericht können Finanzakteure eine Kosten / Nutzen -Analyse von zusätzlichen Authentifizierungsmechanismen machen.“

Weitere Informationen zum Thema:

ENISA – European Union Agency for Network and Information Security
eID Authentication methods in e-Finance and e-Payment services – Current practices and Recommendations

datensicherheit.de, 04.11.2013
ENISA: Empfehlungen zum Schutz persönlicher Daten durch Kodierung