Know-how topsoft Fachmagazin 21-2
Ein sicheres und benutzerfreundliches Kundenportal? Was wir von von Banken lernen können Für Kunden gehören heute online Interaktionen mit Unternehmen zur Tagesordnung. Je sensibler diese Interaktion ist, desto höher die Anforderungen in Punkto Sicherheit. Ein einfaches Login reicht dann nicht mehr aus, um das Einfalltor für Hacker zu stopfen. Sicherer muss jedoch nicht zwingend komplizierter bedeuten. Was wir von Banken lernen können und welche Fehler wir uns ersparen können. >> Sandra Tobler | Futurae Technologies AG
Das Smartphone ist zum täglichen Begleiter geworden und beeinflusst unseren Alltag von morgens bis abends. Dies verändert nicht nur das Nutzerverhalten, sondern beeinflusst auch massgeblich, wie wir Dienstleistungen in Anspruch nehmen. Kunden erwarten heutzutage, dass sie mit Produkten und Unternehmen auf digitalen Kanälen kommunizieren und interagieren können – und dies möglichst einfach und unkompliziert, sei dies im Gesundheitswesen, im Baugewerbe, bei Lieferdiensten, in der Mobilität oder beim Onlineeinkauf generell.
Oftmals werden gerade Logins lieblos als notwendiges Übel behandelt. Nicht nur die Endanwender leiden unter fehlender Benutzerfreundlichkeit, sondern auch die Unternehmen selbst: Spätestens dann, wenn Nutzer sich nicht mehr an Passwörter erinnern und massenhaft Anfragen im Support landen. Erhebungen zeigen, dass sich zum Beispiel in der Finanzindustrie rund die Hälfte der Supportanfragen um Login- oder Authentisierungsprobleme drehen. Bei telefonischer Unterstützung kostet bereits ein 5-minütiger Anruf 25 Schweizer Franken im Durchschnitt.
Sicher ohne Kompromisse bei der Benutzerfreundlichkeit
Das Dilemma mit den Passwörtern
Die Benutzerfreundlichkeit sollte bei der gesamten Interaktion im Vordergrund stehen, denn jedes Hindernis kann dazu führen, dass Kunden frustriert den Prozess abbrechen. Dabei gilt es, Registrierung und Logins nicht ausser Acht zu lassen, denn sie sind die ersten Berührungspunkte, die Kunden mit dem Unternehmen haben.
Die Autorin Sandra Tobler arbeitet viele Jahre in der IT-Industrie und ist passionierte Unternehmerin. Sie ist Gründerin und CEO von Futurae Technologies AG. Sandra hat die Firma zusammen mit einigen der besten IT-Sicherheitsforschern der ETH gegründet, um Datenschutz, Sicherheit und Nutzerfreundlichkeit zu optimieren. Die Schweizer Cybersecurity Firma unterstützt bereits über 100 internationale Firmen bei der Sicherung von Kundenportalzugriffen und Transaktionen. www.futurae.com
36
Hatten Benutzer vor 15 Jahren höchstens eine Handvoll Passwörter, die sie sich merken und verwalten mussten, verfügt eine durchschnittliche Person heute über Hunderte von Accounts. Für jedes Kundenportal gibt es einen Benutzernamen und ein Passwort. Bei vielen, den «Sicheren», kommt dann noch ein zweiter Faktor hinzu. Die Zwei-FaktorAuthentisierung sorgt dafür, dass die OnlineDaten sicher sind, auch wenn die Benutzer immer wieder das gleiche Passwort wählen. Denn wenn die liebgewonnene NutzernamePasswort-Kombination an einem Ort in die falschen Hände geraten sollte, sind alle anderen Anwendungen, wo dieselbe Kombination im Einsatz ist, nicht mehr sicher – ein leichtes Einfallstor für jeden Hacker. Für Login-Daten werden im Untergrund hohe Beträge bezahlt, daher sind und bleiben solche Datenbanken ein lukratives Geschäft. Eine Mehrfachverwendung des Passworts führt also nicht nur zu Sicherheitslücken, sondern kann auch kostspielig werden, wenn man Opfer einer Cyberattacke wird. Die Verantwortung den Kundendaten gegenüber verschärft sich nicht erst, wenn in der Schweiz die neue Datenschutzordnung in Kraft tritt.
Ist Zwei-Faktor-Authentisierung also wirklich nötig? Oder steigen nur stetig die Kosten für die Verwaltung der IT-Infrastruktur Ihres Unternehmens? Überwiegt der Nutzen oder schädigt es die User Experience zu stark?
Lehren aus 20 Jahren OnlineInteraktionen bei Banken Glücklicherweise können Unternehmen jeder Grösse, von neu entstehenden Start-ups mit ehrgeizigen Wachstumsplänen über KMUs bis hin zu grossen internationalen Unternehmen, das Know-how nutzen, das in den letzten zwanzig Jahren in der Finanzdienstleistungsbranche aufgebaut wurde. Da sie von je her stark reguliert sind, haben sie mit Technologien bereits viele Maturitäten durchlebt. Ein kurzer Blick in die Geschichte der Authentisierung bei Banken: Es begann mit Hardware-Token, den lästigen kleinen PlastikDongles mit 6-stelligen Zahlen, die sich alle paar Sekunden ändern. Jeder von uns hat sich schon einmal die Mühe gemacht, die letzten beiden Ziffern einzugeben, bevor sich der Code vor unseren Augen änderte und wir alles noch einmal eintippen mussten. Unternehmen begannen, diese HardwareToken für ihre Mitarbeitenden zu verwenden. Und schon bald begannen die Banken, Tausende rund um den Globus an ihre Kunden zu verschicken, um die Online-E-Banking-Interaktionen zu sichern. Die Kosten waren hoch, die Logistik ein Albtraum, ganz zu schweigen von der Freude der Nutzern.
