Autor | Quelle
Severin Renold
Weissknight Corporate Finance
Severin Renold
Weissknight Corporate Finance
Cyber Security – Digital Identity & MFA
(Original Text in English)
Der Nachweis der eigenen Identität ist eindeutig entscheidend für die Teilnahme am gesellschaftlichen, politischen, wirtschaftlichen und sogar kulturellen Leben. Vertrauen ist ein kostbares Gut, das man sich im Laufe der Zeit erarbeitet und das zwischen Verbrauchern und Unternehmen in einer Online-Welt nur schwer aufgebaut werden kann. Dies erfordert, dass die Unternehmen die richtigen Instrumente und relevanten Informationen einsetzen, um sie zu identifizieren. Im Gegensatz zu persönlichen Begegnungen fehlen bei digitalen Interaktionen die visuellen Anhaltspunkte, die normalerweise Vertrauen schaffen. Da digitale Interaktionen anonym zu sein scheinen, müssen Unternehmen und Verbraucher Wege finden, gegenseitiges Vertrauen aufzubauen.
Es wird erwartet, dass der digitale Handel bis 2022 weltweit mit einer durchschnittlichen Wachstumsrate von 20 % wächst und einen Wert von fast 6 Billionen US-Dollar erreicht, und die Zahl der Nutzer des digitalen Bankwesens (online und mobil) hat 2018 die 2-Milliarden-Grenze überschritten, mit einer erwarteten durchschnittlichen Wachstumsrate von 11 % (2019-2023), wobei der Anteil der Nutzer des mobilen Bankwesens an der weltweiten Bankbevölkerung im Jahr 2020 voraussichtlich 58 % betragen wird. Das bedeutet, dass Unternehmen unbedingt sinnvolle digitale Kundenbeziehungen aufbauen müssen, die auf Vertrauen basieren. Was ist nötig, um online Vertrauen aufzubauen? Praktisch gesehen geht es darum, sowohl die Sicherheit als auch den Komfort zu maximieren.
Es gibt einige wichtige Unterschiede und Ähnlichkeiten zwischen Authentifizierung und digitaler Identifizierung, die zum Verständnis der Märkte erläutert werden müssen.
Identitätsüberprüfung – Identifizierung ist die Methode, mit der wir beweisen, dass wir die sind, für die wir uns ausgeben. Dies unterscheidet sich von der Identität, die eine einzigartige Gruppe von Merkmalen einer Person ist. Die Identifizierung ist die Methode zur Authentifizierung der Identität.
Authentifizierung – Die Authentifizierung ist die Erweiterung der ersten Identitätsüberprüfung beim Onboarding eines Benutzers. Sobald die Identität des Nutzers überprüft wurde, authentifiziert sich der Nutzer, um einen Kauf zu tätigen, einen Kredit zu erhalten oder ein Konto zu eröffnen.
Eine vertrauenswürdige digitale Identität ist eine Reihe von verifizierten Attributen, die eine authentifizierte Verbindung zwischen einer Person und ihrer einzigartigen digitalen Identität herstellen. Bei diesen Attributen kann es sich u. a. um biometrische Daten, Ausweisdokumente oder Verifizierungsverfahren Dritter handeln. Eine vertrauenswürdige digitale Identität wird in der Regel in drei Schritten erstellt: Erfassung der verifizierten Attribute, Verifizierung der Datensätze und Digitalisierung der Identität.
Die Welt auf einen Blick
Der Nachweis der eigenen Identität ist eindeutig entscheidend für die Teilnahme am gesellschaftlichen, politischen, wirtschaftlichen und sogar kulturellen Leben. Dennoch haben mehr als eine Milliarde Menschen in einkommensschwachen Ländern keinen formal anerkannten Ausweis – weder auf Papier noch elektronisch – was sich negativ auf benachteiligte Gruppen in Afrika und Asien auswirkt. Eine digitale Identität stellt eine lebensverändernde Lösung dar, die den Zugang zu Renten- und Arbeitslosenunterstützung, Bildung, Gesundheitsfürsorge, Wahlrecht und vielem mehr eröffnet.
Finanzinstitute
Nach Angaben der Weltbank (2020) könnte die digitale Identität mehr als 1,7 Milliarden Weltbürgern, die derzeit finanziell ausgeschlossen sind, Zugang zu Finanzdienstleistungen verschaffen. Im Gegensatz dazu eröffnen Millionen von Verbrauchern in den digital vernetzten Teilen der Welt täglich neue Konten bei Online-Shops, Telekommunikationsunternehmen, Streaming-Diensten, Ridesharing-Apps und natürlich bei Banken.
Die Eröffnung eines Bankkontos beinhaltet zeitaufwändige und komplexe KYC-Prüfungen (Know Your Customer) und wiederholte Identitätsüberprüfungen während des gesamten Kundenlebenszyklus. KYC hilft bei der Identifizierung von Geldwäschern, Steuerbetrug und anderen kriminellen Aktivitäten. Mit der Einführung von PSD2 und den Anforderungen der Kunden an die Bequemlichkeit sind physische, persönliche Identitätsüberprüfungsmethoden nicht mehr rational; sie verlangsamen das Onboarding, frustrieren Kunden, die unter Zeitdruck stehen, lassen Raum für menschliche Fehler und sind schwer zu skalieren. Die digitale Identitätsüberprüfung ist der logische Ansatz, der den gesamten Prozess beschleunigt, den Zugang öffnet und Barrieren wie Zeit, Geografie und Kosten beseitigt. Es wird erwartet, dass im Jahr 2020 58 % der weltweiten Bankkunden mobile Bankgeschäfte nutzen werden.
Die Auswirkungen der Covid-19-Pandemie auf das Online-Banking
Die Pandemie, bei der kein Kontakt mehr möglich ist und die unter Quarantäne gestellt wurde, hat eine weltweite Verlagerung hin zu digitalen Transaktionen bewirkt und bereits bestehende Trends beschleunigt. Die Verbraucher verlangen nach digitalen Transaktionen, und Banken und Unternehmen müssen Wege finden, um in einer von Covid befallenen Welt Vertrauen aufzubauen.
(Deloitte Digital, October 2020)
Staat und Regierung
Neben der Sicherheit für Staaten und Bürger können gut umgesetzte digitale ID-Programme Einzelpersonen und Unternehmen den Zugang zu allen staatlichen Dienstleistungen ermöglichen. Die Schaffung eines vertrauenswürdigen Rahmens für die digitale Identität steht daher ganz oben auf der To-Do-Liste einer jeden Regierung. In vielen vernetzten Ländern wie Schweden, Belgien, Estland, Finnland und anderen ist ein nationaler mobiler digitaler Ausweis, der sowohl für den physischen als auch für den digitalen Bereich gilt, bereits für Millionen von Menschen Realität. Schweden sticht hervor, da es die Messlatte für die digitale Identitätsüberprüfung und -authentifizierung sehr hoch gelegt hat. Die meisten Schweden nutzen ihr Smartphone, um sich über das Internet zu identifizieren, ohne jemals einen physischen Ausweis vorzeigen zu müssen. Stattdessen erfolgt die Authentifizierung mit der vertrauenswürdigen mobilen Identifizierungslösung Mobilt BankID, die heute mit einer Akzeptanzrate von 98 % und 8 Millionen Nutzern der schwedische Standard für die mobile und digitale Identifizierung im Internet ist. Mobilt BankID ist auch von der schwedischen Regierung anerkannt.
Commerce
In-App-Käufe, Zahlungen von Person zu Person und elektronische Geldbörsen sind das Ergebnis der unablässigen Nachfrage der Verbraucher nach sofortigem Zugriff auf ihr Geld. Aus diesem Grund ist das bequemste und am schnellsten verfügbare Gerät von allen – das Smartphone – der Zahlungsweg der Wahl. Das Versenden von Geld an Freunde und Familie, das Einkaufen oder alltägliche Dinge wie das Bezahlen von Rechnungen über verschiedene Apps sind Beispiele für ein Verbraucherverhalten, das phänomenal ansteigt. Dabei erwarten die Verbraucher von heute auch ein nahtloses Kundenerlebnis. Für Händler geht es bei der Kundenregistrierung also vor allem um die Balance zwischen Sicherheit und Kundenerlebnis.
Ein komplizierter ID-Verifizierungs-/Authentifizierungsprozess wird die Kunden abschrecken. Ein gut durchdachtes digitales Identifizierungs-/Authentifizierungsverfahren hingegen ermöglicht es Unternehmen, ihre Kunden zweifelsfrei zu kennen, und bietet gleichzeitig erhöhte Sicherheit, größere Skalierbarkeit, bessere Benutzerfreundlichkeit und die Einhaltung gesetzlicher Vorschriften. Darüber hinaus steigert die digitale ID-Verifizierung die Effizienz und senkt die Kosten für die Bearbeitung von Kundenausweisen.
Der Bereich der digitalen Identifizierung ist in den letzten Jahren aufgrund der Nachfrage nach mehr Sicherheit und Datenschutz gestiegen, was mit dem weltweiten Wachstum digitaler Dienstleistungen einhergeht. Der Markt ist fragmentiert und vielfältig, und eine klare Definition dessen, was eine digitale Identität ausmacht – die mit einem digitalen Ausweis vorgelegt werden kann – steht noch aus.
Um den Markt für Identitätsnachweise zu bewerten, ist es notwendig, über die Anzahl und Art der Anbieter digitaler IDs hinaus eine weitere Dimension hinzuzufügen, nämlich die Art der autorisierenden Quelle(n), die die digitalen IDs für den Identitätsnachweis verwenden:
Multifaktor-Authentifizierung ist weltweit als die sicherste Methode anerkannt, um neue Kunden in Dienste einzubinden, die eine starke Kundenauthentifizierung (SCA) erfordern. Darüber hinaus hilft sie bei der Einhaltung strenger Vorschriften wie der Anti-Geldwäsche-Richtlinie (AML) und PSD2 in Europa. Heute behaupten zahlreiche Anbieter, Multifaktor-Authentifizierungslösungen (MFA) anzubieten. Diese weisen jedoch immer noch Sicherheitsmängel auf – vor allem, weil sie immer noch von Passwörtern oder anderen Authentifizierungstoken abhängen.
Die sicherste Form der Authentifizierung ist die passwortlose Authentifizierung. Die passwortlose Authentifizierung hat sich als eine Art von MFA herauskristallisiert, bei der das Passwort durch eine sicherere Alternative, wie Biometrie oder PIN-Codes, ersetzt wird. Diese Form der Authentifizierung erfordert zwei oder mehr Überprüfungsfaktoren, die mit einem kryptografischen Schlüsselpaar gesichert werden. Neben der technologischen Sicherheitslösung setzt die Multifaktor-Authentifizierung in der Regel ganz auf die Benutzererfahrung als Hauptantrieb und primären Wettbewerbsvorteil.
Die Leichtigkeit des Online-Shoppings, der Peer-to-Peer-Überweisungen und der nahtlosen Zahlungssysteme macht die Identität zur neuen Fundgrube für Cyberkriminalität. Cyberkriminelle kapern Identitäten und ergaunern Anmeldedaten auf vielfältige Weise: Skimming, Phishing, Malware und schwerwiegende Brute-Force-Datenverletzungen, um nur einige zu nennen. Da Daten überall vorhanden sind, hat die Lawine digitaler Dienste zahlreiche Berührungspunkte mit dem Kunden und einen langen Schwanz von Mikro-Momenten geschaffen, der die Angriffsfläche vergrößert und bei dem jeder einzelne einen möglichen Einstiegspunkt für einen Angreifer darstellt. Cyberkriminelle wissen, dass sich Unternehmen in vielen Fällen auf schwache Passwörter, SMS- oder E-Mail-Link-Bestätigungen oder One-Time-Passwörter (OTP) verlassen, um ihre Benutzer zu authentifizieren – die alle sehr leicht zu knacken, zu hacken und zu stehlen sind. Die gestohlenen Daten landen im Dark Web, einem Teil des Deep Web, einem versteckten Teil des Internets, der von Suchmaschinen nicht indiziert oder zugänglich ist. Im Dark Web kaufen und verkaufen Cyberkriminelle Malware und Cyberangriffsdienste, die sie nutzen, um ahnungslose Opfer, Unternehmen, Regierungen und Einzelpersonen anzugreifen.
Nach Schätzungen des FBI ist das Deep Web bis zu 5.000 Mal größer als das „Surface Web“ und wächst mit unvorstellbarer Geschwindigkeit. Es klafft also eine erhebliche Lücke zwischen der Menge der heute erzeugten Daten, die geschützt werden müssen, und der Menge der tatsächlich gesicherten Daten, und diese Lücke wird sich als Folge der Digitalisierung weiter vergrößern. Fast 90 Prozent aller Daten, die in der globalen Datensphäre erzeugt werden, werden bis 2025 ein gewisses Maß an Sicherheit erfordern (Data age 2025: The evolution of data to life-critical, Seagate, März 2017). Sobald eine Identität gestohlen wurde, kann sich ein Betrüger als der tatsächliche Kunde ausgeben und dessen Ansehen und Erfolgsbilanz nutzen, um neue Konten zu eröffnen, Kredite aufzunehmen oder die Kreditkarten einer Person für nicht autorisierte Transaktionen zu verwenden. Mehr als 2 von 5 Verbrauchern weltweit haben schon einmal einen Betrug im Internet erlebt, wobei die meisten Fälle in den Vereinigten Staaten auftreten, dicht gefolgt vom Vereinigten Königreich und die wenigsten in Europa, dem Nahen Osten und Afrika.
Ein weiterer Nachteil ist, dass Identitätsdiebstahl und die Übernahme von Konten eine zunehmende Bedrohung für Unternehmen darstellen. Neben erheblichen finanziellen Verlusten auf beiden Seiten können Kontoübernahmen, Datenlecks und Kreditkartenbetrug den Ruf von Banken, öffentlichen Einrichtungen und Händlern ruinieren. In vielen Berichten werden Kosten in Höhe von mehreren Milliarden Dollar nach einem tatsächlichen Cyberangriff und die grausamen Kosten für die Verhinderung solcher Angriffe genannt. Nach einer weithin zitierten Schätzung der Weltbank verlieren Institutionen für jeden Dollar, den sie durch Betrug verlieren, fast drei Dollar, wenn man die damit verbundenen Kosten hinzurechnet.
Die geschätzten weltweiten Verluste durch Cyberkriminalität werden für 2020 auf einen Rekordwert von knapp 1 Billion USD geschätzt, da die Coronavirus-Pandemie Hackern neue Möglichkeiten eröffnete, Verbraucher und Unternehmen ins Visier zu nehmen (Center for Strategic and International Studies).
Die Möglichkeiten der digitalen Identifizierung wachsen mit sinkenden Kosten, verbesserter Technologie und zunehmendem Zugang zum Internet und zu Smartphones. Die digitale Infrastruktur, die die digitale Identität unterstützt, wird täglich umfangreicher und kostengünstiger. Da Benutzernamen und Passwörter nicht mehr sicher sind und sogar gemäß PSD2 für Banken als Authentifizierungsmethode verboten sind, werden neue Sicherheitsansätze benötigt.
Der Markt für Identitäts-, Authentifizierungs- und Betrugslösungen wird bis 2023 ein Volumen von 28 Milliarden Dollar erreichen, und die Identifizierung wird ein zunehmend wichtiger Bestandteil dieses Marktes sein. (BCG Forschung und Analyse).
Markttrends:
Treiber und Chancen: Zunehmende Digitalisierung mit Initiativen wie eID und intelligente Infrastruktur.
Nordamerika wird während des Prognosezeitraums die größte Marktgröße haben: Es wird erwartet, dass Nordamerika während des Prognosezeitraums den höchsten Marktanteil in Bezug auf den Umsatz beisteuern wird, da es sich um eine technologisch fortschrittliche Region mit einer erhöhten Anzahl von frühen Anwendern und der Präsenz von bedeutenden Marktteilnehmern handelt. Es wird vermutet, dass Faktoren wie die Entwicklung von Regierungsinitiativen wie intelligente Infrastrukturen, Smart Cities, Führerscheine mit digitaler Identität und die zunehmende Integration verschiedener Technologien wie KI, ML und Blockchain zur Sicherung digitaler Identitäten die Nachfrage nach dem Markt für Identitätsüberprüfung ankurbeln.
Es wird erwartet, dass der asiatisch-pazifische Raum zur am schnellsten wachsenden Region mit der höchsten CAGR während des Prognosezeitraums beitragen wird, da er mit der frühen Annahme neuer Technologien ausgestattet wird. Regierungsinitiativen zur Bekämpfung von Identitätsbetrug, vor allem zur Stärkung von eKYC zur Identitätsüberprüfung, wie z. B. von Ländern initiierte Compliance-Vorschriften, die steigende Nachfrage nach cloudbasierter Identitätsüberprüfung und zunehmende identitätsbezogene Cyberangriffe treiben das Umsatzwachstum in dieser Region an.
Schlussfolgerung:
Sowohl etablierte Anbieter von Identitätslösungen als auch Start-ups bauen ihre Kapazitäten aus und streben nach Patenten und Übernahmen. Im Jahr 2017 wurden laut CB Insights 226 Identitätsgeschäfte über den Private-Equity-Markt finanziert, 2012 waren es 123. Doch trotz der vielen Investitionen und des großen Interesses gibt es auf dem Markt noch immer keinen klaren Marktführer.
Im Folgenden werden drei wesentliche Herausforderungen genannt, die erklären, warum dies der Fall ist:
Der Markt bietet ein Paradoxon. Die Start-ups, die über vielversprechende Technologien verfügen, haben oft nicht die nötige Größe, während die etablierten Akteure, die über die nötige Größe verfügen, häufig nicht über die innovative Technologie verfügen. So oder so werden überzeugende Fortschritte bei der Identitätsauthentifizierung nicht in vollem Umfang genutzt.