Was ist Out-of-Band-Authentifizierung (OOBA)?

Als im Zuge der Pandemie immer mehr Menschen von zu Hause aus arbeiteten, einkauften und Bankgeschäfte erledigten, ist die Identitätssicherheit stärker in den Vordergrund gerückt. Die Unternehmen mussten den Betrügern Hürden in den Weg legen und sie stoppen, bevor sie Konten übernehmen und auf diese Weise Geld, Waren und Prämienpunkte ebenso wie Daten und Unternehmensressourcen stehlen, Ransomware installieren und andere Straftaten begehen konnten. Daten des Cybersecurity-Unternehmens Deduce lassen erkennen, dass „es sich bei einem Drittel der Kontoübernahmen um Bankkonten handelt, da ein Drittel der Login-Versuche bei Finanzdienstleistungs- und Finanztechnologieunternehmen (Fintech) mutmaßlich mit der Absicht einer Kontoübernahme erfolgen.“

Die Multi-Faktor-Authentifizierung (MFA) und die Zwei-Faktor-Authentifizierung (2FA) sind äußerst wirksame Lösungen, um Kriminelle aus den Netzwerken fernzuhalten. Die Out-of-Band-Authentifizierung (OOBA, auch als OOB-Authentifizierung bezeichnet) findet Einsatz im Rahmen von MFA- oder 2FA-Lösungen und fordert von den Nutzern, ihre Identitäten über zwei verschiedene Kommunikationskanäle zu verifizieren. Sie erschwert es den Betrügern, die Authentifizierung zu umgehen oder zu manipulieren und bietet ein gesteigertes Maß an Sicherheit.

Transaktionen können über unterschiedliche Kommunikationskanäle abgewickelt werden, wie unter anderem Internetverbindungen, drahtlose Netzwerke, Festnetzanschlüsse und persönliche Treffen. Die Out-of-Band-Authentifizierung (OOBA) setzt voraus, dass der Kommunikationskanal für die Authentifizierung eines Benutzers von demjenigen Kanal getrennt bleibt, der zur Anmeldung oder Durchführung einer Transaktion verwendet wird. OOBA wird oft als eine Form der Zwei-Faktor-Authentifizierung (2FA) oder Multi-Faktor-Authentifizierung (MFA) gesehen.

Angenommen, ein Kunde möchte eine Banktransaktion auf seinem Desktop-Computer durchführen. Er meldet sich mit seinem Benutzernamen und seinem Passwort beim Onlinebanking-System an. Das System versendet daraufhin ein Einmalpasswort (OTP) in Form einer Textnachricht oder Push-Benachrichtigung an das Mobilgerät des Benutzers. Auf diese Weise werden zwei verschiedene Kanäle verwendet: das Internet des Benutzers und sein drahtloses Netzwerk.

Alternativ dazu kann es auch sein, dass der Kunde bereits eine eindeutige PIN für das Onlinebanking festgelegt hat und diese über sein Handy oder Festnetztelefon eingeben muss. Dieser zusätzliche Schritt verhindert einen [unautorisierten] Zugriff auf das Konto, wenn ein Betrüger bereits über den Benutzernamen und das Passwort des Kunden verfügt. Die Identität des Benutzers wird über zwei verschiedene Kanäle mit zwei unterschiedlichen Authentifizierungsmethoden überprüft.

Selbst wenn Übeltäter über kompromittierte Anmeldedaten verfügen und sich mit einem Laptop anmelden, um einen Kauf zu tätigen, haben sie aber nur selten Zugang zum Smartphone des Benutzers, um das für die Autorisierung erforderliche Einmalpasswort zu erhalten, es sei denn, es sind auch Anrufweiterleitung, Klonen, Telefondiebstahl oder andere Methoden im Spiel. Die Transaktion kann nicht ohne das OTP abgeschlossen werden. Das Gleiche gilt für andere OOBA-Methoden, die das Unternehmen anstelle eines OTPs einsetzen kann, wie z. B. einen Fingerabdruck-Scan oder einen QR-Code.

Finanzinstitute verwenden die Out-of-Band-Authentifizierung häufig zur Verifizierung von Benutzern, wobei einige Banken sie ihren Kunden auf speziellen Seiten ihrer Website erklären. Finanzdienstleister sind ein wertvolles Ziel für Cyberkriminelle, die den Zugang nutzen würden, um Geld zu überweisen, Einkäufe zu tätigen und zusätzliche Informationen über den Nutzer zu erhalten.

Hier können Sie mehr darüber erfahren, welche Maßnahmen Banken und andere Finanzinstitute ergreifen, um Betrug entgegenzuwirken.

Einige Beispiele für die Out-of-Band-Authentifizierung (in Verbindung mit einem typischen Online-Login) sind Folgende:

• an ein mobiles Gerät gesendete Push-Benachrichtigungen

• QR-Codes mit verschlüsselten Transaktionsdaten

• biometrische Lesegeräte für Fingerabdruck-Scans oder Gesichtserkennung

• Telefonanrufe zur Stimmauthentifizierung