Aus PSD2 geht klar hervor, dass die EBA eine starke Kundenauthentifizierung verlangt. Darüber hinaus muss Aggregatoren und Drittanbietern von Zahlungsdiensten (TPP) der Zugriff auf die Konten der Kunden gestattet werden. Das EBA legt dar, was getan werden muss, um Konformität zu erreichen: Eine Authentifizierung basierend auf der Verwendung von zwei oder mehr Elementen, die als Wissen, Besitz und Inhärenz kategorisiert sind. Obwohl in der PSD2 nicht explizit auf die Multifaktor-Authentifizierung oder 2FA Bezug genommen wird, sind diese Praktiken zum Synonym für die beiden in Unternehmen am häufigsten verwendeten Authentifizierungsmethoden geworden: Einmalkennwörter (OTP) und Kurznachrichtendienste (SMS). Es ist zwingend erforderlich, dass Zahlungsdienstleister die Vertraulichkeit und Integrität der personalisierten Sicherheitsmerkmale und Authentifizierungscodes gewährleisten, die von Zahlungsdienstnutzern während aller Phasen der Authentifizierung verwendet werden. Allerdings weisen im Klartext übermittelte SMS-Nachrichten bekannte Sicherheitslücken auf (z. B. mobile Schadsoftware, die darauf ausgelegt ist, Textnachrichten von den Geräten der Benutzer zu stehlen) . Darüber hinaus bieten ausgeklügelte Phishing-Kits wie Kr3pto erfahrenen Bedrohungsakteuren die Möglichkeit, Einmalkennwörter in Echtzeit abzufangen. Diesen Erkenntnissen zufolge gehen Unternehmen, die sich lediglich auf OTP und SMS verlassen, tatsächlich ein Sicherheitsrisiko ein und legen möglicherweise die Konten ihrer Kunden offen. Verteilte Cloud-Dienste ergänzen die SCA-Anforderung durch Echtzeit-Anwendungsschutz, der KI, maschinelles Lernen und andere Technologien nutzt. 

Die F5 Distributed Cloud-Plattform bietet strenge funktionsübergreifende Analysen in den Bereichen Sicherheit, Betrug und Identität. Die Verwendung aller drei sicheren Authentifizierungselemente – Wissen, Besitz, Vererbung – ermöglicht eine höhere Genauigkeit und mehr Flexibilität. Die Europäische Bankenaufsichtsbehörde erkennt das „Inhärenzelement“ als den spannendsten und fortschrittlichsten Bereich der Authentifizierung an. Distributed Cloud Services unterstützen Finanzdienstleister bei der Erfüllung der PSD2-Anforderungen, indem sie umfassenden Web-, Mobil- und API-Schutz bieten, der mühelos zu bedienen ist. Die Distributed Cloud Platform schwächt neu entstehende Angriffe automatisch ab, indem sie jede Interaktion beobachtet und daraus lernt. Sehen wir uns unten ein Beispielszenario an:

F5s tiefe Kundenauthentifizierung in der Praxis (3-Elemente-Verifizierung)

• Schritt 1: Der Benutzer nähert sich einer Online-Eigenschaft oder -Anwendung.
  
• Schritt 2: Der Benutzername wird entweder eingegeben oder ist bereits eingetragen (beachten Sie, dass der Benutzername kein eigenständiges Wissenselement ist).
  
• Schritt 3: Benutzer gibt Passwort oder PIN ein (ein konformes Wissenselement )
  
• Schritt 4: Distributed Cloud Bot Defense führt eine Laufzeitüberprüfung des Besitzelements durch passive Biometrie durch, beispielsweise durch die Erfassung von Geräte-ID-Telemetriedaten.
  
• Schritt 5: Distributed Cloud Bot Defense führt Laufzeit- Inhärenzelementüberprüfung durch Verhaltensbiometrie durch
  
• Schritt 6: Der Benutzer wird verifiziert und schließt die Geldüberweisung ohne weitere Zwischenschritte ab.

Verteilte Cloud-Dienste ergänzen OTP und SMS 2FA durch verhaltensbasierte, funktionsübergreifende Analysen in Echtzeit, die Benutzer kollektiv in Übereinstimmung mit allen drei starken Kundenauthentifizierungselementen der PSD2 authentifizieren. Auf diese Weise wird die Einhaltung der Vorschriften gewährleistet, die Sicherheit verbessert und Benutzerreibungspunkte beseitigt.

PSD2 fördert Innovation und Open Banking, indem es Finanzinstitute verpflichtet, Drittanbietern (TPPs) Zugriff auf Kundendaten zu gewähren. TPP-Anwendungen stellen über APIs eine Verbindung zu Finanzinstituten her, um Daten zu aggregieren und eine einheitliche Sichtbarkeit zu bieten. Sie könnten zum Beispiel den Bankbestand, die Transaktionen und die Profile eines Kunden kontenübergreifend konsolidieren. Die Sicherheit von Apps und APIs ist von entscheidender Bedeutung, um das Risiko für Benutzerinformationen zu verringern, Betrug zu verhindern und gleichzeitig die Erwartungen der Kunden zu erfüllen. Nachfolgend finden Sie einige Beispiele für die Bedrohungen, die durch Risikoaggregatoren entstehen:

Aggregator-Identitätsdiebstahl
Aggregatoren, die eine Arbeitsbeziehung mit ihren Quellen haben, wird häufig der Zugriff auf die Dienste der Institution gestattet. Angreifer machen sich diese Beziehung zunutze, indem sie Konten mittels Credential Stuffing gegenüber dem Aggregator validieren, anstatt direkt gegenüber der Institution.

Kontoübernahme
Finanzaggregatoren speichern Bankdaten (Benutzernamen und Passwörter) von Kunden sowie Kontodaten der letzten 90 Tage und sind damit ein verlockendes Ziel für Angreifer. Angreifer können benutzeraktivierte Fintech-Anwendungen nutzen, um Kontostände zu stehlen und auf andere Online-Zahlungssysteme zuzugreifen.

Unvorhersehbare Spitzen in der Verkehrslast
Aggregatoren machen einen erheblichen Anteil der Kontoabfragen von Finanzinstituten aus und fragen das Finanzinstitut bis zu Zehntausende Male am Tag nach aktualisierten Verbraucherkonten ab. Multipliziert man diesen Wert mit Tausenden von Kunden, müssen die Finanzinstitute ihre Kapazitäten allein schon deshalb erweitern, um den Aggregator-Verkehr bewältigen zu können.

Bildschirm Scraping
Verbraucher geben ihre Anmeldeinformationen freiwillig an Fintech-Aggregatoren weiter, die wiederum Automatisierungstools verwenden, um die Daten der Verbraucher aus den Anwendungen der Finanzinstitute zu crawlen und zu extrahieren. Während die Zusammenführung dieser Daten für den Verbraucher möglicherweise unmittelbare Vorteile mit sich bringt, kann die Art und Weise, wie manche Aggregatoren auf diese Daten zugreifen, gegen Datenschutzvorschriften verstoßen und die Daten des Verbrauchers letztlich einem Betrugsrisiko aussetzen.

F5 bietet Sichtbarkeit und Kontrolle, um Finanzinstitute bei der Verwaltung von Aggregatoren und der Abwehr von Angriffen zu unterstützen. Kunden haben über die Apps ihrer Wahl jederzeit und überall vollen Zugriff auf ihre Daten und sind gleichzeitig vor den Risiken von Credential Stuffing und Account Takeover (ATO) geschützt.

Authentifizierungstransparenz
Distributed Cloud Bot Defense erkennt jeden einzelnen Anmeldeversuch und kennzeichnet den Datenverkehr als menschlich, automatisiert oder als Aggregator. F5 blockiert Angriffe auf die Web- und Mobilfunktionen des Finanzinstituts und kann auch erkennen, wenn Angreifer Credential Stuffing über einen Aggregator zur Kontovalidierung durchführen.

Unterstützung beim Onboarding
Durch Distributed Cloud Aggregator Management werden Aggregatoren dazu angehalten, von der Speicherung finanzieller Benutzerdaten abzurücken und stattdessen auf APIs umzusteigen, die von den Finanzinstituten unterstützt werden, von denen sie ihre Daten beziehen. F5 arbeitet mit dem Finanzinstitut und dem Aggregator zusammen, um diesen Übergang zu ermöglichen.

Zugriff mit geringsten Berechtigungen
Bei Verwendung von APIs können Distributed Cloud Services nur die von Aggregatoren benötigten Berechtigungen erzwingen und so die Bedrohungsfläche reduzieren. Beispielsweise kann für Transaktionen ein schreibgeschützter Zugriff oder nur die Anzeige von Zusammenfassungsinformationen erzwungen werden.

Anomalieerkennung
Verteilte Cloud-Dienste unterstützen sowohl das Finanzinstitut als auch den Aggregator bei der Anomalieerkennung. F5 erfasst die Fingerabdrücke aller Angreifer-Frameworks, einschließlich Headless-Browsern und manuellem Angriffsbetrug, und kann sowohl den Aggregator als auch das Finanzinstitut blockieren oder warnen.

Mit F5 fortgeschrittene Cybersicherheitsbedrohungen bekämpfen
F5 Distributed Cloud Services bieten erstklassige Lösungen für Anwendungssicherheit und Betrugsprävention auf einer integrierten Plattform. F5 nutzt KI-gestützte Präzision, um Angriffsverkehr in Echtzeit genau zu erkennen sowie Betrug zu erkennen und zu beseitigen.