Open in app

Sign in

Write

Sign in

Zwei wichtige Gründe, warum Versicherer keine mTAN (SMS) einführen sollten.

Benny Bennet
Assekuranz Digital
Published in
3 min readJan 14, 2017

Sicherheit und Datenschutz für Versicherungskunden erfordern eine Zwei-Faktor Authentifizierung (2FA). Dies gilt im Besonderen dann, wenn Sie Ihren Kunden im Kundenportal oder beispielsweise der RechnungsApp Daten anzeigen möchten, die Gesundheitsinformationen beinhalten.

Leider muss ich beobachten, dass viele Versicherer als Lösung die sogenannte mTAN (mobile Transaktionsnummer) anbieten oder in Zukunft einsetzen wollen. Dabei wird eine einmalig und kurzzeitig gültige mTAN per SMS an die Mobilfunknummer des Kunden gesendet. Dieses Vorgehen sollten Sie Ihren Kunden aus zwei Gründen nicht zumuten:

Eine mTAN per SMS ist weder sicher noch komfortabel.

SMS sind nicht sicher.

“Charles Brookson, Leiter der GSMA Security Arbeitsgruppe, […] hat über den Einsatz von SMS bei Online-Banking und Payment-Services gesprochen und macht klar: Die SMS hat in jeder Hinsicht keine Sicherheit zu bieten.”
(Frei übersetzt — Zitat: David Birch)

Dem stimmt ebenfalls das National Institute of Standards and Technology (NIST — Teil des US Department of Commerce) zu. Sie erklären, dass eine Zwei-Faktor Authentifizierung (2FA) per SMS veraltet ist und fordern US Unternehmen auf, bessere Alternativen zu nutzen.

Sollten Sie Ihren Kunden noch keinen zweiten Faktor als Sicherheit anbieten, rate ich zum jetzigen Zeitpunkt ganz klar davon ab, ein Projekt zur Einführung von SMS als Sicherheitsfaktor zu planen. Wenn Sie bereits “einmal gültige Passwörter” (mTAN) per SMS verschicken, wäre es ratsam, sich in naher Zukunft um bessere Alternativen zu bemühen.

Das SMS nicht sicher sind, kann jederzeit in die Mainstream-Presse gelangen. Diese schlechte Presse würde sich entsprechend auf Ihre Produkte auswirken — das müssen Sie verhindern.

Update 03. Mai 2017: Angreifern ist es gelungen, mehrfach Geld von Konten durch einen Angriff auf das Online Banking System zu stehlen. Dabei hat der Angreifer zur Transaktionsfreigabe die Rufnummer des Opfers auf seine eigene SIM-Karte umgeleitet, sodass er, der Angreifer, die SMS TAN erhalten konnte. Systeme zur Rufnummernumleitung seien bereits ab 1.000€ erhältlich heißt es auf Sueddeutsche.de.

Update Februar 2019: Das Thema SIM-Swapping bekommt immer größere Bedeutung und ist mittlerweile eine gängige Methode SMS TAN zu attackieren: https://www.heise.de/newsticker/meldung/SIM-Swapping-Zehn-Jahre-Haft-fuer-5-Millionen-Kryptogeldklau-4297081.html

Ein Versicherungskunde muss sich sicher fühlen; eine Versicherung muss ihren Kunden Sicherheit bieten. In der Digitalen Welt ist die Cyber-Sicherheit ein weiterer Aspekt des Sicherheitsgefühls des Kunden.

Customer Centricity: Sicherheitscodes per SMS sind nicht komfortabel.

Einfachheit und Nutzen sind die Schlüssel für erfolgreiche digitale Produkte. Ein User wird sich nie die Mühe machen, etwas zu benutzen, was ihm keinen Mehrwert bringt.

Die Nutzung von mTAN bei der Anmeldung sorgt beim Kunden schon im ersten Schritt dafür, dass alles kompliziert erscheint. Auf die SMS warten, den Code Zahl für Zahl abtippen, eventuell einen Tippfehler korrigieren und das alles als Zusätzliche Hürde zur Anmeldung per E-Mail und Passwort. (“Passwort vergessen” ist die am häufigsten genutzte Funktion im Kundenportal von Versicherungsunternehmen.) Was passiert, wenn der Kunde seine Telefonnummer geändert hat, aber vergaß dies seinem Versicherer mitzuteilen?

Die Assekuranz steht bei der Digitalisierung vor der Hürde, die Regulatorik zu erfüllen und gleichzeitig mit dem Nutzererlebnis beliebter Apps mithalten zu müssen.

Gibt es Alternativen?

Die häufigste Alternative ist derzeit eine “Authenticator App”. Während diese aus Sicht der Sicherheit eine gute Lösung darstellt, frage ich mich: Möchte der Kunde für jedes Kundenportal extra eine App herunterladen, die ihm Sicherheitscodes generiert?

Sie können die Authenticator-Funktion in eine bestehende KundenApp als Feature einbauen und so auch noch die Downloadzahlen Ihrer App pushen. Das sollten Sie aus meiner Perspektive aber nur machen, wenn Ihre App auch ohne den Authenticator einen wirklichen Mehrwert bietet, sonst zwingen Sie Ihren Kunden die App auf — kein guter Start in die Beziehung.

Über Nect.com

Menschen, Dinge und Unternehmen miteinander verbinden, so einfach und persönlich wie ein Handschlag, sicherer als der deutsche Personalausweis — das ist das Ziel von Nect.

Mit Nect können sich Kunden außerordentlich sicher und komfortabel in Apps und Kundenportale der Assekuranz anmelden. Eine einmalige Einrichtung der Nect ID reicht aus, damit der Kunde sich überall in nur einem Klick anmelden kann. Nachweisbar sicher und komfortabel. Versicherungsunternehmen erhalten dabei verifizierte Personendaten und können trotz umfangreicher Sicherheits- und Datenschutzanforderungen den Komfort anbieten, den die Kunden erwarten — vielleicht sogar übertreffen.

Insurtech
Digitalisierung
Versicherung
Insurance
Cybersecurity

--

--

Assekuranz Digital
Assekuranz Digital

Published in Assekuranz Digital

2 Followers
Last published Jan 14, 2017

Blogbeiträge zur Digitalisierung in der Assekuranz. Powered by https://nect.com — Impressum: https://nect.com/impressum.html

Benny Bennet
Benny Bennet

Written by Benny Bennet

113 Followers
101 Following

CEO & Co-Founder of https://nect.com

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams