Die Schweizerische Bankiervereinigung (SBVg) und das Swiss Financial Sector Cyber Security Centre (Swiss FS-CSC) unterstützen die Empfehlung der Deutschen Kreditwirtschaft (DK), den FIDO2-Standard zu ergänzen – eine Änderung, die auch aus Schweizer Sicht wichtig ist, um den Standard für sichere Transaktionsbestätigungen und nicht nur für die Authentifizierung beim Login nutzbar zu machen.
Die DK setzt sich dafür ein, dass der FIDO2-Standard erweitert wird, um eine sichere Anzeige von Transaktionsdaten durch den jeweiligen Authenticator zu unterstützen. Momentan wird der Standard hauptsächlich dazu benutzt, um sich auf Plattformen und in Systeme einzuloggen und um den Browser zu Anzeigezwecken zu verwenden. Die DK möchte jedoch, dass der Standard erweitert wird. So wäre er für ein breiteres Spektrum an Transaktionen und Geschäftsaktivitäten nutzbar. Für den Bankensektor bezieht sich diese Nutzung hauptsächlich auf Onlinebanking und Kartenzahlungen.
Wir unterstützen den Vorschlag der DK, den FIDO2-Standard zu ergänzen. Wir sind überzeugt, dass diese Änderung dem Schweizer Bankensektor zugutekommen wird. Dadurch kann FIDO2 nämlich weitläufiger genutzt werden, nicht nur für die Authentifizierung beim Login. Die SBVg und das Swiss FS-CSC unterstützen demnach den Vorschlag der DK um:
Diese Ergänzung würde es zum einen erlauben, die FIDO2-Standards im Finanzsektor einzusetzen. Zum anderen würde sie das Vertrauen der Nutzerinnen und Nutzer in die Authentifizierung anhand von FIDO2 sowie in Methoden von Transaktionsbestätigungen, die auf FIDO2 basieren, stärken. Die vollständigen Empfehlungen der DK können hier eingesehen werden.
Der FIDO-Standard
FIDO steht für «Fast Identity Online». Die FIDO-Allianz hat die Standards für die FIDO-Authentifizierung entwickelt. Sie basieren auf der Kryptographie mit öffentlichem Schlüssel. FIDO2 ist eine standardisierte Lösung für die Zwei-Faktor-Authentifizierung, die WebAuthn und das Client to Authenticator Protocol (CTAP) nutzt. Leider unterstützt CTAP zurzeit die sichere Anzeige von Transaktionsdaten durch externe Authenticators nicht. Diese Einschränkung hindert Nutzerinnen und Nutzer daran, die tatsächlichen Transaktionsdetails auf einer vertrauenswürdigen Anzeige zu überprüfen, bevor sie eine Zahlung bestätigen. Dies ist ein Sicherheitsrisiko im Hinblick auf das Onlinebanking und Kartenzahlungen.
Mehr Informationen zu FIDO finden Sie hier.