Ergänzung von FIDO2: Stärkung der digitalen Sicherheit für Schweizer Banken und ihre Kundschaft

Die Schweizerische Bankiervereinigung (SBVg) und das Swiss Financial Sector Cyber Security Centre (Swiss FS-CSC) unterstützen die Empfehlung der Deutschen Kreditwirtschaft (DK), den FIDO2-Standard zu ergänzen – eine Änderung, die auch aus Schweizer Sicht wichtig ist, um den Standard für sichere Transaktionsbestätigungen und nicht nur für die Authentifizierung beim Login nutzbar zu machen.

Die DK setzt sich dafür ein, dass der FIDO2-Standard erweitert wird, um eine sichere Anzeige von Transaktionsdaten durch den jeweiligen Authenticator zu unterstützen. Momentan wird der Standard hauptsächlich dazu benutzt, um sich auf Plattformen und in Systeme einzuloggen und um den Browser zu Anzeigezwecken zu verwenden. Die DK möchte jedoch, dass der Standard erweitert wird. So wäre er für ein breiteres Spektrum an Transaktionen und Geschäftsaktivitäten nutzbar. Für den Bankensektor bezieht sich diese Nutzung hauptsächlich auf Onlinebanking und Kartenzahlungen. 

Wir unterstützen den Vorschlag der DK, den FIDO2-Standard zu ergänzen. Wir sind überzeugt, dass diese Änderung dem Schweizer Bankensektor zugutekommen wird. Dadurch kann FIDO2 nämlich weitläufiger genutzt werden, nicht nur für die Authentifizierung beim Login. Die SBVg und das Swiss FS-CSC unterstützen demnach den Vorschlag der DK um:  

  • Transaktionsdaten dem jeweiligen Authenticator zu übermitteln: Anstelle eines Hashwerts sollte dem externen Authenticator die vollständige Transaktion übermittelt werden. 
  • Eine sichere Anzeige zu integrieren: Authenticator mit Anzeigen sollten erweitert werden, damit die Nutzerinnen und Nutzer die übermittelten Transaktionsdaten sehen und sodann verifizieren können. 
  • Den Authentifizierungscode mit den angezeigten Daten verknüpfen: Der vom Authenticator generierte Authentifizierungscode sollte einen Hashwert beinhalten, der vom Authenticator für die auf dem Display angezeigten Daten berechnet wird. Dies erlaubt es, den Authentifizierungscode sicher mit diesen Daten zu verknüpfen. So kann die Bank die sichere Anzeige und Bestätigung der Transaktionsdaten überprüfen. 
  • Die CTAP-Spezifikation zu erweitern: Die FIDO-Allianz sollte das Client Authenticator Protocol (CTAP) um eine standardisierte Schnittstelle erweitern, durch die Transaktionsdaten übermittelt und angezeigt werden können. 

Diese Ergänzung würde es zum einen erlauben, die FIDO2-Standards im Finanzsektor einzusetzen. Zum anderen würde sie das Vertrauen der Nutzerinnen und Nutzer in die Authentifizierung anhand von FIDO2 sowie in Methoden von Transaktionsbestätigungen, die auf FIDO2 basieren, stärken. Die vollständigen Empfehlungen der DK können hier eingesehen werden.

Der FIDO-Standard
FIDO steht für «Fast Identity Online». Die FIDO-Allianz hat die Standards für die FIDO-Authentifizierung entwickelt. Sie basieren auf der Kryptographie mit öffentlichem Schlüssel. FIDO2 ist eine standardisierte Lösung für die Zwei-Faktor-Authentifizierung, die WebAuthn und das Client to Authenticator Protocol (CTAP) nutzt. Leider unterstützt CTAP zurzeit die sichere Anzeige von Transaktionsdaten durch externe Authenticators nicht. Diese Einschränkung hindert Nutzerinnen und Nutzer daran, die tatsächlichen Transaktionsdetails auf einer vertrauenswürdigen Anzeige zu überprüfen, bevor sie eine Zahlung bestätigen. Dies ist ein Sicherheitsrisiko im Hinblick auf das Onlinebanking und Kartenzahlungen.

Mehr Informationen zu FIDO finden Sie hier.