Um den Faktor zehn pro Kunde billiger
Selbstverständlich hat die Bank bei der Auswahl der Lösung nicht nur die Funktionen, sondern auch auf die Kosten pro Nutzer. Die USB-basierende Lösung schlägt pro Anwender mit mehr als 50 Euro zu Buche. Da ist der Wunsch nach einer preiswerten Alternative nachvollziehbar. Vor allem, weil die Migros Bank von einem rasanten Wachstum im E- und Mobile Banking ausgeht sowie weitere Self-Service-Dienstleistungen anbieten möchte. Heute wickeln rund 150.000 der 800.000 Kunden ihre Bankgeschäfte über das Internet ab. In fünf Jahren werden es rund 50 Prozent der Klientel sein, schätzt Wick. "Mit dem neuen System können wir zusätzliche E-Banking-Kunden um den Faktor zehn günstiger anschließen als mit einer Hardware-basierenden Lösung", so der Migros-Bank-Manager.
Kostensenkend wirkt sich der Verzicht auf SMS-Nachrichten aus, die von verschiedenen anderen Verfahren wie SMS-TAN benutzt werden, um Transaktionen einzeln abzusichern. Selbst im Großeinkauf werden per SMS rund sechs Eurocent fällig. Bei einer großen Bank mit aktiver Online-Nutzerschaft kann sich das schnell zu einem Kostenfaktor auswachsen.
Anstelle von SMS-Nachrichten nutzt die neue Lösung zur Autorisierung von Transaktionen in vielen Fällen verschlüsselte Internet-Nachrichten, die über einen weiteren Kommunikationskanal an ein zweites, bei der Bank registriertes Endgerät des Kunden gesendet werden.Das ist nicht nur billiger, sondern auch sicherer als die leicht angreifbaren SMS.
Allerdings sei der Vollständigkeit halber erwähnt, dass in M-Identity Protection ebenfalls dezidierte Hardware einbezogen werden muss, falls der Bankkunde über kein zweites mobiles Endgerät verfügt oder keines benutzen darf, wie es in bestimmten Unternehmen der Fall ist. In diesem Fall ist der Kostenvorteil deutlich geringer.
Mobile Banking aus Kundensicht
So gestaltet sich das Mobile Banking aus der Perspektive des Migros-Bank-Kunden:
Der Kunde lädt sich auf jedes mobile Endgerät, das er für E-Banking nutzen möchte, die Banking-Ap.
Möchte er einen PC nutzen, installiert er ein kleines Programm, das ihm ebenfalls von der Bank zur Verfügung gestellt wird.
Bestehenden E-Banking-Kunden wird für jede angemeldete Gerät ein Aktivierungscode zugeteilt; neue E-Banking-Kunden erhalten die Codes per Post.
Sobald der Aktivierungscode in App oder Software eingegeben wurde, ist das Gerät registriert und mit den Konten des Kunden verbunden.
Ist die Anwendung aktiviert, muss der Kunde nur noch seine selbstgewählte PIN eingeben, um die E-Banking-Anwendung zu starten.
Will er beispielsweise Überweisungen tätigen, muss er die Transaktion bei bisher unbekannten Empfängern oder Auslandsüberweisungen über ein zweites Gerät bestätigen. Dazu wird an die App des zweiten Geräts über eine Internet-Verbindung eine verschlüsselte Nachricht "gepusht". Sie enthält noch einmal die Überweisungsdetails und bittet den Kunden, die Überweisung oder eine andere Transaktion zu bestätigen oder abzulehnen.
Nicht jede Transaktion muss über ein zweites Gerät bestätigt werden. Empfänger, an die der Kunde regelmäßig Geld überweist, oder Unternehmen, die von der Bank über eine White List als verlässlich eingestuft werden, zum Beispiel der örtliche Stromversorger, sind nicht gesondert zu bestätigen.
Der Kunde kann dabei weitgehend selbst bestimmen, welche Empfänger als sicher eingestuft werden. Die Bank geht davon aus, dass nach der anfänglichen Lernphase nur noch drei bis fünf Prozent der Transaktionen gesondert bestätigt werden müssen.
Integration in Core-Banking-Software
Insgesamt haben rund 50 Entwickler mehr als anderhalb Jahre an der Sicherheits- und Prozessoptimierung des E-Bankings für die Migros Bank gearbeitet. Dabei wurde M-Identity Protection in die Standard-Banking-Software der Finnova AG integriert. Kobil entwickelte in Zusammenarbeit mit dem Standardsoftware-Hersteller eine eigene Schnittstelle, die die Funktionen der Sicherheitslösung mit der Standardsoftware verbindet, so dass auch künftige Online-Services damit abgesichert werden können.
Für das Frontend beim Kunden entwickelte der Migros-Bank-Partner Netcetera unter Verwendung des Kobil Software Development Kit eine mobile App. Ab November dieses Jahres geht die Lösung in den Probebetrieb, ab Januar 2015 soll sie an die Kunden ausgerollt werden.
Zusätzliche Einsatzmöglichkeiten
Die Migros Bank will die neue Identity- Processing-Engine auch für andere Dienstleistungen nutzen. So ist ein Direct-Pay-Service für E-Commerce-Händler geplant. Gedanken macht sich das Unternehmen zudem über Mobile Payment in stationären Kaufhäusern.
Ein sicheres Mobiltelefon macht darüber hinaus zusätzliche Anwendungsfälle möglich, die sowohl den Kundennutzen als auch die Verarbeitungseffizienz der Bank erhöhen sollen. So ist zum Beispiel eine Lösung angedacht, mit der sich der Kunde beim Anruf im Call Center vorgängig in seiner mobilen App identifiziert und dadurch rascher und ohne lästige Sicherheitsfragen direkt bedient werden kann.
Wie Wick ergänzt, ist die Lösung auch einsetzbar, um sichere E-Mails mit Dokumentenanhängen zu schicken oder elektronisch Termine zu vereinbaren: "Der Kunde kann sicher sein, dass die Mail tatsächlich von uns kommt, und wir sind sicher, dass der Richtige die Mail erhalten hat." Die Migros Bank sei das erste Schweizer Finanzinstitut, das diese sicheren Services Endgeräte-übergreifend anbieten werde. Das führe zu mehr Kundenbindung, und zugleich senke es die Kosten durch mehr Selbstbedienung. (qua)