Credentials as a Service
Banken lagern Identitätsprüfung in die Videocloud aus
Wasserdichte Sicherheitsarchitektur minimiert Einfallstore
Um generell die Sicherheit bei Transaktionen über mobile Kanäle zu erhöhen, benötigen aber sowohl die Banken als auch die am Wertschöpfungsprozess beteiligten externen Dienstleister mittel- bis langfristig eine technisch ausgereifte Sicherheitsarchitektur. Schließlich gibt es in der weit verzweigten Finanzbranche eine fast unübersichtliche Zahl an Applikationen und Dateninseln, die es zu schützen gilt.
"Das von Hewlett Packard entwickelte moderne Ökosystem 'Technologies for Payment' bildet die zentrale Schnittstelle für alle Aktivitäten, konform zu einer bereits existierenden Infrastruktur für mobile Endgeräte, und zwar auf der Grundlage eines zentralisierten Authorisierungsprozesses gegenüber allen Datenressourcen, einschließlich der vorhandenen Back-Office-Umgebung", betont Volker Fischer.
Unabhängig von komplexeren betriebswirtschaftlichen Anwendungen macht der Trend am Frontend, beim privaten Nutzer, weiter Schule. Bei Deutschlands größter Direktbank ist man zuversichtlich, was den Schwenk der Identitätsprüfung unter anderem in die Videocloud angeht. Die technischen Voraussetzungen zur Durchführung seien vorhanden.
Der Nutzer benötige dazu lediglich eine stabile Internet-Verbindung, eine Webkamera und einen aktuellen Browser, bekräftigt Zeljko Kaurin, Generalbevollmächtigter der ING-DiBa. "Die im Hintergrund benutzte Technik ist eine sichere und schnelle WebRTC-Funktionalität, die bei den genannten Browsern automatisch integriert ist", beruhigt der Experte.
Fazit: Letztlich verbleibt auch im Zeitalter von (mobilem) Cloud Computing via "Credentials as a Service" die Verantwortung beim beauftragenden Unternehmen, sprich dem IT-Management bzw. der bankinternen Revision. "Sobald ein externer Administrator eine Verbindung mit und zu den internen Banksystemen und -applikationen aufbaut, sollte die Bank jederzeit in der Lage sein, sowohl den Urheber als auch inhaltliche Zielstellung dieses Vorgangs in Echtzeit zu kontrollieren", empfiehlt Fischer. Denn nur so ließe sich das unternehmensweite Management von Zugriffsberechtigungen stets in einem verlässlichen regulatorischen Rahmen halten.