Scans zur Gesichtserkennung oder für den Daumenabdruck werden immer häufiger genutzt. Ob diese Art der Authentifizierung auch für den Zahlungsverkehr ausreicht?
Datenlecks, Hacks und anderen Gefahren
Der Gesetzgeber
Untraceable Biometrics
Ob per Fingerabdruck oder Gesichserkennung. Biometrische Authentifizierung wird vermehrt auch im Zahlungsverkehr angewandt. Foto: sitthiphong - shutterstock.com
Sowohl Apple Pay als auch Google Pay unterstützen biometrische Zahlungen, und auch die Bank BNP Paribas arbeitet daran ihren Kunden die Authentifizierung von Kartenzahlungen mit biometrischen Verfahren zu ermöglichen. Zukünftig sollen Kunden der französischen Großbank Zahlungen über höhere Beträge mithilfe ihres Fingerabdrucks anstatt mit der PIN-Eingabe freigeben können.
Der globale Markt für biometrische Technologien wächst jährlich mit einer durchschnittlichen Rate von fast 20 Prozent und wird bis 2025 schätzungsweise auf 59,31 Mrd. USD ansteigen. Der Vorteil liegt auf der Hand: Das hektische Fummeln nach der Brieftasche oder das Zusammensuchen des losen Kleingelds in den Hosentaschen entfällt. Außerdem erschweren die Beständigkeit und Einzigartigkeit unserer Fingerabdrücke, Netzhäute und anderer biometrischer Merkmale - zumindest in der Theorie - betrügerische Transaktionen.
Doch je mehr Informationen Algorithmen über unsere Identität sammeln, desto mehr rücken Fragen zum Datenschutz in den Fokus.
Datenlecks, Hacks und andere Gefahren
Im Falle eines Cyberangriffs oder einer großen Datenpanne kann das Ändern des Passworts und anderer Anmeldedaten dazu beitragen, die Offenlegung vertraulicher Informationen zu begrenzen. Die Hacker hätten dann vielleicht dieses eine Mal Zugang zu den Konten gehabt, aber zukünftige Zugriffe lassen sich so verhindern.
Die Top-CIOs der Banken
Heiko Burdack Der CIO der Signal Iduna Gruppe, Heiko Burdack, wechselte zum 1. Februar 2023 als Chief Technology Officer zur Commerzbank.
Gerhard Grebler Seit Januar 2018 ist Grebler bei der Landesbausparkasse (LBS Bayern) für die Bereiche IT, Personal und Revision verantwortlich.
Melanie Kehr IT-Verantwortliche bei der staatlichen Förderbank KfW (Kreditanstalt für Wiederaufbau) ist seit April 2018 Melanie Kehr. Seit 2014 leitete sie als Bereichsleiterin Group IT den Bereich Informationstechnologie der BayernLB. Zunächst war Kehr Generalbevollmächtige der KfW, seit März 2019 ist sie auch Vorstandsmitglied der Bank.
Tobias Schmitt Tobias Schmitt ist CIO der NRW.Bank Düsseldorf/Münster. Im Jahr 2010 wählte ihn die Jury vom Wettbewerb "CIO des Jahres 2010" zu einem der besten IT-Verantwortlichen in der Kategorie Mittelstand.
Mike Dargan Head of Information Technology bei der Schweizer Bank UBS ist seit Mitte September 2016 Mike Dargan. Er arbeitet in Zürich und gehört dem Group COO Executive Committee der Bank an. Dargan war zuletzt CIO des Corporate and Institutional Banking der Standard Chartered Bank und dort für die End-to-End-Technologie und Betriebsprozesse dieser Geschäftsfelder zuständig.
Simone Bock Der Finanzdienstleister State Street Bank International GmbH hat Simone Bock zum Head of IT ernannt. Seit dem 1. Dezember 2022 leitet Bock von München aus die IT der State Street Bank International GmbH (SSBI). Die erfahrene IT-Managerin kommt von der BNP Paribas Group.
Bernd Leukert Bernd Leukert wurde am 1. Januar 2020 Vorstand für Technologie, Daten und Innovation der Deutschen Bank. Von 2014 bis 2019 war Leukert Technikvorstand bei SAP, wo er 1994 seine Karriere begann.
Stephan Tillack Stephan Tillack (49) verantwortet seit 2014 den IT-Bereich der Norddeutschen Landesbank (NORD/LB). Unter seiner Verantwortung wurden in den letzten Jahren diverse Modernisierungs- und Standardisierungsmaßnahmen vorgenommen, u.a. wurde die IT-Plattform für das Wholesale-Kreditgeschäft ausgetauscht, die Integrationsarchitektur für die dispositiven Daten erneuert und eine neue Core-Banking Plattform für die ausländischen Niederlassungen eingeführt. Die komplette Client/Server-Architektur inkl. Bürokommunikation wurde auf Microsoft-Standard überführt, die bestehenden Rechenzentren konsolidiert, das IT Risikomanagement grundlegend modernisiert, ein Innovations- und ein Datenlabor aufgebaut und die gesamte IT der Bremer Landesbank in die NORD/LB integriert. Stephan Tillack ist seit 1999 in diversen Führungsaufgaben bei der NORD/LB tätig.
Hans-Jürgen Plewan Hans-Jürgen Plewan ist seit 2013 Head of Group IT in der DekaBank. Zuvor führte der promovierte Informatiker die Geschäfte der Finanz Informatik Solutions Plus (FISP), einer Tochter der Finanz Informatik (FI). Die FI ist zentraler IT-Dienstleister der Sparkassen. Die DekaBank ist das Wertpapierhaus der Sparkassen. Im Vorstand vertritt seit Mai 2019 COO Daniel Kapffer die IT.
Aysel Osmanoglu Aysel Osmanoglu ist seit Januar 2016 IT-Vorstand bei der GLS Bank in Bochum (vormals Ökobank), zuständig für Infrastruktur/IT. Die BaFin muss der Berufung noch zustimmen. Osmanoglu stieg 2006 als Trainee ein und wurde 2013 zur Bereichsleiterin Basisgeschäft Marktfolge ernannt. Sie absolvierte ein Studium der Volks- und Betriebswirtschaftslehre, zugleich ist sie diplomierte Bankbetriebswirtin Management der Akademie Deutscher Genossenschaften.
Rudolf Hoyer Der Diplom-Informatiker Rudolf Hoyer ist seit September 2012 Leiter des Unternehmensbereiches Informationstechnologie und Organisation bei der Hamburger Sparkasse (Haspa). Seit 2009 leitet Hoyer bei der Haspa den Unternehmensbereich „Produktivität und Prozesse“. Davor war er im Stabsbereich der NRS Norddeutsche Retail-Service AG (ein Unternehmen der HASPA-Gruppe) tätig. Bis 2005 arbeite Hoyer bei der HypoVereinsbank in Hamburg und München, wo er die Integration der Vereins- und Westbank begleitete. Von 2005 bis 2007 verantwortete er in der VR Kreditwerk AG das Kreditprocessing in Norddeutschland.
Dorothée Appel Seit Oktober 2020 arbeitet Dorothée Appel als Chief Information Officer für Retail Banking, Commercial Banking und Functions (RCBF) in der Abteilung Innovation & Technology der ABN Amro.
Michael Clijdesdale Seit dem 1. April 2022 ist Michael Clijdesdale Chief Information Officer im Vorstand der ING Deutschland.
Rainer Neske Rainer Neske, Vorsitzender des Vorstands der Landesbank Baden-Württemberg (LBBW), hat im Januar 2018 die Zentralbereiche Finanzen und Informationstechnologie mitübernommen. Zuvor hatte zuletzt Alexander von Uslar die CIO-Funktion inne.
Volker Stadler Volker Stadler ist seit September 2017 Geschäftsführer der Volkswagen Bank GmbH und dort verantwortlich für Operations und Informationstechnologie. Stadler war zuvor Abteilungsleiter Steering & Strategy IT der Volkswagen Financial Services AG.
Christian Brauckmann Nach der Fusion von DZ Bank (Deutsche Zentral-Genossenschaftsbank) und WGZ Bank (Westdeutsche Genossenschafts-Zentralbank) zum August 2016 ist Christian Brauckmann neuer Vorstand für IT und Organisation. Er war bei der WGZ Bank zuvor zuständig für die Bereiche Financial Markets Operations, Zahlungsverkehr und Organisation und Betrieb.
Christiane Vorspel Christiane Vorspel wird ab Oktober COO im Vorstand der Commerzbank und verantwortet damit auch die IT. Sie kommt von der LBBW.
Joachim Wuermeling Der Jurist Joachim Wuermeling ist seit Anfang November 2016 offiziell Mitglied im Vorstand der Deutschen Bundesbank. Der Vorstand der Deutschen Bundesbank hat auch die Ressortzuständigkeiten neu verteilt. Wuermeling übernahm die Verantwortung für die Bereiche Informationstechnologie und Märkte. Wuermeling war von 1999 bis 2005 Europaabgeordneter der CSU und von 2005 bis 2008 beamteter Staatssekretär im Bundeswirtschaftsministerium. Dann wechselte er in die Hauptgeschäftsführung des Gesamtverbandes der Deutschen Versicherungswirtschaft, danach wurde er Vorsitzender des Verbandes der Sparda-Banken in Frankfurt.
Alexander Neumann Bei der Bausparkasse Schwäbisch Hall hat im November 2016 Alexander Neumann die Position des Leiters IT-Steuerung übernommen. Neumann kommt aus dem eigenen Haus: Zuletzt arbeitete er bei der Schwäbisch Hall Kreditservice AG, ein Finanzdienstleister im Kredit-, Bauspar- und Förderkreditgeschäft, als Bereichsleiter IT-Lösungen und Projekte.
Axel Schnuck Axel Schnuck ist seit Dezember 2016 Head of Information Technology bei der Deutsche Pfandbriefbank AG (pbb) in Unterschleißheim bei München. Schnuck war zuvor 13 Jahre in der zur DZ-Bank gehörenden Schwäbisch Hall Gruppe tätig.
Manuela Bieß Manuela Bieß (Foto) und Jürgen Wiedmann leiten seit Januar 2018 gemeinsam den Bereich "Informationstechnologie" der Helaba. Der Bereich "Organisation und Informatik" wurde zum 1. Januar 2018 in die zwei eigenständigen Bereiche "Organisation“ und „Informationstechnologie" geteilt.
Wolfgang Ludwig Wolfgang Ludwig ist seit Juli 2018 neuer Bereichsleiter Group IT/CIO der BayernLB. Der CIO berichtet an den CFO/COO der Bank. Ludwig arbeitet bereits seit 1996 für die BayernLB. Er hat im Zuge seiner Laufbahn verschiedene Fach- und Führungsfunktionen in München inne. Einige Jahre war er auch in der Niederlassung London tätig.
Andreas Fahrni Als Nachfolger von Urs Monstein übernahm Andreas Fahrni formal ab Juni 2018 die Rolle als Global Head IT der Bank Julius Bär. Nebst der Führung der globalen IT-Organisation der Bank mit Entwicklungs- und Betriebszentren in Zürich, Singapur und Luxembourg, haben für ihn die agile Transformation, die Digitalisierung des Bankkundengeschäfts und die Harmonisierung des globalen Betriebsmodels Priorität. Zuvor war Fahrni seit 2008 in der Bank Julius Bär in verschiedenen Funktionen tätig. Nach dem Master als Dipl. El.-Ing. ETHZ er zudem in verschiedenen Software-Entwicklungsprojekten bei der Firma Accenture in führenden Funktionen tätig.
Ulrich Reidel Der promovierte Wirtschaftswissenschaftler Ulrich Reidel ist seit Juli 2019 Chief Information Officer der Baader Bank mit Sitz in Unterschleißheim bei München. Zuvor war Reidel als CIO und CDO für die Südleasing und Südfactoring tätig, Töchter der Landesbank Baden-Württemberg (LBBW). Reidel hatte seine berufliche Laufbahn bei der Excelsis Business Technology begonnen. Weitere Stationen führten ihn über die Börse Stuttgart (Abteilungsleiter Projekt- und IT-Controlling / Bereichsleiter IT Service Management) und die MBtech Group (Leiter Software Standards and Integration).
Sandra Kagerer Sandra Kagerer besetzt seit 1. April die neu geschaffene Position des Head of IT der Airbus Bank in München. Sie berichtet an Matthias Jacobs, Head of IT & Operations. Zuvor war Kagerer IT Governance Manager der Kapitalverwaltungsgesellschaft BayernInvest. Bis 2018 war die Finanzmathematikerin bei der Beratungsgesellschaft KPMG Deutschland unter anderem im Risk-Management tätig.
Francine Zimmermann Francine Zimmermann hat im September 2017 die Leitung Auftragsmanagement bei der Finanz Informatik Technologie Service (FI-TS) mit Sitz in Haar bei München übernommen. Sie war zuvor 4,5 Jahre CIO bei der Häfen und Güterverkehr Köln AG (HGK).
David Mathers Der Brite David Mathers ist seit Anfang Mai 2012 in Personalunion CFO und CIO bei der Credit Suisse. Die Schweizer Großbank hat ihre Bereiche Finance, Operations und IT zusammengelegt. Im Zuge dessen verließ der vormalige CIO Karl Landert die Bank.
Klaus Bremges Seit Juli 2013 arbeitet Klaus Bremges als CIO der Portigon AG, diese ist die Rechtsnachfolgerin der WestLB. Die Portigon will zudem eine Service-Gesellschaft gründen, um Outsourcing-Dienstleistungen am Markt anbieten zu können. Bremges leitet auch die IT der Portigon Financial Services GmbH.
Bei biometrischen Daten ist das jedoch nicht so einfach. Unsere Daumenabdrücke und Gesichter begleiten uns dauerhaft; wir können sie nicht einfach gegen eine neue Identität austauschen. Das Risiko eines Diebstahls oder Missbrauchs biometrischer Daten ist hoch - es ist nur eine Frage der Zeit, bis diesbezügliche Kriminalität mit der zunehmenden Nutzung steigt.
Alarmierende Beispiele in verschiedenen Ländern zeigen die Risiken auf: Aadhaar, Indiens zentrale Datenbank für biometrische Identifikatoren wie Fingerabdrücke, war in der Vergangenheit bereits von einer massiven Datenpanne betroffen. Ein ähnlicher Angriff hatte Nadra als Ziel, die zentrale Datenbank Pakistans, die ebenfalls biometrische Merkmale der Bürger erfasst. Datenbanken wie Aadhaar und Nadra enthalten jedoch keine Zahlungsinformationen, die speziell an biometrische Details gebunden sind - bis jetzt.
Während Datenschutzverletzungen jeglicher Art schwerwiegende Folgen für Einzelpersonen haben können, ist es weitaus verheerender, wenn biometrische Identifikationsmerkmale auch mit Zahlungsdaten verknüpft wurden. Wird die Handfläche mit einem biometrischen Gerät gescannt, validieren die Algorithmen im Wesentlichen die eindeutigen Identifizierungsmerkmale und gleichen sie mit den zuvor ausgefüllten Zahlungsdaten ab. Je größer diese Datenbanken werden, desto mehr geraten sie in den Fokus von Hackern und anderen Kriminellen, um daraus Profit zu schlagen.
Notwendigkeit von Interventionen durch den Gesetzgeber
Im Februar 2020 hat die EU mit einem Whitepaper weitreichende Regelungen rund um Gesichtserkennung und künstliche Intelligenz angestoßen. Das Ziel war, einen einheitlichen Markt für Daten in ganz Europa zu schaffen. In Verbindung mit der Datenschutz-Grundverordnung (DSGVO) ist es denkbar, dass Europa von Unternehmen verlangen könnte, sich an einheitliche Standards und Prozesse zu halten, wenn sie an biometrischen Zahlungsmöglichkeiten arbeiten. Das sind keine guten Nachrichten für Unternehmen wie Amazon oder Facebook, die voraussichtlich versuchen werden, die gesetzlichen Rahmenbedingungen zu beeinflussen, um eine für sie vorteilhafte Regelung zu erreichen.
6 Wege zum KI-Fail
1. Datenmangel Datenprobleme gehören zu den häufigsten Gründen für das Scheitern von Artificial-Intelligence-Initiativen. Das belegt auch eine Studie des Beratungsunternehmens McKinsey, die zu dem Schluss kommt, dass die beiden größten Herausforderungen für den KI-Erfolg mit Daten in Zusammenhang stehen. <br /><br /> Demnach haben viele Unternehmen einerseits Probleme damit, ihre Daten richtig einzuordnen, um die Machine-Learning-Algorithmen korrekt programmieren zu können. Wenn Daten nicht richtig kategorisiert werden, müssen sie manuell richtig klassifiziert werden – was oft zu zeitlichen Engpässen und einer erhöhten Fehlerrate führt. Andererseits stehen viele Unternehmen vor dem Problem, nicht die richtigen Daten für das anvisierte KI-Projekt zur Verfügung haben.
2. Training, das ins Leere läuft Laut einer Untersuchung von PricewaterhouseCoopers verfügt mehr als die Hälfte der befragten Unternehmen über keinen formalen Prozess für das vorurteilsfreie Training von KI-Systemen. Schlimmer noch: Nur 25 Prozent der befragten Unternehmen würden demnach die ethischen Implikationen eines Artificial-Intelligence-Systems vor der Implementierung priorisieren. <br /><br /> Unternehmen steht eine Vielzahl von Bilddaten-Sets zu Trainingszwecken zur Verfügung – sowohl auf kostenloser als auch auf kommerzieller Basis. Dabei sollten Firmen allerdings unbedingt darauf achten, dass ein solches Datenset auch die für ihre Zwecke relevanten Daten enthält.
3. Problemfall Datenintegration In manchen Fällen ist nicht Datenmangel die wesentliche Hürde für den Einsatz von Künstlicher Intelligenz, sondern das genaue Gegenteil: zu viele Daten – an zu vielen Orten. <br /><br /> Solche Datenintegrations-Fauxpas können sich nachhaltig negativ auswirken. Dabei geht es nicht in erster Linie um technische Hürden, sondern beispielsweise darum, Compliance- und Datenschutzanforderungen gerecht zu werden.
4. Datenunterschiede Wenn Unternehmen für das Training von Artificial-Intelligence-Systemen nicht auf aktive, transaktionale sondern auf historische Daten zurückgreifen, entstehen Probleme. Denn ein System, das auf Grundlage eines historischen Snapshots trainiert wurde, wird im Zusammenspiel mit Echzeit-Daten nicht besonders zuverlässig performen. <br /><br /> Nach Ansicht von Andreas Braun, Managing Director und Partner bei der Boston Consulting Group, können Sie diese Problemstellung vermeiden, indem Sie Ihre Data Scientists aus dem Silo holen: Insbesondere wenn es um KI-Modelle geht, die mit Live-Daten arbeiten, bietet sich eine direkte Integration in die Produktionsumgebung an – diese geht im Regelfall auch wesentlich schneller vonstatten.
5. Unstrukturierte Daten Laut einer aktuellen Umfrage von Deloitte verlassen sich 62 Prozent der Unternehmen immer noch auf Spreadsheets – nur 18 Prozent profitieren bereits von unstrukturierten Daten wie Produktbilder, Audiodateien von Kunden oder Social-Media-Kommentare. Dazu kommt, dass viele der historischen Datensätze in Unternehmen den für den KI-Einsatz nötigen Kontext vermissen lassen. <br /><br /> Dabei kommt das Beratungsunternehmen auch zu der Erkenntnis, dass Unternehmen, die unstrukturierte Daten nutzen, ihre Geschäftsziele im Schnitt um 24 Prozent übertreffen konnten.
6. Kulturelle Mangelerscheinungen Daten außen vorgelassen, sind es vor allem organisatorische Herausforderungen, die dem Erfolg mit Künstlicher Intelligenz entgegenstehen. Die Mitarbeiter aus den Fachbereichen müssen direkt mit den Kollegen aus der Technik zusammenarbeiten und der übergeordnete Kontext sollte dabei stets im Fokus stehen.
Biometrische Daten sind hochsensibel. Wenn man nun bedenkt, dass große Tech-Unternehmen nicht immer ihr Bestes geben, um die Privatsphäre der Nutzer zu schützen, sollte man ihnen wirklich intime Details über die eigene Identität anvertrauen? Derzeit hat niemand außerhalb dieser Firmen eine klare Vorstellung von den Sicherheits- und Datenschutzprotokollen, die in deren Datenbankmanagement eingebettet sind. Aber wenn es eine Regelung gäbe, die klar und standardisiert festschreibt, wie Unternehmen das biometrische Zahlungsmanagement angehen müssen, könnte dies einen großen Beitrag zum Schutz vor Missbrauch leisten.
"Untraceable biometrics" können eine weitere Lösung sein. Dabei handelt es sich um Technologien, die eine sichere Verarbeitung biometrischer Informationen versprechen, ohne die Daten tatsächlich mit einer Person in Verbindung zu bringen. Dafür werden biometrische Daten, die eine Person übermittelt, in eine unabhängige Datenkette oder einen Schlüssel umgewandelt. So entsteht durch die biometrischen Daten ein Decoder zur eindeutigen Identitätserkennung.
Solche Technologien sind bereits in der Anwendung: NEXUS beispielsweise basiert auf einem biometrischen System, das beim Grenzübertritt zwischen Kanada und den Vereinigten Staaten zum Einsatz kommt. Allerdings sind diese Ansätze für Unternehmen aufgrund der komplexen Algorithmen und der benötigten Hardware meist unerschwinglich. Ohne eine entsprechende Gesetzgebung, die ihre Verwendung vorschreibt, ist davon auszugehen, dass kein großes Unternehmen einen Anreiz hat, "untraceable biometrics" zu implementieren.
Der Gesetzgeber muss also seinen Teil dazu beitragen, wie es die EU bereits in Ihrem Whitepaper zu künstlicher Intelligenz und biometrischen Technologien angestoßen hat. Doch es bedarf nicht nur einer lokalen, sondern auch einer bundesweiten oder gar globalen Anstrengung, um die Sicherheit biometrischer Zahlungen zu gewährleisten.
Als Verbraucher müssen wir erkennen, dass jede neue komfortable Technologie unweigerlich einen Kompromiss in Bezug auf die Privatsphäre darstellt. Biometrische Zahlungen sind verlockend, aber solange wir keine Gewissheit über deren Sicherheit haben, sollte diese Technologie nicht genutzt werden. Zudem sind Systeme, die eine sichere Verarbeitung biometrischer Informationen versprechen, aufgrund der komplexen Algorithmen und der benötigten Hardware für viele Unternehmen derzeit meist unerschwinglich. Und wem seine Anonymität und die Anonymität seiner Kunden wichtig ist, der setzt für den Bezahlvorgang ohnehin am besten auf Bargeld.