Die Stimme als Sicherheitscode

Bei der Sicherheitstechnik für das Online Banking besteht weiteres Verbesserungspotenzial. Selbst der modernste Privat-PC bietet keinen perfekten Schutz, wenn etwa schwache oder identische Passwörter für verschiedene Systeme verwendet werden, PINs unter die Tastatur geklebt oder TAN-Listen in der unverschlossenen Schreibtischschublade aufbewahrt werden. Wobei allein schon das Hantieren mit all diesen Nummern und Codes die Nutzung der Systeme erschwert. 2008 gab in einer Studie1 mehr als die Hälfte der Befragten an, wichtige persönliche Zugriffsdaten schon einmal vergessen zu haben.

Schätzungsweise 8 Mio Internetnutzer in Deutschland verzichten laut Bitkom aus Angst vor Missbrauch auf jegliche Online-Transaktionen. Würde es also gelingen, komfortable Sicherungsprozeduren zu installieren, ließen sich auch jene Kundengruppen von den Vorzügen des Online Banking überzeugen, die bis jetzt noch zögern.

Sicherheit mit Nutzerfreundlichkeit verbinden
Eine Internet-Überweisung könnte schon morgen folgendermaßen aussehen: Nachdem sich die Kundin mit Kennwort und PIN vermeintlich authentifiziert hat (denn schon hier kann sich die Bank nicht wirklich sicher sein, dass am anderen Ende auch wirklich ihre Kundin sitzt), gibt sie die Überweisungsdaten ein und erteilt den Auftrag durch Anklicken des Button. Dort, wo jetzt normalerweise eine iTAN abgefragt oder vom System per SMS aufs Handy übertragen wird, erscheint stattdessen eine Telefonnummer, die die Kundin wählt. Der Sprachcomputer am anderen Ende der Leitung bittet kurz darum, die folgenden Zahlen nachzusprechen: fünf, drei, null, drei.

Sprachapplikationen zunehmend akzeptiert
Dieser für die Kundin völlig unkomplizierte Schritt bringt einen Zugewinn an Sicherheit: Das System erkennt die Stimme und somit zweifelsfrei die Identität der Kundin. Das kurze Gespräch wird anschließend sofort wieder beendet, und auf dem Bildschirm erscheint die Bestätigung, dass die Überweisung erfolgreich entgegengenommen wurde.

Während das Telefonbanking aus Sicht der Anwender schon heute den sichersten Weg für das Direct Banking darstellt, bietet es zwangsläufig nur wenig Komfort, insbesondere durch das Fehlen der Anzeigemöglichkeiten, wie man sie aus dem Internet längst kennt. Trotz des fehlenden Anwenderkomforts kommt eine Fraunhofer-Studie2 zu dem eindeutigen Ergebnis, dass sowohl die Nutzung als auch die Akzeptanz so genannter Sprachapplikationen schnell zunimmt. Beides miteinander zu verbinden – Telefon- und Online Banking – könnte also auch die Vorteile beider Systeme kombinieren: Sicherheit und Nutzerfreundlichkeit auf der einen Seite, Komfort und Mobilität auf der anderen.

Funktionsweise der Sprachbiometrie
Man unterscheidet beim technischen Verfahren der Sprachbiometrie in der Regel zwischen Identifikation und Verifikation. Bei der Identifikation wird versucht, anhand von Stimmencharakteristika den Sprecher zu ermitteln. Verglichen wird da bei der Sprecher mehr oder minder mit der Gesamtmenge aller gespeicherten Profile. Bei der Verifikation hingegen wird ausschließlich überprüft, ob der Sprecher auch wirklich mit dem Profil jenes Sprechers übereinstimmt, der er vorgibt zu sein. Eine Verifikation ist deshalb nicht nur deutlich schneller als die Identifikation und weist dabei deutlich niedrigere Fehlerquoten auf, sondern sie wird auch dem Datenschutz besser gerecht.

Auch die umfangreiche Studie „Bank und Zukunft“ kommt beim Vergleich der Vor- und Nachteile biometrischer Merkmale (Iris-Scan, Fingerabdruck etc.) zu dem Ergebnis, dass die Stimmerkennung vor allem bei Ergonomie, Akzeptanz und nicht zuletzt auch bei den Kosten positiv zu bewerten ist. Erste Pilotversuche in Deutschland haben gezeigt, dass Falsch- Authentifizierungen bei der Sprachbiometrie faktisch nicht vorkommen und die Quote für Nicht-Authentifizierungen in einem akzeptablen Rahmen liegt.

Ausgereifte Technologie
Bei sprachbiometrischen Systemen hinterlegt der Kunde im System sein Sprachprofil in Form eines so genannten „Voice Prints“, zu vergleichen mit einem „akustischen Fingerabdruck“. Dies geschieht meist durch das Aufsprechen der Zahlen 0 bis 9. Bei der Verifikation schließlich wird der Kunde dann gebeten, vier zufällig ausgewählte Zahlen von 0 bis 9 nachzusprechen. Diese Stimmproben werden mit den gespeicherten Stimmproben verglichen. Durch die zufällige Auswahl der Zahlen ist ein Mitschneiden der Stimme durch Dritte zwecklos. In der Praxis hat es sich als sinnvoll herausgestellt, für jeden Kunden zwei Stimmprofile zu hinterlegen: eines für die Verifikation über das Festnetz und eines für den Zugang über ein Mobiltelefon, denn akustisch bestehen hier meist beträchtliche Unterschiede. Mit zwei Profilen lässt sich daher die Anzahl der Nicht-Authentifizierungen erheblich reduzieren.

Grundsätzlich sind für den Verifikationsprozess zwei Übertragungsmöglichkeiten denkbar: Internet (also Voice over IP) oder Telefon. Aus Sicherheitsgründen ist eine Koppelung der Kanäle Internet und Telefon wie in dem oben beschriebenen Anwendungsbeispiel zu empfehlen. Die Sicherheit einer solchen Lösung lässt sich zusätzlich steigern, indem das Authentifzierungssystem ausschließlich Anrufe bestimmter Rufnummern akzeptiert. So kann der Kunde zum Beispiel seine Mobilfunknummer hinterlegen und angeben, dass nur von dieser Nummer aus Verifikationen möglich sein sollen.

Zertifizierte Produkte
Dass sprachbiometrische Verfahren die Pilotphase längst verlassen haben, zeigen nicht zuletzt auch Zertifizierungen von auf dem deutschen Markt erhältlichen Produkten. Sogar groß angelegte Feldversuche gibt es bereits. So ist seit Mitte vergangenen Jahres in den Kundenzentren der Chinesischen Handelsbank CMB ein Spracherkennungssystem im Einsatz, das den Anrufer innerhalb weniger Sekunden durch die Analyse eines beliebigen Gesprächsinhalts verifizieren kann, also nicht durch das Aufsagen von Zahlenkombinationen, das Beantworten von Authentifizierungs- Fragen oder ähnlichem. Die CMB ist in China für ihre technologische Vorreiterrolle seit Jahren bekannt. So führte sie beispielsweise als erstes chinesisches Geldinstitut Telefon- und Online Banking ein.

Biometrisches Banking in der Praxis
In Australien können sich seit dem Sommer 2009 mehr als 3 Mio Privatkunden der National Australia Bank über Telefon und Stimme authentifizieren. In den Niederlanden hatte die ABN Amro Bank ein ähnliches System bereits seit 2006 für ihr Telefonbanking eingeführt, das allein in den Niederlanden mehr als 35 Mio Anrufe pro Jahr verzeichnet. Die Kunden sprechen bei diesem System ihre Kontonummer in den Hörer und werden dadurch eindeutig verifiziert. Das persönliche Sprachprofil erstellt das System automatisch aus der freien Rede des Sprechers, ohne dass eigens bestimmte Ziffernfolgen oder ähnliches eingesprochen werden müssen. Bei ABN Amro hatten sich schon am Ende der Testphase vier von fünf Nutzer dafür ausgesprochen, zukünftig lieber die Stimmverifikation nutzen zu wollen als die bisherigen PIN-TAN-Verfahren.

Resümee
Zusammenfassen kann man die Merkmale der Sprachbiometrie wie folgt: Der Kunde bleibt bei seinen Bankgeschäften zeitlich und örtlich flexibel, gewinnt an Sicherheit und muss dafür keine zusätzliche Hardware anschaffen oder bedienen, sondern kann das System nahezu intuitiv nutzen. Die Bank kommt mit der Sprachbiometrie den steigenden Sicherheitsbedürfnissen entgegen.