Website-Authentifizierung für Finanzinstitute

Die meisten Banken, Versicherungen, Makler und Kreditkartenunternehmen setzen auf ihren Websites Zertifikate mit Extended Validation (EV) ein, um die Interaktion mit ihren Kunden abzusichern und Besuchern zu zeigen, dass die Website von einem legitimen Unternehmen betrieben wird. Das führt unter anderem dazu, dass in der Adressleiste des Browsers neben dem Namen des Unternehmens ein Vorhängeschloss-Symbol (oft in Grün) angezeigt wird. So wissen Sie als Kunde, dass die Identität des Unternehmens überprüft wurde. Zu den überprüften Angaben im Zertifikat gehören zum Beispiel Land, Anschrift und die Eintragung des Zertifikatsinhabers ins Handelsregister.

Da Finanzinstitute wertvolle Informationen wie personenbezogene Daten besitzen, waren sie schon immer ein beliebtes Angriffsziel für Betrüger und wissen, wie wichtig es ist, die Legitimität ihrer Website unter Beweis zu stellen und wie sehr ihre Kunden Extended Validation zu schätzen wissen. Natürlich werden EV-Zertifikate nicht nur für die Authentifizierung von Websites genutzt, doch bevor wir uns andere Anwendungsbereiche ansehen, möchte ich kurz zusammenfassen, warum Finanzdienstleister diese Methode verwenden:

  1. Fälschungsschutz: Finanzinstitute möchten, dass ihre Kunden wissen, dass sie sich auf der richtigen Website befinden. Da es schwierig und kostspielig für Cyberkriminelle ist, sich ein Zertifikat mit EV zu verschaffen, ist die Wahrscheinlichkeit sehr gering, dass es sich bei einer Website mit Extended Validation um eine betrügerische Fassung handelt.
  2. Die Verschlüsselung von Informationen ist unerlässlich, um sicherzustellen, dass vertrauliche Daten nicht in falsche Hände gelangen, aber noch wichtiger ist die Identität des Empfängers. Schließlich lohnt es sich kaum, Daten zu verschlüsseln, wenn Sie gar nicht wissen, wer sie letztendlich erhält. Was geschieht beispielsweise, wenn ein unbefugter Dritter die Übertragung abhört und die Daten abfängt? Diese sind zwar verschlüsselt, aber reicht das aus? Ohne entsprechende Authentifizierungsmechanismen wiegen sich Ihre Kunden vielleicht fälschlicherweise in Sicherheit.
  3. Finanzinstitute sind oftmals Ziel von Angriffen mit Phishing-E-Mails, mit denen versucht wird, Kunden auf eine betrügerische Website zu locken. Um sich vor Online-Betrug zu schützen, nutzen Unternehmen daher gern Merkmale, an denen Kunden eine legitime Website von Nachahmungen unterscheiden können.
  4. Schutz der Marke: Unternehmen sind stets bestrebt, ihre Marke von der Masse abzuheben, und der Schutz durch EV-Zertifikate kommt ihnen da sehr entgegen.

Doch in welchen anderen Bereichen kommt Extended Validation zum Einsatz? Da ist zum einen die Cyber-Sicherheit in Unternehmen: IT-Abteilungen nutzen EV zum Beispiel, um zu prüfen, ob bestimmte Websites zum Unternehmen gehören, und um Regeln in interne Firewalls aufzunehmen. Außerdem wird diese Validierungsmethode häufig für Managed Security Services, interne Audits und zur Überprüfung von Compliance-Vorgaben verwendet.

In der Europäischen Union erfüllt die Extended Validation noch einen ganz anderen Zweck: 2016 wurde das europäische Signaturgesetz von 1999 durch die EU-Verordnung eIDAS abgelöst und es wurden QWACs (Qualified Website Authentication Certificates) eingeführt. Dabei handelt es sich um eine besondere Form der EV-Zertifikate mit zusätzlichen Informationen. So erfordert zum Beispiel die neue EU-Zahlungsrichtlinie PSD2, dass bestimmte Finanzdienstleister für ihre europäischen Kunden QWACs verwenden. Diese Bestimmung gilt seit Juni 2019 und einige Zertifizierungsstellen stellen diese Zertifikate bereits für Banken und andere Finanzinstitute im EU-Raum aus.

Um Endbenutzer ausreichend zu schützen, wird weiterhin daran gearbeitet, die Qualität der Authentifizierung für Online-Unternehmen zu verbessern. Dabei konzentrieren sich die Verantwortlichen vor allem darauf, Inkonsistenzen in Browsern auszumerzen.

Und das ist auch gut so, denn der Browser ist eins der größten Ärgernisse bei der Extended Validation, genauer gesagt, die inkonsistente Darstellung der EV-Zertifizierung. In manchen Browsern wird der Name des Unternehmens in Grün angezeigt, in anderen ist er grau. Mindestens ein Browser zeigt den Firmennamen gar nicht an; stattdessen erscheint dort der Domainname, in Grün. Einige Browser-Anbieter haben schon entsprechende Änderungen angekündigt oder vorgenommen, aber es gibt auch solche, die die Darstellung von Zertifikaten seit Jahren nicht angepasst haben.

Welche Änderungen sind in Aussicht?

  1. Eine konsistente Nutzererfahrung für Websites mit EV-Zertifikaten
  2. Eindeutige und leicht verständliche Hinweise für Website-Benutzer
  3. Strikte Anforderungen und Prüfungsverfahren zur Validierung der Richtigkeit und Eindeutigkeit von Informationen
  4. Zusätzliche Validierungsdaten in EV-Zertifikaten

Bis dahin lohnt es sich aus den oben genannten Gründen nach wie vor, EV-Zertifikate auf Websites von Finanzinstituten und anderen Unternehmen, die sensible Daten verarbeiten, zur Bestätigung der Authentizität zu verwenden – auch dann, wenn der Name des Zertifikatsinhabers nicht angezeigt wird. Denn was nutzt die beste Verschlüsselung, wenn wir gar nicht wissen, an wen wir unsere Daten schicken?

Wie gesagt plant DigiCert, der Security-Community in den kommenden Monaten Ergänzungen zu den Standards für Extended-Validation-Zertifikate vorzuschlagen, und wir freuen uns darauf, den Dialog über die Rolle der Identität in allen Bereichen unserer vernetzten digitalen Welt fortzuführen.