Immer mehr Menschen wickeln Ihre Finanzen und Überweisungen mittels Online-Banking und Apps der Bankhäuser ab. Um in Zeiten von Phishing und Hackerangriffen der IT-Sicherheit bei Finanzgeschäften zu genügen, bemühen sich Banken stets um verbesserte Schutzvorkehrungen vor Zugriffen Dritter. Neben erhöhten Anforderungen an die Zugangsdaten (Passwörter und gesonderte Tokens oder Pins) sind auch biometrische Faktoren wie der Iris-Scan oder Fingerabdruck gefragt.

Einige Banken gehen nun sogar noch einen Schritt weiter und greifen auf die neueste Technologie der Verhaltensbiometrie zurück. Das israelische Start-Up Unternehmen BioCatch entwickelt beispielsweise eine solche Anwendung, die im Hintergrund des Browsers das Verhalten des Benutzers in seinem Online-Bankkonto analysiert. Bereits ca. 20 Minuten Lernzeit, in der das versteckte Skript unter anderem jeden Klick, jede Mausbewegung und die Reaktionszeit des Anwenders auswertet, sollen ausreichen, um ein Muster des Benutzers zu bilden. Dabei werden rund 600 Faktoren während der Interaktion berücksichtigt. Auch die Geschwindigkeit der Tastatureingabe oder dem Verhalten bei kurzzeitig verschwindenden Mauszeigern fließen mit in die Berechnung ein.

Auf diese Weise soll es in weniger als einer Minute nach dem Login möglich sein, zwischen einem berechtigten Kontoinhaber oder einem Hacker zu unterschieden. Nach Angaben von BioCatch würden so 91 Prozent aller Angreifer entdeckt werden – nur rund ein halbes Prozent der Berechtigten würden falsch eingestuft und aus dem System geworfen werden. Exakte und offizielle Daten existieren nicht. Es wurde nur bekannt gegeben, dass BioCatch mit dem entwickelten Programm für die teilnehmenden Geldhäuser rund zwei Milliarden Transaktionen pro Monat kontrolliert.

Datenschutz bei der Verhaltensanalyse

Obgleich viele dieser Merkmale der menschlichen Interaktion für sich genommen anonym sind, berührt eine derartige Verhaltensanalyse zahlreiche biometrische Daten und damit auch das Datenschutzrecht. Immerhin wird behauptet, dass sich feststellen ließe, ob der Benutzer Links-/Rechtshänder ist, welche Armlänge er besitzt, wie stark die Muskeln am Unterarm sind und wie beweglich die Hand ist. Daraus lassen sich eindeutige Information zur Gesundheit gewinnen. In der Summe kann dies sogar – so wie hier nach einem bestimmten Lernzeitraum – ein eindeutiges, einer einzigen Person zuordenbares Muster ergeben.

Aus diesem Grund gehen mit dieser Verhaltensbiometrie auch datenschutzrechtliche Fragen einher. Die Erhebung und Speicherung biometrischer Daten bedarf einer Rechtsgrundlage oder Einwilligung des Betroffenen (§ 4 BDSG bzw. Art. 6 DSGVO).  Eine Rechtsgrundlage hierfür dürfte nicht greifen, zumindest würde das schutzwürdige Interesse des Betroffenen im Hinblick auf die Verarbeitung seiner Gesundheitsdaten überwiegen (vgl. § 28 BDSG bzw. Art. 6 Abs. 1 lit. f) DSGVO und Art. 9 Abs. 1 DSGVO.

Auch ist eine Einwilligung des betroffenen Kunden im vorliegenden Fall nicht eingeholt worden. Vor einer solchen Einwilligung müsste der Betroffene zudem über den Einsatz dieser Form des Trackings aufgeklärt werden, beispielsweise in den Datenschutzbestimmungen. Ebenso müsste ihm das Recht eingeräumt werden, Auskunft über die über ihn gespeicherten Daten zu erhalten, diese ggf. berichtigen oder löschen zu können.

Im Falle von BioCatch wurden den Medienberichten nach die Bankkunden nicht über den Einsatz dieser im Hintergrund laufenden Analyse informiert.

Der Anbieter verweist jedoch darauf, dass die gesammelten Informationen des Nutzers nicht mit den Bankdaten verknüpft würden und daher anonym seien – die Bank daher auch keine Angaben aus dem System erhält. Folglich erführe die Bank nicht, ob der Kontoinhaber Max Mustermann Linkshänder sei oder ein Mousepad nutze.

Doch mit jedem einzelnen Bankkonto muss schließlich ein Verhaltensmuster verknüpft werden, um so bei auffälligen Aktivitäten oder Hackerangriffen zu reagieren und ebenso auch die Bank hierüber zu informieren, die dann unter Umständen dies auch den betroffenen Kunden mitteilt. Daher ist der Personenbezug unter Heranziehung zusätzlicher Informationen herstellbar und die Identifizierung der Person möglich (Vgl. Erwägungsgrund 26 der DSGVO).

Taugliche Schutzvorkehrung?

Zuletzt stellt sich die Frage nach der Wirksamkeit dieses Verfahrens: Denn anders als ein Passwort oder ein elektronischer Schlüssel lassen sich die biometrischen Daten des Einzelnen bei dieser ausgeklügelten Bemessung nur schwer bis gar nicht ändern. Wer dasselbe Muster darstellen oder z. B. durch weitere auf dem Computer versteckte Programme nachbilden kann, könnte Transaktionen von dem Sicherheitsunternehmen unentdeckt vornehmen. Die Missbrauchsgefahr besteht also weiterhin.

Und wie ist die Situation zu beurteilen, wenn der Sohn mit Erlaubnis des erkranken Kontoinhabers eine Überweisung vornehmen soll oder aber der Bankkunde auf Grund einer Verletzung plötzlich ganz anders die Maus und Tastatur bedient?

Und ein weiteres Detail macht stutzig: Nach den vorliegenden Medienberichten scheint die Software von Banken dazu genutzt werden, Angreifer zu identifizieren, die bereits in das Konto von Kunden eingebrochen sind und auch Überweisungen tätigen könnten. Hier stellt sich eher die Frage, was Banken und Kunden an dieser Stelle hätten besser machen müssen. Abgesicherte Online-Bereiche (vgl. z. B. das OWASP Top-10 Projekt), starke Passwortvorgaben, Sperrung bei Fehleingaben von Passwörtern, gut implementierte 2-Faktor-Authentisierungen an den richtigen Stellen (z. B. vor der Ausführung von Überweisungen), und die Absicherung des genutzten Clients (Virenscanner, aktuell gepatchtes Betriebssystem) etc. sind hierbei nur einige der zu nennenden Bausteine.

Was wäre wenn…?

Auch ein weiterer Gedanke wird bei der datenschutzrechtlichen Bewertung relevant: Eine derartige Genauigkeit in der Verhaltensauswertung und hieraus entstehenden Personenidentifikation bzw. -Wiedererkennung wäre in der Werbebranche nahezu unbezahlbar. Der Besucher könnte innerhalb eines bestimmten überschaubaren Zeitraums im Internet noch effizierter als mittels des herkömmlichen Webtrackings und geräteübergreifend wiedererkannt werden (Remarketing). So könnten Angebote passgenau auf die Person ausgerichtet werden.

Es lässt sich daher nicht von der Hand weisen, dass ein solcher Nebeneffekt für viele Unternehmen reizvoll sein dürfte. Sofern das System zu sicherheitszwecken eingesetzt wird, kommt der strengen Zweckbindung daher eine enorm hohe Bedeutung zu.

Fazit

Erste Unternehmen analysieren im Hintergrund und ohne Aufklärung der Betroffenen das Benutzerhalten beim Online-Banking anhand verhaltensbiometrischer Merkmale und können bereits nach weniger als einer halben Stunde ein einzigartiges Muster der Person erkennen, was sich prinzipiell auf weitere Internet-Aktivitäten ausweiten lässt. Diese Technologie dürfte ohne Information der Nutzer sowie ohne Einwilligung in Deutschland und auch in Europa nur schwer mit den datenschutzrechtlichen Bestimmungen der DSGVO vereinbar sein.