Über 90 % der Wise-Kunden nutzen die Authy 2FA-Sicherheit von Twilio beim ersten Login
Lesezeit: 6 Minuten
In der stark regulierten Welt des globalen Finanzwesens würde man erwarten, dass der internationale Geldtransfer ein komplexes und teures Unterfangen ist. Und traditionell war es das auch. Aber im Jahr 2011 schuf Wise (damals TransferWise) eine Plattform, die Geldtransferservice anbot, der bis zu 8x günstiger als die Banken war. Wise (früher TransferWise) ist nun dafür verantwortlich, jeden Monat den Gegenwert von über 2 Milliarden Euro in über 750 Währungsgruppen für über 8 Millionen Kunden zu versenden.
Vertrauen und Sicherheit im Mittelpunkt
„Die Aufrechterhaltung von Vertrauen und Sicherheit ist für uns das Wichtigste, um ein funktionierendes Geschäft zu haben”, erklärt Edward Dowling, Produktmanager im Sicherheitsteam von Wise (früher TransferWise). „Wir können der bequemste, schnellste und billigste Weg sein, um Geld ins Ausland zu senden, aber wenn wir keine starke Sicherheit haben, die all das untermauert, spielt das keine Rolle”, sagte er. „Wenn die Kunden uns nicht vertrauen, nutzen sie uns nicht.”
Dieses Vertrauen aufzubauen ist ein täglicher Vorgang bei Wise (früher TransferWise), das als internationaler Service häufig Angriffsversuche abwehrt. „Man verbringt die gesamte Lebenszeit eines Unternehmens damit, eine Vertrauensbasis aufzubauen, aber die ist sehr leicht zu verlieren”, sagt Dowling. „Selbst das kleinste Leck in den Benutzerdaten kann schnell das Vertrauen untergraben, die Marke zerstören und alles ruinieren, was man als Unternehmen aufgebaut hat.”
Evolution der Sicherheit
Die Sicherheitslandschaft hat sich seit der Gründung von Wise (früher TransferWise) ziemlich stark verändert. Ursprünglich mussten Kunden, die eine Überweisung einrichten und einen günstigen Wechselkurs sichern wollten, die Sicherheitspraktiken ihrer Bank durchlaufen, um Wise das Geld zu schicken. „Damals gab es keine Notwendigkeit für eine Kontosicherheit im Voraus”, erklärt Dowling, „denn wenn man Zugang zu einem TransferWise-Konto erhält, hat man keinen Zugriff auf Kundengelder.”
2017 führte Wise (damals TransferWise) jedoch das „Borderless Account” ein, das Geschäftskunden die Möglichkeit bietet, Währungen bei Wise zu halten, lokale Kontodaten in vier verschiedenen Währungen bereitzustellen und 28 Währungen zu halten und zu konvertieren. Und in diesem Jahr wird das Unternehmen eine kostengünstige Debitkarte für Verbraucher einführen. Im Wesentlichen hat Wise (früher TransferWise) ein Mehr-Länder-Bankkonto geschaffen. „Dadurch, dass wir Privat- und Geschäftskunden die Möglichkeit geben, Gelder bei uns zu speichern, ändert sich die Sicherheitslandschaft für uns komplett”, sagt Dowling. „Das hat uns gezwungen, die Bedeutung der Kontosicherheit neu zu überdenken.”
Hinzu kommt, dass ernsthafte Cybersecurity-Bedrohungen immer häufiger werden und sich zunehmend auf Finanzdienstleistungen konzentrieren. Einer der schwierigsten Angriffe, vor denen man sich schützen muss, ist das so genannte „Credential Stuffing”, bei dem Botnets Brute-Force-Skripte von E-Mail-Adress- und Passwort-Kombinationen ausführen, um eine funktionierende zu finden. “Bei Botnet-Anfragen, die von Tausenden von IP-Adressen aus dem ganzen Internet kommen, ist es sehr schwer, ein Muster vorherzusagen und zu finden, das passt”, erklärt Dowling. „Deshalb suchte Wise mit Authy von Twilio eine robustere Zwei-Faktor-Authentifizierungslösung als den aktuellen SMS-Schutz, den wir verwendeten.”
“Die Sache mit der Sicherheit ist, dass Sie nicht wissen, was Sie verhindert haben. Sie kennen die Auswirkungen eines Angriffs, aber Sie wissen nicht unbedingt, was aufgrund der von Ihnen eingerichteten Schutzmaßnahmen nicht passiert ist.”
Evaluierung von 2FA-Optionen
Dowling fügte hinzu, dass Wise zunächst TOTP, zeitbasierte Einmal-Passwort-Tokens, untersuchte, es sich dann aber anders überlegte. „Unser Kundenstamm ist tendenziell älter als die typischen Nutzer von Tech-Apps”, erklärt er. „Daher ist die Reduzierung der Reibung ein sehr großes Anliegen für uns. Wenn Benutzer nicht mit 2FA vertraut sind, kann der Versuch, zu verstehen, was es ist und wie man es richtig einrichtet, frustrierend für sie sein.”
Weitere Entscheidungskriterien, die Wise berücksichtigen musste, waren die SCA-Vorschriften (Strong Customer Authentication), die als Teil der PSD2 das Konzept der dynamischen Verlinkung vorschreiben. Dynamische Verknüpfung erfordert, dass ein Code für jede Transaktion, egal ob es sich um ein Login oder eine finanzielle Transaktion handelt, für diese Transaktion einzigartig sein muss. Er kann nicht für eine andere Transaktion verwendet werden. „TOTP-Tokens würden bei uns nicht funktionieren”, fügte Dowling hinzu, „denn derselbe 2FA-Token ist 30 Sekunden bis eine Minute lang gültig und kann verwendet werden, um sich einzuloggen und dann ein oder zwei Transaktionen zu autorisieren, alles mit demselben Zahlencode. Es ist nicht spezifisch für eine Transaktion.”
Durch den Prozess der Eliminierung fand Dowlings Team heraus, dass es sich nur auf Push-Authentifizierungsprodukte konzentrierte, und suchte nach dem besten Weg, diese Sicherheit direkt in die bestehende Wise-App zu integrieren. „Wir sind bei Twilios Authy SDK gelandet”, sagt Dowling, „das den Kunden von Wise totale Transparenz gibt, indem es ihnen zeigt, woher eine Login-Anfrage kommt und wann sie initiiert wurde. Außerdem dachten wir, dass die Möglichkeit, starke Sicherheit direkt in unsere eigene App zu integrieren, die Verwendung von 2FA für unsere Kunden zu einer einfachen Wahl machen würde.”
Bei Wise ist die Zwei-Faktor-Authentifizierung nur für Kunden erforderlich, die das Unternehmen in ihrem Namen Geld halten lassen, zum Beispiel für alle mit einem Borderless-Konto. Im Laufe des nächsten Jahres wird das Unternehmen die SMS als primäre Authentifizierungsmethode abschaffen und ausschließlich auf die Push-Authentifizierungslösung von Twilio umstellen. Dowling stellte klar: „Alle Wise-Kunden können 2FA einrichten, aber für Borderless-Konten wir schreiben es vor.”
Push-Authentifizierung für ein einfacheres Onboarding
Um das Upgrade auf eine stärkere Push-Authentifizierungssicherheit zu vereinfachen, liefert Wise eine Aufforderung, nachdem Benutzer eine erfolgreiche Anmeldung per SMS-Authentifizierung abgeschlossen haben. Und obwohl es funktioniert – bis heute haben etwa 93 % auf Push umgestellt – gab Dowling zu, dass etwa 10 % der Kunden, die die Push-Authentifizierung aktiviert haben, zur SMS zurückkehren. „Das passiert typischerweise, wenn jemand ein neues Telefon kauft oder ein Gerät verliert”, sagte er. „Wir würden diese Zahl gerne auf etwa 5 % senken, indem wir die Kommunikation über die Wiederherstellung von Geräten verbessern und die Wiederherstellung per Self-Service für Kunden einfacher machen.”
Große Sicherheitsherausforderungen: Kontoübernahmen und Benutzerschulung
„Das Schlimmste, was uns aus Sicht der Kontosicherheit passieren kann, sind Kontoübernahmen, bei denen sich jemand unbefugten Zugriff auf das Geld eines anderen verschafft. Das ist also der Punkt, an dem wir den größten Schutz bieten wollen”, so Downing. Mit Zwei-Faktor-Authentifizierung konnte Wise die Wahrscheinlichkeit der Kontoübernahme auf nahezu Null reduzieren.
„Im Moment verwenden zwischen 20 und 30 % aller unserer Anmeldungen 2FA. Wir halten das für einen großen Erfolg, weil es den Kunden hilft, nicht einmal dem Risiko eines bestimmten Angriffs ausgesetzt zu sein”, fügte er hinzu. „Aber wir versuchen ständig, das zu verbessern, indem wir schauen, wie wir die Benutzer besser über die Sicherheitsoptionen aufklären können, die sie haben.”
Zu diesem Zweck erhalten Benutzer, die sich nicht für 2FA entschieden haben, einen weiteren Hinweis, wenn sie sich wieder in ihre Wise-App einloggen, typischerweise etwa einmal im Monat oder so. „Wir wollen die Benutzer etwas aggressiver zum Upgrade ermutigen”, sagt Dowling. „Wir arbeiten an neuen Ansätzen im Kunden-Onboarding, um die Lücke zu schließen und mehr Benutzer zu authentifizieren.
Arbeiten mit Twilio
Mit dem Twilio Authy SDK ging Wise von der anfänglichen Implementierung bis zum Start in nur knapp drei Monaten. „Wir wollten Authy sowohl in unsere mobile Anwendung als auch in das Backend der Wise-Website integrieren”, so Dowling. „Nach einigen anfänglichen Sondierungsarbeiten durch unsere Entwickler führte Twilio das gesamte Team durch einen dreitägigen Workshop vor Ort, um uns durch die Implementierung zu führen und uns Best Practices und häufige Fallstricke zu zeigen.”
Frühe Builds wurden an Twilio geschickt, um Feedback zu erhalten. Besonders wichtig war das Ausbügeln der idealen Benutzererfahrung während der Wiederherstellung des Geräts. „Der technische Teil war sehr, sehr einfach”, so Dowling. „Die größte Hürde, die es zu überwinden galt, betraf interne Prozesse wie die Schulung des Kundendienstes und die Koordinierung der Freigabe für iOS, Android und Web. Wenn wir Probleme hatten, stand Twilio immer per E-Mail oder Telefon mit Vorschlägen zur Verfügung, um uns weiterzuhelfen.”
“Push-Authentifizierung lässt unsere Kunden ihre Konten mit viel höherem Sicherheitsniveau schützen. Es lässt uns ihr Vertrauen aufrechterhalten und ihr Gefühl der Sicherheit erhöhen, wenn sie [Transfer]Wise benutzen.”
Ergebnisse & ROI
Dowling nennt drei Bereiche, die auf positive Ergebnisse durch die Implementierung der Authy Push-Authentifizierung hindeuten.
1. Rentabilität der Investition: „Glücklicherweise haben wir noch nie Geld durch eine Kontoübernahme verloren. Aber wenn man bedenkt, dass jedes Mal, wenn wir einen groß angelegten Credential Stuffing-Versuch sehen, normalerweise zwei Techniker zwei Tage lang Vollzeit arbeiten, um ihn richtig zu analysieren und Mitigations dagegen zu entwickeln. Hinzu kommen weitere zwei Tage operative Arbeit, um die Kunden zu informieren, ihnen zu bestätigen, dass keine Daten verloren gegangen sind, und ihnen zu versichern, dass ihr Konto sicher ist. Das entspricht einem Arbeitsaufwand von etwa sechs Tagen für jeden Versuch. Das ist eine Menge Zeit und Geld, die durch 2FA eingespart wird.”
2. Kundenbetreuung: „Durch die Abkehr von SMS haben wir eine enorme Reduzierung der Kundendienstkontakte wegen Zustellbarkeitsproblemen festgestellt. Eines unserer größten Probleme war, dass viele unserer internationalen Kunden nicht in der Lage waren, auf ihre Konten zuzugreifen, wenn sie auf Reisen waren, weil wir uns zu 100 % auf SMS verlassen haben. Das ist jetzt kein Problem mehr für sie.”
3. Benutzerfreundlichkeit: „Die Kunden lieben den Komfort, die Transparenz und die kontextbezogenen Informationen, die wir liefern. Wir sind in der Lage, den Benutzern mitzuteilen, dass eine Login-Anfrage aus einem bestimmten Land, mit einem bestimmten Webbrowser oder von einem bestimmten Gerät kam. Sie können jetzt viel besser verstehen, was vor sich geht, und das wissen sie zu schätzen.”
Was kommt als Nächstes für Wise?
Während Wise bereits Programmable SMS und Programmable Voice von Twilio nutzt, plant das Unternehmen auch die Integration von Twilio Studio, um bestimmte Kundensupportabläufe zu automatisieren. Darüber hinaus ist das Unternehmen dabei, die Twilio Verify API für die Telefonverifizierung zu evaluieren. Und natürlich gibt es die Ausweitung ihrer Nutzung der Authy-API.
„Unser Ziel ist es, dass die Mehrheit der Wise-Kunden Push-Authentifizierung verwendet”, sagte Dowling. „Wir wollen die Leute so schnell wie möglich an Bord holen, um für SCA bereit zu sein.”
Ein weiterer nächster Schritt für Dowling und sein Team ist es, 2FA über das Login hinaus zu erweitern und auf bestimmte Aktionen anzuwenden, wie die Autorisierung von Überweisungen und den Schutz der Anzeige oder Bearbeitung von persönlichen Profildaten. „Das sind die Art von sensiblen Aktionen, die wir mit Authy Zwei-Faktor-Authentifizierung schützen wollen”, so Dowling. „Es ist diese abgestufte Sicherheitsebene, bei der die Daten und die Privatsphäre des Kunden immer an erster Stelle stehen.”
