Herr Dr. Mittenzwey, wie schützt Ihr Risiko-Indikator Banken und ihre Kunden?
Der Cyber Risk Indicator (CRI) schützt unter anderem vor Angriffen über Social Engineering und Schadsoftware. Diese ziehen Manipulationen der digitalen Identität der Kunden nach sich und haben Auswirkungen auf Kunden und Bank. Das können zum Beispiel finanzielle Verluste, Reputationsverluste, Regress- sowie Compliance-Verstöße gegen gesetzliche Vorgaben sein. Der CRI kann auch bisher unbekannte Gefahren durch neue Angriffsarten erkennen. Dabei werden jeweils einzelnen Transaktionen in Echtzeit auf Anomalien im Telefonnetz untersucht und bewertet. Es wird kein Scoring eines Kunden durchgeführt.
Können Sie ein aktuelles Beispiel für eine solche Manipulation aus dem Praxisalltag nennen?
Das bekannteste Beispiel für eine Manipulation ist das Vortäuschen einer gestohlenen Identität, die durch eine Vielzahl von unterschiedlichen Methoden erlangt werden kann. Allgemein bekannt sind zum Beispiel Anrufe unter falschem Vorwand. Beispiele sind der Enkeltrick, vorgetäuschte Anrufe der Polizei oder eines Bankmitarbeiters. Typisch sind auch E-Mails oder SMS mit Links, die auf angebliche Sicherheitslücken und der Notwendigkeit Passworte zu ändern, hinweisen.
Beispiele sind der Enkeltrick, vorgetäuschte Anrufe der Polizei oder eines Bankmitarbeiters.
Lässt sich der CRI gut mit bereits etablierten Maßnahmen/Prozessen oder Tools einer Bank kombinieren?
Der CRI ergänzt und verbessert bereits vorhandene Risikobewertungen und bedient sich dazu aus diversen Datenquellen aus dem Telekommunikationsumfeld. Genutzt werden zum Beispiel Informationen aus der Netzinfrastruktur, Geräteauffälligkeiten, Auffälligkeiten in Prozessen und auffälliges Nutzerverhalten. Diese Attribute werden analysiert und mit Hilfe von Maschine Learning-Algorithmen sowie zusätzlichen Bewertungen der Security-Experten zu einem Wert berechnet. Als Ergebnis erhalten die Banken die Risikowahrscheinlichkeit der Transaktion aus Telekommunikationssicht.
Der Indikator wird als Einzelabfrage zur Bewertung einer bestimmten Transaktion bereitgestellt. Als Anfragewerte werden nur wenige Basisdaten benötigt, die sich auf die aktuelle Nutzerinteraktion beziehen, zum Beispiel der Zeitpunkt der Transaktion und die Telefonnummer. Die Anfrage erfolgt über eine gesicherte und verschlüsselte Verbindung und nutzt ein einfaches REST API – so ist der Indikator leicht in Risk-Management-Systeme zu integrieren.
Zu welchem Zeitpunkt in der Customer Journey kann auf Ihren Risiko-Indikator zugegriffen werden?
Man kann zu jedem Zeitpunkt eine Anfrage starten, zum Beispiel nach Vorliegen eines Anfangsverdachts. Dies könnte eine sehr lange Phase von Inaktivität nach Portalzugang oder bei Initiieren einer ungewöhnlichen Transaktion sein. Die Abfrage ist aber grundsätzlich vor, während, bis hin zu einigen Tagen nach einer Transaktion möglich.
Als Anfragewerte werden nur wenige Basisdaten benötigt.
Wie können Sie die Kontrolle und der Verantwortung für die Endkunden der Bank und die damit verbundenen Maßnahmen in einem Verdachtsfall gewährleisten?
Unser CRI gibt eine zusätzliche Informationsebene für die eigene, verbesserte Risikobewertung. Die Verantwortung und Wahl der zu ergreifenden Maßnahmen liegt nach wie vor vollständig in den Händen der Finanzinstitute.
Müssen Banken interne Kunden-/Transaktionsdaten mit Ihnen teilen, damit der Indikator funktioniert?
Die Anforderungen des Datenschutzes sind uns wichtig und werden im Vorfeld ausführlich geklärt. Es werden keine Daten zu finanziellen Transaktionen unserer Kunden benötigt; Bankdaten bleiben bei Banken, Telco-Daten bei Telcos. Auch offenbart der CRI keine personenbeziehbaren Daten. Er liefert lediglich einen bestimmten Wert im Umfeld einer einzelnen Aktivität.
Dr. Manuel Mittenzwey
ist Head of Financial Services, Digital Solutions bei T-Systems.