„Die Arten der Betrugsfälle haben sich geändert“

Wie in der Wirtschaft geht auch in der Cyberkriminalität der Trend hin zur Automatisierung. Mathias Schollmeyer von LexisNexis Risk Solutions erklärt, wie Banken sich und ihre Kunden vor immer intelligenteren Angriffen schützen können.


Cybercrime

ADVERTORIAL

BANKINGNEWS: Laut Cybercrime-Report von LexisNexis ist die Anzahl der Transaktionen zwischen der ersten Jahreshälfte 2019 und der ersten Jahreshälfte 2021 konstant angestiegen. Ist auch die Anzahl der Betrugsvorfälle signifikant angestiegen?
Mathias Schollmeyer: Als globaler Anbieter haben wir Kunden in den unterschiedlichsten Industrien. Darunter Banken, Marktplätze, Streaming-Anbieter, Telekommunikationsanbieter oder Händler. Das heißt, wenn wir von Transaktionen sprechen, bedeutet das, dass wir über alle Segmente hinweg einen Anstieg sehen – speziell bei Banken. Es gab durchaus den Trend, dass Fraud-Fälle nach oben gingen. Aber nicht nur das, sondern auch die Arten der Betrugsfälle haben sich geändert. Wo früher deutlich mehr menschlich initiierte Attacken stattgefunden haben, wird inzwischen immer mehr automatisiert. Wir sprechen hier von Bot-getriebenen Attacken.

Was können Banken dagegen tun?
Dafür ist es wichtig, dass man seinen Kunden kennt. Und damit ist nicht nur der persönliche Kontakt in der Filiale gemeint, sondern auch, wie er mit seinen digitalen Diensten als Konsument umgeht. Es braucht eine 360-Grad-Sicht auf den Kunden. Was macht er mit der Karte? Wie verhält er sich online außerhalb des Online-Bankings? Benutzt er hier die Kreditkarte oder greift er auf andere Methoden zurück? Diese Informationen sind essenziell, um festzustellen, ob es sich um ein normales oder betrügerisches Verhalten handelt. Hier bietet die Industrie inzwischen einige starke und sichere Methoden, wie etwa 3D Secure. Das ist ein Protokoll für Online-Kreditkartenzahlungen. Durch die neue Version ist es gelungen, den Zahlungsvorgang weitaus sicherer und auch angenehmer zu gestalten.

Die Bedrohung durch global agierende Cybercrime-Netzwerke nimmt stetig zu. Wie können sich Finanzunternehmen gegen organisierte Cyberkriminalität wappnen?
Betrug lässt sich nicht alleine verhindern. Die Cybercrime-Netzwerke sind professionalisiert. Dahinter verbirgt sich inzwischen eine riesige Industrie. Es sind Netzwerke, die nach denselben Prinzipien arbeiten wie jedes gut wirtschaftende Unternehmen. Und deswegen ist es wichtig, dass man sich gerade bei diesen Themen mit anderen Playern am Markt austauscht. Wenn man eine Lösung nutzt, die analysierten Informationen über die Betrüger auch datenschutzkonform miteinander zu teilen, ist schon viel getan. Das bedeutet natürlich nicht, dass sich Angriffe dadurch zu 100 Prozent verhindern lassen. Aber wenn man hier in einem Netzwerk zusammenarbeitet, kann man den Gesamtschaden minimieren.

Starke Kundenauthentifizierungsverfahren werden sowohl von Händlern als auch von Banken und Kunden oft als umständlich wahrgenommen. Gibt es Möglichkeiten, diese zu vereinfachen, ohne dass Sicherheitsstandards verloren gehen?
Durchaus. Es gibt immer Szenarien, in denen es nicht ideal ist und Möglichkeiten noch nicht akzeptiert oder technisch schwer um- oder durchzusetzen sind. Aber es gibt Wege, mit denen sich die Authentifizierung angenehm gestalten lässt. Alles muss risikobasiert entschieden werden. Es gibt gewisse Zahlungsvorgänge, die einen monetären Schwellenwert nicht überschreiten oder bestimmte Muster wieder erkennen lassen. Also wie kann ich aufgrund des Verhaltens oder des Risikos in Verbindung mit dieser Transaktion entscheiden, ob es sich um einen ganz normalen Vorgang handelt? Und wie lässt sich in diesem Zusammenhang die Authentifizierung für den Kunden angenehm gestalten? Moderne Technologie ermöglicht hier über die eingebauten biometrischen Mechanismen mit Gesichtserkennung oder Fingerabdrücken zusätzlichen Komfort. Wenn ich mein Telefon heute per Gesichtserkennung entsperre, dann ist das doch eine recht einfache Geschichte. In diese Richtung müssen Banken denken, wenn sie die Kundenauthentifizierung ausbauen möchten. Kunden können auch ihre eigenen starken Authentifizierungsmethoden mitbringen – wie etwa das FIDO-Token. Die FIDO-Alliance arbeitet derzeit daran, Security Keys für sichere Logins, über verschiedene Webseiten und Webservices bekannt zu machen.

Interview: Dennis Witzmann

TIPP: Sie möchten mehr zum Thema Cybercrime lesen? Dann erfahren Sie hier, wie sich Auto- und Hausbanken gegenseitig schützen können oder erfahren Sie hier, wie man sich vor Identitätsbetrug schützt.