Schneller, unkomplizierter und jederzeit verfügbar – mit dieser knappen Formel kann man die Entwicklung der Digitalisierung im Zahlungsverkehr sehr einfach beschreiben. Die Infrastruktur lässt immer neue Möglichkeiten entstehen, die von Verbrauchern auch nur allzu gerne angenommen werden, zum Beispiel Zahlungsströme im Millisekunden-Bereich von jedem Endgerät an jedem Ort.
Das bietet aber auch immer neue Angriffsflächen für die missbräuchliche Nutzung durch Betrüger. Hier brauchen wir neue Lösungen, aber nicht in Form einer weiteren App. Hier sind Lösungen in Form von ganzheitlichen Ansätzen gefordert.
Die Schwachstelle im Kühlschrank
Ein wichtiger Ansatz ist die Zwei-Faktor-Authentifizierung im Online-Banking. Aber unsere eigene Bequemlichkeit öffnet Betrügern oftmals die Tür. Etwa so: Jemand macht Online-Banking über seinen Laptop mit einem installierten Zertifikat als zweitem Faktor. Der Laptop befindet sich im gleichen Smart-Home-Netz wie der Kühlschrank. Der Hacker gelangt über eine Schwachstelle in der Software des Kühlschranks in das Home-Netz und so auf den Laptop. Hier hat er dank des installierten Zertifikats vollen Zugriff auf das Girokonto.
Ein anderes Beispiel: Eine Bank bringt eine neue App zum mobilen Überweisen von Kleinbeträgen auf den Markt. Eigentlich muss die App nach der Einrichtung einmalig mit einer TAN verifiziert werden. Da dies aber ein Mehraufwand für den Kunden ist, lässt die Bank diesen Schritt aus. Die Folge: eine ganze Reihe von betrügerischen Überweisungen. Ärgerlich, aber es sind ja nur Kleinbeträge.
Was macht das mit der Akzeptanz der App und mit dem Vertrauen der Kunden in die Bank? In Zeiten von unpersönlichen, digitalen Prozessabläufen mit elektronischen Endgeräten werden der Schutz der Identität und deren Echtheit zum Schlüsselfaktor. Hier brauchen wir sauber definierte Prozesse.
In der U-Bahn mit Freisprecheinrichtung
Ein sehr wichtiger Bestandteil eines guten Prozesses ist der Security-Part. In der Realität kommen aber in der Regel zuerst die Marketing-Leute an die Reihe, dann die Developer und wenn der Release-Termin schon fast vor der Tür steht, bekommt die Security auch noch einen kurzen Slot zur Prüfung. Da aber die Werbekampagne schon auf vollen Touren läuft, geschieht die Prüfung nicht mehr so genau wie eigentlich vorgesehen. Tatsächlich wäre man aber sehr schlecht beraten, wenn man kurz vor dem Richtfest damit startet, das Fundament unter dem Haus in Beton zu gießen.
Sauber definierte Prozesse, unter Einbindung der Security von Anfang an, bieten dagegen ganz neue Möglichkeiten. Security ist kein Annex, sondern Kern des Ganzen. Dies wird auch bei Weiterentwicklungen immer wichtiger. Gerade neue Geschäftsfelder leben von Innovationen. Wenn der grundlegende Prozess in einer Organisation geregelt ist, ist der Eingangskanal am Ende nicht entscheidend. Dann lassen sich Banking auch über Messenger-Dienste und Zahlungen über Smart-Watches sauber durchführen.
Das ist aber leider nicht der einzige Schlüsselfaktor. Die Entscheidungsträger im Unternehmen müssen die Security auch kommunizieren und vorleben. Was bringt es, wenn ich die App und den Prozess dahinter im Griff habe, aber der
Kunde sein Endgerät jedem sorglos entsperrt in die Hand drückt oder in der U-Bahn mit Freisprecheinrichtung seine Passwörter buchstabiert.
Der Bankkunde muss verstehen, warum die App einmalig mit einer TAN verifiziert werden muss. Wenn man das als Sicherheitsfeature erlebt und annimmt, ist die Akzeptanz auf Kundenseite eine ganz andere. Das sollte Bestandteil der Marketingstrategie sein: Sicherheit als Bonus – völlig selbstverständlich.
Investition in die Security immer geringer
Die Entwicklung der Digitalisierung zeigt, dass innovative Firmen und Produkte sich durchsetzen. Das zeigen uns die großen digitalen Player jeden Tag. Es kommt nicht von ungefähr, dass Amazon einer der großen Gewinner der Corona- Pandemie ist. Und auch ein weiterer Aspekt sollte nicht unter den Tisch fallen: Zwar werden die Schäden dank Versicherung in vielen Fällen ersetzt oder zurückgebucht – doch wer zahlt am Ende? Schäden jedweder Art werden in der Regel in die Gesamtkalkulation eingerechnet und landen am Schluss doch beim Endkunden.
In allen Bereichen wachsen die Fraud-Detektion-Teams, wohingegen die Investition in die Security immer weniger Anteile des Umsatzes ausmacht. Warum verschenken wir die Chance, die Kosten für den Fraud-Ausgleich in die Entwicklungen sicherer Produkte und Prozesse zu verlagern?
Tipp: Mehr zum Thema Cybersecurity erfahren Sie beim Cybercrime Day oder im Leitartikel „Cybercrime: Wer gewinnt den Kampf?“