2020 sehen sich Finanzinstitute und Banken mit altbekannten, aber auch mit neuen Cybersicherheitsbedrohungen konfrontiert. Um sie dabei zu unterstützen, sich angemessen auf diese Risiken vorzubereiten, haben wir einige unserer erfahrensten Sicherheits-, Technologie- und Branchenexperten gebeten, ihre Vorhersagen für 2020 mit uns zu teilen.

2020 läutet ein neues Jahrzehnt ein, doch viele der Herausforderungen, die sich uns in den letzten Jahren gestellt haben, bleiben uns erhalten. Unternehmen sind auch weiterhin Phishing, mobiler Schadsoftware und einer Unzahl anderer Gefahren ausgesetzt. Gleichzeitig wird die Finanzbranche 2020 aber auch durch verschiedene technologische Fortschritte – etwa im Bereich der künstlichen Intelligenz oder das 5G-Mobilfunknetz – geprägt sein. Auch mit Blick auf ihre regulatorischen Anforderungen werden Unternehmen sich anpassen müssen. Die Aufsichtsbehörden werden sich verstärkt der Regulierung von Kryptowährungen zuwenden, und Open Banking wird dem gesamten Finanzbereich neue Handlungsmöglichkeiten eröffnen, die jedoch auch ein neues Rahmenwerk an Vorschriften erfordern.

In diesem Artikel präsentieren wir Ihnen unsere Prognosen und Cybersicherheitstrends für 2020.

Prognosen und Cybersicherheitstrends für 2020

1. Die Betrugsprävention wird vermehrt durch KI und Verhaltensüberwachung unterstützt.

Greg Hancell, Manager of Fraud Consultancy, OneSpan

Im Rahmen der Betrugserkennung werden wir 2020 meiner Meinung nach vermehrt auf eine KI-basierte Datenaggregation und -generalisierung zurückgreifen. Diese Technologie ermöglicht uns, auf Basis von Open-Source-Analyseinformationen einen kanalübergreifenden Ansatz (z. B. Kartenzahlungen, Card-not-present-Einkäufe, digitales Banking, Authentifizierungsprozesse und Open Banking) zu verfolgen. Finanzinstitute werden erkennen, dass die separate Überprüfung von Anmeldung und Zahlung ihre Ansprüche nur unzureichend erfüllt und sie zudem angreifbar macht. Der Schwerpunkt wird daher zunehmend auf einer KI-gestützten Verhaltensüberwachung liegen.

Durch den Einsatz fortgeschrittener Technologien und die Echtzeit-Analyse unzähliger Datenpunkte ermöglicht KI eine Verhaltensüberwachung und ein individuelles Kunden-Profiling über Geräte, Standorte, bevorzugte Authentifizierungsmethoden und andere Faktoren hinweg. Basierend auf dem beobachteten Verhalten werden per KI Informationen (inklusive Risikobewertung und Empfehlungen) freigelegt, die Unternehmen ermöglichen, gut informierte Entscheidungen hinsichtlich sicherheitsrelevanter Aspekte zu treffen.

2. Eine effektive Betrugserkennung wird ein umfassendes Risikoverständnis voraussetzen.

Ralitsa Miteva, Manager of Fraud Detection and Prevention Solutions, OneSpan

Viele Banken konnten ihren digitalen Wandel 2019 maßgeblich voranbringen. Jedoch sahen sich viele von ihnen dadurch plötzlich mit bisher unbekannten, komplexen Betrugsmustern konfrontiert, wie etwa mobile Banking-Trojaner, gefälschte Apps, synthetischer Identitätsdiebstahl, SIM-Kartentausch oder APP-Betrug (Authorized Push Payment). Die Effektivität dieser Bedrohungen basiert auf dem Unwissen von Banken und Verbrauchern hinsichtlich potenzieller Gefahren.

Banken, die 2020 eine angemessene Antwort auf diese Angriffe parat haben möchten, müssen ihre Betrugserkennungslösungen erweitern und optimieren. Einige Punkte haben dabei Priorität. Banken müssen: Informationen zu den digitalen Interaktionen ihrer Kunden sammeln; das Kundenverhalten auf den genutzten Geräten analysieren; Informationen zusammenstellen, die effektive Handlungsmöglichkeiten aufzeigen; verschiedene Modelle des maschinellen Lernens kombinieren, um die Durchführung spezifischer Geschäftsaufgaben zu optimieren; eine nahtlose Sitzungsüberwachung über Geräte und Kanäle hinweg implementieren; und das erforderliche Know-how verfügbar machen, um einen effektiven Schutz vor Betrug zu ermöglichen. Auf Basis dieser Sicherheitspraktiken gewinnen Banken ein tiefgehendes Verständnis der einzelnen Risikofaktoren, sodass sie angemessene Sicherheitsmaßnahmen implementieren können, ohne die Benutzererfahrung zu beeinträchtigen.

3. Im Rahmen der Authentifizierung und im Kampf gegen Phishing wird Kontext zu einem unverzichtbaren Hilfsmittel.

Frederik Mennes, Director Product Security, Security Competence Center, OneSpan

Viele Banken sind heute nur unzureichend in der Lage, durch Social Engineering eingeleiteten Phishing-, Vishing- oder Smishing-Angriffen erfolgreich die Stirn zu bieten. Einer der Gründe für die relativ hohen Erfolgsquoten dieser Angriffe liegt darin, dass die Authentifizierungslösungen von Banken nicht mit Nutzerkontext arbeiten. Die Banken verfügen dadurch nicht über wichtige sicherheitsrelevante, kontextuelle Datenpunkte, etwa Informationen darüber, an welchem Standort sich Benutzer anmelden oder welche Transaktionen sie durchführen.

Ganz im Sinne des S-Kurven-Konzepts sollten Banken jetzt in die nächste Generation robuster Authentifizierungslösungen investieren, die ihnen Schutz gegen Social-Engineering-Angriffe bieten.

4. Wir werden eine stärkere Regulierung von Kryptowährungen erleben.

Steven Murdoch, Innovation Security Architect im OneSpan Cambridge Innovation Centre

Ich erwarte zukünftig eine stärkere Regulierung von Kryptowährungen, Initial Coin Offerings und Ähnlichem.

Bis jetzt sind die Aufsichtsbehörden in diesem Bereich nicht mit sonderlich strenger Hand vorgegangen, wahrscheinlich da es hier – bemessen am globalen Finanzgeschäft – um eher geringe Summen geht. Das Geschäft mit Kryptowährungen stellte bislang also einfach keinen Risikofaktor für die Integrität des Systems dar. Darüber hinaus wollten verschiedene Regierungen diesen neuen Technologien den Weg ebnen, da sie hofften, früher oder später von Steuereinnahmen erfolgreicher Programme profitieren zu können. Zu diesem Zweck wurden sogenannte regulatorische Sandboxes eingerichtet.

Da aktuell allerdings auch Giganten wie Facebook und womöglich auch die chinesische Regierung in das Geschäft einsteigen möchten, wird diese regulatorische Toleranz zunehmend zu einer unbrauchbaren Strategie. Durch die Beteiligung solcher Schwergewichte entsteht plötzlich doch ein Risiko für das gesamte System und der Geschäftsbereich erhält geopolitische Relevanz.

In der Vergangenheit entschieden sich einige Aufsichtsbehörden bewusst dafür, Richtlinien für Kryptowährungen nicht so streng auszulegen oder durchzusetzen, wie das eigentlich möglich wäre. Das wird sich meiner Meinung nach ändern. Ich denke, dass die Vorschriften zukünftig strenger durchgesetzt werden und dass wir auch politische Einflussnahmen auf den Bereich der Kryptowährungen sowie die zugrunde liegenden Technologien und Richtlinien sehen werden.

5. 5G eröffnet Entwicklern neue Handlungsmöglichkeiten.

Sam Bakken, Senior Product Marketing Manager, OneSpan

Ich denke, dass sich mit der Verbreitung von 5G sowie der Verschmelzung von digitalen und physischen Verbrauchererlebnissen dank Wearables, dem Internet der Dinge und Ambient Computing unser ganzer Alltag verändern wird. Wir werden anders fahren, anders kochen, anders einkaufen und anders unsere Bankgeschäfte abwickeln. Unser Alltag wird bequemer. Damit er auch sicher ist, müssen wir unsere Bedrohungsmodelle anpassen.

Mit der Verbreitung von 5G müssen Entwickler 2020 umdenken:

1. Durch 5G werden wir eine bedeutende Verbesserung von Geschwindigkeit und Qualität der Benutzererfahrung erleben. Entwickler werden dadurch in der Lage sein, Kundenerlebnisse noch weiter zu optimieren. Die Kehrseite der Medaille ist jedoch, dass heiß erwartete neue Funktionen immer schneller bereitgestellt werden müssen, sodass einige Entwickler ihre Produkte vorzeitig verfügbar machen. Die Sicherheit dieser neuen Apps darf allerdings nicht zweitrangig sein. Das ist umso wichtiger, da die gleichen Vorteile, von denen Entwickler und Verbraucher profitieren, auch für Angreifer verfügbar sind, die 5G für ihre Zwecke nutzen werden.
2. Um optimierte Kundenerlebnisse zu gestalten und die neuen Möglichkeiten von 5G voll auszuschöpfen, müssen Entwickler Zeit im Entwicklungszyklus schaffen. Unternehmen können ihre Entwickler mit effektiven Sicherheitstools bei diesem Unterfangen unterstützen, und ihnen dadurch ermöglichen, ihre Zeit auf das Kundenerlebnis zu konzentrieren.

6. Open Banking erfordert neue Sicherheitsmethoden.

Matthias Valcke, Director of Sales Development, OneSpan

Open Banking wird auf der ganzen Welt Veränderungen mit sich bringen. Während Banken bis dato die vollständige Kontrolle über die digitalen Interaktionen von Verbrauchern hatten, wird Open Banking mit dieser Tradition brechen. Verbraucher werden zunehmend Bankdienstleistungen über Drittanbieter-Anwendungen in Anspruch nehmen, welche außerhalb des Einflussbereichs von Banken liegen.

Es besteht also der Bedarf für neue Sicherheitsmethoden, bei denen die durch maschinelles Lernen gestützte Betrugsüberwachung eine große Rolle spielen wird. Anhand des maschinellen Lernens sollten wir dazu in der Lage sein, das normale Verhalten von Kunden zu bestimmen. Betrugsüberwachungslösungen können diese Information dann mit Parametern zur Nutzergerätesicherheit kombinieren, um verdächtiges Nutzerverhalten zu identifizieren und zu melden.

7. Die schrittweise Annahme von Open Banking in den USA führt zur Entstehung regulatorischer technischer Standards.

Michael Magrath, Director of Global Regulations & Standards, OneSpan

Sollten die USA es Europa und anderen Gerichtsbarkeiten gleichtun und Open Banking implementieren, wird das amerikanische Finanzministerium wahrscheinlich nach dem Modell der europäischen Bankenaufsichtsbehörde regulatorische technische Standards definieren und eine starke Kundenauthentifizierung erforderlich machen. 

Aktuell ist die Debatte über Open Banking in den USA auf Eis gelegt. Grund dafür ist ein im Oktober 2019 zugunsten des New York State Department of Financial Services (NYDFS) getroffener Bundesgerichtsentscheid gegen das US-amerikanische Office of the Comptroller of the Currency (OCC). 2018 gab das OCC bekannt, dass Finanztechnologie-Unternehmen spezielle Bank-Charter beantragen könnten. Diese Entscheidung löste in der Bankenbranche Sorgen über die Schaffung eines ungleichen regulatorischen Umfelds aus.  Laut Gericht darf das OCC aktuell keine Anträge für seine an Finanztechnologie-Unternehmen gerichteten Charter annehmen. Im Sinne der ursprünglich vorgeschlagenen Charter könnten lizenzierte Finanztechnologie-Unternehmen bestimmte Bankgeschäfte durchführen – etwa die Ausgabe von Krediten. Sollte das OCC nun in Berufung gehen und gewinnen, könnte Open Banking zukünftig auch in den USA zur Realität werden. 

8. Als „offen“ und „allumfassend“ können wir zukünftig unsere Beziehung zur Technologie definieren.

Mark Crichton, Senior Director of Product Management, OneSpan

Noch vor fünf Jahren hätte wohl niemand die explosionsartige Verbreitung des Mobile Bankings sowie die Verwendung von Mobilgeräten als biometrische Authentifikatoren vorhersagen können. In den nächsten fünf Jahren erwarte ich nun, dass die Finanzwelt den beiden Trends der „Offenheit“ und „allumfassenden Erfahrung“ folgen wird.

Die neue „Offenheit“ erkennen wir heute bereits an den Open-Banking-Standards. In den nächsten fünf Jahren wird sie sich noch deutlicher bemerkbar machen. Bald werden Banken keinen fest definierten Perimeter mehr haben. Auch Einzelhändler können dann beispielsweise als Banken fungieren. Kreditkarten werden zu digitalen Zahlungsmitteln. Zahlungen über Mobilfunkanbieter und mobile Endgeräte werden zum neuen Standard.

„Allumfassend“ bezieht sich auf das Internet der Dinge (IdD) und unsere vernetzte Welt. Bald werden wir in der Lage sein, Lebensmitteleinkäufe über unseren Kühlschrank zu tätigen oder TV-Sendungen direkt über die Bank unseres Vertrauens zu kaufen, ohne mit dem Content-Anbieter in Kontakt zu treten. Alle unsere Endgeräte werden vernetzt sein. In diesem Szenario braucht es transparente, nahtlose Sicherheitsvorkehrungen, damit eine sichere, unterbrechungsfreie Konnektivität gewährleistet werden kann. Dazu tragen in den nächsten Jahren Unternehmen, Banken, Anbieter und neue Branchenstandards bei.

9. Das Vertrauen in Technologien zur digitalen Überprüfung der Identität wird dank Regulierungsmaßnahmen wachsen.

Conor Hickey, Solutions Architect, OneSpan

Die Zentralisierung und Verwaltung digitaler Identitäten durch Regierungen oder vertrauenswürdige private Entitäten wie Finanzinstitute wird in den kommenden Jahren zur neuen Norm werden. In vielen europäischen Ländern haben Nutzer jetzt bereits die Möglichkeit, ihre Identität nur einmal verifizieren zu lassen, um diese verifizierte Identität danach mehrfach zu nutzen. Zukünftig wird dieser Prozess noch weitreichender eingesetzt und benutzerfreundlicher werden. Wer dann ein Konto bei einer vertrauenswürdigen Entität eröffnet, kann anschließend problemlos weitere Konten bei anderen Anbietern öffnen.

Die Regulierung der digitalen Überprüfung der Identität ist ein wichtiger Schritt, um Vertrauen bei den Verbrauchern aufzubauen. Zunächst werden neue Regulierungsmaßnahmen zwar dazu führen, dass die Einführung der neuen Technologien zeitweilig weniger schnell voranschreitet, da Anbieter sich erst einmal mit den neuen Regeln auseinandersetzen und daran anpassen müssen. Schlussendlich werden wir allerdings eine weitreichendere Akzeptanz erleben. So ist zum Beispiel die Regulierung von Gesichtsvergleichstechnologien eine wichtige Voraussetzung für eine weitreichende Annahme, da die Verhinderung von Missbrauch oder Fehlgebrauch für alle Beteiligten wichtig ist.

10. Intuitive Drag-and-Drop-Funktionalitäten ermöglichen ein neues Level an Benutzerfreundlichkeit für Sicherheitsprodukte.

Will LaSala, Director of Security Services, Security Evangelist, OneSpan

2020 werden diverse neue Sicherheitsfunktionen auf dem Markt verfügbar sein. DevOps- und DevSecOps-Teams sollten ihren Fokus dabei auf Tools legen, die ihnen anhand nutzerfreundlicher Drag-and-Drop-Technologien eine effizientere Anwendungsentwicklung ermöglichen. Stichwort: Drag-and-Drop-Sicherheit. Entwicklern werden neue Cloud-basierte Tools zur Erstellung von Workflows zur Verfügung stehen.  Diese Tools verfügen über integrierte Sicherheitsfunktionen, deren Überwachung über die bestehende Risikoanalyselösung des jeweiligen Unternehmens erfolgt. Dadurch werden die Schutzvorkehrungen für die eigenen Geschäftsanwendungen noch einmal deutlich gestärkt.  Die gleiche Art von Tools wird Entwicklern dabei helfen, Sicherheitsfunktionen in ihren Apps zu implementieren.  Während in der Vergangenheit auf einzelne Sicherheitstechnologien spezialisierte Entwickler Monate damit verbrachten, neue Technologien zu testen und zu implementieren, werden dank dieser neuen Tools zukünftig diversifizierte Teams diese Aufgabe übernehmen können, um schneller mehr Sicherheitsfunktionen als je zuvor zu entwickeln. 

Das entscheidende Merkmal dieser Tools ist Low-Code. Dank der fortschreitenden Einbindung von Low-Code in DevSecOps werden unsere Sicherheitsprodukte zukünftig mit einem neuen Level der Benutzerfreundlichkeit ausgestattet sein.

Technologien zur Vertragsautomatisierung sind Voreiter in diesem Bereich, doch selbst diese werden zukünftig noch benutzerfreundlicher werden, und Nutzer werden in der Lage sein, mehr Workflows mit Sicherheitsfunktionen auszustatten – sogar dort, wo uns früher eine übermäßige Komplexität davon abhielt, Sicherheitsmaßnahmen hinzuzufügen. In der Zukunft sehen wir eine Kombination der Verwaltung von Sicherheitsabläufen mit KI-gestützten Risikoanalysen und adaptiver Authentifizierung, unterstützt durch einfache Drag-and-Drop-Konfigurationen. Damit verwirklichen wir zum ersten Mal das Potenzial einer aktiven digitalen Sicherheit für alles, was Nutzer im Web und auf mobilen Anwendungen tun.