5 Möglichkeiten, wie Banken Mobile Banking Apps und Transaktionen schützen können

Sarah Dixon, 4. Februar 2022

Jahrein jahraus nehmen die Betrugsversuche im digitalen Banking zu und noch nie zuvor hat es derart viele Betrugsversuche gegeben. Gleichzeitig werden die Betrüger auch immer raffinierter. Ein Threat Intelligence-Bericht des Jahres 2021, das Ergebnis der Überwachung von 200 Millionen Geräten weltweit, konstatiert in der ersten Hälfte des Jahres 2021 einen 80-prozentigen Anstieg von neuen Banking-Trojanern, die Geräte angreifen und versuchen, SMS-Einmalpasswörter zu stehlen. Im Juni 2020 gab das FBI eine Cybersecurity-Warnung heraus: Im Zuge der steigenden Nutzung von Bankanwendungen und dem Rückgang der Bankfilialen, auch pandemiebedingt, rechnet man mit einer Zunahme der Angriffe auf mobile Bankkunden. Da immer mehr Kunden ihr Online-Banking über ihr Mobiltelefon abwickeln und die Einstiegshürden für Angreifer niedriger sind, müssen Finanzinstitute dringend fortschrittliche App-Sicherheit einsetzen, um sowohl ihre Kunden als auch ihre Marke zu schützen.

Driving Up Digital Account Opening Completion Rates with Hybrid Banking
OneSpan Blog Audio (nur auf Englisch verfügbar):

5 Ways Banks Can Protect Mobile Banking Apps and Transactions

Audio file

In einem kürzlich geführten Videointerview sprach Greg Hancell, Director of Data Strategy, Product Management bei OneSpan, über Methoden und Technologien, wie Finanzinstitute die Geräte und Transaktionen ihrer Kunden schützen können. In diesem Artikel geben wir Ihnen seine fünf wichtigsten Empfehlungen weiter, sowie Erkenntnisse von anderen Sicherheitsexperten.

  1. Ablösung statischer Passwörter durch eine starke Kundenauthentifizierung
  2. Verwendung kontextbezogener Authentifizierung mit Verhaltensanalyse
  3. Einsatz eines sicheren Kanals mit End-to-End-Verschlüsselung
  4. Anwendung von erweiterter Anwendungssicherheit und Malware-Erkennung
  5. Mehr Vertrauen durch besseren Schutz von Mobile Banking

nur auf Englisch verfügbar

Welche verschiedenen Arten von Angriffen gibt es beim digitalen Banking?

Im digitalen Bankwesen kann man unter anderem folgende Angriffe beobachten:

  • Emulator-Angriffe – Bei diesen Angriffen nutzen Betrüger kompromittierte Benutzergeräte (Geräte, die mit Malware infiziert sind), um Daten und Passwörter zu stehlen. Die Kriminellen leiten die Daten an Emulatoren weiter. In einem automatisierten Prozess werden die Daten anschließend genutzt, um typische Transaktionen, die ein legitimer Benutzer in einer App durchführen würde, zu simulieren, jedoch fangen die Angreifer die SMS-Codes zur Autorisierung ab und nutzen die Genehmigung der Transaktion für ihre Machenschaften.
  • SIM-swap – Bei diesem Typ von Kontoübernahmeangriff setzen Betrüger Social-Engineering-Techniken ein. Sie übertragen die Handynummer des Opfers auf eine neue SIM-Karte und ermöglichen so dem Angreifer, betrügerische Transaktionen mittels Zwei-Faktor-Authentifizierung (2FA) und SMS-Verifizierung durchzuführen. Finanzinstitute können das Risiko eines SIM-Swap-Betrug verringern, indem sie die Software-Authentifizierung in die Mobile-Banking-App integrieren.
  • Mobile Phishing – Angreifer senden per SMS oder E-Mail einen Link mit einer Schaddatei. Wenn das Opfer auf den Link klickt, kann es dazu verleitet werden, persönliche Daten auf einer vermeintlich echten Webseite einzugeben oder unwissentlich Spyware auf sein Gerät herunterzuladen.
  • Mobile Banking-Trojaner - Eine Datei oder eine App eines Drittanbieters, die legitim erscheinen, werden aus dem Android- oder Apple-App-Store oder direkt von einer Website heruntergeladen. Sie enthalten aber in Wirklichkeit Malware, die auf mobile Banking-Apps auf dem Mobiltelefon abzielt, auf das sie heruntergeladen wurde. Die Malware kann dann Bankinformationen und andere sensible Daten abfangen, die ein Benutzer eingibt, um seine Identität zu stehlen, Anmeldedaten zu erhalten, sein Bankkonto zu infiltrieren oder Geldüberweisungen abzufangen.

Die Lösung, um im digitalen Bankwesen Geräte und Transaktionen vor Angriffen und vor verdächtigen Aktivitäten zu schützen: Mehreren Sicherheitsebenen

1. Ablösung statischer Passwörter durch eine starke Kundenauthentifizierung

Greg erste Ratschläge zum Schließen von Schwachstellen beziehen sich auf die Benutzerauthentifizierung – die Schritte, die ein Kunde durchläuft, um sich beim Login oder bei der Durchführung einer Transaktion zu authentifizieren.

„Benutzen Sie noch statische Passwörter? Dann ist es an der Zeit, die Zwei-Faktor-Authentifizierung einzuführen. Wenn Sie bei der Zwei-Faktor-Autorisierung noch SMS verwenden, wechseln Sie zu einer starken Kundenauthentifizierung. Verwenden Sie bereits eine starke Kundenauthentifizierung, dann wechseln Sie zu dynamischer Verknüpfung und kontextbezogener Authentifizierung.“

Die Referenz in puncto Bankensicherheit ist eine Kombination von starker Kundenauthentifizierung und dynamischer Verknüpfung mit kontextbezogener Authentifizierung. Greg kann sie allen Finanzinstituten nur empfehlen.

Bei der starken Kundenauthentifizierung wird die Identität eines Kunden bei der Anmeldung und der Autorisierung einer Transaktion durch eine Multi-Faktor-Authentifizierung (MFA) bestätigt. Eine Multi-Faktor-Authentifizierung stellt starke Passwörter in den Schatten. Sie setzt drei gängige Faktoren ein - etwas, das Sie „wissen“, wie z. B. eine PIN, etwas, das Sie „haben“, wie z. B. ein Mobilgerät oder ein Hardware-Token, und etwas, das Sie „sind“, wie z. B. ein biometrischer Fingerabdruck oder ein Gesichtsscan.

2. Verwendung kontextbezogener Authentifizierung mit Verhaltensanalyse

Die kontextbezogene Authentifizierung, auch bekannt als adaptive Authentifizierung, berücksichtigt den Kontext oder das Verhalten im Zusammenhang mit einem Ereignis wie der Anmeldung, der Begünstigtenerstellung und der Transaktion. Bei der adaptiven Authentifizierung und der Verhaltensanalyse werden große Datenmengen in Bezug auf das Verhalten des Benutzers, das Mobiltelefon und die Transaktion in Echtzeit überprüft und darauf basierend wird eine Risikobewertung aufgestellt. Diese Bewertung löst automatisierte Sicherheitsabläufe aus, die genau die Sicherheitsmaßnahmen anwenden, die erforderlich sind. Greg rät:

„Banken sind an der Anwendung von Verhaltensanalysen interessiert. Dafür müssen Sie herausfinden, wie sich Benutzer normalerweise verhalten, wann sie sich in der Regel anmelden und welche Arten von Geräten sie besitzen. Sie müssen auch sicherstellen, dass Sie ihre Interaktionen auf diesem Gerät auch aus finanzieller Sicht wirklich verstehen.“

Wenn Banken, Finanzinstitute und Finanzdienstleister wissen, wie sich ein Benutzer normalerweise verhält, können Sie für Abweichungen vom normalen Nutzungsschema zusätzliche Authentifizierungsstufen einbauen. In seinem Artikel aus dem Jahr 2021: „Advanced Authentication: A Plan of Attack for Your Authentication Stack“ (Erweitere Authentifizierung: Ein Aktionsplan für Ihren Authentifizierungsansatz) erklärt der Sicherheitsexperte Sam Bakken ausführlicher, wie dies funktioniert:

„Ein auf einem fortschrittlichen Betrugspräventionssystem basierender Orchestrierungs-Hub vergleicht mithilfe von künstlicher Intelligenz und maschinellem Lernen, inwiefern sich ein Benutzer so verhält wie typische Benutzer, die eine legitime Transaktion durchführen. Gibt es Anzeichen für Gefahr, läuten die sinnbildlichen Alarmglocken und eine neuen Authentifizierungsstufe und ein zweiter Faktor können zur Bestätigung der digitalen Identität des Kunden herangezogen werden. Dadurch wird der Zugang zur Anwendung bedeutend sicherer.“

3. Einsatz eines sicheren Kanals mit End-to-End-Verschlüsselung

Greg rät Finanzinstituten, die für Ihre mobilen Apps die höchstmögliche Sicherheit für die Kommunikation zwischen einem Server und dem iphone, Smartphone oder Mobilgerät eines Kunden anstreben, zu einer eine End-to-End-Verschlüsselung mit einem sicheren Kanal.

„Ein sicherer Kanal bedeutet, dass nur das Gerät des Benutzers das Einmalpasswort und die damit verbundenen Details sowie den Kontext entschlüsseln und einsehen kann.“

Diese zusätzliche Schutzebene funktioniert durch die unabhängige Verschlüsselung von Daten auf der Serverseite. Sie gewährleistet den sicheren Transport zum und vom Gerät. Eine sichere Kommunikation zwischen Benutzern und dem Server werden dadurch gewährleistet. In Verbindung mit der Abschirmung der Anwendung verhindert diese Schutzebene, dass Malware Einmalpasswörter abfängt, die im Klarschriftverfahren z. B. per SMS, gesendet werden. Der Server erhält so einen umfassenden Kontext, der eine risikobasierte Entscheidung über den Benutzer und sein Gerät ermöglicht.

4. Anwendung von fortschrittlicher Anwendungssicherheit und Malware-Erkennung

Neben der Verbesserung der Sicherheit der Transaktionsauthentifizierung rät Greg Banken auch den Einsatz der fortschrittlichen Anwendungssicherheit:

„Im digitalen Bankwesen steht Ihnen erweiterte Anwendungssicherheit wie Anwendungshärtung, Schutz vor Manipulationen und Malware-Erkennung zur Verfügung.“

Anwendungsabschirmung und -Härtung sind verschiedenen Arten des In-App-Schutzes. Code-Verschleierung, Debugger-Erkennung, Overlay-Erkennung sind hierbei nur einige der Techniken, um Anwendungen vor Angriffen wie Reverse Engineering und Manipulation zu schützen. Ziel dieser Maßnahmen ist es, den Angriff auf eine App deutlich zu erschweren.

Die Sony Bank, eine japanische Direktbank, implementierte die App-Abschirmung, um ihre App für digitales Banking zu schützen. Die Sony Bank setzt zur Abschirmung ihrer App Technologie ein, die Reverse-Engineering-Techniken durch Code-Verschleierung und Anti-Repackaging-Technologie verhindert. Außerdem werden Bedrohungen wie bösartiges Keylogging, Screenreader, Debugger, Emulatoren und Overlay-Angriffe aktiv erkannt.

5. Mehr Vertrauen durch besseren Schutz beim digitalen Banking

In einem Artikel aus dem Jahr 2021 Secure Mobile Application Development: Making the Business Case for App Shielding (Entwicklung von sicheren mobilen Apps: Der geschäftliche Nutzen von App-Abschirmung) haben wir dargelegt, dass die App-Abschirmung für mehr nützlich ist, als der Bekämpfung von mobilen Bedrohungen und bösartigem Code beim Kunden.

„App-Abschirmung kann auch das Vertrauen der Kunden erhöhen, die Kundenerfahrung verbessern und sich günstig auf Umsatzwachstum, Umsatzbindung, Kostensenkung und Kostenvermeidung auswirken. Untersuchungen haben ergeben, dass mobile Nutzer, die darauf vertrauen, dass ihr Finanzinstitut ihre persönlichen Daten, Konten und Zahlungsinformationen schützt, den mobilen Kanal stärker nutzen und dort mehr Transaktionen tätigen. Die Abschirmung von Apps reduziert in Verbindung mit einem umfassenden Sicherheitsprogramm die Sicherheitsrisiken für mobile Apps erheblich. Das erhöht wiederum das Vertrauen in eine Bank.“

Greg Hancell schließt sich dieser Aussage an und betont, dass entscheidend ist, die richtigen Art von Sicherheit zu wählen und die persönlichen Daten der Kunden zu schützen, wenn das Vertrauen der Kunden in den mobilen Kanal gestärkt werden soll.

„Wenn Sie die richtige Art von Sicherheit anwenden, erhöhen Sie das Vertrauen in die Sicherheit des digitalen Kanals, auf den Kunden über mobile Geräte zugreifen.“

Erste Schritte mit der Abschirmung von mobilen Apps: So schützen Sie Ihre mobilen Apps und Bankdienste

Die Entwicklung einer erfolgreichen mobilen Bankanwendung ist nicht einfach, und die Entwicklungsteams sind Druck aus allen Richtungen ausgesetzt. Zwar ist es wichtig, eine Anwendung so schnell wie möglich zu entwickeln, zu testen und zu veröffentlichen, aber es ist auch unerlässlich, mobile Bankanwendungen zu schützen.

Die Abschirmung mobiler Apps ist einfach zu implementieren und kann in wenigen Minuten umgesetzt werden. Einige der größten Banken und Finanzinstitute der Welt verlassen sich auf OneSpan App Shielding, um strenge Anforderungen an die Sicherheit Ihrer mobilen Apps zu erfüllen, ohne dass sich dadurch die Freigabe ihrer Apps verzögert. Die Digital-Only-Bank NewB nutzt App Shielding und Cloud-basierte Authentifizierung, um die Nutzer ihrer mobilen App und deren Transaktionen zu schützen. Dies hatte man dort über die Integration zu sagen: „Wir konnten die OneSpan Mobile App Shielding-Funktion innerhalb weniger Tag konfigurieren, und schützen so die von uns gerade entwickelte NewB Mobile Banking App.“

Raiffeisen Italien nutzt ebenfalls die mobile App-Abschirmung, um seine App zu schützen, und war damit in Italien das erste Unternehmen, das diese Technologie genutzt hat. Die Bank kann nun Angriffe auf ihre Authentifikator-App in Echtzeit erkennen und blockieren – ohne die Kundenerfahrung zu unterbrechen. App Shielding war einfach zu integrieren und hat die Entwickler nicht unnötig belastet. Der CIO der Bank, Alexander Kiesswetter, rät Finanzinstituten mit ähnlichen Vorhaben, „einen starken Partner zu wählen, der einen strategischen Blick darauf hat, wohin die digitale Transformation in Zukunft gehen kann“.

Mobile App Shielding
White Paper

Mobile App Shielding: How to Reduce Fraud, Save Money, and Protect Revenue

Discover how app shielding with runtime-protection is key to developing a secure, resilient mobile banking app.

Download Now

Sarah ist eine Technologiemarketing-Expertin mit mehr als 9 Jahren Marketingerfahrung in schnell wachsenden B2B-SaaS- und Professional-Services-Unternehmen im Bereich Finanzdienstleistungen und Recht.