Betrug führt zu einer Welle neuer Finanzvorschriften - was Sicherheitsverantwortliche wissen müssen

Als die COVID-19-Pandemie im letzten Frühjahr erstmals über die Nation hinwegfegte und die Gemeinden abriegelte, beeilten sich Unternehmen aller Branchen, sich digital zu transformieren, um ihre Kunden weiterhin über digitale Kanäle zu bedienen und Remote-Mitarbeiter zu unterstützen. Selbst stark regulierte Branchen - wie die Finanzdienstleister - haben schnell gehandelt. Die Banken beeilten sich, neue Technologien wie Biometrie, digitale Identitätsüberprüfung, Online-Fernbeurkundung und mehr einzuführen, um ihre Prozesse zu modernisieren und sicherzustellen, dass die Amerikaner in dieser kritischen Zeit weiterhin auf ihr Geld zugreifen können.

Dieser Ansturm auf die Digitalisierung von Prozessen und Dienstleistungen legte jedoch Schwachstellen in unserem Finanzsystem und der zugrundeliegenden technologischen Infrastruktur offen. Cyberkriminelle und Betrüger sahen die Billionen Dollar an Konjunkturprogrammen, erweiterten Arbeitslosenunterstützungen und Pandemie-Hilfsgeldern, die in das Finanzsystem gepumpt wurden, als einen Segen an. Sie stürzten sich darauf, um ein Stück vom Kuchen abzubekommen, und infolgedessen stieg die Zahl der Betrugsfälle stark an. Cybersecurity-Angriffe, die auf den Finanzsektor abzielen, haben während der Pandemie um 238 % zugenommen, Kontoübernahmebetrug hat um 72 % zugenommen und Banken haben einen siebenfachen Anstieg von verdächtigen Geschäftskreditaktivitäten gemeldet. Im September 2020 hat das Financial Crimes Enforcement Network (FinCen) des US-Finanzministeriums in einer Präsentation auf dem Fed ID Forum dargelegt, wie Kriminelle Schwachstellen in der Identität ausnutzen, um jeden Monat Cyberkriminalität im Wert von über 1 Milliarde US-Dollar zu begehen. Zahlreiche Bundesstaaten waren laut USA Today im Jahr 2020 von massiven betrügerischen Arbeitslosenanträgen in Höhe von 36 Milliarden Dollar betroffen.

Dieser Anstieg der Betrugsfälle hat zu Recht die Aufmerksamkeit von Gesetzgebern und Bundesbehörden auf sich gezogen, die einen Tsunami neuer Vorschriften durchsetzen, die darauf abzielen, Verbraucherdaten online besser zu schützen und einen sichereren digitalen Handel zu ermöglichen. Sicherheits- und IT-Experten, die im Finanzsektor - und auch in anderen Branchen - tätig sind, sollten sich der kommenden Vorschriften und Richtlinien bewusst sein, die im kommenden Jahr in Kraft treten könnten. Hier sind einige der wichtigsten Vorschriften, die sich wahrscheinlich auf Ihre Cybersicherheits- und IT-Strategien auswirken werden, und was Sie jetzt tun sollten, um sich vorzubereiten.

Strenge Anforderungen für die digitale Identitätsüberprüfung

Der weit verbreitete Betrug, der aus dem Early Relief Act resultierte, warf ein Schlaglicht auf die Tatsache, dass in den USA ein föderaler Rahmen für digitale Identitäten fehlt. Eine umfassende, landesweite Strategie für digitale Identitäten und deren Verifizierung würde helfen, die Amerikaner vor Identitätsdiebstahl und Online-Betrug zu schützen. Stattdessen haben jahrelange, groß angelegte Datenschutzverletzungen dafür gesorgt, dass die meisten Amerikaner ihre persönlich identifizierbaren Informationen (PII) bereits im Dark Web verkauft oder ausgetauscht haben. Das bedeutet, dass die traditionellen Methoden, die Banken und andere Institutionen als wissensbasierte Verifizierung (KBV) zur Überprüfung der Identität einer Person bei der Eröffnung eines neuen Kontos verwenden, nutzlos sind. Synthetischer Identitätsbetrug - der Prozess, bei dem gestohlene PII wie eine Sozialversicherungsnummer zusammen mit fiktiven Daten zusammengesetzt werden, um eine neue Identität zu erstellen - ist die am schnellsten wachsende Art von Finanzkriminalität in den USA. Das Problem war noch nie so dringlich wie während der Pandemie. Während die Bundesregierung Geld in das Finanzsystem pumpte, waren Banken und Landesregierungen gezwungen, Konten und den Zugang zu Geldern wochenlang einzufrieren - während sie damit kämpften, die Identitäten der Verbraucher in digitalen Kanälen zu überprüfen und legitime Ansprüche von betrügerischen zu unterscheiden.

In Zukunft wird von Finanzinstituten und Behörden gleichermaßen erwartet, dass sie ihre Prozesse zur Überprüfung der digitalen Identität durch neue Technologien und Techniken stärken. Ich erwarte, dass unter der neuen Biden-Administration einige Initiativen aus der Obama-Ära wiederbelebt werden, angefangen mit einem Plan zur Verbesserung der digitalen Identitätsprüfung. Die Obama-Regierung hatte an der Entwicklung der Nationalen Strategie für vertrauenswürdige Identitäten im Cyberspace (NSTIC) gearbeitet, die jedoch nie die erhoffte Zugkraft erreichte. Jetzt, nach den Auswirkungen der Pandemie, erleben wir ein viel größeres überparteiliches Interesse an diesem Thema. Letztes Jahr hat der Kongress den überparteilichen Improving Digital Identity Act eingeführt. Obwohl der Gesetzesentwurf am Ende der letzten Kongresssitzung starb, kündigten die Co-Sponsoren, die Kongressabgeordneten Bill Foster (D-IL) und John Katko (R-NY), Anfang des Monats an, dass er im ersten Quartal dieses Jahres erneut eingebracht werden soll. Wenn der Gesetzentwurf in Kraft tritt, wird er eine Task Force innerhalb des Präsidialamtes schaffen. Die Aufgabe dieser Task Force ist es, eine einheitliche Strategie auf Bundes-, Landes- und kommunaler Ebene für sichere und interoperable Methoden zu schaffen, die sowohl vom öffentlichen als auch vom privaten Sektor für die digitale Identitätsüberprüfung genutzt werden können.

Der Gesetzesentwurf stützt sich auf den Bericht "Better Identity in America: A Blueprint for Policymakers" der Better Identity Coalition aus dem Jahr 2018, in dem unter anderem empfohlen wird, dass Regierungsbehörden sowohl auf staatlicher Ebene über die Departments of Motor Vehicles als auch auf Bundesebene über die Social Security Administration (SSA) am besten positioniert sind, um Verbrauchern neue Identitätsdienste anzubieten.

In diesem Bereich sind bereits einige Fortschritte zu verzeichnen. Die SSA hat vor kurzem ihren elektronischen Service zur Überprüfung der Sozialversicherungsnummer (eCBSV) eingeführt, um Finanzinstituten dabei zu helfen, das Risiko eines synthetischen Identitätsbetrugs während des Eröffnungsprozesses eines neuen Kontos zu reduzieren.  

Sicherheits- und IT-Experten in Finanzinstituten sollten jetzt damit beginnen, ihre Prozesse zur Überprüfung der digitalen Identität zu stärken. Beginnen Sie mit der Integration des eCBSV-Dienstes in Ihren Antragsprozess für ein neues Konto. Beachten Sie auch die jüngsten Leitlinien zur digitalen Identität, die von der Financial Action Task Force (FATF) herausgegeben wurden. Darin werden Best Practices beschrieben, die Banken befolgen sollten, und wie Finanzinstitute Dritte nutzen können, um die Anforderungen an die Identitätsüberprüfung in digitalen Kanälen zu erfüllen.

Neue Schutzmaßnahmen für biometrische Identifikatoren

Da die Städte abgeriegelt wurden und die Verbraucher zu Hause blieben, stieg die Popularität des mobilen Bankings während der Pandemie sprunghaft an. Um ein komfortableres mobiles Erlebnis zu bieten, haben viele Banken damit begonnen, Biometrie wie Fingerabdruck-Scans und Gesichtserkennung für die Benutzerauthentifizierung zu nutzen, wenn sich Kunden bei ihren mobilen Banking-Apps anmelden. Die dramatisch zunehmende Nutzung der Biometrie hat die Aufmerksamkeit auf die Notwendigkeit eines nationalen Gesetzes gelenkt, das regelt, wie Unternehmen die biometrischen Daten von Verbrauchern sammeln, speichern und schützen.

Ende letzten Jahres hat der US-Senat mehrere datenschutzrelevante Gesetzesentwürfe eingebracht, darunter den National Biometric Information Privacy Act, der, falls er verabschiedet wird, neue Verpflichtungen für Unternehmen schafft, die biometrische Identifikatoren von Verbrauchern verwenden. Unter anderem würde es Unternehmen verbieten, biometrische Daten wie Gesichtsabdrücke, Fingerabdrücke, Netzhautscans und Stimmabdrücke zu sammeln, ohne vorher eine ausdrückliche Zustimmung einzuholen. Unternehmen wären auch verpflichtet, biometrische Identifikatoren auf die gleiche Weise zu schützen wie andere sensible PII, z. B. Sozialversicherungsnummern. Sie führt auch Geldstrafen für Verstöße gegen die Compliance ein.

Sicherheitsteams in Unternehmen, die biometrische Daten zur Benutzerauthentifizierung verwenden, sollten sicherstellen, dass sie die Best Practices zum Schutz und zur Speicherung dieser Daten befolgen. Schauen Sie sich die Frameworks an, die von der FIDO Alliance und dem National Institute of Standards and Technology (NIST) entwickelt werden. Diese könnten schon bald auf nationaler Ebene übernommen werden. Wenn Sie also jetzt sicherstellen, dass Sie deren Empfehlungen befolgen, sind Sie einen Schritt voraus, wenn die Vorschriften eingeführt werden. Achten Sie auch auf die aktualisierten Richtlinien zur Internet-Banking-Authentifizierung des Federal Financial Institutions Examination Council (FFIEC), die später in diesem Jahr erscheinen und wahrscheinlich neue Richtlinien zur biometrischen Authentifizierung enthalten werden

Vor allem Sicherheitsexperten im Finanzsektor sollten eine Modernisierung ihres Ansatzes zur Multifaktor-Authentifizierung planen, um die anhaltende Betrugsflut zu bekämpfen. Durch die Integration fortschrittlicher Technologien wie Echtzeit-Risikoanalysen, die auf künstlicher Intelligenz (KI) und maschinellem Lernen basieren, können Banken dank kontinuierlicher Überwachung Betrug erkennen, sobald er auftritt. Sie können einen mehrschichtigen Ansatz zur Multifaktor-Authentifizierung erstellen, der zusätzliche Authentifizierungsschritte auslöst, wenn ein Risiko erkannt wird.   

Ein Bundesgesetz zum Schutz von Verbraucherdaten

Ähnlich wie in den USA ein landesweites Rahmenwerk für digitale Identitäten fehlte, fehlte auch auf Bundesebene jede Art von umfassendem Gesetz zum Schutz von Verbraucherdaten. Während es in der Europäischen Union seit 2016 die General Data Protection Regulation (GDPR) gibt und mehrere andere Länder auf der ganzen Welt in den letzten Jahren ähnliche Gesetze erlassen haben, verlassen sich die USA weiterhin auf einen Flickenteppich aus bundesstaatlichen Gesetzen und branchenspezifischen Standards. Inkonsistente Standards rund um den Datenschutz für Verbraucher führen zu Lücken und schlechten Sicherheitspraktiken, die Verbraucher anfällig für Datenschutzverletzungen und Identitätsdiebstahl machen. Das könnte sich 2021 endlich ändern. Im vergangenen Jahr hat der US-Senat mehrere Datenschutzgesetze eingebracht, darunter den Data Protection Act of 2020, der eine Bundesdatenschutzbehörde einrichten und Bußgelder für Unternehmen erheben würde, die die Daten ihrer Kunden nicht ausreichend schützen. Der Gesetzesentwurf schmachtete unter der vorherigen Regierung, aber ich erwarte, dass wir ihn zusammen mit anderen Gesetzen zum Schutz der Privatsphäre und des Datenschutzes in diesem Jahr wieder aufgegriffen, verpackt und verabschiedet sehen werden.

Einige Sicherheitsexperten arbeiten möglicherweise in Organisationen, die bereits die GDPR und/oder das kalifornische Verbraucherschutzgesetz (CCPA) einhalten. Wenn dies der Fall ist, sind Sie wahrscheinlich für alle neuen Gesetze zum Schutz der Privatsphäre und des Datenschutzes von Verbrauchern, die kommen könnten, gut aufgestellt, da diese wahrscheinlich ähnlich strukturiert sein werden. Diejenigen, die derzeit nicht die GDPR oder CCPA einhalten müssen, sollten jedoch damit beginnen, die gleichen Prozesse und Rahmenwerke in ihren Organisationen zu etablieren. Sie können auch den kürzlich verabschiedeten California Privacy Rights Act (CPRA) und den New Yorker Stop HACKS and Improve Electronic Data Security (SHIELD) Act als Beispiele dafür ansehen, was Sie bei der Planung Ihrer Datenschutzstrategien erwarten können

Dies sind nur einige der vielen neuen und aktualisierten Vorschriften, Standards und Gesetzesvorschläge, die über die Finanzdienstleistungsbranche und andere Sektoren hinwegfegen werden. Sicherheits- und IT-Fachleute sollten jetzt mit der Planung beginnen, um nicht unvorbereitet überrascht zu werden und aufholen zu müssen. Evaluieren und implementieren Sie neue Technologien, die die Sicherheit rund um digitale Identitäten, Verbraucherdaten, Benutzerauthentifizierung und Betrugserkennung stärken. Orientieren Sie sich an etablierten Best Practices und Frameworks, wenn Sie neue Prozesse entwickeln oder Services zum ersten Mal digitalisieren. Und schließlich sollten Sie in Mitarbeiterschulungen zum Thema Datensicherheit, Risiko und Compliance investieren. Wenn Sie diese Schritte jetzt unternehmen, sind Sie nicht nur einen Schritt voraus, wenn es um die Einhaltung der kommenden Vorschriften geht, sondern können auch Ihr Unternehmen, Ihre Kunden und Ihre sensiblen Daten in dieser neuen, digitalen Wirtschaft besser schützen.

Bericht (Englisch)

OneSpan Global Financial Regulations Report

Laden Sie diesen Bericht für 2020 herunter, um über die neuesten regulatorischen und rechtlichen Änderungen auf der ganzen Welt auf dem Laufenden zu bleiben - in Bezug auf elektronische Signatur, digitale Identität, Cybersicherheit und mehr.

Jetzt herunterladen

Dieser Artikel, geschrieben von Michael Magrath, Director of Global Regulations and Standards bei OneSpan, wurde zuerst veröffentlicht in Sicherheits-Magazin am 30. März 2021.