OneSpan Blog

Die wichtigsten Trends für die Zukunft der Betrugsbekämpfung: 2020 und darüber hinaus

Betrugsanalyse
Jeannine Mulliner, 19. Juli 2019
Top Trends Driving the Future of Fraud Mitigation: 2020 and Beyond

Um Unternehmen im Kampf gegen Cyberkriminalität zu unterstützen, veröffentlichen wir regelmäßig Webcasts zu Themen wie Betrugsprävention, Best Practices zur Datensicherung und technische Innovation. Für alle, die den Webcast Die wichtigsten Trends für die Zukunft der Betrugsbekämpfung: 2020 und darüber hinaus mit Julie Conroy von der Aite Group verpasst haben, gibt es hier eine 5-minütige Kurzfassung. Die ungekürzte Präsentation ist als On-Demand-Version verfügbar.

Finanzinstitute (FI) stehen unter Dauerbeschuss seitens organisierter Cyberkrimineller. Gerade beim Betrug in digitalen Kanälen kommen ständig neue Maschen und ausgefeilte technologische Hilfsmittel zum Einsatz, um die vorhandenen Kontrollmechanismen zu umgehen; zunehmend werden die Verfahren auch durch Automatisierung beschleunigt. Für Betrugspräventions-Teams hat der Austausch aktueller Informationen heute einen höheren Stellenwert als je zuvor.

Als Hilfestellung bei der Weiterentwicklung von Sicherheitsvorkehrungen zur Abwehr von Angriffen sprach Julie Conroy, die bei der Aite Group als Forschungsleiterin für den Bereich Betrugs- und Geldwäscheprävention verantwortlich ist, mit OneSpan über sieben Trends, die aktuell für die Betrugsbekämpfung besonders relevant sind:

  • Datenpannen bieten Kriminellen eine Vielzahl potenzieller Angriffsvektoren
  • Online- und Mobil-Kanäle stehen weiterhin im Visier der Angreifer
  • Durch verschärfte Regulierung entstehen neue Risikovektoren
  • Die Welle der „Business E-Mail Compromise“-Angriffe reißt nicht ab
  • Banken setzen zunehmend auf Cloud-basierte Lösungen zur Betrugserkennung und Authentifizierung
  • Betrugsabwehr-/Authentifizierungszentren haben Konjunktur
  • Finanzinstitute machen sich die Macht der Daten und erweiterten Analysewerkzeuge zunutze 

Diese Trends werden weltweit die Strategien der Finanzinstitute zur Betrugserkennung und Authentifizierung sowie die Investitionen in Technologie über die kommenden 12 Monate prägen. 

In diesem Blogbeitrag stellen wir drei dieser Trends vor. Der ungekürzte Vortrag ist als On-Demand-Version verfügbar.   

Sicherheitstrend Nr. 1: Datenpannen bieten Kriminellen eine Vielzahl potenzieller Angriffsvektoren

Seit 2013 wurden 14,7 Milliarden Datensätze gehackt. Angesichts der schieren Anzahl massiver Datenpannen u. a. bei Equifax (143 Mio. Datensätze), Marriott Hotels (383 Mio. Datensätze), Twitter (330 Mio. Datensätze) und Yahoo (500 Mio. Datensätze) müssen Finanzinstitute beim Aufbau ihrer Systeme zur Betrugsprävention davon ausgehen, dass böswillige Akteure bereits im Besitz ihrer Kundendaten sind.

„Gehackt wurden u. a. personenbezogene Daten, Anmeldedaten, bei Facebook sogar Informationen über die Mitgliedschaft in religiösen oder politischen Organisationen, sowie Suchverläufe. Für organisierte Cyberkriminelle, die mit Taktiken des Social Engineering arbeiten, sind solche Daten ungemein wertvoll“, so Conroy.

Die entwendeten Daten werden im Dark Web verkauft. Mithilfe von Tools wie Sentry MBA zur Automatisierung der sogenannten „Credential Stuffing“-Angriffe (Abgleich gestohlener Anmeldedaten mit einer hohen Anzahl von Websites) lässt sich daraus schnell Profit schlagen. Als nächster Schritt folgt dann die Account-Übernahme.

Aus Sicht der Finanzinstitute und Online-Händler zählt Credential Stuffing mittlerweile zu den größten Herausforderungen. Diese Angriffe werden immer mehr zum Problem, zumal zunehmend ausgefeilte Tools einen blitzschnellen Abgleich entwendeter Anmeldedaten mit Hunderten oder gar Tausenden von Websites ermöglichen. Diese Technik ist vor allem deswegen so effektiv, weil viele Anwender die gleichen Anmeldedaten für unterschiedliche Websites verwenden. Für Cyberkriminelle ist dieser nachlässige Umgang mit Kennwörtern ein Geschenk.

Die Tools, die beim Credential Stuffing zum Einsatz kommen, sind mittlerweile so raffiniert, dass sie beim Ausfüllen der Anmeldedaten die typische Eingabegeschwindigkeit eines menschlichen Anwenders nachahmen, wie Conroy berichtet. Durch Nutzung unterschiedlicher IP-Adressen und Proxy-Server können sie zudem Kontrollfunktionen umgehen, die eine ungewöhnlich hohe Anzahl von Abfragen nach Benutzernamen/Kennwort von einer einzigen IP-Adresse erkennen würden. Teilweise können sie mithilfe integrierter OCR- bzw. Klarschrift-Lesefunktionen sogar die CAPTCHA-Hürde umgehen. Hier zeigt sich, in welchem Ausmaß organisierte Cyberkriminelle mittlerweile Technologie gegen Banken und Finanzdienstleister einsetzen — umso dringender sind Finanzinstitute gefordert, ihrerseits aktuelle Technologien zu ihrer Bekämpfung zu nutzen.

Sicherheitstrend Nr. 2: verstärkter Einsatz Cloud-basierter Lösungen zur Betrugserkennung und Authentifizierung

Die Komplexität, Geschwindigkeit und Automatisierung von Betrugsaktivitäten nimmt zu — dennoch gibt es auch Positives zu vermelden. Zur Abwehr von Cyberangriffen stehen Unternehmen zahlreiche technologische Hilfsmittel zur Verfügung, die zunehmend Cloud-basiert sind. 2019 befragte die Aite Group im Rahmen einer Forschungsstudie mehr als 40 Führungskräfte aus dem Finanzwesen zur Entwicklung ihrer Plattformen zur Betrugserkennung. Zu Conroys Überraschung zeigten die Ergebnisse einen zunehmenden Trend zum Wechsel in die Cloud.

„Bislang hinkte die Verbrechensbekämpfung (Betrugs- und Geldwäschebekämpfung) diesbezüglich im Vergleich zu anderen Abteilungen der Bank tendenziell hinterher, weil einfach so viele personenbezogene Daten auf dem Spiel stehen. Viele Finanzinstitute haben da Bedenken, diese Daten in die öffentliche Cloud zu schicken. Indes hat sich bei unseren Gesprächen mit Führungskräften gezeigt, dass zwar immer noch 70 % der Bereitstellungen Server-basiert sind, aber immerhin 30 % in diversen Cloud-Modellen – zumeist handelt es sich entweder um private bzw. gehostete Infrastrukturen oder aber um Hybrid-Cloud-Services. Ich gehe davon aus, dass der Cloud-Anteil allmählich weiter zunehmen wird“, prognostiziert Conroy. 

Die wichtigsten Trends für die Zukunft der Betrugsbekämpfung
Quelle: „Die wichtigsten Trends für die Zukunft der Betrugsbekämpfung“

Die Bereitstellung in der Cloud bietet u. a. folgende Vorteile:

  • Automatische Upgrades: Die Betrüger entwickeln ihre Maschen ständig weiter. Lange Wartezeiten bis zur Implementierung von Upgrades und neuen Funktionen des IT-Anbieters kann sich heute keine Bank und kein Händler mehr leisten. Nach dem Umzug in die Cloud bekommen Organisationen die neue Version, sobald sie vom Anbieter bereitgestellt wird.
  • Skalierbarkeit: Die Optionen von Amazon oder Microsoft zur On-Demand-Skalierung unterstützen Finanzinstitute bei der Bewältigung von Auslastungsspitzen. Statt zusätzliche Hardware anzuschaffen und bereitzustellen, kann das Unternehmen einfach zusätzliche Ressourcen des Cloud-Anbieters in Anspruch nehmen. Diese Flexibilität ermöglicht die Skalierung der bereitgestellten Kapazitäten entsprechend der aktuellen Nachfrage.
  • Kosteneffizienz: In der Cloud bereitgestellte Ressourcen bieten Unternehmen maximale Flexibilität. Es fallen keine hohen Investitionskosten für die Anschaffung an. Stattdessen budgetieren die Unternehmen berechenbare Betriebskosten und können bei Bedarf jederzeit auf die benötigten Ressourcen zugreifen.

Teilweise herrscht auf oberster Führungsebene weiterhin Skepsis gegenüber der Cloud vor. Die Vorbehalte betreffen vor allem Datensicherheit sowie Möglichkeiten zur benutzerspezifischen Konfiguration: Bietet die Cloud hier die gleiche Flexibilität wie Server-basierte Lösungen? Angesichts der zahlreichen Vorteile treten solche Bedenken jedoch zunehmend in den Hintergrund, je mehr sich bei Finanzinstituten die Erkenntnis durchsetzt, dass in der öffentlichen Cloud oftmals Sicherheitsvorkehrungen zum Einsatz kommen, die herkömmlichen Server-basierten Lösungen überlegen sind.

WEBINAR

Die wichtigsten Trends für die Zukunft der Betrugsbekämpfung: 2020 und darüber hinaus

In diesem 60-minütigen Webinar untersuchen Betrugsexperten von OneSpan und Aite Group die wichtigsten Trends, die die Zukunft der Betrugsbekämpfung bis 2020 und darüber hinaus bestimmen, sowie bewährte Sicherheitsmethoden zur Betrugsbekämpfung.

Jetzt ansehen

Sicherheitstrend Nr. 3: Siegeszug des Betrugsabwehr-/Authentifizierungszentrums

Im 3. Quartal 2018 befragte die Aite Group Führungskräfte im Finanzwesen, um herauszufinden, inwieweit bei den betreffenden Unternehmen Pläne zur Einführung eines Betrugsabwehr- oder Authentifizierungszentrums bestanden.

  • Bei 18 % der Unternehmen war die Implementierung bereits erfolgt oder gerade im Gang.
  • Weitere 52 % gaben an, sie „sehr wahrscheinlich“ bzw. „wahrscheinlich“ (15 %) in Angriff nehmen zu wollen.

Betrugsabwehr- und Authentifizierungszentren lösen mehrere Probleme auf einen Schlag; insofern sind diese Ergebnisse der AITE-Umfrage wenig überraschend.

„Mit einem Authentifizierungszentrum ist Ihr Unternehmen über eine API mit einem einzigen Anbieter verbunden“, erläutert Conroy. Dieser Anbieter arbeitet wiederum mit unterschiedlichen Anbietern von Lösungen für Betrugserkennung und Authentifizierung zusammen. Sie können Ihre Lösung mehrschichtig aufbauen und dabei sowohl Ihre Anforderungen an die Betrugserkennung als auch an die Kundenauthentifizierung berücksichtigen.

„Dabei läuft alles über eine einzige API. Über diese API können Sie auf Device-Fingerprinting-Lösungen zugreifen. Sie können auf verhaltensbasierte biometrische Verfahren zugreifen. Sie können auf Funktionen zur Generierung von Einmalkennwörtern zugreifen. Sie können auf Ihre Risikoanalyse-Engine zugreifen.“

Betrugsabwehr- und Authentifizierungszentren fassen diese Daten aus unterschiedlichen Quellen häufig in einer Risikoanalyse-Engine zusammen, die daraus einen Gesamtrisikowert errechnet. Das erspart den Betrugspräventions-Teams den Aufwand, Daten und Risikowarnungen von fünf verschiedenen Anbietern verwalten zu müssen.

Weitere Effizienzgewinne lassen sich erzielen, wenn zwischen den in einem Authentifizierungszentrum verbundenen Anbietern zusätzlich eine Vertragsbeziehung besteht.  Für die Banken fällt dadurch die Notwendigkeit zeitaufwändiger Risikoverwaltungsverfahren beim Onboarding eines neuen Anbieters weg.

„Kein Wunder, dass das Interesse so groß ist – ein Authentifizierungszentrum bietet sich als Lösung für zahlreiche Herausforderungen an, die aktuell die schnelle Reaktionsfähigkeit der Banken und Händler auf neue Angriffstypen beeinträchtigen. Zudem wird dadurch ein schnellerer Umstieg auf einen neuen Authentifizierungsmechanismus ermöglicht. Um beispielsweise von einer wissensbasierten Authentifizierung zur Authentifizierung über ein Einmalkennwort zu wechseln, brauchen Sie nicht zwangsläufig eine völlig neue Lösung zu implementieren. Stattdessen reicht es, wenn Sie in Ihrem Authentifizierungszentrum ein paar Einstellungen anpassen“, so Conroy.

Cybersicherheit: Das Wettrüsten geht weiter

Weltweit nimmt die Häufigkeit immer raffinierterer Betrugsmaschen rapide zu. Kriminelle Organisationen machen sich Automatisierung und neue Technologien in Kombination mit massiven Mengen gehackter Daten zunutze, die im Dark Web quasi unbegrenzt verfügbar sind. Die Folge: eine massive Zunahme von Account-Übernahmen, Kreditkartenbetrug im Zuge von CNP-Transaktionen (Card not present), Betrug durch neues Account und Application Fraud, die wiederum zu hohen Verlusten für Banken, Händler und Finanztechnologie-Anbieter führt.

Hinzu kommen steigende und teils unvereinbare Erwartungen seitens der Regulierungsbehörden einerseits und der Verbraucher andererseits. Die Forderung der Verbraucher nach möglichst reibungsloser Zahlungsabwicklung steht dabei im Widerspruch zur weltweiten Verschärfung der aufsichtsrechtlichen Rahmenbedingungen. Bei unsachgemäßer Umsetzung können die behördlichen Vorschriften den Ablauf digitaler Zahlungsverfahren unnötig behindern. In diesem Spannungsfeld der Ansprüche und Erwartungen haben Banken und Händler einen schweren Stand.

Die gute Nachricht ist, dass hochkomplexe Technologien wie maschinelles Lernen, Orchestrierungsplattformen und digitale Identitätsanalyse ihnen hervorragende Chancen verschaffen, Betrügern effektiv Paroli zu bieten.

Weitere Top-Trends für die Zukunft der Betrugsbekämpfung 

In diesem Beitrag konnten lediglich drei der wichtigsten Trends für die Zukunft der Betrugsbekämpfung unter die Lupe genommen werden. Für Finanzinstitute, die Betrugsversuchen wirksame Abwehrmaßnahmen entgegensetzen wollen, sind weitere Trends jedoch ebenfalls höchst relevant. Alles Wissenswerte dazu erfahren Sie in diesem 60-minütigen Webinar mit Betrugsabwehr-Experten von OneSpan und der Aite Group. Die einzelnen Trends sowie die effektivsten Sicherheitsmaßnahmen zur Betrugsbekämpfung in 2020 werden hier im Detail besprochen.

Jetzt das Webinar ansehen.

2020 Betrug Cloud
Jeannine Mulliner
Jeannine Mulliner

Jeannine schreibt seit 20 Jahren über Technologie und deren Anwendung zur Lösung alltäglicher Herausforderungen. In ihrer Rolle als Content Director bei OneSpan leitet Jeannine ein Team von Autoren und Content-Entwicklern, das sich darauf konzentriert, Finanzinstituten und anderen Organisationen dabei zu helfen, Wert aus Sicherheits- und E-Signatur-Lösungen zu ziehen. Jeannine hat einen BA in Professional Writing von der l'Université de Sherbrooke.

Zur Spitze gehen