Wie können Banken die Risiken der mangelhaften Cyber-Hygiene-Praktiken von Verbrauchern mindern?

Michael Magrath, 4. Juni 2021

80 % der Einwohner Großbritanniens nutzen inzwischen regelmäßig Online-Banking, eine Zahl, die in den letzten 12 Monaten deutlich gestiegen ist, da sich die Verbraucher auf die pandemiebedingten Filialschließungen und die sozialen Distanzierungsmaßnahmen eingestellt haben. Leider haben sich auch die Betrüger angepasst. UK Finance berichtet, dass die Häufigkeit von Imitationsbetrügereien im ersten Halbjahr 2020 im Vergleich zum gleichen Zeitraum 2019 um 84 % gestiegen ist.

Noch besorgniserregender ist eine aktuelle Studie des National Cyber Security Centre, die zeigt, dass die schlechte Cyberhygiene vieler britischer Verbraucher dazu beiträgt, die Sicherheit ihres digitalen Lebens zu gefährden.

So verwenden beispielsweise erstaunliche 15 % der britischen Bevölkerung den Namen ihres Haustieres als Passwort und 6 % der Menschen verwenden immer noch das Wort "Passwort" ganz oder teilweise als Passwort. Außerdem hat die Mehrheit der Einwohner Großbritanniens immer noch das gleiche Passwort für die meisten oder sogar alle ihre Online-Konten.

Da die Hygienepraktiken für digitale Identitäten immer noch erbärmlich hinter dem Tempo des digitalen Wandels zurückbleiben, erhalten Betrüger Zugang zu immer mehr hochsensiblen Informationen über ihre Kunden. Dies ermöglicht es Kriminellen, extrem detaillierte Personenprofile für ausgeklügelte Social-Engineering-Angriffe zu erstellen. Da die Mehrheit der britischen Bevölkerung digitale Bank- und Finanzplattformen zur Verfügung hat, ist es nur allzu leicht, unwissentlich Gelder zu überweisen oder den Zugriff auf Konten zu übergeben.

Daher muss jede Bank und jedes Finanzinstitut jedes verfügbare Werkzeug einsetzen, um Kunden zu schützen, die sich auf ihre digitalen Plattformen verlassen. Abgesehen von der Aufklärung der Verbraucher, was können sie tun, um die Identität eines Kunden genau zu überprüfen und ihm ein sicheres Bankgeschäft zu bieten?

Digitale Identitätsprüfung

Angesichts der explosionsartigen Zunahme des Remote-Bankings und der Datenschutzverletzungen, bei denen immer mehr persönliche Daten online preisgegeben werden, ist es für Banken immer weniger praktikabel, sich auf manuelle Identitätsüberprüfungsmethoden zu verlassen, wie z. B. mit einem Ausweis in eine Filiale zu kommen oder eine eingescannte Kopie zu schicken.

Die manuelle Identitätsüberprüfung ist nicht nur aus Sicherheitsgründen riskant, sondern beeinträchtigt auch das Kundenerlebnis in einer Weise, die viele als inakzeptabel empfinden. Vom Online-Shopping bis zum virtuellen Erwerb akademischer Qualifikationen sind jüngere Verbraucher bereits an ein digitales Leben gewöhnt und haben wenig Lust, sich in den veralteten Systemen vieler Banken und Finanzinstitute zurechtzufinden.

Digitale Lösungen zur Überprüfung von Identitätsdokumenten - die Verwendung der Smartphone-Kamera zur Aufnahme eines Live-Bildes eines Identitätsdokuments - stellen eine Alternative zu manuellen Überprüfungsmethoden dar. Für zusätzliche Sicherheit kann dies mit einer biometrischen Identitätsprüfung kombiniert werden. Angetrieben von künstlicher Intelligenz (KI) und maschinellem Lernen vergleicht die biometrische Verifikation ein Live-Selfie mit einem Bild, das in einem Ausweisdokument dargestellt ist. Techniken zur Erkennung von Lebendigkeit, wie z. B. die Aufforderung, zu lächeln, helfen dabei, Spoofing-Angriffe wie Videos, Gesichtsmasken oder Bilder von Fotos zu erkennen.

Für den Verbraucher wird die Überprüfung seiner Identität durch die digitale Identitätsprüfung schnell und einfach - und für die Banken sinkt die Abbruchquote. Außerdem beschleunigt die Technologie die Kontoeröffnung, Kreditvergabe und Finanzierung und schützt gleichzeitig vor Betrug.

Authentifizieren, anpassen, überwinden

Sich bei der Authentifizierung von Transaktionen auf wissensbasierte Fragen zu verlassen, wird schnell der Vergangenheit angehören. Aufgrund zahlloser großer Datenschutzverletzungen stehen die Kartendaten und früheren Adressen vieler Verbraucher im Dark Web zum Verkauf bereit.

Aufgrund dieser sich schnell verändernden Bedrohungslandschaft machen Banken und Finanzinstitute weltweit den Sprung zur adaptiven Authentifizierung. Dies ist der Prozess der Anwendung der genauen Menge an Sicherheit - zum richtigen Zeitpunkt - auf jede einzelne Kundentransaktion, basierend auf dem Risikoniveau.

Wenn eine Bank eine adaptive Authentifizierung implementiert, erstellt sie ein Bild von jedem Kunden. Wo heben sie normalerweise Bargeld ab? Reisen sie regelmäßig in eine andere Stadt, um die Familie zu besuchen? Durch diese Methode kann die adaptive Authentifizierung genutzt werden, um Transaktionen mit dem üblichen Verhalten abzugleichen und zu erkennen, ob ein Risiko vorliegt - z. B. wenn ein Privatmann plötzlich eine Reihe von Erste-Klasse-Flügen nach Las Vegas gekauft hat! Sobald ein Kunde markiert ist, wird er aufgefordert, sich über Methoden zu authentifizieren, die ein Software- oder Hardware-Token, Biometrie oder ein Einmal-Passwort umfassen können.

KI-unterstützte Risiko-Analysen

Um eine adaptive Authentifizierung erfolgreich zu implementieren, müssen Banken und Finanzinstitute eine robuste Risikoanalyse durchführen - ein Bereich, in dem KI eine immer größere Rolle spielt. Dies ist keine Überraschung, da die Bedrohungen für Banken immer raffinierter werden. Das Aufkommen von Attacks-as-a-Service, automatisierten Angriffswerkzeugen und die enge Zusammenarbeit zwischen bösartigen Akteuren ermöglichen Betrug in einem noch nie dagewesenen Ausmaß.

Eine KI-gestützte Entscheidungsmaschine und ein maschinelles Lernmodell können kontinuierlich ein breites Spektrum an Daten, Ereignissen und Kontext analysieren. Anstatt nur Login- und Transaktionsdaten zu erkennen, betrachten sie eine ganze Reihe von Indikatoren für eine Kompromittierung und lernen daraus. Dazu gehören bösartige Header, Referrer von einer Phishing-Seite, bösartige Cookies, ein bösartiges Gerät oder eine bösartige IP, unmenschliche Geschwindigkeit, Tastatur-Overlay, ein laufender Debugger und vieles mehr. Basierend auf der Risikostufe jeder Benutzeraktion kann eine intelligente Risikoanalyselösung einen Score generieren und einen empfohlenen nächsten Schritt in Echtzeit bereitstellen - so können Banken proaktiv statt reaktiv bleiben.

Angesichts der zunehmenden Komplexität der Angriffe und der sich fast täglich weiterentwickelnden Raffinesse der Betrüger ist es klar, dass man von den Benutzern nicht erwarten kann und sollte, dass sie damit Schritt halten. Genauso wie die Verantwortung für die Reparatur eines Boilers bei einem Klempner liegt, sollte die Benutzersicherheit in der Verantwortung der Bank oder des Finanzinstituts eines Verbrauchers liegen. Banken sollten sich darauf konzentrieren, wendig zu bleiben, indem sie ihre Reaktionsfähigkeit erhöhen, Innovationen Priorität einräumen und die Einführungszeiten für neue Sicherheitslösungen verkürzen.

Reducing Friction in Online Account Opening with Digital Identity Verification
Webcast

Reducing Friction in Online Account Opening with Digital Identity Verification

Watch this OneSpan webinar, and hear experts from OneSpan and Cornerstone Advisors discuss how retail banks can eliminate friction in order to drop abandonment rates and increase account funding.

Watch Now

Dieser Artikel, geschrieben von Michael Magrath, Director of Global Regulations and Standards bei OneSpan, wurde zuerst veröffentlicht in Informationszeitalteram 24. Mai 2021.

Michael Magrath ist dafür verantwortlich, die Roadmap für die OneSpan-Lösung weltweit an Standards und behördlichen Anforderungen auszurichten. Er ist Co-Vorsitzender der Arbeitsgruppe Government Deployment der FIDO Alliance und Mitglied des Board of Directors der Electronic Signature and Records Association (ESRA).