Betrugsprüfung am besten vor der Autorisierung durchzuführen

Vom unserem Gastautor Ulrich Weigel, Regional Director EMEA bei Forter

[datensicherheit.de, 01.08.2022] Seit dem Beginn der Durchsetzung der Zahlungsdiensterichtlinie 2 (Payment Service Directive 2, PSD2) bei Handelsunternehmen in Deutschland sind einige Monate vergangen. Mittlerweile ist deutlich geworden, welche Muster sich abzeichnen und welche Lehren sich daraus ziehen lassen. Die Daten belegen, dass die Verwendung von 3D Secure (3DS) für die starke Kundenauthentifizierung (SCA) einen erheblichen Einfluss auf die Umsätze hat.

Zwei Ansätze zu Einhaltung

Bei näherer Betrachtung zeigt sich, dass die Händler am häufigsten folgende Ansätze für die Einhaltung der Regularie verwenden: (A) Verwendung von SCA bei jeder Transaktion (und Übermittlung an 3DS) oder (B) Versuch, jede Transaktion als davon ausgenommen zu kennzeichnen und nur die Transaktionen an 3DS zu übermitteln, die vom Issuer eine „Soft Decline“ erhalten. Beide Ansätze lassen zu wünschen übrig und verringern vor allem die Umsätze.

Ulrich Weigel, Regional Director EMEA bei Forter, Bild: Forter

Was passiert wenn der Händler jede Transaktion an 3DS schickt

Die Verwendung von 3DS für Transaktionen bringt definitiv Vorteile mit sich, nämlich zusätzliche Sicherheit für „Card-Not-Present-Transaktionen (CNP)“ und die Verlagerung der Haftung für Rückbuchungen bei Betrug vom Händler auf den Kartenaussteller sowie die Einhaltung der PSD2.

Im Rahmen von PSD2 führt die Verwendung von 3DS trotz der Verbesserungen in Version 2 immer noch zu einer schlechten Erfahrung für legitime Kunden. Der Grund liegt im Zahlungsvorgang begründet, da hier erhebliche Reibungsverluste (Friction) verursacht werden. Das führt z.B. dazu, dass Online-Shopper ihre Transaktion abbrechen und ihren Einkauf woanders abschließen. Es können auch 3DS-Fehler auftreten, bei denen legitime Kunden die 3DS-Challenge nicht abschließen und den Kauf abbrechen. Diese Folgen lassen sich gleichermaßen häufig beobachten.

Wenn alle Transaktionen an 3DS gesendet werden, wirkt sich das negativ auf die Konversion aus. Einige Händler, die wissen wie sich die 3DS-Friction auf ihre Umsätze auswirkt, versuchen jede Transaktion für eine Ausnahmeregelung unter PSD2 zu kennzeichnen. Leider hängt dies immer noch zu sehr von externen Faktoren ab, die außerhalb der Kontrolle des Händlers liegen.

Die beiden größten Nachteile dieses Ansatzes sind:

• Verhalten des „Issuers“
  Betrug und 3DS unter PSD2 sind keine getrennten Themen

Verhalten der Issuer

Wenn Issuer eine Transaktion ablehnen, handelt es sich nicht immer um ein „Soft Decline“ welches es dem Händler ermöglichen würde die Transaktion zu retten – indem er sie mit 3DS erneut verarbeitet. Forter als Fraud Spezialist, schätzt, dass bis zu 65 Prozent dieser nicht Soft Declines wiederhergestellt werden könnten, wenn sie von Anfang an, an 3DS gesendet worden wären. Die Issuer ändern ihre Policies in Bezug auf die Akzeptanz von 3DS und PSD2-Ausnahmen. Wenn dies passiert, optimieren Händler mit einem fixierten manuellen Ansatz für alle Transaktionen ihre Einnahmen und Umsätze nicht.

Betrug (Fraud) und 3DS im Rahmen der PSD2 sind keine getrennten Themen:

1. Durch die Kombination eines „exempt all“-Ansatzes mit einer unzureichenden Betrugsprüfung können unweigerlich risikoreiche und potenziell betrügerische Transaktionen zur Bearbeitung übermittelt werden. Das führt zu zwei Problemen:
   • Die Haftung für den freigestellten Verkehr geht nicht auf den Kartenaussteller über, und der Händler muss die Rechnung für die Betrugsrückbuchungen (Fraud Chargebacks) bezahlen.
   • Die Betrugsquote der Zahlungsverkehrsdienstleister könnte durch risikoreichere Transaktionen negativ beeinflusst werden, wodurch die Wahrscheinlichkeit sinkt, dass künftige Transaktionen für eine Freistellung gekennzeichnet werden.
2. Durch die Verwendung eines zu aggressiven Betrugs-Tools vor der Autorisierung können Händler zwar potenzielle Rückbuchungen vermeiden, könnten sich aber selbst erhebliche Probleme bei der Konvertierung einhandeln. Einige Zahlungsverkehrsdienstleister gestatten einen exempt all-Ansatz unter der Bedingung, dass die Händler ihr „Pre-Authorization-Fraud“-Tool einsetzen – unglücklicherweise sind diese Tools häufig regelbasierte Lösungen, die gute Transaktionen mitblocken.
3. Selbst wenn eine optimierte Fraud-Engine verwendet wird, werden Händler wahrscheinlich Umsätze verlieren, wenn das Modul keine Kontrolle darüber hat, was an 3DS gesendet wird. Nicht alle „Fraud Declines“ sind gleich, einige Fraud Declines könnten durch eine 3DS-Authentifizierung gerettet werden. Wenn Fraud Declines vor der Authentifizierung nicht darüber informieren, was ausgenommen wird, müssen sie damit rechnen, dass auch legitimer Datenverkehr abgelehnt wird. In Anbetracht all dieser Punkte lässt sich sagen, dass Händlern, die sich der PSD2-Compliance nähern, indem sie jede Transaktion ausnehmen, legitime Transaktionen im Wert von mindestens zwei bis drei Prozent ihres Umsatzes entgehen.

Aus Sicht der Händler lassen sich daraus zwei wichtige Schlüsse ziehen:

Die Issuer kennen

Durch den Einsatz einer dynamischen Engine kann ein Händler viel schneller auf Änderungen im Verhalten der Kartenaussteller reagieren, als wenn er lediglich das erwartete Verhalten anhand von Regeln befolgen würde. Eine dynamische Engine nutzt Automatisierung und maschinelles Lernen, um das Verhalten der Kartenaussteller bei jeder Transaktion zu überwachen und darauf zu reagieren.

Die Kunden kennen

Das Verständnis des Kunden, der die Händlerwebseite besucht, ist entscheidend für die Optimierung von Zahlungen. Wenn man den Kunden und sein Verhalten kennt, lässt sich das Risiko jeder einzelnen Transaktion viel besser quantifizieren. Es geht hierbei nicht nur um das Betrugsrisiko, sondern auch um das Risiko, dass ein Kunde eine 3DS-Anforderung abbricht oder nicht abschließt.

Fazit und Lösungsansatz: Risiko und Zahlungen miteinander verknüpfen

Der beste Weg, dies zu tun, besteht darin, vor der Autorisierung eine Betrugsprüfung durchzuführen. Darüber hinaus muss derselbe Anbieter entscheiden, welche Transaktionen an 3DS weitergeleitet oder ausgenommen werden. Die besten Systeme treffen differenzierte, dynamische Entscheidungen auf der Grundlage der Wahrscheinlichkeit, dass eine Person eine 3DS-Prüfung durchläuft; der Wahrscheinlichkeit, dass der Kartenaussteller eine Ausnahme akzeptiert und des tatsächlichen Transaktionsrisikos selbst.

Weitere Informationen zum Thema:

datensicherheit.de, 27.09.2019
PSD2 fordert Qualifizierte Website-Zertifikate

Ein Kommentar Jelle Wieringa, Security Awareness Advocate bei KnowBe4

[datensicherheit.de, 14.10.2019] Nach Angaben der beiden US-Finanzdienstleister TransUnion und Iovation steigen die Betrugsfälle bei den Nutzern der Online Plattformen stetig. Zwischen 2015 und 2018 verzeichnete beispielsweise eines der beiden Unternehmen einen Anstieg vergleichbarer Betrugsfälle von 516 Prozent und damit mehr als verfünffacht. Diese Entwicklung ist ein Fingerzeig für das, was uns in Europa nach der flächendeckenden Einführung der PSD2 noch erwarten wird. Seit dem 14. September 2019 treten innerhalb der EU vermehrt Probleme durch schlecht ausgearbeitete Implementierungen der Banken-IT sowie Betrugsfälle in Bezug auf die Richtlinie auf. So sind viele Schnittstellen zwischen Banken und den externen Drittanbietern wie Fintechs zum Teil technisch mangelhaft und somit nicht voll funktionsfähig. Zudem kursierten, besonders in den ersten Tagen nach Einführung der PSD2, zahlreiche Phishing E-Mails. Diese fordern beispielsweise Bankkunden dazu auf, Kundendaten zu bestätigen. Die Plattformen von Versicherungsanbietern, können von Betrügern genutzt werden, um personenbezogene Informationen für die Eröffnung von Versicherungspolicen im Namen der nun gefälschten Begünstigten zu verwenden.

Foto: KnowBe4

Jelle Wieringa, Security Awareness Advocate bei KnowBe4

Betrug durch „Ghost Broking“

Von Ghost Broking ist die Rede, wenn gefälschte Versicherungspolicen verkauft werden. Die Opfer schließen eine Versicherung unter der Annahme ab, dass diese legitim ist. Der Betrug fällt zumeist erst auf, wenn die Betroffenen einen Versicherungsanspruch erheben. Laut Iovation stieg die Anzahl von Ghost Broking seit 2015 um 139 Prozent. Erlangt ein Betrüger Zugriff auf Accounts der Versicherungsnehmer, so kann dieser dort hinterlegte Informationen stehlen. Viel gefährlicher wird es, wenn anstehende Schadenszahlungen, wie z.B. solche der Lebensversicherung missbraucht werden, was nach Angaben des US-Finanzdienstleisters am häufigsten eintritt. Betrügerische und damit falsche bzw. übertriebene Versicherungsansprüche über das Internet verzeichnen, wie der Fall aus den USA aufzeigt, seit 2015 ein Wachstum von 271 Prozent.

Um sich gegen diese Art von Betrug zu wappnen, sollten Unternehmen in den Aufbau einer „menschlichen Firewall“ investieren. Dafür müssen alle Mitarbeiter mit einem fortgeschrittenen Security-Awareness-Training und darin enthaltenen regelmäßig durchgeführten simulierten Phishing-Tests geschult werden. Die Trainings unterstützen die Mitarbeiter dabei bösartige E-Mails und Webinhalte zu erkennen und wachsam gegenüber Betrugsversuchen zu sein. Verbunden mit den Erfahrungswerten, die Mitarbeiter im Laufe der Zeit im Umgang mit diesen Angriffen entwickeln, erhöhen sich die Chancen für eine erfolgreiche Abwehr von Angriffen und Betrugsversuchen.

Weitere Informationen zum Thema:

datensicherheit.de, 04.09.2019
Fake President: Betrugsmasche auf dem Vormarsch

datensicherheit.de, 21.08.2019
Steam-Konto: Hacker zielen auf Spieler ab

datensicherheit.de, 24.07.2019
KnowBe4-Studie warnt vor gefälschten LinkedIn-Mails

datensicherheit.de, 26.06.2019
Schwachstelle in Electronic Arts’ Origin Gaming Client entdeckt

datensicherheit.de, 28.01.2019
Einfache Hacker-Ziele: Schlechtes Passwort, IoT-Geräte und fehlende Zwei-Faktor-Authentifizierung

datensicherheit.de, 20.12.2018
Spear Phishing: Hilfsorganisation verlor eine Million US-Dollar

datensicherheit.de, 02.06.2016
Erfolgreiches Audit dank Zwei-Faktor Authentifizierung

Neue Zahlungsrichtlinie verpflichtet Banken und Zahlungsdienstleister zu besonderer Verschlüsselung

[datensicherheit.de, 27.09.2019] IT-Sicherheitsexperten der PSW GROUP machend darauf aufmerksam, dass seit dem 14. September 2019 die Zahlungsrichtlinie PSD2 verpflichtend ist. Diese zweite „Payment Service Directive“ geht demnach mit Veränderung für Banken, Zahlungsdienstleister und Kunden einher, beschere ihnen aber auch einen Vorteil: Die Richtlinie werde dem Online-Banking zu gesteigerter Sicherheit verhelfen.

Patrycja Tulinska: „Richtlinie wird Online-Banking zu gesteigerter Sicherheit verhelfen“

Von der Europäischen Kommission im Zahlungsdiensterecht beschlossene EU-Richtlinie

Die neue Vorschrift PSD2 ist laut PSW GROUP eine EU-Richtlinie, welche von der Europäischen Kommission im Zahlungsdiensterecht beschlossen wurde. Sie solle Zahlungsdiensten und Zahlungsdienstleistern in Europa zu einem gerechten Wettbewerb verhelfen. „Hierfür werden Banken verpflichtet, ihre zuvor gesammelten Kundendaten zu veröffentlichen und verlieren gegenüber Nicht-Banken damit einen klaren Vorteil. Dies erfordert natürlich die Zustimmung des Kunden und bietet diesem die Chance, weitere Angebote zu Finanzprodukten von anderen Mitbewerbern zu erhalten und direkt zu vergleichen“, erläutert Patrycja Tulinska, Geschäftsführerin der PSW GROUP. Weiterhin sei auf Kundenseite mit sinkenden Bankgebühren aufgrund des steigenden Wettbewerbs zu rechnen.

Erwerb einer BaFin-Lizenz an langwierigen Prüfprozess des Finanzdienstleisters gekoppelt

Die Umsetzung von PSD2 sei an verschiedene technische Voraussetzungen gekoppelt, um weiterhin sowohl Sicherheit wie auch Transparenz zu garantieren. Tulinska: „Für die Offenlegung von Kundendaten an Nicht-Banken werden Banken zur Nutzung einer sicheren Schnittstelle verpflichtet. Abgesichert werden diese mit qualifizierten Website-Zertifikaten, kurz QWACs genannt. Auch Zahlungsdienstleister, die anschließend Zugriff auf die hinterlegten Kundendaten erhalten möchten, benötigen hierzu diese QWACs respektive qualifizierte Siegel. Weiterhin benötigen Nicht-Banken eine Lizenz der Bundesanstalt für Finanzdienstleitungsaufsicht oder einer anderen nationalen Aufsichtsbehörde.“ Diese Lizenz bestätige, „dass der Finanzdienstleister dazu berechtigt ist, Zugriff auf Kundendaten zu erhalten“. Zudem lege sie den Umfang fest, zu dem der Finanzdienstleister Zugriff auf Informationen erhalten dürfe. Der Erwerb einer BaFin-Lizenz sei an einen langwierigen Prüfprozess des Finanzdienstleisters gekoppelt und könne bis zu drei Monate dauern.

Qualifizierte Website-Zertifikate entsprechend dem eiDAS-Standard

Qualifizierte Website-Zertifikate entsprächen dem „eiDAS“-Standard und würden ausschließlich von qualifizierten „Trust Service“-Providern ausgegeben. Daher gälten sie besonders in der EU als angesehen und vertrauenserweckend: „QWACs belegen die Identität des Zahlungsdienstleisters und erfüllen gleichzeitig die Funktion gewöhnlicher SSL-Zertifikate. Sie verschlüsseln also die Datenübertragung über die Website“, ergänzt Tulinska. PDS2-konforme Zertifikate könnten auch über die PSW GROUP bezogen werden. „Da es sich um eine kompliziertere Beratung handelt, sind diese Zertifikate vorerst nur auf Anfrage erhältlich.“

Weitere Informationen zum Thema:

PSW GROUP, 13.09.2019
Verschlüsselung / PSD2 – Neue Richtlinie verpflichtet Banken und Zahlungsdienstleister zu besonderer Verschlüsselung

datensicherheit.de, 02.08.2019
Fake-WebShops: PSW GROUP gibt Tipps zum Erkennen

datensicherheit.de, 20.07.2019
Neue Zahlungsrichtlinie verpflichtet Banken und Zahlungsdienstleister zu besonderer Verschlüsselung

Von unserem Gastautor Sadrick Widmann, CPO bei cidaas.

[datensicherheit.de, 30.11.2018] Da wie auch in der „Orientierungshilfe der Aufsichtsbehörden zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung unter Geltung der Datenschutz-Grundverordnung (DS-GVO)“ nochmal deutlich wird, steht Werbung egal ob in postalischem, telefonischem oder digitalem Forum immer unter dem Vorbehalt der Einwilligung der Konsumenten.

Hier wird ein wichtiger Hinweis für Unternehmen gegeben: „Werden personenbezogene Daten unmittelbar bei der betroffenen Person erhoben, z. B. für Kauf -und Dienstleistungsverträge, Prospektanforderungen oder Gewinnspiele, ist diese umfassend nach Art. 13 Abs. 1 und 2 DS – GVO u. a. über die Zwecke der Verarbeitung der Daten zu unterrichten. Eine schon geplante oder in Betracht kommende Verarbeitung oder Nutzung der Daten für Zwecke der Direktwerbung ist daher der betroffenen Person von Anfang an transparent darzulegen“.

Das in einer modernen Big Data gestützten Erhebung von Kundedaten, die dem Kunden eine größtmögliche Transparenz und Sicherheit gibt, auch eine Chance für Unternehmen liegt, eigene Prozesse sicherer, kommunikativer und produktiver zu gestalten wird hierbei von Unternehmen oft übersehen.

Vor allem mittelständische Unternehmen, welche den rechtlichen Anforderungen mit einer gleichzeitig verbesserten User Experience in Zukunft gerecht werden, können sich Wettbewerbsvorteile sichern. Hierbei kommt dem Erfassen, Verwalten und Kommunizieren der „Digitalen Identität“ von Kunden, Partnern, Händler und Mitarbeitern eine Schlüsselrolle zu. Eine zentralisierte Datenschutz- und Sicherheitspolitik durch eine moderne Benutzerverwaltung (Consent Management) im Unternehmen ist daher ein Muss.

Die digitale Identität bietet dabei Unternehmen die Chance Kunden oder auch Händlern personalisierte Dienstleistungen und Services anzubieten, zum andern gewährt sie die Möglichkeit des Schutzes und der kundenfreundlichen Verwaltung von personenbezogenen Daten.

Eine entsprechende Customer Identity and Access Management (CIAM) Software Lösung ermöglicht es den Dialog mit Kunden, Unternehmen und Maschinen über alle Devices individuell und gleichzeitig DSGVO konform zu steuern und falls erforderlich auch den Anforderungen der Zahlungsdiensterichtlinie PSD2 (Payment Services Directive) gerecht zu werden.

Kernstück der EU-DSGVO ist: Ein Nutzer muss identifizierbar sein und seine Einwilligung zur Verwendung von Daten erteilen und diese jederzeit widerrufen können. Das Einhalten der neuen Datenschutzvorschrift, die gemäß Art. 5 Abs. 1 d) fordert, dass personenbezogene Daten sachlich richtig und erforderlichenfalls auf dem neusten Stand sein müssen, wird durch ein CIAM-System, wie cidaas, schnell und rechtskonform umsetzbar, da der Kunde in einem Benutzer Selfe Service seine Daten direkt verwalten kann. Durch ein einfaches Benutzer-Management können Kundenprofile zudem einfach gelöscht und somit dem Recht auf Löschung (Art. 13 EU-DSGVO) nachkommen werden.

Dieser sichere und individuelle Kundendialog ist für eine Vielzahl von Branchen relevant.:

• Banken und Versicherungen
• e-Commerce
• Gesundheitswesen
• Bildungswesen
• Öffentliche Verwaltungen
• Industrie 4.0

Sicherheit der Daten und die Authentifikation der Identität essentiell

Dies betrifft im Übrigen die reale, wie auch in der digitalen Welt. Unter Authentifizierung versteht man das Anmelden bei einem System, sei es zum Beispiel digital zu einem Bankkonto, Onlineshop oder Mitarbeiterportal. Oder auch physisch zu einem Geschäftsraum, wobei die Identität des Benutzers festgestellt und geprüft wird. Identität ist der eindeutige Identifikator für eine Person, Organisation, Ressource oder einen Service. Eine moderne, auf Big Data Technologie basierenden Customer Identity and Access Management (CIAM) Software verwaltet nicht nur die Daten, sondern bietet auch das entsprechende Authentifizierungstool und ermöglicht zum Beispiel bei der Mitarbeiterverwaltung auch die Verteilung von Rollen und Zugriffsrechten.

Aber auch beim Schutz von Zugängen zu Onlineshops muss eine sogenannte „starke Authentifizierung“ sichergestellt werden. Die EU-Datenschutzgrundverordnung (EU-DSGVO) verbietet zwar nicht direkt die Authentifizierung mit Nutzername und Passwort. Aber es wird ausdrücklich gefordert, dass personenbezogene Daten vor unbefugtem Zugriff sicher sein müssen. Hierbei wird gleichzeitig die Benutzerfreundlichkeit wird immer wichtiger werden.

Eine Multi-Faktor-Authentifizierung sorgt durch User Profiling und biometrischen Faktoren für die hohe Sicherheit, wie sie in Art. 32 der EU-DSGVO gefordert wird.

Zur Identifikation und Authentifikation können verschiedene Verfahren eingesetzt und kombiniert werden

Im Einzelnen umfasst dies:

• Gesichtserkennung: Identifiziert Benutzer mit zukunftsweisender, biometrischer Methode der Gesichtsmerkmale
• Spracherkennung: Identifizierung über Stimme
• TouchID: Identifizierung über Fingerabdruck
• Muster: Identifizieren über ein vom Benutzer gezeichnetes Muster
• Push-Benachrichtigung: Identifizierung über die Akkreditierung allein auf dem benutzten Gerät
• TOTP: Ein einmaliger, zeitlich begrenzter Code, der zur Identifikation verwendet wird
• Back-up code – Für den Fall, dass ein Benutzer sein Mobiltelefon nicht zur Hand hat,
• FIDO U2F USB-basierte Sicherheitstechnologie
• Email
• SMS
• IVR – Verifizierungscodes per Sprachanruf

Eine Zwei-Faktor-Authentifizierung (2FA) –von zum Beispiel Finger- oder Gesichtserkennung mit einem Passwort bietet hierbei die geforderte „starke Sicherheit“. Werden zudem durch starke Prognosefaktoren und Big Data Analysen der Nutzer mit hoher Sicherheit erkannt und mit Built-in Werkzeugen betrügerische Versuche oder Verdachtsfälle gestoppt, ist den Anforderungen des Datenschutzes genüge getan.

Anforderungen CIAM

Eine Customer Identity and Access Management (CIAM) Software Lösung ist problemlos für mittelständische Unternehmen einsetzbar. Hierbei sollten bei der Entscheidung für einen Tool verschiedene Punkte beachtet werden:

• Skalierbarkeit – damit die Software ohne Aufwand an die unternehmerische Entwicklung angepasst werden kann.
• Cloudsoftware gehostet auf deutschen Servern für DSGVO-Konformität und schnelle automatisierte Updates
• Standards wie Social Login oder Single Sign On sollten ebenfalls zum Produktumfang gehören.
• Einsetzbar in der Digitalen, wie auch in reale Welt – um ein umfassendes System zu haben. Denn Datenbetrug erfolgt nicht zuletzt auch oft durch Mitarbeiter.
• Die einfache Integration in die bestehende Sicherheits- und CRM-Architektur.

Weitere Informationen zum Thema:

datensicherheit,de, 20.09.2018
DSGVO-Anforderungen: 87 Prozent der geprüften deutschen Webshops ungenügend

datensicherheit.de, 18.09.2018
Nach British Airways-Hack drohen der Fluggesellschaft DSGVO-Sanktionen

datensicherheit.de, 18.09.2018
DSGVO: „Wird schon gutgehen“ ist definitiv die falsche Einstellung

datensicherheit.de,  25.07.2018
DSGVO-Audits: Hohe Durchfallquote erwartet

datensicherheit.de, 19.07.2018
DSGVO: Hohe Bekanntheit bei geringer Wertschätzung

[datensicherheit.de, 09.08.2018] Finanzdienstleister haben jahrzehntelang sehr hart am Cyberrisikomanagement gearbeitet. Der jüngste Bericht der Bank of England zeigt jedoch einen Anstieg jenes Anteils an Banken, die sagen, dass ein Cyberangriff das Risiko ist, das sie am schwierigsten bewältigen könnten.

Palo Alto Networks nimmt das Thema „Cybersecurity im Finanzsektor“ unter die Lupe und gibt fünf wesentlich Ratschläge.

Die Grundlagen der Finanzwirtschaft verändern sich nur langsam, doch die Technologie in diesem Sektor entwickelt sich in einem rasanten, weiter zunehmenden Tempo. Genau dies wird von den Cybergegnern ausgenutzt. Das häufigste Ziel für Kriminelle ist der finanzielle Gewinn. Durch die Digitalisierung von immer mehr Finanzprozessen wird der Weg zu kriminellen Einnahmen kürzer und die „Renditen“ werden größer.

Sicherlich hätte die Finanzbranche lernen müssen, wie man diese Angriffe verhindern kann. Hierzu gilt es jedoch auch die Auswirkungen eines immer komplexeren und sich weiterentwickelnden FinTech-Umfelds zu berücksichtigen. Die PSD2 (Payment Service Directive 2), eine EU-Richtlinie für Zahlungsdienstleister, zielt darauf ab, die Lieferkette für viele weitere Finanzdienstleister zu öffnen.

Mangelndes Sicherheitsbewusstsein

Hinzu kommt die bestehende technische Infrastruktur des Bankensektors. Die IT-Anbieter entwickeln ihre Technologie immer schneller weiter, aber selbst finanzkräftige Banken können nicht im gleichen Tempo auf neuere Plattformen migrieren. Schließlich gibt es noch den Faktor „Mensch“, einschließlich des schlechten Sicherheitsbewusstseins und des Mangels an Fachkräften und Expertenwissen im Bereich der Cybersicherheit.

Damit sich etwas ändert, sind nach Meinung von Palo Alto Networks die folgenden Maßnahmen erforderlich:

1. Finanzdienstleister müssen ihre komplexen digitalen Prozesse in Echtzeit sichtbar machen
   Das mag einfach klingen, aber allzu oft gibt es eine Trennung zwischen Technologie und Geschäft. Ohne eine ganzheitliche Ausrichtung lässt sich nicht definieren, ob Aktivitäten im Netzwerk regulär erfolgen oder ob sie einen bösartigen Hintergrund haben.
2. Schnellere Freigabe von Cybersicherheitsmaßnahmen bei Finanzinstituten
   Agile ist ein Begriff, der in Vorstandssitzungen von Banken und anderen Unternehmen häufig verwendet wird. Doch während DevOps-Teams heute Cloud-Computing-Ressourcen in Millisekunden kaufen können, werden die meisten Sicherheitsfunktionen in festen Mehrjahresverträgen erworben. Die Cybersicherheit muss berücksichtigen, dass eine Bank Anwendungen und digitale Dienste heute über mehrere Kanäle hinweg erstellt. Wenn Banken einen Cloud-first-Sicherheitsansatz in Betracht ziehen, können sie sich besser darauf konzentrieren, mit der digitalen Transformation Schritt zu halten.
3. Verringern der Angriffsfläche
   Für Banken ist es nur allzu leicht, sehr offene, vernetzte Systeme zu nutzen, da diese schneller und einfacher zu implementieren sind. Die Herausforderung besteht darin, nicht zu wissen, woher das nächste Risiko kommt oder wie weit es sich auswirken könnte. Immer mehr Banken müssen auf das Konzept des „Zero Trust Networking“ umstellen. Durch eine bessere Abstimmung zwischen Geschäftsprozessen und Technologie lässt sich sicherstellen, dass stets nur der erforderliche Zugriff gewährt wird, was die Auswirkungen im Falle eines Sicherheitsvorfalls reduziert.
4. Die grundlegenden Hausaufgaben erledigen
   Viele der Grundlagen guter Cyberhygiene gibt es schon seit vielen Jahren. Die Umgebungen, in denen sie angewendet werden, ändern sich jedoch ständig. So wird beispielsweise die Hälfte der Geschäftspasswörter in Public-Cloud-Bereichen schlecht definiert und verwaltet.
5. Cybersicherheit viel stärker automatisieren
   Angesichts der zunehmenden Vernetzung der Banksysteme ist ein klar definierter Veränderungsprozess nötig, also eine „einzige Quelle der Wahrheit“, an der alle arbeiten. DevOps-Strategien im Banken- und Finanzdienstleistungsbereich bedeuten, dass täglich oder wöchentlich Hunderte oder Tausende von kleinen Änderungen vorgenommen werden. Solche Modelle erfordern einen hohen Automatisierungsgrad. Sicherheit sollte in jeden dieser Prozesse nativ eingebettet werden. Darüber hinaus sollte ein Übergang zu DevSecOps vollzogen werden. Dies erfordert sowohl die richtigen nativen Integrationspunkte in die digitalisierten Geschäftssysteme als auch Automatisierung, um diese in die Änderungsprozesssteuerung zu integrieren. Die Angreifer agieren zunehmend automatisiert, so dass Cybersicherheitslösungen das gleiche Tempo mitgehen müssen, um Beeinträchtigungen der Geschäftskontinuität zu vermeiden.

Wie in anderen Bereichen erfordert die Cybersicherheit im Bankensektor eine automatisierte Betriebsplattform. Auf dem Weg zur digitalen Transformation ist es wichtig, dass präventive Cybersicherheit standardmäßig in neue Finanzsysteme integriert wird. Ein sich entwickelndes Problem digitaler Natur erfordert eine sich ebenfalls entwickelnde Cybersicherheit für die Branche.

Weitere Informationen zum Thema:

datensicherheit.de, 13.07.2018
Banken: IT-Sicherheit an den Endpunkten akut gefährdet

datensicherheit.de, 11.07.2018
USB-Laufwerke: Palo Alto Networks warnt vor eingeschleustem Trojaner

datensicherheit.de, 22.09.2017
IT-Security: Die Zukunft liegt in der Automatisierung

datensicherheit.de, 16.02.2017
Banken ins Visier: Weltweites Distributionsnetzwerk von Malware entdeckt

[datensicherheit.de, 25.07.2018] BehavioSec gibt bekannt, dass die Europäische Bankenaufsichtsbehörde (EBA) Behavioral Biometrics als zuverlässigen, zweiten Authentifizierungsfaktor zur Absicherung von Zahlungstransaktionen anerkannt hat. Die Behavioral Biometrics-Plattform des Unternehmens ist bereits bei großen Banken, Einzelhändlern und anderen Kunden im Einsatz und erfüllt die neue Payment Services Directive (PSD2)-Vorschriften der Europäischen Union. Angesichts der Größe und Einflusses der EU sollen die Regelungen der PSD2 Finanzdienstleistungen und globale Zahlungsindustrie neu gestalten.

PSD2 schreibt starke Kundenauthentifizierung vor

Die PSD2 schreibt vor, dass Zahlungsdienstleister eine starke Kundenauthentifizierung (SCA) sicherstellen müssen, die mindestens zwei Faktoren aus jeweils verschiedenen Kategorien umfasst – „Wissen“ (z.B. Passwort), „Besitz“ (z.B. Smartphone) und „Inhärenz“ (z.B. einzigartige Eigenschaften des Verhaltens einer Person, wie z.B. Muster in der Art und Weise, wie Benutzer ihre mobilen Geräte halten und mit Websites und Browsern kommunizieren). Behavioral Biometrics ist eine ideale Technologie für die PSD2-Konformität, da sie Inhärenz mit traditionellen Anmeldedaten kombiniert und so einen deutlich verbesserten Schutz vor Account-Hijacking und Betrug bietet. Die von der Europäischen Bankenaufsichtsbehörde (EBA) vorgeschlagene Behavioral Biometrics bietet den betroffenen Banken, aber auch Fintech-Unternehmen, Verbrauchern und anderen Zahlungsinteressenten wichtige Orientierung zu PSD2.

„Jeder Kunde und jedes Unternehmen, das Online-Zahlungen abwickelt, sieht sich einer wachsenden Bedrohung durch Betrug und Missbrauch ausgesetzt, da die Anmeldeinformationen regelmäßig gestohlen werden und es für Bots und andere bösartige Programme trivial ist, die Namen und Geräte von den Kontoinhabern nachzuahmen“, erklärt Neil Costigan, CEO von BehavioSec. „Die Verhaltensbiometrie durchbricht diesen Kreislauf, indem sie Institutionen und Zahlungsunternehmen die Möglichkeit gibt, Anmeldeversuche zu blockieren, bei denen das Verhalten von dem des bekannten Nutzers abweicht. BehavioSecs Fähigkeit und Erfahrung, Behavioral Biometrics as a Service (BBaaS) anzubieten, bietet allen Beteiligten im Zahlungsverkehr eine sofortige, bewährte Software-Plattform, die leistungsstarke verhaltensbiometrische Abwehrmechanismen für Web-Portale und mobile Anwendungen überall dort bietet, wo Zahlungen getätigt werden. Wir erwarten, dass unsere Unterstützung von PSD2 neue Zahlungsmodelle zum Nutzen von Unternehmen und Verbrauchern beschleunigt – denn Vertrauen ist der größte Katalysator für den Handel.“

Kunden sollen von den spezifischen Vorteilen von BehavioSec profitieren, die PSD2 und andere Anforderungen unterstützen:

• Genauigkeit: Die Behavioral Biometrics-Plattform von BehavioSec hat sich bewährt mit seiner geringen Anzahl gemeldeter False Positives und liefert detaillierte Informationen für die Echtzeit-Betrugserkennung und forensische Zwecke.
• Verfügbarkeit: Die Plattform von BehavioSec kann vom Unternehmen vor Ort oder in der Cloud eingesetzt werden, was den Kunden eine unübertroffene Flexibilität und Kontrolle über die Privatsphäre der Endbenutzer ermöglicht.
• Kontinuierliche Authentifizierung: Im Gegensatz zu physischen Tokens, die einen Benutzer nur einmalig beim Einloggen authentifizieren, analysiert Behavioral Biometrics kontinuierlich das Verhalten, um auch spätere, verdächtige Aktivitäten nach dem Login zu erkennen. Dies ist entscheidend für die Bekämpfung von Remote Access Trojanern (RATs), Bots, Man-in-the-Browser (MITB) und vielen anderen Arten von Past Gateway-Angriffen.
• Messbarer Mehrwert: BehavioSec-Kunden entdecken messbare Kosteneinsparungen durch die abnehmende Zahl der Betrugsfälle, verbunden mit weniger Supportanrufen durch den Kunden und False Positive-Problemen im Zusammenhang mit herkömmlichen Authentifizierungstools bei Milliarden von Transaktionen und der kontinuierlichen Überprüfung von Millionen von Benutzern.

BehavioSec verwendet verhaltensbiometrische Analysen, um die einzigartigen Identitäten und Aktivitäten von Menschen kontinuierlich und transparent zu validieren, ohne den Endnutzer zu belasten. Durch die Analyse von Zeit, Ort, Cursor- und Touchscreen-Eingaben und anderen zahlreichen anderen Eigenschaften jeder Onlinesitzung ermöglicht die BBaaS-Plattform von BehavioSec den Kunden, verdächtige Anmeldungen zu blockieren oder ihnen höhere Risikowerte zuzuweisen, die zusätzliche Sicherheitsmaßnahmen auslösen. Da die BehavioSec-Plattform schnell zu bestehenden Anwendungen und Diensten hinzugefügt werden kann, können Entwickler und Unternehmen jeder Größe diese Sicherheitsvorkehrungen nahtlos hinzufügen, um Risiken zu minimieren und die Sicherheit und das Vertrauen in ihre Marken weiter zu erhöhen.

Weitere Informationen zum Thema:

datensicherheit.de, 10.07.2018
Gemalto: Unternehmen sammeln mehr Daten als sie verarbeiten können

datensicherheit.de, 01.02.2017
Passwort zur eindeutigen Authentifizierung nicht mehr ausreichend

datensicherheit.de, 02.06.2016
Erfolgreiches Audit dank Zwei-Faktor Authentifizierung

datensicherheit.de, 13.05.2016
Authentifizierung: Whitepaper zum Schutz biometrischer Daten vorgestellt