[datensicherheit.de, 19.08.2019] Laut einer Meldung von Nuance Communications haben in der vergangenen Woche Sicherheitsforscher aus Israel eine riesige Datenbank mit rund einer Million Fingerabdrücken und anderen biometrischen Daten aufgespürt, die quasi ungeschützt und unverschlüsselt im Web abgerufen werden konnten. Die Daten stammen demnach vom System „Biostar 2“ der koreanischen Sicherheitsfirma Suprema, die nach eigenen Angaben Marktführer in Europa bei biometrischen Zutrittskontrollsystemen sein soll.

Geeignete Maßnahmen zum Schutz der Kunden und Mitarbeiter

Während Gesichts- und Fingerabdruckbiometrien eine zusätzliche Sicherheitsschicht darstellten, sollten Unternehmen immer auf die Sprachbiometrie achten, um vollständige Sicherheit zu gewährleisten. Dabei sollten sie sorgfältig untersuchen, mit wem sie zusammenarbeiten wollen, um diese Art von Technologie einzusetzen, und sicherstellen, dass geeignete Maßnahmen zum Schutz ihrer eigenen Kunden oder Mitarbeiter getroffen werden – eben um sicherzustellen, dass Daten nicht verwendet werden können, um Zugang zu Kundenkonten zu erhalten und betrügerische Transaktionen durchzuführen.
„Betrug hat viele Gesichter. Ob am Telefon, im Internet oder an der Ladentheke. Mit dem technologischen Fortschritt werden die Methoden der Betrüger immer ausgefeilter – glücklicherweise jedoch auch die Lösungen zur Betrugsprävention“, sagt Heiner Kruessmann, „Director Sales Enterprise DACH“ bei Nuance Communications und gibt Unternehmen sechs Tipps:

1. Sprachbiometrie für Identitätsnachweise

Der traditionelle Identitätsnachweis, zum Beispiel durch PINs oder Passwörter verliere zunehmend an Bedeutung. Das habe zum einen damit zu tun, „dass laut Gartner durchschnittlich 15 bis 30 Prozent der Nutzer die Daten immer wieder vergessen und die Methode somit in der Praxis schlecht abschneidet und zum anderen damit, dass 60 Prozent der Cyber-Kriminellen in der Lage sind, diese Art von Sicherheitsabfrage zu hacken“.
Je weiter die technologischen Möglichkeiten fortschritten, desto mehr Alternativen gebe es zur antwortbasierten Authentifizierung. In Zukunft werde unter anderem das Thema Sprachbiometrie eine wichtige Rolle bei Identitätsnachweisen spielen. Die Anzahl der aktiv verwendeten Sprachabdrucke wachse seit Jahren exponentiell. „Unternehmen, die sich Gedanken darüber machen, einen sprachbasierten Ansatz zur Kundenauthentifizierung einzuführen, können auf Lösungen wie die ,Security Suite‘ von Nuance zurückgreifen“, so Kruessmann.

2. Risikobewertung durchführen und die beste Lösung evaluieren

Die möglichen und sinnvollen Maßnahmen zur Betrugsprävention unterschieden sich je nach Unternehmen und Branche zum Teil deutlich. Beispielsweise könnte es sich für ein neu gegründetes Kreditkartenunternehmen als sinnvoll erweisen, zugunsten einer reibungslosen „Customer Experience“ auf aufwändige Verifizierungsmaßnahmen zu verzichten.
Kruessmann: „Ein traditionelles Finanzinstitut, das ein breites Spektrum aus Leistungen anbietet, zeichnet sich hingegen durch eine weitaus geringere Risikotoleranz aus.“ Es gelte also, eine Risikobewertung durchzuführen und die beste Lösung im Spannungsfeld zwischen Kundenkomfort und Sicherheit zu evaluieren.

3. Betrugsanfälligkeit analysieren

„Bevor Unternehmen konkrete Maßnahmen zur Betrugsprävention ergreifen können, müssen sie sich ein klares Bild von ihrer individuellen Bedrohungslage machen“, erläutert Kruessmann. Dazu gehöre eine Analyse der Kosten, „die im Zusammenhang mit Betrugsfällen entstehen sowie deren Anzahl“.
Auch hierbei spiele der Tätigkeitsbereich eines Unternehmens wieder eine wichtige Rolle. Eine Bank habe in finanzieller Hinsicht bei Betrugsfällen deutlich mehr zu befürchten als beispielsweise ein Telekommunikationsanbieter. „Eine Gemeinsamkeit besteht jedoch darin, dass die Verluste durch Betrug in vielen Fällen unterschätzt werden“, warnt Kruessmann. Mithilfe entsprechender Softwarelösungen bestehe die Möglichkeit, das volle Ausmaß der Verluste zu erfassen.

4. Offline- oder Echtzeit-Betrugserkennung auswählen

„Unternehmen, die sich darüber im Klaren sind, mit welcher Art von Betrugsversuch sie besonders oft konfrontiert sind, können entscheiden, welche Maßnahmen sinnvoll sind.“ Dabei könne es sich um die Authentifizierung mit Sprachbiometrie handeln, aber auch um Offline- oder Echtzeit-Betrugserkennung.
Offline-Lösungen erforderten vergleichsweise wenig Integrations- und Entwicklungsaufwand, „sind im Hinblick auf bestimmte Betrugsmethoden jedoch nicht so leistungsfähig wie Echtzeit-Lösungen“. Je nach individuellem Risikoprofil könnten auch beide Arten der Betrugserkennung zum Einsatz gebracht werden.

5. „Blacklist“-Management

„Die ersten Schritte bestehen darin, die Bedrohungslage zu analysieren und sich dann für eine Offline- und/oder Echtzeit-Lösung zu entscheiden.“ Dann gehe es um das Thema „Blacklist“-Management. Die meisten Unternehmen führten eine Vielzahl von Listen, wie „Blacklists“, „Watchlists“ und „Whitelists“. „Blacklists“ enthielten Personen, „die bereits als Betrüger in Erscheinung getreten sind“. „Watchlists“ dagegen Einträge zu gefährdeten Kunden oder verdächtigen Personen. „Whitelists“ schließlich umfassten Kunden, die zwar Betrugsmeldungen auslösten, jedoch nachweislich vertrauenswürdig seien.
„,Blacklist‘-Management ist sozusagen der Dreh- und Angelpunkt, wenn es um Betrugserkennung geht“, unterstreicht Kruessmann. Auch in diesem Zusammenhang könne Spracherkennung zu einer Optimierung der Betrugsprävention beitragen, da es so möglich werde, Betrüger anhand ihrer Stimme zu identifizieren. Dabei gelte es jedoch, Verwechslungen mit unbescholtenen Kunden zu vermeiden. Da Stimmen und vor allem regionale Akzente sich oft stark ähnelten, sollten die entsprechenden Kunden der jeweiligen Liste hinzugefügt werden.

6. Schutz fortlaufend anpassen

„Eine starke Sicherheitslösung bietei umfassende Betrugsprävention über digitale, telefonische und Selbstbedienungskanäle.“ Dazu gehöre auch die sprachbiometrische Authentifizierung zur Betrugsbekämpfung. Dennoch wäre es unrealistisch, zu behaupten, es gäbe hundertprozentige Sicherheit gegen Betrug. Um das Risiko jedoch so weit wie möglich zu minimieren, sollte immer ein mehrschichtiger Ansatz zur Authentifizierung in Stellung gebracht werden. Neue Technologien wie KI seien zudem sehr leistungsfähig, wenn es um das Erkennen von Betrugsmustern geht.
Dennoch gibt Kruessmann zu bedenken: „Je weiter sich die Biometrie für Authentifizierungszwecke verbreitet, desto stärker konzentrieren Betrüger sich darauf, biometrische Sicherheitsverfahren zu umgehen.“ Allerdings ermöglichten die neuesten Lösungen über die bloße Stimmbiometrie hinaus auch die Erfassung einer Verhaltensbiometrie und von Kontextfaktoren wie zum Beispiel Informationen zum Telefonmodell des Anrufers, so dass es für Betrüger sehr schwierig werde, die Identität eines legitimen Kunden nachzuahmen.

Weitere Informationen zum Thema:

datensicherheit.de, 25.07.2019
5 Dollar: Google zahlt für biometrische Daten

datensicherheit.de, 25.08.2016
Biometrische Daten nur zum Entsperren eines privaten Schlüssels verwenden

Von Monika Schaufler, Regional Sales Director CEMEA, bei Proofpoint

[datensicherheit.de, 21.11.2014] Das Forschungsteam von Proofpoint hat kürzlich eine Phishing-Kampagne entdeckt, die gezielt auf Unternehmen in Deutschland und Frankreich gerichtet war. Dies ist ein Beispiel für Kampagnen, die in mehreren Sprachen und Ländern ausgeführt werden und zeigt, wie Angreifer den Faktor Sprache nutzen, um die Abwehrmechanismen von Organisationen zu umgehen.

Es wurden dabei zwölf verschiedene Microsoft Word-Dokumentanhänge identifiziert, die jeweils mit unterschiedlichen Absendern und Betreffzeilen kombiniert wurden und so eine klassische Longline-Phishing-Kampagne bildeten, die eine Reputations-basierte Blockierung umgehen konnte. Die automatisierte Analyse der Anhänge ergab, dass die Dokumente ein schadhaftes Makro, d. h. einen VBA-Virus, enthielten, mit dem die Malware Andromeda (auch Gamarue genannt) heruntergeladen und installiert wird. Durch die Verschleierung sowohl des Makros als auch der Andromeda-Payload konnten die Angreifer verschiedensten Antivirenprogrammen hervorragend ausweichen: Zum Zeitpunkt der Analyse durch Proofpoint waren die Anhänge von weniger als zehn Prozent der Antivirenprogramme erkannt worden, und die Andromeda-Payload nur von fünf Prozent.

Teil der Kampagne waren E-Mails in Deutsch und Französisch mit verschiedenen Ködern, Betreffen und Nachrichtentexten. Ein deutsches Beispiel enthält eine Rechnung und fordert den Empfänger auf, diese bis zum 1. Januar zu begleichen. Eine weitere deutsche E-Mail der Kampagne enthält scheinbar eine Kundendienstmitteilung eines bekannten deutschen Internetanbieters, die den Empfänger auffordert, den Anhang zu lesen und innerhalb von 48 Stunden zu antworten. In einer französischen E-Mail wird der Empfänger beispielsweise gebeten, eine aktualisierte Lizenzvereinbarung zu lesen und auf die E-Mail zu antworten.

Im September informierte Proofpoint, dass die URLs in unerwünschten E-Mails, die an Empfänger in Deutschland und Frankreich gesendet werden, mit geringerer Wahrscheinlichkeit schadhaft sind als beispielsweise E-Mail-URLs, die an Empfänger in den USA oder Großbritannien gehen. In modernen Phishing-Kampagnen werden die Flexibilität von URLs sowie der Umstand ausgenutzt, dass eine URL erst nach Eingang einer E-Mail schadhaft werden kann und somit regelmäßig auch die aktuellsten URL-Reputationsdatenbanken unterläuft. Da bei dieser Kampagne statt schadhafter URLs E-Mail-Anhänge zur Einschleusung der Payload verwendet wurden, ist offenkundig, dass Unternehmen in Frankreich und Deutschland nicht weniger im Fokus von Angreifern stehen als Unternehmen in den USA oder Großbritannien.

Diese drei Beispiele einer einzigen Kampagne veranschaulichen den variablen Einsatz von Anhang-Name, Köder, Betreff und Absenderadresse – genau die Elemente, die moderne Longline-Phishing-Kampagnen so effektiv gegen Reputations- und Signatur-basierte Abwehrmechanismen machen. Die Word-Anhänge enthielten ein verschleiertes Word-Makro, das dafür konzipiert war, Erkennungsmechanismen zu umgehen. Und mit mindestens zwölf Anhängen in einer Longline-Kampagne mit relativ geringem Umfang standen die Chancen gut, dass sie von Antivirensystemen und Reputationsprüfungen unerkannt bleiben und somit auch das stärkste Antispam-Gateway überwinden würden. Egal, ob URL oder Anhang – beide machen beispielhaft deutlich, warum Unternehmen ihr vorhandenes Antispam-Gateway um komplexere Erkennungsfunktionen ergänzen müssen: Selbst die beste klassische Abwehr bietet keinen 100-prozentigen Schutz.

Wenn zu diesem Mix noch die Sprachkomponente und in vielen Teilen Kontinentaleuropas die Wahrnehmung hinzukommt, dass moderne komplexe Bedrohungen hauptsächlich ein Problem englischsprachiger Länder und Unternehmen sind, erhält man ein Rezept für weitreichende Infizierungen – und das ist in jeder Sprache ein Problem.

Weitere Infriamtionen zum Thema:

proofpoint
Phishing: The international language

[datensicherheit.de, 18.05.2012] Dr. Claudia Wick von der Bayerischen Akademie der Wissenschaften geht der Frage, ob gar der Computer heute wirklich schon der bessere Philologe sei, in einem Vortrag nach. Die Veranstaltung findet im Rahmen der Vorlesungsreihe „Von Daten zu Informationen“ am 22. Mai 2012 um 17.15 Uhr im Hörsaal 326/327 der Universität Rostock in der Ulmenstraße 69, im Haus 3 statt. Alle Interessenten seien herzlich eingeladen.
Die schiere Datenmenge, welche bei der Erfassung einer ganzen Literatur anfällt, stellt lexikographische Arbeiten vor ein Machbarkeitsproblem – eine individuelle Analyse jeder Einzelstelle wird nahezu unmöglich, weil der Bearbeiter in der Datenflut unterzugehen droht. Es gilt daher, wohldurchdachte Kompromisse zu finden. Die Grenze zwischen Möglichem und Machbaren kann sich allerdings verschieben, wenn neue, effiziente Hilfsmittel den Forschern die Arbeit erleichtern oder sogar abnehmen.
Moderne, digitale Instrumente für die klassische Philologie hätten auch beim über hundertjährigen Wörterbuchprojekt „Thesaurus linguae Latinae“ Einzug gehalten. Doch diese hätten auch den Rechtfertigungsdruck für das Unternehmen gefährlich erhöht – immer häufiger werde nämlich gefragt, ob angesichts umfassender Textdatenbanken und Suchsoftware überhaupt noch Lexika benötigt würden…

Weitere Informationen zum Thema:

Universität Rostock
Interdisziplinäre Ringvorlesung / Von Daten zu Informationen