24 Millionen Bundesbürger erledigen ihre Bankgeschäfte inzwischen online, so das Ergebnis einer aktuellen Umfrage des IT-Branchenverbandes BITKOM. Dem Thema Sicherheit im Internet kommt dabei eine immer höhere Bedeutung zu: denn laut BKA hat 2009 der Angriff auf Bankkonten über das Internet stark zugenommen. Und selbst Kontoinhaber, die das Internet für ihre Transaktionen meiden, lassen sich laut des Statistikportals Statista durch die Sicherheitsfrage beeinflussen – immerhin gaben 33 Prozent der Befragten an, aus Angst vor Betrügereien auf Online-Banking zu verzichten. Dass solche Sicherheitsbedenken nicht ganz unberechtigt sind, zeigt die Raffinesse, mit der Finanzbetrüger inzwischen ans Werk gehen, um an die Zugangsdaten der Bankkunden zu kommen.
Im Fall des so genannten Phishing zeigen die massive Aufklärungspolitik der Banken sowie spezielle Anti-Phishing-Software inzwischen Wirkung. Viele Nutzer sind inzwischen sicher, dass sie nicht auf eine entsprechende Attacke hereinfallen und auf einer gefälschten Bank-Webseite ihre Zugangsdaten oder TAN-Nummern eingeben würden. Vermehrt setzen Betrüger deshalb auf Trojaner, die sich beispielsweise via E-Mail-Anhang oder auch über Downloads von Online-Tauschbörsen auf den Computern der Bankkunden einschleichen. Vom Anwender unbemerkt installiert sich die Malware auf dem PC, schreibt im Hintergrund die anvisierten Daten mit und übermittelt diese Informationen an den Absender der Spionage-Software. Antivirenprogramme oder die Vorkehrungen der Betriebssysteme bieten hier nur begrenzten Schutz. Auch die Online-Betrüger nehmen regelmäßig Updates an ihrer Software vor und finden Wege, die Sicherungssysteme zu umgehen.
Vor diesem Hintergrund ist es richtig und wichtig für die Banken, ihre Kunden sorgfältig über mögliche Gefahren aufzuklären. Ausreichend ist dies jedoch nicht, zumal die aktuelle Rechtsprechung den Banken die Haftungspflicht auferlegt, wenn ein Kunde trotz notwendiger Sicherheitsvorkehrungen einem Betrüger zum Opfer gefallen ist. Bankintern sind daher weitere Maßnahmen notwendig, um die Guthaben auf den Konten ebenso zu schützen wie das eigene Institut. Und nicht nur monetäre Bewegungen sind interessant für diese weitreichende Form der Betrugsvorbeugung.
Zwar können Aktionen wie Abhebungen, Überweisungen oder das Umschichten von Geldanlagen auf ein kriminelles Ereignis hinweisen. Aber auch Daten, die eher am Rande mit den Finanzen der Kunden zu tun haben, lassen sich einsetzen, um unerwünschte Zugriffe mit noch höherer Exaktheit aufzudecken. Geeignet sind beispielsweise Informationen über Unregelmäßigkeiten in der IP-Adresse oder der Session-ID, Änderungen an den Login- sowie den persönlichen Daten eines Kunden, Modifikationen an Daueraufträgen oder ungewöhnliches Verhalten beim Besuch des Bankportals. Mit Sicherheit lassen sich Betrugsfälle allerdings nur erkennen, wenn diese Vielzahl an Informationen nicht isoliert betrachtet wird, denn erst durch Kombinieren mehrerer Faktoren ergeben sich tatsächlich aussagekräftige Muster. Besonders im dynamischen Umfeld des Online-Banking ist es außerdem unumgänglich, neben historischen Daten auch das jeweils aktuelle Kundenverhalten in die Analyse mit einzubeziehen.
Eine wirkungsvolle Methode der Betrugserkennung ist beispielsweise das so genannte Account Profiling. Es setzt die Daten aller Konten, an die ein Kunde innerhalb der letzten zwölf Monate Geld überwiesen hat, in Bezug zueinander. Erfolgt ein Transfer an eine Bankverbindung, die der Kunde vorher noch nie benutzt hat, generiert das jeweilige Risk-Management-System eine Warnung und die Bank kann den Vorgang genauer überprüfen. Hierzu allerdings ist es notwendig, weitere Informationen hinzu zu ziehen. So empfiehlt beispielsweise ACI Worldwide seinen Kunden unter anderem, zusätzlich den Login-Prozess zu überwachen – und zwar nicht nur die Zugangsdaten, sondern auch die IP-Adresse.
Nutzt ein Betrüger immer den gleichen Internet-Zugang, reicht es bereits aus, diesen auf einer Sperrliste zu vermerken und weitere Zugriffe automatisch zu unterbinden. Die wenigsten Online-Betrüger allerdings sind so unvorsichtig und greifen mehrfach von derselben Quelle aus an. Und auch die Kunden nutzen das Portal ihrer Bank meist von verschiedenen Rechnern aus, ob diese sich nun bei ihnen zuhause, in der Arbeit, in der Schule oder auch an öffentlichen Orten wie etwa der Stadtbibliothek befinden. Ein wirklich schlagkräftiges System zur Betrugsprävention kann sich daher nicht ausschließlich auf Sperrlisten beschränken. Eine flexiblere Lösung stellt das so genannte IP-Profiling dar. Es verknüpft sämtliche Informationen zu den IP-Adressen, von denen aus sich ein Kunde üblicherweise anmeldet, und bestimmt so dessen regelmäßigen Aktionsradius. Diese Daten vergleicht das System bei jedem Login automatisch mit der aktuellen IP. Fällt die Adresse aus dem Rahmen, weist dies unter Umständen bereits auf einen Betrugsfall hin. Wird dieses Ergebnis dann wiederum beispielsweise mit Informationen über ungewöhnliche Transaktionen oder kürzlich vorgenommene Passwortänderungen kombiniert, ergibt sich daraus ein hoch valider Indikator.
Als Vorbild für deutsche Banken kann im Fall der internen Betrugsprävention beispielsweise Australien dienen, das sich mit seiner "Faster-Payments"-Kultur einem besonders hohen Gefahrenpotenzial ausgesetzt sieht. Anders als hierzulande werden Online-Transaktionen in der Regel innerhalb von 24 Stunden verbucht – den Banken bleibt kaum Zeit, verdächtige Bewegungen zu entdecken und nachzuverfolgen. Als vor etwa drei Jahren eine Welle von Online-Attacken über Australien rollte, reagierten viele Banken deshalb mit einer Verlängerung der Buchungszeiten. Die National Australia Bank (NAB) dagegen beschloss, ihr bestehendes regelbasiertes Sicherheitssystem mit Hilfe eines IP-Profiling-Konzepts für die neue Gefährdung fit zu machen.
Mit Hilfe der Internet-Protokolle erhebt die Risk-Management-Lösung der NAB sowohl geographische Daten als auch spezifische Online-Verhaltensweisen der Kunden, wertet diese auf Trends und Muster hin aus und speist die Ergebnisse in eine Datenbank ein. Wo früher lediglich statische Regeln für die Überprüfung von Transaktionen zur Verfügung standen, greift das Sicherheitssystem nun auf diese fortwährend aktualisierten Informationen zu und gleicht jede Aktion des Benutzers in Echtzeit mit diesem Profil ab. Sobald ein Vorgang nicht ins Muster passt, erhält der zuständige Bankmitarbeiter eine Warnmeldung und kann sofort reagieren. Bereits im ersten Jahr konnte die NAB mit Hilfe der neuen Methode die Verluste im Internet-Banking um 99 Prozent reduzieren.
Trotz solcher Erfolgsquoten ist IP-Profiling allerdings nur ein einzelner Baustein im Kampf gegen Betrug und Missbrauch, denn es beschränkt sich auf Daten aus dem Online-Banking. Um Kunden den größtmöglichen Schutz zu bieten, gilt es, im Rahmen eines übergreifenden Risikomanagements auch alle weiteren relevanten Kanäle technisch und strukturell zu vernetzen. Je mehr Produkte und Services eine Bank überwacht, desto exakter werden die Kundenprofile und die Beurteilung der Gefährdungslage. Und das kann nur erreicht werden, wenn bestehende Silostrukturen überwunden werden. Dann ist der Weg frei zu einem stimmigen Sicherheitskonzept.
Autorin:
Felitas Aguilar, ACI Worldwide (EMEA)
[Bildquelle: iStockPhoto]
Kommentare zu diesem Beitrag
Trotzdem wären fundierte Zahlen aber wirklich mal interessant, denn ich glaube nicht, dass der Enduser so dumm und leichtsinnig ist wie er gerne hingestellt wird.