Arbeit im Homeoffice, Chatten mit Freunden, Online-Shopping und -Banking – unser Leben spielt sich immer mehr im digitalen Raum ab. Für Cyberkriminelle eröffnet sich dadurch ein Bauchladen nur allzu leicht zugänglicher Daten, aus denen sie fiktive – sogenannte synthetische – Identitäten zusammenstellen können.
Anders als beim Diebstahl der Identität einer real existierenden Person, gibt es beim synthetischen Identitätsbetrug keinen echten Konto- oder Accountbesitzer, dem unerklärliche Kontobewegungen oder unautorisierte Onlineeinkäufe auffallen könnten oder der sich über eine Mahnung wundern würde. Das macht es besonders schwer, diese Masche aufzudecken und ist ein Grund dafür, dass der Betrug mit synthetischen Identitäten sich in kriminellen Kreisen immer größerer Beliebtheit erfreut. Die Gauner kombinieren dabei erbeutete echte Daten mit falschen Informationen und kreieren daraus eine fiktive Identität.
Die dazu notwendigen realen persönlich identifizierbaren Informationen (PII) wie E-Mailadressen, Sozialversicherungsnummern, Reisepassnummern, Angaben zum Wohnort oder Geburtsdaten werden durch Phishing abgegriffen bzw. sind im Darknet verfügbar. Die Betrüger können hier aus dem Vollen schöpfen. Mit Hilfe von Deepfake-Technologie lassen sich sogar Fotos erstellen. Die auf diese Weise neu geschaffene Identität erscheint so täuschend echt, dass bei der Eröffnung eines Bankkontos oder eines Shopping-Accounts meist keinerlei Verdacht entsteht.
Ist das neue Bankkonto mit der Frankenstein-Identität erstellt, können die Betrüger in aller Ruhe einen Kredit beantragen, diesen ausschöpfen und spurlos verschwinden. Im Bereich E-Commerce nutzen sie häufig eine Kombination aus legitimen Zahlungsdaten und falschen Angaben, um über einen längeren Zeitraum hinweg ungestört Transaktionen abzuschließen, ohne dass der Betrug entdeckt wird. Synthetische Identitäten werden auch für Empfehlungsbetrug im Rahmen von Kundenbindungsprogrammen angewandt: Dabei werden neue Konten gefälscht, um Einführungsprämien in Anspruch zu nehmen.
Benutzerfreundlichkeit vs. Sicherheit?
Die steigende Anzahl von Geräten, Kanälen und Zugriffpunkten spielt den Cyberkriminellen in die Hände. Zugleich sinkt die Geduld der Verbraucher bei Onlineaktivitäten: Laut einer Studie von Ping Identity laufen Anbieter, denen es nicht gelingt, die richtige Balance zwischen Benutzerfreundlichkeit und Datensicherheit zu finden, Gefahr, ihre Kunden an die Konkurrenz zu verlieren. So gaben 45 Prozent der Befragten an, dass sie bereits einem Onlinedienst den Rücken gekehrt hätten, weil sie das Einloggen als frustrierend empfanden. 53 Prozent würden zu einem konkurrierenden Onlineangebot wechseln, vorausgesetzt das Identitäts- und Zugriffsmanagement funktioniert dort wesentlich einfacher.
Für Onlineanbieter bedeutet das: Sie müssen den Spagat schaffen, das Betrugsrisiko zu minimieren, ohne ihre Kunden durch umständliche Authentifizierungsmaßnahmen wie CAPTCHA oder das Abfragen von PII abzuschrecken. Möglichkeiten wie Spracherkennung, Fingerabdruck-Scans und Gesichtserkennung sorgen für eine reibungslose Kundenerfahrung, garantieren aber für sich allein genommen keine komplette Sicherheit. Auch Methoden, die auf reinen Verhaltensanalysen beruhen, haben ihre Tücken: Denn menschliches Verhalten ist nicht statisch. So änderten im Zuge der Corona-Pandemie viele Menschen ihre digitalen Gewohnheiten. Sie meldeten sich zu anderen Zeiten oder mit anderen Geräten an und kauften andere Produkte wie beispielsweise Lebensmittel. Doch Fehlalarm bei der Sicherung von Onlineaktionen kann fatal sein. Wird einem Kunden beispielsweise das Benutzerkonto gesperrt, wird ihn das vermutlich für immer verprellen.
Verhaltensbiometrische Daten decken Anomalien auf
Neue intelligente Sicherungsmechanismen überwachen daher bestimmte Muster der Verhaltensbiometrie: Ob im Finanzsektor oder im E-Commerce – sobald ein Benutzer mit einem Gerät oder einer Anwendung interagiert, erzeugt er mit jedem Wischen auf dem Smartphone und mit jedem Mausklick am PC hunderte von eindeutigen Benutzerdaten. Während die Betrugserkennung bislang fast ausschließlich in der Zahlungsphase der Customer Journey einsetzte, prüft moderne Onlinebetrugserkennung bereits ab dem Login die biometrischen Verhaltensdaten, die durch Interaktionen zwischen Mensch und Gerät, durch Geräteattribute und Kontoaktivitäten generiert werden. Sicherheitsrisiken werden unterbunden, bevor sie Schaden anrichten können.
Verhaltensbasierte Biometrie lernt mit Hilfe von Machine Learning ständig dazu und ist in der Lage, sowohl die Identität regelmäßiger Nutzer zu identifizieren als auch Bots an ihrem nicht-menschlichen Verhalten zu erkennen. Die Verwendung von Copy-Paste oder der automatischen Vervollständigungsfunktion beispielsweise, die Geschwindigkeit, mit der auf dem Smartphone getippt oder die Maus über den Bildschirm bewegt wird, können auf den Missbrauch einer Identität hinweisen. Denn ein echter Mensch unterscheidet sich in seiner Art zu klicken oder zu scrollen von Bots, Skripts oder Emulatoren.
Ein normaler Nutzer, der sich neu für einen Account anmeldet, ist nicht mit der Reihenfolge der Felder im Anmeldeformular vertraut und agiert beim Ausfüllen entsprechend langsamer. Weitere Anzeichen für illegale Aktivitäten sind die wiederholte Eingabe eines Anmeldevorgangs mit unterschiedlichen Daten, ein unnatürlich gleichmäßiges, einstudiertes Navigieren zwischen den Seiten oder Abweichungen von der durchschnittlichen Dauer eines Bestelllvorgangs.
Fazit
Cyberkriminelle werden sich auch in Zukunft immer neue und immer raffiniertere Betrugsmaschen ausdenken. Um nicht den Kürzeren zu ziehen, müssen sich die Sicherheitsmethoden der Unternehmen mindestens ebenso dynamisch weiterentwickeln. Mit einer Kombination aus modernem Identitäts- und Zugangsmanagement und Fraud-Prävention durch verhaltensbiometrische Technologien ist es möglich, den Angreifern einen Schritt voraus zu sein.