Angesichts der nun rasch fortschreitenden Digitalisierung der Banken und der dadurch herbeigeführten deutlichen Steigerung elektronischer Interaktionen für Abläufe und Vorgänge ist eine Investition der Branche in adäquate Sicherheitsmaßnahmen nicht länger aufschiebbar. Denn bei Angriffen, die die Sicherheit des Onlinebankings beeinträchtigen, wird nicht nur den Kunden, sondern auch den Banken geschadet.
Die Täuschungstechniken, um an sensible Daten zu kommen, sind mittlerweile zahlreich. Den Löwenanteil hat dabei das Phishing oder manipulative Techniken wie das Social Engineering. Selbst gefälschte Stellenangebote, die die Bewerber dazu motivieren, ihre Daten anzugeben oder gar ein Konto bei einer bestimmten Bank zu eröffnen, kommen als Köder infrage.
Im Unternehmensumfeld sticht hingegen der Datendiebstahl unter den Bedrohungen hervor. Cyberkriminelle greifen vorzugsweise Firmen an, deren Geschäftstätigkeit hauptsächlich online geführt wird, also etwa den Einzelhandel, Fluggesellschaften oder Streamingdienste. Mit den gestohlenen Daten greifen Kriminelle auf Bankkonten oder Finanzdaten der Kundschaft zu, um anderweitige Delikte über Datenverkauf oder gar Missbrauch der Kreditkarten oder Konten zu finanzieren.
Aktuelle Maßnahmen zur Absicherung von Onlinebanking-Vorgängen
Die optimale Absicherung von Onlinebanking-Vorgängen hängt von zwei Faktoren ab. Einerseits vom Aufklärungsgrad der Öffentlichkeit in Bezug auf Cybersicherheitsrisiken, andererseits vom Einsatz stabiler und schwer zu überwindender Sicherheitssysteme aufseiten der Finanzinstitute. Darunter zählen etwa die Zwei-Faktor-Authentifizierung und biometrische Prüfungen. Beide Elemente sind Technologie-abhängig, da sich das eine auf die Anwendung der Technologie und das andere auf das über die Technologie erlangte Wissen bezieht.
Zwei-Faktor-Authentifizierung und Implementierung einer starken Bankauthentifizierung
Die Zwei-Faktor-Authentifizierung basiert auf dem erfolgreichen Onboarding eines Kunden. Es handelt sich um eine Form der Identifikation, die die Verwendung von mindestens zwei von drei Faktoren erfordert: Etwas, das nur der Nutzer weiß oder wissen sollte (z. B. ein Passwort), etwas, das der Nutzer besitzt (ein Token-Gerät oder Mobiltelefon), etwas vom Nutzer selbst (Biometrie). Wenn einer der Faktoren beim Login ins Bankkonto fehlt bzw. sich als fehlerhaft erweist, wird der Vorgang abgebrochen.
Biometrischer Sicherheitszugang für Online-Bankkonten
Der biometrische Sicherheitszugang für Bankkonten ist unter Nutzern von Banking-Apps bereits weit verbreitet. Dabei geht es um die Erkennung einzigartiger physischer Merkmale, sei es der Fingerabdruck mittels Sensor oder die Gesichtserkennung über eine Kamera. Zusätzlich können Kontotransaktionen überwacht werden, indem ein Gerät, in der Regel das Mobiltelefon, mit dem Konto verknüpft wird. Die Kundschaft erhält sofortige Push-Benachrichtigungen oder Nachrichten, wenn versucht wird, eine Transaktion durchzuführen. Diese Technologie wird immer häufiger eingesetzt, da sie sehr benutzerfreundlich ist und eine schnelle Überprüfung der rechtmäßigen Kontonutzung in Echtzeit ermöglicht.
Sonderfall Gesichts-Spoofing
Beim Onboarding neuer Nutzer folgt jedes Unternehmen einem Verfahren, das KYC („Know Your Customer“) genannt wird. Damit ist es möglich, die Identität von Kunden zu überprüfen und dabei zu gewährleisten, dass der Kunde wirklich die Person sind, die er vorgibt zu sein. Heutzutage sind digitale Onboarding-Prozesse vollständig automatisiert und entsprechen den strengsten Anti-Geldwäsche-Richtlinien (AML). Dadurch kann ein Unternehmen oder eine Institution die gleichen Prüfungen remote und online durchführen wie in einer physischen Umgebung. Doch Cyberkriminelle betreiben zunehmend Identitätsdiebstahl via Spoofing.
Anders als für die IT-Welt übliche Spoofing-Angriffe, kann man etwa Gesichts-Spoofing-Versuche nicht mittels herkömmlicher Maßnahmen gegen IP-, DNS- oder E-Mail-Spoofing verhindern. Hier versuchen Kriminelle, sich anhand eines Fotos oder Videos für den Inhaber des anvisierten Kontos auszugeben, um die Kontrollsysteme für die biometrische Gesichtserkennung zu überlisten. Identitätsbetrug durch Gesichts-Spoofing wird ebenfalls betrieben, um ein Online-Bankkonto zu eröffnen oder Dienstleistungen zu beziehen, und zwar mittels bearbeiteter Videos, Fotos/Selfies oder sogar Masken. Dagegen wurde die sogenannte Anti-Spoofing-Gesichtserkennung entwickelt, die solche Versuche unterbindet und gleichzeitig die zuständigen Behörden oder Einrichtungen benachrichtigt, die für den Schutz der Nutzerrechte oder der Unternehmen (Bank, Mobilfunkanbieter, Versicherung) sorgen.
Bei der Anti-Spoofing-Überprüfung ist der Lebensnachweis Teil des Verfahrens zur Identitätsprüfung und erfolgt nach zwei Methoden: das Vorzeigen eines Ausweises (Personalausweis, Reisepass) in Echtzeit oder eine Online-Identitätsprüfung. Der per Videostreaming online durchgeführte Lebensnachweis ist aus verschiedenen Gründen die sicherste und effektivste Methode zur Aufdeckung von Identitäts-Spoofing:
- Es wird sichergestellt, dass die Person nicht unter Zwang steht.
- Deepfakes werden erkannt.
- Die Verwendung von Selfies und Bildern, die nicht den KYC- und AML-Vorschriften entsprechen, wird verhindert.
- Der Prozess kann mit biometrischer Gesichtserkennung durchgeführt werden, einer Methode, die noch sicherer ist als die persönliche Identifikation.
www.electronicid.eu