Bankenforen-Themendossier: Mit der Plattform ins neue Banking- Zeitalter

Angriffe auf Banking-Transaktionen werden nicht nur stetig mehr, sondern auch immer ausgefeilter und komplexer. In unserem Fachartikel "Plattform-Banking ohne Maßnahmen zur Risikominimierung bei Online-Transaktionen schafft neue Sicherheitsprobleme" können Sie nachlesen, welche Unterstützungen es für Forensik und Support Desk gibt und wie man Angriffe auf Banking-Transaktionen rechtzeitig erkennen und managen kann.

 
 

Plattform-Banking ohne Maßnahmen zur Risikominimierung bei Online-Transaktionen schafft neue Sicherheitsprobleme

 
 

Plattform-Banking als Innovationstreiber

Plattform-Banking soll, z. B. im Umfeld von Start-up-Unternehmen, die Umsetzung und Einführung von innovativen Lösungen in der geforderten Geschwindigkeit unterstützen. Ohne auf traditionelle IT-Landschaften Rücksicht nehmen zu müssen, steht die Lösung von Kundenbedürfnissen im Mittelpunkt der Aufmerksamkeit. Die Anbindung der Banking-Services erfolgt „einfach“ per API-Schnittstelle. Für den Endkunden wird auf diesem Wege von Fintech und Digital-Unternehmen die Vereinfachung des Zahlungsverkehrs vorangetrieben. Dies darf jedoch nicht zum Verzicht auf die, den heutigen Anforderungen gerecht werdenden Sicherheitsstandards führen.

Verdächtiges erkennen und managen

Angriffe auf Banking-Transaktionen werden nicht nur stetig mehr, sondern auch immer ausgefeilter und komplexer. Sich vor diesen Attacken zu schützen, genießt höchste Priorität, und zwar sowohl bei den Leistungsanbietern, die finanzielle Verluste und Reputationsschäden vermeiden wollen, als auch bei Kunden, die ein Höchstmaß an Sicherheit erwarten. Rechnung getragen wird dieser Anspruch unter anderem mit der EU-Richtlinie 2015/2366 (PSD2) zur Erhöhung der Sicherheit und des Vertrauens bei elektronischen Zahlungen, die ab 2019 für die meisten Finanztransaktionen eine „starke Kundenauthentifizierung“ vorsieht. Diese wird im Regelfall durch eine Zwei-Faktor-Authentifizierung (2FA) angestrebt, die eine Identitätskontrolle des Nutzers durch eine Kombination zweier unterschiedlicher Faktoren (etwa PIN und Token) vornimmt. Ohne Zweifel ist die 2FA ein Schritt in die richtige Richtung. Moderne Angriffsformen zeigen aber, dass sie allein genommen, etwa bei Angriffen via Identitätsdiebstahl, Kontoübernahmen oder Session Hijacking, keinen ausreichenden Schutz gewährleistet. Hinzu kommt, dass eine Authentisierung mit mehreren Faktoren das Nutzererlebnis durch umständliche Anmeldeprozesse oder hohe Latenzen beeinträchtigen kann und so die Kundenbindung schwächt.

Risikobewertung digitaler Identitäten

Die steigende Zahl raffinierter Angriffe auf Endgeräte stellt Sicherheitsteams vor diffizile Herausforderungen. Denn zum einen führt sie zu einer höheren Anzahl verdächtiger Transaktionen, die manuell bearbeitet werden müssen und enorme Kosten verursachen. Zum anderen wachsen die Erwartungen von Interessenten und Kunden stetig, die Transaktionen über alle Kommunikationskanäle möglichst immer schneller und einfacher abwickeln zu können.

Um die Sicherheit kritischer Dienste kosteneffizient zu erhöhen ohne Abstriche bei der Benutzerfreundlichkeit zu machen, sind deshalb ganzheitliche Sicherheitskonzepte gefordert. Die dafür eingesetzten Applikationen und Services sollten miteinander verzahnt über eine zentrale Plattform zum Einsatz kommen. Um die Sicherheit kritischer Dienste kosteneffizient zu er-höhen ohne Abstriche bei der Benutzerfreundlichkeit zu machen, sind deshalb ganzheit-liche Sicherheitskonzepte ge-fordert. Die dafür eingesetzten Applikationen und Services sollten miteinander verzahnt über eine zentrale Plattform zum Einsatz kommen. Dabei muss es darum gehen, nach einer erfolgten erfolgreichen Authentifizierung, die einen legitimen Nutzer unterstellt, aber nicht gewährleistet, Anomalien zu erkennen, um eine Risikobewertung einschließlich adäquater Reaktionen zur Risikominderung vornehmen zu können. Für eine möglichst erfolgreiche und fehlerminimierte Anomalieerkennung ist die Korrelation mehrerer Attribute wie Verhaltensbiometrie, Geolokation oder Geräteinformation unerlässlich, um ein möglichst einzigartiges digitales Profil des jeweiligen Endanwenders zu erstellen. Während hierbei der Einsatz von Geräte- und Standortinformationen quasi zum kleinen Einmaleins in der Nutzeridentifizierung zählt, bieten verhaltensbiometrische Erkennungstechnologien weitere aufschlussreiche Daten. Diese Technologien analysieren die Verhaltensweisen von Benutzern wie Dynamik der Tastenanschläge, Berührung und Mausbewegung und vergleichen sie mit früher erfolgten Interaktionen. Weicht das Verhalten eines Nutzers deutlich von dem in zuvor abgewickelten Interaktionen ab, steigt die Wahrscheinlichkeit einer illegitimen Aktivität. Parallel sinkt durch diese Verwendung mehrerer Attribute die Anzahl von False Positives sowie die benötigte Zeit, um verdächtige Aktivitäten zu erkennen und zu blockieren.

Nach einer kurzen Trainingsphase ist das System mittels dieser Informationen selbstlernend in der Lage, die Identität eines wiederkehrenden Benutzers zu erkennen und zu bestätigen. Damit steigt die Hürde für einen Angreifer enorm, der versucht, sich als ein anderer Benutzer auszugeben. Eine solche Lösung kann auch dazu beitragen, die Anzahl verdächtiger Transaktionen, die manuell bearbeitet werden müssen, deutlich zu reduzieren, da die Verhaltensbiometrie mit hoher Sicherheit bestätigen kann, dass die Transaktionen von einem legitimen Benutzer stammen.


Selbst wenn ein Angreifer einen gültigen digitalen Prozess übernommen hat, ist solch ein System in der Lage, diese Situation zu erkennen und darauf zu reagieren. Wurde beispielsweise am frühen Morgen ein gültiger Zugriff in Frankfurt verzeichnet und derselbe Benutzer will sich eine Stunde später in Sofia/Bulgarien einloggen, kann es sich offensichtlich nicht um dieselbe Person handeln. Auf der Grundlage eines Risiko-Scorings kann das System nun den Benutzer etwa bitten, sich neu zu authentisieren, eine Session abbrechen oder ein Ticket für weitere Abklärungen öffnen. Intern, also für den Anwender unbemerkt, kann die entsprechende Kommunikation aber auch auf eine andere URL, wie beispielsweise ein “Honeypot“ umgeleitet werden.


Im Kern ist eine solche Lösung also in der Lage, bei digitalen Services durch Mechanismen, die kontinuierlich das Risiko beurteilen, ein hohes Maß an Schutz zu gewährleisten, ohne das Nutzererlebnis zu schmälern.

Unterstützung für Forensik und Support Desk

Forensische Ermittler, die meist bei Betrugsfällen oder Rechtsstreitigkeiten tätig werden, müssen wichtige Informationen zu Benutzerinteraktionen und den Zusammenhang zwischen den geprüften Transaktionen im Zugriff zu haben. Entsprechende Systeme zur Risikobewertung können hier wichtige Daten liefern, etwa zum Auftreten von Anomalien, zu den beteiligten Parteien, zu getroffenen Maßnahmen oder zu den Auswirkungen. Weiterhin können Forensiker archivierte Fälle durchsuchen, um Parallelen zu ermitteln.

Arbeiterleichternd sind Systemplattformen zur Risikoerkennung auch für den Support Desk, der sich von anfragender Seite bei wachsendem Ticketaufkommen einem stetig wachsenden Zeitdruck ausgesetzt sieht. Die Informationen zum Status eines bestimmten Benutzers samt einer Historie, die Rückschlüsse auf eventuelle Einschränkungen gibt, lassen sich leicht abrufen. Dank der Kontextinformationensind Support-Mitarbeiter so in der Lage, den Kunden viele Fragen rund um den Zugang zeitnah und nachvollziehbar zu beantworten. Zudem können sie eine Sperrregel übersteuern oder ein Konto vorübergehend auf eine Whitelist setzen, wenn die Überprüfung ergeben hat, dass die Interaktion von einem legitimen Benutzer stammt.

Ein kurzes Fazit

Die aktuelle digitale Landschaft sieht sich mit organisierten, miteinander vernetzten Cyberkriminellen konfrontiert, die immer raffiniertere Angriffssysteme entwickeln. Um diesen Attacken effiziente Abwehrmaßnahmen entgegensetzen zu können, sind Organisationen und Unternehmen auf intelligente Lösungen angewiesen. Die Risikobewertung auf Basis digitaler Identitäten setzt diese intelligenten Prozesse ein, die auf einer breiten Palette an Informationsquellen basieren. Damit steigt die Erkennungswahrscheinlichkeit bei Angriffen – nicht nur bei Bedrohungen durch Trojaner und Malware, sondern auch bei einer illegitimen Nutzung durch zuvor authentifizierte Geräte und Prozesse. Im Kontext von Plattform-Banking wird dies eine der Voraussetzungen für die zukünftige Benutzerakzeptanz
sein.

Autoren

Stephan Schweizer

Stephan Schweizer
Chief Product Officer NEVIS
NEVIS Security GmbH

NEVIS Logo
Günter Friedrich

Günter Friedrich
Geschäftsführer
FSP GmbH Software & Consulting

 
 
FSP Logo
 

Das Bankenforen-Themendossier
zum herunterladen

 
 
Bankenforen-Themendossier

Unseren kompletten Fachartikel
finden Sie auf den Seiten 12 bis 14