Betrug: Weniger CNP, mehr Authenticated Push Payment – Interview Toby Carlin, Director Fraud Consulting Fico

Jedes Jahr veröffentlichte Fico die “European Fraud Map” (z.B. 2017, 2015). Wir sprachen mit Toby Carlin (Director of Fraud Consulting) über Ursachen, CNP, Betrug der neuen Art und fünf Tipps.

Herr Carlin, wie haben sich in den vergangenen fünf Jahren die Angriffsmethoden der Betrüger geändert?

Nicht nur die Präventionsmechanismen haben sich entwickelt, sondern mit ihnen auch die Betrüger. Wir sehen jetzt, dass die Mehrheit der Betrüger “cyberfähig” wird – dies kann von Datenverlusten über automatisierte Transaktions- und Anwendungsangriffe bis hin zu digitalen Betrügereien reichen.

Es ist heute einfacher denn je, einen Betrug aus der Ferne zu vollziehen, indem sowohl das Opfer als auch die Silos innerhalb einer klassischen Bank manipuliert werden.”

Dadurch gelingt es Betrügern, ihre kriminellen Aktivitäten reibungslos und ohne Erfassung abzuschließen.

Online-Banking startete ja bereits 1980 als Pilotprojekt, dann kam BTX – und über das Internet gibt es Online-Banking sicher auch schon fast 20 Jahre. Woran liegt es, dass Betrüger erst jetzt diese Möglichkeiten zunehmend für sich entdecken?

Kriminelle werden immer dorthin gehen, wo sie am leichtesten Gewinn erzielen können. Es wird entsprechend der Kanal fokussiert, der weniger geschützt ist als andere. Da Chip und PIN sowie andere Kontrollmethoden auf Karten Kriminelle abschrecken, haben diese sich anderen Kanälen zugewandt.

Wir sehen inzwischen viel mehr Betrug auf Einlagenkonten und bei Kreditanträgen, aufgrund des Erfolgs bei der Bekämpfung von Kartenbetrug.”

Ist es wirklich so, dass die Betrüger mehr auf Cyber-Kriminalität anstatt Kartenbetrug setzen oder ist das nicht eher zusätzlich?

Cyber-Kriminalität und Betrug sind heute sehr eng miteinander verbunden. Es wird geschätzt, dass über 95% aller heute beobachteten Transaktionsbetrügereien auf einen Cyber-Angriff bei personenbezogenen Daten zurückzuführen sind. Cyber-Kriminalität ist der wichtigste Faktor für moderne Betrugstypologien bei der überwiegenden Mehrheit der Transaktions- und Anwendungsbedrohungen.

Erwarten Sie, dass Online-Banking ab 14. September 2019 (Stichwort SCA) ebenfalls sicherer wird?

Das ist schwer zu beurteilen. Im Rahmen der PSD2-Erlasse werden Unternehmen mit einem höheren Betrugsgrad gezwungen sein, bei einer größeren Anzahl von Bankinteraktionen die Strong Customer Authentication (SCA) zu nutzen. Dies wird zu Verbesserungen der Kontrollmechanismen führen, um sowohl die Gesamtleistung von Betrugserkennung zu verbessern, als auch eine konsistentere Kundenauthentifizierung zu ermöglichen.

Leider handelt es sich bei den meisten digitalen Betrügereien inzwischen um Opfer-Manipulationen (Social Engineering), wie z.B. Authenticated Push Payment (APP-Betrug. Innerhalb dieser Betrügereien wird die kriminelle Aktivität vom echten Kunden als Teil der Manipulation bestätigt, sodass eine Erhöhung des Umfangs der Authentifizierung wenig dazu beitragen kann, das Verhalten zu ändern.”

Wie genau sehen das die Finanzinstitute – spüren die schon die neuen Entwicklungen?
Wie reagieren Banken und Sparkassen?

Nach unserer Erfahrung sind die Finanzinstitute über Cybersicherheitstrends besser informiert als andere Unternehmensbranchen, weil sie zum Teil über etablierte Fraud-Abteilungen verfügen. Zudem haben deutsche Finanzinstitute die Zahl an Kartenbetrug verringert. Wie die jüngste European Fraud Map von FICO zeigt, …

… verzeichnet Deutschland weiterhin einen Rückgang des CNP-Betrug, wenn auch mit einer Verlangsamung des Rückgangs auf nur 2% im Jahr 2017.”

Deutsche Banken reagierten auf den Anstieg des Kartenbetrugs in den späten 2000er Jahren, als Kriminelle Deutschland als schwächer geschützt ansahen als andere große europäische Länder, da diese die Komplexität ihrer Betrugssysteme erhöhten.

Eine Sorge ist jedoch, dass deutsche Unternehmen in Bezug auf ihren Cyber-Sicherheitsschutz zu selbstbewusst sein könnten. In einer Umfrage, die Ovum in diesem Jahr für uns durchführte, gaben 70% der deutschen Unternehmen an, dass ihr Cyber-Sicherheitsniveau überdurchschnittlich hoch ist. Dies ist statistisch nicht möglich! Bei den befragten Finanzinstituten war die Zahl mit 60% etwas geringer.

Wie schwer ist es für Institute, einen Betrug innerhalb ihres Systems zu erkennen?

Wenn ein Finanzinstitut die fortschrittlichsten Analysemethoden zur Betrugserkennung einsetzt, ist es wahrscheinlich, dass Betrugsaktivitäten entdeckt werden. Die maßgebliche Entscheidung ist dabei, wo der Schwellenwert für verdächtige Aktivitäten festgelegt wird. Denn einige verdächtig erscheinende Aktivitäten werden sich als echte Kundentransaktionen erweisen – sogenannte False Positives. Indem der Schwellenwert verändert wird, ergeben sich zwei Möglichkeiten: Ein niedrigerer Schwellenwert wird verstärkt gegen Betrügereien vorgehen. Ein höherer Schwellenwert wird hingegen das Kundenerlebnis verbessern, da die Anzahl der False Positives verringert wird.

Wenn ein Finanzinstitut jedoch nicht die fortschrittlichsten Analyseverfahren einsetzt, wird es nicht nur mehr Betrügereien übersehen, sondern auch mehr Fehlalarme haben – wo immer es den Schwellenwert festlegt. Und, somit einen noch schlechteren Einfluss auf das Kundenerlebnis haben.

Könnte – gerade beim Online-Banking – eine Überwachung des typischen Nutzer-Verhaltens (Mausnutzung, Tastaturverhalten) nicht hilfreich sein?

In einigen Fällen können diese zusätzlichen Ebenen der Profilerfassung nützlich sein. Die Hauptbedrohungen im Online-Banking sind jedoch kundenorientiert. Das bedeutet, dass die Erstellung von Kunden- oder Geräteprofilen wenig Nutzen bringt, da sie leider nur die Echtheit des Kunden und des Geräts bestätigen, nicht aber dessen Absicht.

Die wichtigste Präventionstechnik besteht darin, eine Unternehmenssicht auf die betrügerische Aktivität in Echtzeit über alle Kanäle hinweg zu erhalten. Dies ermöglicht es der Bank, den Betrüger im gesamten Unternehmen zu verfolgen, während sich das Gefährdungspotenzial entwickelt, bevor der Kunde an der Authentifizierung der Transaktion beteiligt wird. Der andere Schlüssel ist ein starkes Verhaltensprofil als kritisches Element des Analyseprozesses, das einen zuverlässigen Überblick über das tatsächliche Verhalten und die Aktivität innerhalb des Kanals bietet, und so die Erkennung von Anomalien wie Betrug ermöglicht.

Welche Möglichkeiten gibt es für Finanzinstitute, Cyber-Kriminellen auf die Schliche zu kommen?

Die Erkennung einer Datenschutzverletzung ist eine schwierige Aufgabe und es dauert im Durchschnitt mehrere Wochen, bis ein Unternehmen feststellt, dass eine solche vorliegt. Finanzinstitute können einen Datenverstoß nur dann erkennen, wenn sie in der Lage sind, die normalen Bedingungen und Verhaltensweisen ihrer Netzwerkumgebung zu verstehen und zu definieren. Anomalien können sehr oft ein Indikator für einen Betrug sein – und verschiedene Arten von Cyber-Attacken haben unterschiedliche Indikatoren.

Deshalb ist es wichtig, Künstliche Intelligenz zu nutzen, um Profile zu erstellen, die normales Verhalten darstellen, und dadurch Abweichungen aufzudecken.”

Ohne KI müssen Sicherheitsanalysten täglich hunderte, wenn nicht sogar tausende Warnungen, die von ihren SIEM-Lösungen generiert werden, manuell verarbeiten und auswerten.

Zum Schluss bitte noch ein wenig Nutzen: Geben Sie und doch mal fünf Tipps für Finanzinstitute, um die Kunden besser vor cyberkriminellem Betrug zu schützen?

1. Stellen Sie sicher, dass Sie die besten verfügbaren Analyseverfahren verwenden, um Ihre Kunden zu unterstützen.
2. Die Prävention muss in Echtzeit erfolgen. Batch-Ansätze bei Transaktions- oder Anwendungsbetrug sind nicht mehr erfolgreich und behindern die Fähigkeit der Bank, wettbewerbsfähige Produkte sicher anzubieten.
3. Betrachten Sie den Lösungsweg zu einer Enterprise Fraud Platform, die es ermöglicht, alle Kundendaten im Rahmen von Präventionsstrategien zu verarbeiten, zu profilieren und zu referenzieren. Die Unternehmen müssen auch einen festen Standpunkt zur Online-Sicherheit ihres eigenen Web-Fußabdrucks und ihrer Lieferanten einnehmen.
4. Stellen Sie innerhalb der Betrugsansicht des Unternehmens sicher, dass Anwendungsbetrug berücksichtigt wird. Dazu gehört die Identifizierung von First-Party-Netzwerken ebenso wie die betrügerische Drittanwendung, die Identitätsbetrug widerspiegelt.
5. Klären Sie Ihre Kunden auf. Während dies eine sehr einfache Option zu sein scheint, ist sie zugleich auch unglaublich mächtig, wenn der Kunde im Rahmen des Betrugs manipuliert wird. Die Kunden müssen über die neuesten Bedrohungen informiert werden, um Teil des Kampfes gegen Betrüger werden zu können.

Herr Carlin, vielen Dank für das Interview.aj