Cybersecurity: “Internet der Diebe”, Modell-Chaos & Betrugsbekämpfung fordern den Finanzsektor

Banken müssen sich zunehmend mit Angriffen auf ihre IT-Infrastruktur herumschlagen, sei es im Zu­sam­men­hang mit Datendiebstählen oder DNS-Angriffen. Trotz technischer Innovationen müssen sich aber Banken und Versicherer einen Wettbewerbsvorteil verschaffen. Das kann mit Cybersecurity funktionieren, ist sich Seyfi Günay (Seniordirektor Finanzkriminalität & Terrorismus bei LexisNexis Risk Solutions) sicher.

von Seyfi Günay, LexisNexis Risk Solutions

Es ist gar nicht so kompliziert. Per DNS-Angriff kapern Hacker die offizielle Unternehmensseiten, setzen unter ihrer eigenen IP-Adresse gefälschte Websites auf und sind dann in der Lage, beispielsweise Login-Daten abzufangen und zu sammeln. Die steigende Anzahl an Cyber-Attacken hat Hochrechnungen zufolge allein im vergangenen Jahr zu globalen Verlusten von 1,6 Billionen Dollar geführt, eine Zahl, die bis 2021 auf bis zu 6 Billionen Dollar ansteigen dürfte. 6 Billionen Dollar – das ist mehr als das BIP von Deutschland.

Banken und Finanzinstitute sehen sich vor allem mit den folgenden drei Trends konfrontiert:

1. Das „Internet der Diebe“ wird global

Laut dem Cybercrime Report von ThreatMetrix kam es in den ersten drei Monaten des vergangenen Jahres zu weltweit 210 Millionen Cyber-Angriffen – ein Plus von 62 Prozent gegenüber 2017.

Hinter diesem enormen Anstieg steckt vor allem die zunehmende Verbreitung von Identitätsdaten und der in vielen Fällen erschreckend einfache Zugriff auf selbige.”

Dass zwischen Identitätsdiebstahl und Cyber-Kriminalität ein kausaler Zusammenhang besteht, zeigt die Statistik: Untersuchungen belegen, dass die Zahl von Cyber-Attacken nach größeren Datenlecks rapide zunimmt.

Das Problem wird noch durch den wachsenden Kreis von Verbrauchern und Unternehmen verschärft, für die der Zugriff auf Waren und Dienstleistungen aus der ganzen Welt längst zur Selbstverständlichkeit geworden ist. Das sind paradiesische Zustände für Cyber-Kriminelle, für die sich im grenzüberschreitenden Zahlungsverkehr ganz neue Geschäftsfelder ergeben. So liegt die Wahrscheinlichkeit für Überweisungsbetrug bei Zahlungen ins Ausland 5,4-mal höher als im Inland.

2. Neue Modelle, mehr Chaos bei der Cybersecurity

Dem Medienunternehmen Information Age zufolge gibt es weltweit bereits 3,8 Milliarden Internetnutzer. Diese Zahl könnte sich bis zum Jahresende um eine weitere Milliarde Nutzer erhöhen – angetrieben durch die Verbreitung von Smartphones und weiterer mobiler Endgeräte. Tatsächlich zeigen die Daten von ThreatMetrix, dass 55 Prozent aller Finanzdienstleistungstransaktionen weltweit inzwischen von einem mobilen Endgerät stammen.

In Ländern, in denen die Mehrheit der Bevölkerung vorher kaum Zugang zu Finanzdienstleistungen geschweige denn einem eigenen Bankkonto hatte, kann diese Entwicklung häufig zu Problemen führen. Finanzielle Inklusion im Zeitraffer – vielen fehlt es schlichtweg an Erfahrung, um die Risiken im Umgang mit Mobile-Banking-Apps richtig einschätzen zu können. Das erhöht die Erfolgswahrscheinlichkeit für Social-Engineering-Attacken, bei denen Betrüger versuchen, das Vertrauen ihrer Opfer zu erschleichen, um so beispielsweise an deren Kontoinformationen zu gelangen.

Auch technisch hoch entwickelte Volkswirtschaften sind vor immer neuen Formen von Cyber-Attacken nicht gefeit. Cyber-Kriminalität floriert derzeit vor allem im Bereich von Peer-to-Peer-Bezahlplattformen, die auch in Deutschland zunehmend an Beliebtheit gewinnen. Die Hacker freut’s: Einem Bericht der New York Times zufolge kam es bei einer Bank, die P2P-Zahlungslösungen anbietet, zu Betrugsraten von bis zu 90 Prozent.

PSD2, die zweite EU-Zahlungsdienstrichtlinie, sorgt ebenfalls für Wirbel. Die im Januar letzten Jahres in Kraft getretene Reform zielt darauf ab, den Zahlungsverkehr in der EU für Verbraucher bequemer und sicherer zu machen und den Wettbewerb zu fördern. Dass dabei auch neue Angriffsflächen für Cyber-Attacken entstehen, wird gerne übersehen. PSD2 erlaubt Drittparteien, über Banken-APIs auf sensible Kundeninformationen zuzugreifen – und …

… je mehr Drittparteien Zugang zu diesen Schnittstellen [PSD2] haben, desto höher sind die Sicherheitsrisiken für Banken.”

3. Intelligentere Lösungen zur Betrugsbekämpfung

Die Kosten für Mobil- und Online-Betrug bei Banken und FinTechs summieren sich schnell. Laut der True Cost of Fraud Studie 2017 von LexisNexis Risk Solutions entstehen Finanzdienstleistungsunternehmen, die mindestens die Hälfte ihrer Umsätze über digitale Kanäle erzielen, Kosten von bis zu 3,04 US-Dollar pro Dollar, der durch Cyber-Betrug verloren geht. Rückbuchungen, Gebühren und zusätzlicher Arbeitsaufwand – all das ist nicht nur zeitraubend, sondern auch geldintensiv.

Es gibt jedoch auch Lichtblicke. Dieselbe Cybersecurity-Studie kommt zu dem Ergebnis, dass Banken ihre Betrugskosten drastisch reduzieren können.  Identitätsbasierte Authentifizierungstechnologien sind eine Möglichkeit, um die Ausgaben auf weniger als 50 Prozent des Branchendurchschnitts zu senken.

So wie Cyber-Kriminelle immer auf der Suche nach neuen Angriffsmöglichkeiten sind, müssen auch Banken und Finanzinstitute stets auf dem neuesten Stand sein, was aktuelle Entwicklungen im Cyberspace angeht.

Vor allem die drei folgenden Innovationen spielen für Finanzinstitute eine zunehmend wichtige Rolle:

1. Erweiterte Verhaltensanalysen: Zeigen sich im üblichen Verhaltensmuster des Nutzers Abweichungen, schlägt die Software Alarm.
2. Clear-Box Machine Learning: Maschinelles Lernen ist die Zukunft, gerade im Finanzsektor. Der Clear-Box-Approach berücksichtigt das wachsende Verlangen der Verbraucher nach Transparenz und gibt Aufschluss über die Prozesse, auf die Maschinen ihre Vorhersagen stützen.
3. Risikobasierte Authentifizierung: Eine neue Generation von Authentifizierungstechniken ermöglicht schnellere und störungsfreie Login-Prozesse. Das erhöht nicht nur die Kundenzufriedenheit, sondern sorgt auch für zusätzliche Sicherheit, ohne die Nutzererfahrung negativ zu beeinflussen.

Unternehmensleiter und Führungsteams in der Finanzdienstleistungsbranche tun gut daran, Cybersecurity nicht nur als Maßnahme zur Minderung finanzieller Verluste zu betrachten. Laut Forrester Research, einem Marktforschungsunternehmen, sehen immer mehr Unternehmen die Sicherheit im Internet als eine Möglichkeit, das Geschäftswachstum voranzutreiben – und Kunden wissen die schnelle und vor allem sichere Abwicklung ihrer Zahlungsgeschäfte durchaus zu schätzen. Bain & Company zufolge liegen die Umsätze von Unternehmen, die sich durch hervorragende Kundenzufriedenheit auszeichnen, vier bis acht Prozent über dem Marktdurchschnitt.

Das Wettrüsten im Cyberspace hat gerade erst begonnen.”aj