Geldinstitute > Security

04.01.2018 von Ingrid Riehl, Geschäftsführerin der CRIFBÜRGEL GmbH

So schützen Banken sich und ihre Kunden vor Online-Betrug

Egal ob Cyber-Attacke oder Phishing – Daten-Diebe sind kreativ, hochprofessionell und im Ernstfall kaum zu fassen. Sind Kreditinstitute und ihre Kunden nun dem Datenmissbrauch hilflos ausgeliefert? Nicht unbedingt: Abhilfe schafft etwa CRIFBÜRGEL, Wirtschaftsauskunftei und Servicer für das Kreditrisikomanagement, mit seinen modularen Lösungen zur Betrugsprävention.

Ingrid Riehl, Geschäftsführerin der CRIFBÜRGEL GmbH

Onlinebanking liegt im Trend: Nach ­Angaben von Eurostat nutzten 2016 schon 53 Prozent der Bundesbürger Bank-Dienstleistungen im Internet. Tendenz weiter steigend. Wie auch im europäischen Ausland: in Frankreich sind es 59 und in ­Großbritannien 64 Prozent. Nach aktuellen Umfragen des Digitalverbands Bitkom besucht etwa jeder vierte Internutnutzer gar keine Bankfiliale mehr und regelt Bankgeschäfte nur noch online.

Allerdings sind mit diesem bequemen Service oft auch dem Datenklau Tür und Tor geöffnet. Beim Phishing etwa erschleichen sich Betrüger Kontodaten durch falsche Eingabemasken im Internet. Im Jahr 2016 wurden in Deutschland so Schäden in Höhe von rund 8,7 Millionen Euro verursacht, 2015 waren es sogar 17,9 Millionen Euro.

Dazu kommt: Immer mehr Verbraucher nutzen mobile Endgeräte für Mobile Banking und Mobile Payment. Durch die wachsende Anzahl der digitalen Möglichkeiten mit Smartphones, Tablets und Wearables bieten sich Datendieben immer mehr Gelegenheiten und damit noch leichteres Spiel.

 

Sorgen um die Sicherheit


Die Verbraucher sind sensibilisiert: Mehr als zwei Drittel der Deutschen sorgt sich um die Sicherheit bei Bankgeschäften im Internet, zeigt eine Umfrage von Kantar TNS zum Gefährdungsgefühl beim Online­banking in Deutschland im Jahr 2017. Nur jeder 20. Teilnehmer sieht keine Risiken. Die Folgen für die Bank-Branche sind ­sowohl mögliche Reputationsschäden und der Verlust des Kundenvertrauens nach ­Bekanntwerden von Datenlecks, als auch hohe finanzielle Verluste, die zum Teil noch Jahre nach der Datenschutzverletzung eintreten können. Die Banken versuchen gegenzusteuern, etwa mit verschiedenen PIN-TAN-Verfahren zur Berechtigungsprüfung des jeweiligen Nutzers. Diese Maßnahmen greifen jedoch nur begrenzt, zumal aktuelle Schadsoftware Gelder schon umleitet, während das Opfer ordnungsgemäß angemeldet ist. Kurz: Zwar sollten Zugangscodes den Tresor schützen, doch die Verbrecher sind längst drin. Von daher ist es klug, wenn Banken ihre bestehenden Sicherheits­maßnahmen mit intelligenten Lösungen ergänzen und erweitern, um bestenfalls den Betrügern stets einen Schritt voraus zu sein. Das ist möglich mit den modularen Lösungen von CRIFBÜRGEL, die Banken und ihre Kunden durch intelligente Muster­erkennung vor Identitätsmissbrauch, un­befugtem Kontozugriff und Betrug im ­Zahlungsverkehr schützen.

Missbrauch von Kunden-Accounts verhindern


Schutz bieten solche Systeme etwa beim sogenannten Account Takeover, wo Betrüger versuchen, sich mit gestohlenen Login-Daten oder durch den Einsatz von Schadsoftware Zugang zum Konto des Opfers zu verschaffen. Dem beugen ein permanentes Konten-Monitoring und der automatisierte Abgleich mit historischen Daten bei jedem Login wirksam vor. Dieser „digitale Wachhund“ kennt seinen Herrn genau: Er kennt die individuelle Kunden-DNA und dessen IP-Adresse, seine Endgeräte und typischen Verhaltensmuster. Der Account Protector prüft auf Angriffe auf das Kundenkonto, auf Trojaner und Malware, er erkennt Anoma­lien, wie etwa eine andere IP-Adresse, eine untypische Location oder unplausible ­Änderungen in den Stammdaten und benachrichtigt – je nach Voreinstellung – die Bank oder den Kunden direkt. So kann Missbrauch proaktiv verhindert werden.

 

So läuft der Malware-Angriff

 

Wirksam gegen Payment Fraud


Was aber schützt vor Payment Diversion, wenn der Kunde – in gutem Glauben – selbst an Betrüger überweist? Hier ein Beispiel, das erst im Oktober wieder für Schlagzeilen gesorgt hat: Der Polizei zufolge erhielt das Opfer die Mitteilung, dass er vom Finanzamt eine Gutschrift über einen hohen vierstelligen Betrag erhalten habe. Die Summe war ihm laut Kontoübersicht auch gutgeschrieben worden. Kurz darauf ging jedoch eine zweite Nachricht ein: Bei dem Betrag handle es sich um eine Fehl­buchung vom Finanzamt. Der Empfänger wurde aufgefordert, das Geld auf ein ­an­gegebenes Konto zurückzuüberweisen. Nachdem er dieser Anweisung nachgekommen war, wurde einige Tage später auch der auf seinem Konto gutgeschriebene Betrag zurückgerufen. Zugleich sei die Rücküberweisung des Opfers nicht mehr greifbar ­gewesen, so die Polizei. Das Finanzamt ­hatte mit der ganzen Sache nichts zu tun. Es handelte sich um die raffinierte Masche von Kriminellen. CRIFBÜRGEL bietet eine zuverlässige Prüfung von Zahlungsinformationen und erkennt Auffälligkeiten in Echtzeit. Dazu wird eine Konsistenzprüfung der Bankverbindungsdaten durchgeführt. Sie beinhaltet eine Prüfung der IBAN-Syntax und IBAN-Prüfziffer und für deutsche Bankverbindungen zudem eine Prüfung der BIC, die Ermittlung der Kontonummer und Bankleitzahl aus der IBAN heraus sowie die Prüfung der Kombination von IBAN und BIC.

Der Service umfasst außerdem den Public Bank Account Check, eine Prüfung der ­angegebenen Bankverbindung und Abgleich mit öffentlichen Bankverbindungen, etwa von Ämtern, die von Betrügern missbräuchlich genutzt werden könnten. Ein weiteres Modul, der Repetition Filter, ­erkennt bereits bekannte Betrugsmuster im Verhalten oder in den Antragsdaten. So kann der Payment Fraud Check dem Betrug wie im Beispiel oben wirksam einen Riegel vorschieben.


Das Thema Datendiebstahl beschäftigt nicht nur Banken, sondern auch Online-Händler und vergleichbare Anbieter, wo Betrüger gestohlene Identitäten nutzen könnten, um unter falschen Namen einen Account anzulegen und sich so Geld und Gut zu erschleichen. Zentrale Fragen bei jedem Online-Geschäftskontakt sind also: Existiert der neue Nutzer wirklich? Sind die angegebenen Daten korrekt? Oder wird eine falsche Identität verwendet? Hier setzt CRIFBÜRGEL mit seinen Fraud-Preven­tion-Lösungen an. So kann mittels eines ­koordinierten Identifikations- und Prüf­prozesses in Echtzeit Identitätsmissbrauch sofort erkannt werden: Innerhalb von Millisekunden werden dabei aus sämtlichen ­Datenquellen der international agierenden Wirtschaftsauskunftei CRIFBÜRGEL die Angaben zur entsprechenden Person abgefragt und durch die Kombination verschiedener, sich ergänzender Module betrügerische Identitäten sicher erkannt.

Um Unternehmen und ihre Kunden vor Online-Kriminellen zu schützen, geht CRIFBÜRGEL noch weiter: Die digitale Identität jedes Nutzers kann auf Basis eines Netzes von Daten und Transaktionen ermittelt werden. Die Fähigkeit, diese Daten zu verknüpfen und neue Transaktionen mit bereits bestehenden Identitäten zu verbinden, ist das Herzstück der Betrugsprävention. Gemäß dem Credo „Kenne Deinen Kunden!“ verbindet CRIFBÜRGEL die Geräteidentifikation, die Verhaltensanalyse und andere Datensätze und liefert so Klarheit über die digitale Identität und die Endgeräte des Nutzers. Betrügerische Handlungen wird kaum ein System komplett verhindern können, doch mit kontinuierlichem Monitoring und cleverem Datenmanagement gelingt in vielen Fällen die Erkennung von Betrug – damit nach Möglichkeit gar nicht erst ein Schaden entsteht.