Banken im Visier der Hacker: Warum die Betrugsprävention nicht funktioniert

Die weltweite Bedrohungslage spitzt sich zu: Finanzdienstleister, Behörden, Einzelhändler, Tech-Firmen und weitere Organisationen melden so viele Online-Betrugsfälle wie nie zuvor – mit steigender Tendenz.  Dabei geben sie Millionen von Euro für Abwehrmaßnahmen aus, um Gefahren frühzeitig erkennen und abwehren zu können. Oftmals jedoch ohne Erfolg.

Warum ist das so?

Zunächst sollten kriminelle Hacker keinesfalls unterschätzt werden, denn ihre Angriffsmethoden werden täglich raffinierter, zudem machen sie sich für ihre Vorhaben innovative Technologien wie KI und Co. zunutze. Man denke nur an die Entwicklung von Phishing-Attacken, mit denen Anmeldedaten abgegriffen werden. Schlecht formulierte, grammatikalisch fehlerhafte E-Mails, die jeder sofort als Fälschung erkennen kann, gehören mittlerweile der Vergangenheit an. Heutzutage fallen sogar Experten auf maskierte URLs herein, bei denen kaum noch zu erkennen ist, dass die URL in der Adressleiste nicht die tatsächliche URL des Inhalts auf der Seite ist.

Eine aktuelle Umfrage des TÜV-Verbands hat ergeben, dass eines von zehn Unternehmen in Deutschland 2022 von einem Cyberangriff betroffen war. Damit nicht genug: Noch mehr Anlass zur Sorge gibt die Tatsache, dass die entsprechenden Technologien immer mächtiger werden und immer leichter verfügbar sind. Maschinelles Lernen ist allgegenwärtig, und Cloud-Dienste lassen sich mit wenigen Klicks einrichten. Überall im Netz formieren sich Online-Betrugsringe, während professionell koordinierte Bot-Attacken einige der sichersten globalen Systeme aufs Korn nehmen – nur allzu oft erfolgreich.

Ein Blick auf die Online-Ökonomie genügt, um festzustellen, dass den kriminellen Akteuren täglich neue Chancen geboten werden. Die Vertriebskanäle, Dienste und APIs in Unternehmen weiten sich aus, was nicht zuletzt zu einer deutlichen Vergrößerung der Angriffsfläche führt. Hinzu kommt, dass Kunden eine Vielzahl unterschiedlicher Geräte nutzen, mit denen sie auf Services zugreifen. All diese Umstände sind ein gefundenes Fressen für Betrüger.

Was also lernen wir aus dieser Situation?

Zunächst zeigt jede aufgedeckte und publizierte Sicherheitslücke, dass sich das Problem nicht durch einen isolierten Produkt- oder Technologie-Fix beheben lässt. Online-Gefahren erfordern konzertierte Maßnahmen, die von allen Beteiligten umgesetzt werden müssen. Ein wichtiger Ansatz sind Compliance-Schulungen, denn sie vermitteln genau diese Erkenntnis. Die Schwierigkeit besteht darin, die vielen verschiedenen Akteure, die innerhalb des Unternehmens und darüber hinaus mit ihm interagieren, auf ein gemeinsames Handeln zu verpflichten. Wie schwierig das ist, weiß jeder CISO.

Bei der herkömmlichen Kriminalitätsbekämpfung geht es darum, möglichst viel Beweise zu sammeln und Experten vorzulegen, die die Einzelteile dann zu einem Gesamtbild zusammensetzen. Ein Tatort mit einem Fuß- und Fingerabdruck, mit Reifenspuren und einer DNA-Probe ermöglicht eine ungleich schnellere Ermittlung des Täters, als wenn all diese Indizien nicht vorhanden sind.

Bei Bankgeschäften reicht eine einzige Transaktion kaum einmal aus, um Argwohn zu wecken, selbst wenn die Summe ungewöhnlich groß ist oder das Geld an einen unbekannten Empfänger geht.

Der Schlüssel zur Erkennung und Bekämpfung von Betrugsversuchen und Cyber-Kriminalität im Allgemeinen liegt also im Kontext: den Gegebenheiten rund um eine Transaktion, dem Ort, an dem sich der Kunde aufhält, den Details zu Geräten und Software, die er verwendet, seinen Reisegewohnheiten, den üblichen Transaktionsempfängern, dem sozialen Netzwerk des Kunden, den Personen in seinem Umkreis, seinem Einkaufsverhalten, den von ihm genutzten Online-Diensten usw. All diese Kontextinformationen können aus dem digitalen Fußabdruck des Kunden abgelesen werden, aus Website-Anmeldungen, Authentifizierungsdatensätzen, Benutzeraktionen, Flugdaten und vielem mehr. Wer wirklich will, verfügt also über alle notwendigen Informationen. Allerdings sollte er dann auch schnell handeln.

Leider versagen an dieser Stelle oft die betreffenden Technologien und Prozesse. Ein System ist nur so gut wie die Daten, die in dieses System eingespeist werden. Wenn alle Informationen und Hinweise zusammengebracht und in Echtzeit von einer Plattform verarbeitet werden, die die vorgegebene Struktur von Transaktionen mit unstrukturierten Protokolldateien kombiniert und die gewonnenen Erkenntnisse verzögerungsfrei an Modellierungsverfahren und Betrugserkennungssysteme weitergibt, dann haben Sie eine echte Chance.

Daten-Streaming als Basis für den Rundum-Schutz

Mit Daten-Streaming können Unternehmen Daten in Echtzeit in beliebigem Umfang integrieren und abgleichen. Im Bankwesen wird nicht nur auf trendige Unternehmensarchitekturen für Mainframe-Offloading gesetzt, sondern auch auf eine umfangreiche 360-Grad-Kundensicht und Betrugserkennung. Der aktuelle Data Streaming Report von Confluent zeigt, dass im Bereich Datennutzung und -verarbeitung jedoch noch Luft nach oben ist, denn knapp ein Drittel der deutschen Unternehmen gibt an, dass mehr als 20 ihrer kritischen Systeme auf Daten-Streaming basieren.

Wer sich optimal gegen Betrugsfälle und Cyber-Gefahren schützen will, muss in der Lage sein, Daten in Echtzeit zu nutzen, um die nötige Sicherheit und Agilität zu garantieren. Eine event-getriebene IT-Architektur, die auf Daten-Streaming basiert, liefert einen kontinuierlichen Fluss ausgewählter, von überall im Unternehmen her aggregierter Daten.

Autor: Duncan Ash, VP Global Industries, Confluent