Die Finanztechnologiebranche (Fintech) boomt und der Trend zum digitalen Banking hat sich durch die pandemiebedingten Schließungen und Geschäftsunterbrechungen weiter beschleunigt. Finanzunternehmen verarbeiten täglich eine große Menge sensibler Daten, darunter Bankkonten, Sozialversicherungsnummern und andere personenbezogene Daten. Die sichere Aufbewahrung dieser sensiblen Daten bürdet den Unternehmen allein schon aufgrund der Compliance-Anforderungen eine große Verantwortung auf. Zugleich haben sich die Zahl der Cyberangriffe und die Gefahr des Datendiebstahls erhöht.
Um den Sicherheitsstatus zu ermitteln, gilt es zunächst einmal die Authentifizierungsverfahren zu überprüfen. Die standardmäßige Multi-Faktor-Authentifizierung (MFA) bietet eine gute Sicherheit, um Identität eines Kunden, der sich anmeldet, zu überprüfen. Sie liefert jedoch keine absolute Gewissheit. Auch gibt sie keinen Einblick in die Sicherheitseinstufung des Kunden, was für eine wirksame Betrugserkennung entscheidend ist. Noch problematischer ist die Tatsache, dass Kunden die passwortbasierte MFA aufgrund der damit verbundenen Reibungsverluste nicht mögen. Solange MFA nicht in allen Bereichen vorgeschrieben ist, ist die Akzeptanz daher eher gering.
Gefahren für die Datensicherheit
Malware-Angriffe in der Fintech-Branche erfolgen auf verschiedene Arten. Daher ist es hilfreich, die einzelnen Methoden zu kennen:
- Kontoübernahme-Betrug
Der Kontoübernahme-Betrug beschreibt einen Angriff, der zur Kompromittierung von Kundenanmeldeinformationen führt, die dann zur Anmeldung bei der Anwendung verwendet werden. Das kann besonders problematisch sein, da der Angreifer vollen Zugriff auf die Finanzdaten des Kunden oder auf dessen Konten hat. Kaspersky fand Anfang des Jahres heraus, dass mehr als die Hälfte aller Betrugsfälle in der Finanzdienstleistungsbranche auf Kontoübernahmebetrug zurückzuführen ist. Die Wahrscheinlichkeit, dass dieser Betrug auftritt, ist fast fünfmal so hoch wie bei „traditionellen“ Betrugsarten wie Geldwäsche, und die Zahl der Angriffe hat in den letzten Jahren drastisch zugenommen. Die Zahlen verdeutlichen, warum branchenweit ein wachsender Bedarf an besseren Techniken zur Zugangskontrolle besteht.
- Datenschutzverletzungen und Datenlecks
Auch wenn sie nicht so zielgerichtet sind wie Kontoübernahmebetrug, richten Datenschutzverletzungen mindestens den gleichen Schaden an und gehen häufig einem Kontoübernahmebetrug voraus. Dabei werden die Anmeldeinformationen eines Kunden kompromittiert. Eine aktuelle Studie von Verizon hat ergeben, dass vier von fünf Datenschutzverletzungen auf kompromittierte Zugangsdaten zurückzuführen sind. Diese passwortbasierten Angriffe lassen sich in verschiedene Kategorien einteilen:
- Phishing und Social-Engineering-Angriffe
Bei einem Phishing-Angriff soll das Opfer dazu verleitet werden, vertrauliche Informationen, wie z. B. seine Anmeldedaten, weiterzugeben. Dabei werden häufig ausgeklügelte Schemata verwendet, um dem Kunden vorzugaukeln, dass die Anfrage legitim ist. Social Engineering ist eine noch persönlichere Form des Phishings, bei der der Angreifer direkt mit dem Opfer interagiert. Die erfolgreichsten Finanzbetrugsfälle sind Phishing-Angriffe – und es gibt einen Grund, warum sie so häufig vorkommen: Es handelt sich um eine der ältesten Betrugsmethoden im Internet, die für Angreifer immer noch ausgesprochen gut funktioniert.
- Brute-Force- und Credential-Stuffing-Angriffe
Im Gegensatz zu Phishing-Angriffen, die dem Opfer eine vertrauliche Nähe vorgaukeln, sind Brute-Force-Angriffe auf die Authentifizierungsserver so brutal, wie ihr Name es vermuten lässt. Dabei probieren Angreifer gängige Kombinationen von Benutzernamen und Kennwörtern auf einem einzigen Server aus, um sich Zugang zu verschaffen.
Credential Stuffing verleiht dem Angriff eine gewisse Struktur, indem kompromittierte Anmeldedaten von anderen Websites verwendet werden. Diese gehen in den alltäglichen Unstimmigkeiten bei den Zugangsdaten unter, und solange die Verbindungen bei verdächtigen Aktivitäten nicht gedrosselt werden, bleibt der Angreifer unbemerkt.
Da die Angriffe immer häufiger werden und sowohl von innerhalb als auch von außerhalb des Unternehmens kommen, müssen Finanzinstitute ihren Sicherheitsansatz an die neue Bedrohungslage anpassen. Das betrifft in besonderem Maße Fintech-Unternehmen. MFA allein reicht nicht aus, um die Kundendaten zu schützen und einen Identitätsdiebstahl zu verhindern. Daher empfiehlt sich ein passwortloser Ansatz: In Kombination mit einer gründlichen Analyse der Sicherheitslage des Kunden und einer risikobasierten Authentifizierung lassen sich die wichtigsten Sicherheitsanforderungen für Fintech-Unternehmen erfüllen.
Sensible Daten mit einer starken und reibungslosen Authentifizierung sichern
Phishing anfällige MFA-Lösungen sind häufig der Grund dafür, dass Unternehmen ihre Datensicherheit verbessern wollen und dabei den Authentifizierungsprozess zusätzlich erschweren. Der Kunde muss dann zu einem Telefon oder einem Gerät greifen, um einen Code einzugeben, auf einen Link zu klicken oder auf eine Push-Benachrichtigung zu tippen. Das ist umständlich, besonders wenn das zweite Gerät gerade nicht in der Nähe ist. Und wenn der Code, der Link oder die Benachrichtigung nie ankommen, kann sich der Kunde auch nicht anmelden. Wenn aber die verwendeten Sicherheitslösungen umständlich sind, werden die Kunden versuchen, sie zu umgehen.
Authentifizierungsmethoden
Um den besonderen Datensicherheitsanforderungen der Fintech-Branche gerecht zu werden, sollten Unternehmen folgenden Strategien anwenden, um legitime und sichere Transaktionen über ihre Netzwerke zu gewährleisten:
- Passwortlose MFA
Phishing anfällige MFA verlässt sich nach wie vor auf das Passwort, obwohl Hacker es mit etwas Aufwand umgehen können. Viele passwortlose MFA-Lösungen arbeiten mit geräteinternen biometrischen Merkmalen und einem gerätegebundenen Authentifizierungstoken. Die Eingaben des Kunden während des Authentifizierungsprozesses sind minimal. Aus Sicht des Kunden ist er praktisch unsichtbar, da der Aufwand bei der Authentifizierung auf vertrauenswürdige Protokolle verlagert wird.
- Risikobasierte Authentifizierung
Dabei reicht es nicht aus, einfach nur das Passwort zu entfernen. Die Sicherheitseinstufung des Kunden ist für die Datensicherheit ebenso wichtig. Zum Zeitpunkt der Anmeldung und kontinuierlich während der Sitzung des Kunden sollten ihn die Authentifizierungsserver mit risikobasierter Authentifizierung auf ein potenziell verdächtiges Verhalten prüfen. Das kann in Form einer zusätzlichen, abgestuften Authentifizierung geschehen, die bei risikoreichen Aktivitäten wie der Änderung persönlicher Daten, großen Überweisungen oder dem Hinzufügen eines neuen, vertrauenswürdigen Geräts eine biometrische Überprüfung erfordert. Aber auch andere Benutzer- und Gerätesignale, wie z. B. ob mobile Geräte per Jailbreaking manipuliert worden sind, das Vorhandensein kritischer Sicherheitsupdates, der Standort usw. sollten eine Rolle spielen.
Beyond Identity’s Secure Customers analysiert mehr als zwei Dutzend dieser Signale, um in Echtzeit zu entscheiden, ob der Zugang gewährt oder verweigert werden soll, und um dynamisch eine verstärkte Authentifizierung zu veranlassen, wie es Ihre Risikopolitik erfordert.
- Sicherheitsrelevante Anmeldedaten
Finanzinstitute müssen sicherstellen, dass der Authentifizierungsmechanismus, den sie zur Überprüfung der Identität verwenden, nicht gefälscht oder kopiert werden kann. Bei den Produkten von Beyond Identity werden die privaten Schlüssel für das Trusted Platform Module (TPM) auf dem Gerät des Kunden erstellt und gespeichert. Das TPM ist manipulationssicher, d.h. der private Schlüssel kann nicht entfernt oder an anderer Stelle kopiert werden. Da jedes Paar aus privatem und öffentlichem Schlüssel kryptografisch an die Identität eines Kunden gebunden ist, bietet Secure Customers eine unveränderliche Identitätsüberprüfung und eliminiert gleichzeitig Reibungsverluste.
Ein Gastartikel von Patrick McBride, Chief Marketing Officer bei Beyond Identity
