1 Einleitung
Online-Betrug, der durch Schwachstellen bei der Cyber-Sicherheit ermöglicht wird, entwickelt sich zu einer wachsenden Bedrohung. Die Schäden sind immens und belasten die Weltwirtschaft. Cybersecurity Ventures schätzt, dass die Kosten für Cyberkriminalität bis 2025 10,5 Billionen Dollar pro Jahr erreichen werden. Die überwiegende Mehrheit der erfolgreichen Cyberangriffe sowie viele Formen des Online-Betrugs lassen sich dabei auf kompromittierte digitale Identitäten zurückführen. Die mangelnde Sicherheit insbesondere im Bereich der Authentifizierung und Autorisierung von Zugriffen trägt damit direkt zu diesem wirtschaftlichen und Sicherheitsproblem bei.
Account TakeOver (ATO)-Vorfälle bezeichnen dabei die Authentifizierung und unautorisierte Nutzung digitaler Anmeldeinformationen durch einen Angreifer, der einen Account übernimmt. ATO-Betrug wird häufig von sogenannten (böswilligen) Bots - autonom agierenden Softwareprogrammen - im Rahmen von Credential Stuffing-Angriffen begangen. Diese Angriffe verwenden systematisch eine große Anzahl von Kombinationen aus Benutzernamen und Kennwörtern, die bei Cyberangriffen erbeutet oder in Dark-Web-Foren veröffentlicht oder verkauft wurden.
Aus diesem Grund wird von IT-Sicherheitsexperten schon lange dazu geraten, Passwörter nicht auf verschiedenen Websites wiederzuverwenden, um ihre Nutzbarkeit bei solchen Angriffen zu verhindern. Dieses eigentlich richtige Verhaltensmuster ist jedoch aufgrund der schieren Anzahl von Passwörtern, die die Benutzer verwalten müssen, schwierig umzusetzen und sehr unbequem. Es werden Lösungen über die reine Benutzername-/Kennwort-Authentifizierung hinaus benötigt. Der Einsatz von Multi-Faktor-Authentifizierung (MFA) und risikoadaptiven Authentifizierungsverfahren ist dabei das wichtigste Mittel zum Schutz vor ATO-Angriffen.
Dabei lohnt sich ein Blick darauf, welche Benutzerkonten durch ATO-Angriffe besonders gefährdet sind. Es ist wenig überraschend, dass Angreifer insbesondere auf Benutzerkonten bei Banken und anderen Finanzinstituten abzielen. Aber auch fast alle anderen Arten von Benutzerkonten sind gefährdet, d. h. Unternehmen in fast allen Branchen werden von Betrügern angegriffen. Im Konsumentenbereich sind alle Benutzerkonten, die zum Empfang beziehungsweise zur Überweisung von Geldern, zum Einkaufen, zur Verwaltung von Treueprämien, zur Beantragung oder Bezahlung von Dienstleistungen usw. verwendet werden können, durch einen ATO gefährdet.
Aus der Sicht des Business-to-Enterprise (B2E) sind privilegierte Konten am wertvollsten. Durch die Übernahme eines Administratorkontos können Angreifer leichter nach sensiblen Informationen wie Geschäftsgeheimnissen und anderem geistigen Eigentum, Kundendaten und persönlich identifizierbaren Informationen (PII) suchen und diese stehlen. Bei vielen Ransomware-Angriffen wurden im ersten Schritt Benutzerkonten gekapert, um den Angriff zu starten und danach Ransomware-Zahlungen zu erzwingen. Erfolgreiche Angriffe auf Unternehmenskonten führen oft zum Diebstahl wertvoller Informationen und können auch mit erheblichen Geldstrafen für den Verlust von PII verbunden sein und mit hohen Kosten für Produktivitätsverluste und Schäden, die durch Ransomware-Attacken verursacht werden, einhergehen.
Die Finanzbranche ist bei der Implementierung von Technologien zur Betrugsbekämpfung führend. Aus dem „UK Finance 2021 Report" geht jedoch hervor, dass Betrüger selbst in dieser Branche eine Erfolgsquote von 33 % haben. Um der steigenden Betrugsgefahr entgegenzuwirken, hat die Europäische Union die überarbeitete Richtlinie über Zahlungsdienste (Revised Payment Services Directive, PSD2) verabschiedet. PSD2 schreibt eine starke Kundenauthentifizierung (Strong Customer Authentication, SCA) vor, die durch zwei der folgenden drei Faktoren definiert ist: etwas, das man weiß, etwas, das man hat, oder etwas, das man ist. Dies gilt für Verbraucher- und Kundeninteraktionen im gesamten Finanzökosystem. Die PSD2 verlangt überdies eine kontinuierliche Analyse der Risikofaktoren, um weniger explizite Authentifizierungsschritte (SCA-Ereignisse) zu erfordern, die für die Nutzer unbequem sind und das Kundenerlebnis verschlechtern.
EMVCo, ein globales Konsortium, das sich aus Zahlungsnetzwerken, Dienstleistern, Kartenausstellern und technischen Partnern zusammensetzt, hat die 3-D Secure 2.x-Spezifikation entwickelt, um die Sicherheit im Zahlungsprozess zu verbessern. 3DS2 erfordert dabei, ähnlich wie PSD2, eine starke Authentifizierung der Nutzer von digitalen Zahlungssystemen. Zudem ermöglicht 3DS2 die Erfassung und Auswertung umfangreicher Geräteinformationen und verhaltensbiometrischer Daten als Mittel zur Erhöhung der Authentifizierungssicherheit zum Zeitpunkt der Transaktion.
New Account Fraud (NAF), manchmal auch als synthetischer Betrug oder Account Opening Fraud (AO) bezeichnet, ist eine weitere wichtige Form von Angriffen, die darauf abzielt, digitale Identitäten für illegale Aktivitäten zu missbrauchen. Synthetischer Betrug beinhaltet die unbefugte Einrichtung digitaler Konten, oftmals zum Zwecke der Verschiebung gestohlener Gelder bzw. der Geldwäsche. Die Betrüger erstellen Konten unter Verwendung von personenbezogenen Daten wie Namen, E-Mail-Adressen, Anschriften, Telefonnummern, Führerscheinnummern, Sozialversicherungsnummern usw. Die für die Erstellung gefälschter Konten verwendeten PII finden sich in sozialen Medien, amtlichen Unterlagen, Mitarbeiterlisten, Gesundheitsakten, Schulakten und anderen Quellen. Betrüger können auch Menschen anwerben, die wissentlich oder unwissentlich als Geldkuriere dienen, indem sie in sozialen Medien, auf Arbeitsvermittlungsseiten, in Community-Foren und anderen weniger kontrollierten digitalen Bereichen Jobs anbieten, die nur für diesen Zweck missbraucht werden und keinem anderen Zweck dienen.
Synthetischer Betrug kann durch eine verbesserte Prüfung und Sicherung digitaler Identitäten verhindert werden. Die persönliche Überprüfung von Ausweisdokumenten oder die Fernüberprüfung über sichere mobile Anwendungen sind die wichtigsten Methoden, um sicherzustellen, dass Konten an die richtigen Personen vergeben werden. Die physische und verhaltensbiometrische Authentifizierung kann ebenfalls zur Unterstützung der Identitätsprüfung eingesetzt werden. Zu biometrischen Authentifizierungslösungen gehören Apps und SDKs (Software Development Kits), die Fingerabdruck- und Gesichtserkennungsfunktionen auf Smartphones sowie die kontinuierliche Analyse des Benutzer- und Geräteverhaltens nutzen.
Benutzer interagieren physisch mit ihren Geräten auf eine individuelle Art und Weise, die aufgezeichnet und analysiert werden kann, um eindeutige Benutzerprofile zu erstellen. Die Verhaltensbiometrie umfasst die Untersuchung von Tastenanschlägen, Mausbewegungen, die Analyse von Wischbewegungen, den Druck auf den Touchscreen, integrierte Gyroskope und Beschleunigungsmesser sowie Standortinformationen wie der Geo-Standort, die IP-Adresse, WiFi-SSIDs oder Informationen zu den verwendeten Mobilfunknetzen. Die Verhaltensweisen von Benutzern werden in einer Datenbank erfasst. Diese Basisdaten können dann bei jeder Authentifizierungs- oder Transaktionsanfrage mit den aktuellen Verhaltensweisen verglichen werden. Weichen die biometrischen Verhaltensproben nicht zu stark von der Benutzervorlage zum Zeitpunkt der Anfrage ab, kann diese Anfrage ohne zusätzliche Benutzereingaben verarbeitet werden. Wenn Benutzer ihr Gerät wechseln, kann zudem die Identitätsprüfung des Nutzers durch die Anwendung von Verhaltensbiometrie verbessert werden. Dies trägt damit unter anderem zur Verhinderung von synthetischem Identitätsbetrug bei.
Verhaltensbiometrische Daten sind außerdem hilfreich bei der Erkennung von Bot-Aktivitäten. Bots sind automatisierte Programme, die im Web agieren. Einige Bots sind gutartiger Natur und werden beispielsweise als Assistenzsysteme im elektronischen Handel verwendet. Eine große Anzahl ist jedoch bösartig oder agiert im Graubereich. Es hat daher hohe Priorität, bösartige Bots bei ihrem Zugriff auf Webseiten von echten Kunden und gutartigen Bots unterscheiden zu können. Da die Aktivitäten von Bots geskriptet sind, unterscheidet sich ihr Verhalten in der Regel von echten menschlichen Website-Interaktionen. Die Ergebnisse der Verhaltensbiometrie unterstützen Bot-Erkennungsroutinen. Bot-Entwickler und -Betreiber verbessern ihre Bots jedoch kontinuierlich mit der Absicht, solche Erkennungsalgorithmen zu umgehen, so dass Anbieter im Bereich „Fraud Reduction Intelligence Plattform" (FRIP) ebenfalls kontinuierlich Innovationen entwickeln müssen, um den Betrügern einen Schritt voraus zu sein.
Geräteinformationen und verhaltensbiometrische Daten werden auch im B2E-Kontext verwendet. Die Fernüberprüfung (remote) von ID-Dokumenten hat sich während der Pandemie als wirksames Mittel beim Arbeitsbeginn von neuen Mitarbeitern und Auftragnehmern erwiesen und wird auch weiterhin eingesetzt werden. Geräteintelligenz und Verhaltensbiometrie können für risikoadaptive Authentifizierungssysteme verwendet werden, die die Produktivität erhöhen und gleichzeitig den Bedarf an wiederholten, für die Benutzer lästigen Authentifizierungsaufforderungen verringern. Zudem arbeiten solche Verfahren mit konventionellen Smartphones und nutzen eine Vielzahl von Informationen zum Benutzerverhalten auf diesen Geräten, so dass keine separaten Hardware-Authentifizierungsmechanismen beschafft werden müssen. Damit können Kosten reduziert werden.