Betrug im E-Banking

Mit zunehmenden Angeboten nehmen auch Angriffsfläche und Schadenpotenzial für die Anbieter zu. Den folgenden 3 Herausforderungen sehen sie sich gegenüber.

Autorin:  Floarea Serban

E-Banking ist ein Riesenerfolg. Jedes Jahr nutzen mehr Kunden die digitalen Kanäle für noch mehr Finanztransaktionen. Kunden aus der ganzen Welt können jederzeit Dienstleistungen übers Web beziehen. Doch das ist erst der Anfang. Die Digitalisierung bedeutet für Banken in einem ersten Schritt die sichere Publikation von immer mehr Dienstleistungen über das Web: E-Banking, E-Trading, Online-Hypothek oder Termingeschäfte zur Absicherung von Fremdwährungsrisiken sind Beispiele dafür.

Bedrohungen im E-Banking

Mit zunehmenden Angeboten nehmen auch Angriffsfläche und Schadenpotenzial für die Anbieter zu. Denial of Service Attacken und Brute force Attacken auf Passworte sind dabei noch die einfachen Fälle. Die Angreifer versuchen zunehmend, Code-Fragmente in die Computer und Mobilgeräte des Bankkunden einzuschleusen, um damit Rechte auszuweiten resp. unbefugt Daten auszulesen. Phishing, Viren, Trojaner, Spyware und andere Malware sind heute weit verbreitet und werden illegal, aber professionell angeboten. Beim Phishing gibt sich der Betrüger als vertrauenswürdige Instanz (z.B. als die Bank selbst) aus, um den Nutzer zu verleiten, sensitive Information wie Passworte preiszugeben. Malware installiert sich unbemerkt auf dem Gerät des Benutzers und führt im Hintergrund Zahlungsaufträge auf das Konto des Betrügers im E-Banking aus, sobald sich der Kunde ins E-Banking Portal angemeldet hat (Session Hijacking).

Abbildung-1_-Betrug.png
Abbildung 1: So locken Betrüger Kunden, ihre Passworte preiszugeben. Quelle: safeinternetbanking.be

In der Minimierung sowohl der finanziellen Risiken wie auch Reputationsrisiken steht die Finanzindustrie vor grossen Herausforderungen. Sie lassen sich in drei Aspekte gliedern. Sie werden hier kurz charakterisiert:

Herausforderung 1: Bedrohungen ändern sich ständig

Während die traditionellen Betrugsmuster wie von Debitkarten an Geldautomaten, Anheuern von Money mules zur Verschleierung von Geldflüssen sowie Betrug durch Insider sich kaum ändern, ändern sich in der digitalen Welt die Bedrohungen täglich: Es taucht eine neue Malware-Webseite auf. Phishing-Nachrichten werden z.B. über WhatsApp versandt. Passworte der E-Banking App lassen sich z.B. auf dem iPhone einfach auslesen. Die verschlüsselte Verbindung zum Backend kann einfach ausgehebelt werden. Ein gestohlenes Mobilgerät wird für E-Banking verwendet.

Für eine Bank wird es daher zunehmend unmöglich, alle potentiellen technischen Schwachstellen, alle Malware-Webseiten und Phishing-Angriffe im Voraus zu kennen, die Kunden zu sensibilisieren und Gegenmassnahmen rechtzeitig umzusetzen. Erschwerend kommt noch hinzu, dass die Geräte der Kunden sich der Kontrolle des Finanzinstituts entziehen.

Herausforderung 2: Zu viele falsche Betrugsalarme

Nur ein kleiner Bruchteil aller Finanztransaktionen ist betrügerisch. Erkannte Betrugsfälle liegen typischerweise im Promillebereich; die Dunkelziffer ist unbekannt. Diese Seltenheit macht es einerseits schwierig, die Betrugsmuster systematisch zu analysieren. Andererseits liegt der Anteil der «False Positives», also der Anteil der Aufträge, die automatisch als verdächtig erkannt werden, sich aber bei manueller Prüfung als plausibel erwiesen, ungleich höher. Die manuelle Prüfung einzelner Kundenaufträge ist eine arbeitsintensive, anspruchsvolle aber fehleranfällige Aufgabe, die Spezialisten erfordert. Liegen die falschen Alarme im Bereich tausender Transaktionen pro Tag, kann dieser Prozessschritt teuer werden und den Zahlungsprozess ausbremsen.

Abbilung-2_Betrug.png
Abbildung 2: Anteil der Transaktionen mit Betrugsverdacht vor (links, orange eingefärbt) und nach manueller Prüfung (rechts, rot)

Herausforderung 3: Digitalisierung der Finanzindustrie

Mit fortschreitender Digitalisierung werden nicht nur mehr Dienstleitungen online verfügbar, sondern auch der Zugriff in die Backend-Systeme für Partner und App-Entwickler werden über APIs ermöglicht werden. APIs erlauben aber nicht nur eine effiziente Zusammenarbeit ohne Medienbrüche, sondern vereinfachen es auch dem Betrüger, die IT-Systeme der Banken anzugreifen. Er kann sich auf die API verlassen und muss sich nicht mehr darum kümmern, welche Sprache der Benutzer eingestellt hat, wo sich das Passwortfeld in der Benutzeroberfläche des Portals befindet oder welche Eingaben und Klicks notwendig sind, um einen Auftrag zu erfassen. Dieser und weitere sicherheitsrelevante Aspekte der Digitalisierung sind in diesem Beitrag beleuchtet.

Abbilung-3_Betrug.png
Abbildung 3: Die Digitalisierung der Bankdienstleistungen erhöht Angriffsfläche und Schadenspotential

Da Betrug mit der Digitalisierung lukrativer wird, gehen Betrüger immer professioneller vor, um Information, Geld oder Waren zu stehlen. Betrüger finden immer neue Wege, sich unbefugt Zugang zu Information und Systemen zu beschaffen, um Aufträge im Namen des Kunden oder der Bank zu ihren Gunsten zu manipulieren.

Können Sie mit dieser rasanten Entwicklung Schritt halten? Welche Fähigkeiten fehlen Ihnen, um für die digitale Zukunft gewappnet zu sein? Darum geht es dann im zweiten Teil unserer Analyse zur Betrugserkennung im E-Banking.