In den letzten Jahren haben Banken sich darauf fokussiert, technische Systeme zu hรคrten und zu schรคrfen. Dabei hat etwa die PSD2-Richtline dazu gefรผhrt, dass gerade im Kartenbereich viele Transaktionen stark authentifiziert werden mรผssen. Was bei der Verschรคrfung der Schutzmaรnahmen jedoch oft auรer Acht gelassen wird, ist der Faktor Mensch โ und das machen sich Betrรผger mittels Social Engineering zunutze.
Die Kehrseite des digitalen Fortschritts
Social Engineering hat viele Gesichter und findet auch in der Finanzbranche zunehmend Anwendung. Dabei lassen sich die Angriffe nicht nur nach Art der Kontaktaufnahme โ schriftlich oder per Anruf โ differenzieren, sondern auch nach den Zielen oder den angewendeten Methoden lรคsst sich unterscheiden. Ein รผberaus prominentes Beispiel ist der Enkeltrick, bei dem Tรคter versuchen, Vertrauen durch das Vortรคuschen einer familiรคren Bindung aufzubauen.
Bei anderen Varianten hingegen geben sich die Betrรผger als Bankberater oder Polizeibeamte aus und machen sich bestehendes Vertrauen und die Autoritรคt zunutze. Bei aller Vielzahl haben die Angriffe auf Banken und ihre Kunden eines gemeinsam: das finanzielle Interesse der Betrรผger.
Zwar hat die Digitalisierung fรผr neue Mรถglichkeiten der Datensicherung gesorgt. Jedoch bedeutet der digitale Fortschritt im Umkehrschluss, dass Betrรผgern neue Wege geรถffnet sind, potenzielle Opfer zu erreichen. Neben gรคngigen Phishing-Mails finden auch immer hรคufiger Angriffe รผber die sozialen Medien statt. Kaum verwunderlich, denn hier neigen Menschen dazu, teils sensible Daten รถffentlich preiszugeben. Darauf basierend forschen Betrรผger mittels Spear-Phishings noch genauer nach. Damit erhรถhen die neuen Mรถglichkeiten auch die Wahrscheinlichkeit, irgendwann selbst Opfer eines Social-Engineering-Angriffs zu werden.
Doch wie kรถnnen Banken ihre Kunden davor schรผtzen? PLUSCARD verfรผgt รผber langjรคhrige Erfahrung im Processing von Kreditkarten und dazu zรคhlt auch die Betrugsprรคvention. Statt sich auf eine Variante zu verlassen, hat sich dabei die Nutzung mehrerer Prรคventionsmaรnahmen als besonders zielfรผhrend erwiesen.
Aufklรคrung durch regen Austausch
Eine einfache und effektive Option besteht in der Aufklรคrung des Kunden. Dies kann etwa รผber die Kommunikationswege der Bank geschehen. Jedoch sollte im Vorfeld festgelegt werden, welche Informationen รผber welche Kanรคle kommuniziert werden. Welche Daten sind nur im geschรผtzten Bereich des Online-Banking verfรผgbar? Wann muss sich der Kunde authentifizieren und was soll dabei รผberprรผft werden? Es ist auรerdem wichtig, den Kunden regelmรครig รผber mรถgliche Szenarien aufzuklรคren. Wiederholung ist hierbei besonders bedeutsam, um die Risiken im Bewusstsein des Kunden oder des Karteninhabers zu verankern. Darรผber hinaus bedarf es zur Unterstรผtzung des Kunden auch Prรคventionsmaรnahmen von technischer Seite.
Wird die getรคtigte Transaktion regelmรครig durchgefรผhrt? Verfรผgt der Kunde derzeit รผber hรถhere Betrรคge? Nutzt er neue Gerรคte oder stammt die Transaktionsanfrage aus dem Ausland? All diese Punkte sind von Banken zu beachten. Das heiรt fรผr sie auch: Auf mรถglichst vielen Ebenen prรคventiv tรคtig werden.
Bankmitarbeiter vor Social Engineering schรผtzen
Diese Schutzmaรnahmen sollten auch auf Bankmitarbeiter รผbertragen werden, damit sie fรผr potenzielle Angriffe auf ihre Kunden sensibilisiert sind. Hier ist es ebenso von zentraler Bedeutung, dass alle Kollegen รผber aktuelle Szenarien informiert sind. Somit kann der Bankberater einschreiten, wenn der Kunde sich mit Problemen bei einer Transaktion meldet. Denn dann muss der Berater in der Lage sein, die Situation kritisch zu hinterfragen.
Wird er selbst Opfer eines Social-Engineering-Angriffs, decken sich die angewendeten Maรnahmen mit denen, die auf die Kunden angewendet werden. Die IT-Security der Institute ist hier in der Pflicht, Mitarbeiter vor mรถglichen Szenarien zu warnen. Zudem empfiehlt sich der Austausch mit anderen Instituten.
PLUSCARD informiert regelmรครig รผber die neusten Szenarien und Prรคventionsmaรnahmen. Das Ziel sollte sein, die vorliegenden Informationen mรถglichst schnell zu streuen. Somit kann hier eine Kooperation mit der Presse oder der Polizei ebenfalls hilfreich sein. Je mehr Informationsquellen es gibt, desto hรถher ist die Chance, die Kunden auch wirklich zu erreichen.
Timo Serwe ist seit 2015 Teil des Prรคventionsteams der PLUSCARD und befasst sich seitdem mit dem besten Verhรคltnis aus Missbrauchsverhinderung und Kundenkomfort. Als Fachkoordinator begleitet er in dieser Zeit zudem die Umsetzung der PSD2-Richtlinie und die Weiterentwicklung der Authentifizierungslรถsungen.