Bitte melden Sie sich an

Registrieren Sie Sich als Premium-Mitglied, um Vorträge herunterzuladen.

  • 100% Rabatt auf alle Club-Events und Kongresse
  • Download der Vortragsunterlagen aller Veranstaltungen
  • Zugriff auf Fotogalerie aller Veranstaltungen
Sie sind noch kein Mitglied?

Dann registrieren Sie sich jetzt:

Jetzt Mitglied werden
Sie sind bereits Mitglied oder waren Teilnehmer?

Bitte loggen Sie sich ein:

Jetzt einloggen
Jetzt Mitglied werden

Banken brauchen jetzt eine ganzheitliche Betrugsprävention

Peter Vahrenhorst vom Landeskriminalamt (LKA) Düsseldorf über die Bequemlichkeiten von Bankkunden, Zahlungsströme im Millisekunden-Bereich, sauber definierte Prozesse – und warum Betrüger manchmal sogar über den Kühlschrank Zugriff auf das Girokonto eines Bankkunden bekommen.

Von Peter Vahrenhorst - 18. Dezember 2020
Betrugsprävention, IT-Security, Banken

Foto: istock.com/iamupumai

Schneller, unkomplizierter und jederzeit verfügbar – mit dieser knappen Formel kann man die Entwicklung der Digitalisierung im Zahlungsverkehr sehr einfach beschreiben. Die Infrastruktur lässt immer neue Möglichkeiten entstehen, die von Verbrauchern auch nur allzu gerne angenommen werden, zum Beispiel Zahlungsströme im Millisekunden-Bereich von jedem Endgerät an jedem Ort.

Das bietet aber auch immer neue Angriffsflächen für die missbräuchliche Nutzung durch Betrüger. Hier brauchen wir neue Lösungen, aber nicht in Form einer weiteren App. Hier sind Lösungen in Form von ganzheitlichen Ansätzen gefordert.

Die Schwachstelle im Kühlschrank

Ein wichtiger Ansatz ist die Zwei-Faktor-Authentifizierung im Online-Banking. Aber unsere eigene Bequemlichkeit öffnet Betrügern oftmals die Tür. Etwa so: Jemand macht Online-Banking über seinen Laptop mit einem installierten Zertifikat als zweitem Faktor. Der Laptop befindet sich im gleichen Smart-Home-Netz wie der Kühlschrank. Der Hacker gelangt über eine Schwachstelle in der Software des Kühlschranks in das Home-Netz und so auf den Laptop. Hier hat er dank des installierten Zertifikats vollen Zugriff auf das Girokonto.

Ein anderes Beispiel: Eine Bank bringt eine neue App zum mobilen Überweisen von Kleinbeträgen auf den Markt. Eigentlich muss die App nach der Einrichtung einmalig mit einer TAN verifiziert werden. Da dies aber ein Mehraufwand für den Kunden ist, lässt die Bank diesen Schritt aus. Die Folge: eine ganze Reihe von betrügerischen Überweisungen. Ärgerlich, aber es sind ja nur Kleinbeträge.

Was macht das mit der Akzeptanz der App und mit dem Vertrauen der Kunden in die Bank? In Zeiten von unpersönlichen, digitalen Prozessabläufen mit elektronischen Endgeräten werden der Schutz der Identität und deren Echtheit zum Schlüsselfaktor. Hier brauchen wir sauber definierte Prozesse.

In der U-Bahn mit Freisprecheinrichtung

Ein sehr wichtiger Bestandteil eines guten Prozesses ist der Security-Part. In der Realität kommen aber in der Regel zuerst die Marketing-Leute an die Reihe, dann die Developer und wenn der Release-Termin schon fast vor der Tür steht, bekommt die Security auch noch einen kurzen Slot zur Prüfung. Da aber die Werbekampagne schon auf vollen Touren läuft, geschieht die Prüfung nicht mehr so genau wie eigentlich vorgesehen. Tatsächlich wäre man aber sehr schlecht beraten, wenn man kurz vor dem Richtfest damit startet, das Fundament unter dem Haus in Beton zu gießen.

Sauber definierte Prozesse, unter Einbindung der Security von Anfang an, bieten dagegen ganz neue Möglichkeiten. Security ist kein Annex, sondern Kern des Ganzen. Dies wird auch bei Weiterentwicklungen immer wichtiger. Gerade neue Geschäftsfelder leben von Innovationen. Wenn der grundlegende Prozess in einer Organisation geregelt ist, ist der Eingangskanal am Ende nicht entscheidend. Dann lassen sich Banking auch über Messenger-Dienste und Zahlungen über Smart-Watches sauber durchführen.

Das ist aber leider nicht der einzige Schlüsselfaktor. Die Entscheidungsträger im Unternehmen müssen die Security auch kommunizieren und vorleben. Was bringt es, wenn ich die App und den Prozess dahinter im Griff habe, aber der
Kunde sein Endgerät jedem sorglos entsperrt in die Hand drückt oder in der U-Bahn mit Freisprecheinrichtung seine Passwörter buchstabiert.

Der Bankkunde muss verstehen, warum die App einmalig mit einer TAN verifiziert werden muss. Wenn man das als Sicherheitsfeature erlebt und annimmt, ist die Akzeptanz auf Kundenseite eine ganz andere. Das sollte Bestandteil der Marketingstrategie sein: Sicherheit als Bonus – völlig selbstverständlich.

Investition in die Security immer geringer

Die Entwicklung der Digitalisierung zeigt, dass innovative Firmen und Produkte sich durchsetzen. Das zeigen uns die großen digitalen Player jeden Tag. Es kommt nicht von ungefähr, dass Amazon einer der großen Gewinner der Corona- Pandemie ist. Und auch ein weiterer Aspekt sollte nicht unter den Tisch fallen: Zwar werden die Schäden dank Versicherung in vielen Fällen ersetzt oder zurückgebucht – doch wer zahlt am Ende? Schäden jedweder Art werden in der Regel in die Gesamtkalkulation eingerechnet und landen am Schluss doch beim Endkunden.

In allen Bereichen wachsen die Fraud-Detektion-Teams, wohingegen die Investition in die Security immer weniger Anteile des Umsatzes ausmacht. Warum verschenken wir die Chance, die Kosten für den Fraud-Ausgleich in die Entwicklungen sicherer Produkte und Prozesse zu verlagern?

Tipp: Mehr zum Thema Cybersecurity erfahren Sie beim Cybercrime Day oder im Leitartikel „Cybercrime: Wer gewinnt den Kampf?

Peter Vahrenhorst

Landeskriminalamt (LKA) Düsseldorf

Peter Vahrenhorst ist Kriminalhauptkommissar und stellv. Sachgebietsleiter beim Landeskriminalamt (LKA) Düsseldorf.

Lesen Sie auch

Cybercrime Day 2021- IT-Sicherheit- Kongress

Cybercrime Day 2021 – IT-Security in der Finanzwelt

Der Cybercrime Day feierte am 28. September 2021[…]

Fiona Gleim
Ransomware-Angriff, Daten verschlüsselt, Computer gefährdet, Cybersicherheit

„You got hacked“ – Was tun nach einem Ransomware-Angriff?

Vorsicht ist besser als Nachsicht. Das gilt besonders[…]

Kevin Schwarz
schlechte arbeit bei it und Cybercrime Vahrenhorst

Warum machen Unternehmen bei der Cyberabwehr schlechte Arbeit?

Unternehmen machen beim Thema Cybercrime schlechte Arbeit. Unter[…]

Peter Vahrenhorst
Cyberattakcen, Angreifer, Cyberangriff, Cyber Security, Banken, Incident response

Incident Response – weil Cyberattacken Realität sind

Nephilim, Ryuk, Trickbot, Emotet und seit neustem Conti[…]

Mathias Fuchs
Unternehmen Tripwire Cybercrime

Man muss die eigene Umgebung kennen und Transparenz schaffen

Die durchschnittlichen Kosten von Cybervorfällen sind in den[…]

Dennis Witzmann
Schutz vor Cybercrime

Bonnie und Clyde wären heute Hacker

Ingo Lalla, Vice President Sales bei Myra Security,[…]

Ingo Lalla

Von Bonnie und Clyde zu Cyberscams: So kämpft die Finanzbranche gegen Cyberkriminelle

Beim BANKINGCLUB-Live: Cybercrime-Special drehte sich alles um das[…]

Redaktion

Ausweich- und Verschleierungstaktiken moderner Schadsoftware

Gekommen, um zu bleiben: Moderne Malware tut alles,[…]

Jörg Herrmann
Evasive Malware Meister der Tarnung

Evasive Malware: Meister der Tarnung

Evasive Malware ist darauf ausgelegt, den Security-Systemen eines[…]

Redaktion

Bei BANKINGCLUB-Live wird es speziell

An 24. März 2021 haben wir unser Erfolgsformat[…]

Dennis Witzmann
XM Cyber Assume Breach

Erfahren Sie von XM Cyber, wie Sie die kritischsten Assets Ihres Unternehmens schützen können

Termin: 5. Mai, 10:00 -11:00 Uhr Session: Assume Breach – Angenommen, es kommt zu einem Angriff[…]

Redaktion
Cybercrime

Cyber-Resilienz für den Finanzsektor

Hände hoch – das war einmal. Heute kommen[…]

Jörg Herrmann
Online Banking Cybersecurity mobile Daten

Ist es sicher, mobile Daten für Online-Banking zu verwenden?

Online-Banking ermöglicht den Zugriff auf das eigene Konto[…]

Redaktion
Rahmenwerk TIBER-EU Ethisches Hacking Bundesbank

Ethisches Hacking schützt vor Angriffen

Dr. Ronny Merkel beschreibt, wie Banken und Versicherer[…]

Ronny Merkel

Infografik: Betrug ohne Grenzen

Banken verzeichnen seit Jahren Rekordschäden durch Betrug und[…]

Redaktion
Wie kann ein Unternehmen sich effektiv gegen DDoS-Attacken schützen? Grafik zum Beitrag

Wenn Anwendungen in IT-Systemen regelrecht „bombardiert“ werden

Lars Meinecke beschreibt, wie man mit Cloud-Lösungen von[…]

Lars Meinecke