Social-Engineering-Angriffe: Kunden und Karteninhaber im Visier

Das schwächste Glied in der Sicherheitskette von Banken ist der Mensch. Daher versuchen Betrüger mittels Social Engineering sowohl über Kunden als auch über Mitarbeiter an Daten zu gelangen. Wie Banken sich davor schützen können, erläutert Timo Serwe von Pluscard.


ADVERTORIAL

In den letzten Jahren haben Banken sich darauf fokussiert, technische Systeme zu härten und zu schärfen. Dabei hat etwa die PSD2-Richtline dazu geführt, dass gerade im Kartenbereich viele Transaktionen stark authentifiziert werden müssen. Was bei der Verschärfung der Schutzmaßnahmen jedoch oft außer Acht gelassen wird, ist der Faktor Mensch – und das machen sich Betrüger mittels Social Engineering zunutze.

Die Kehrseite des digitalen Fortschritts

Social Engineering hat viele Gesichter und findet auch in der Finanzbranche zunehmend Anwendung. Dabei lassen sich die Angriffe nicht nur nach Art der Kontaktaufnahme – schriftlich oder per Anruf – differenzieren, sondern auch nach den Zielen oder den angewendeten Methoden lässt sich unterscheiden. Ein überaus prominentes Beispiel ist der Enkeltrick, bei dem Täter versuchen, Vertrauen durch das Vortäuschen einer familiären Bindung aufzubauen.

Bei anderen Varianten hingegen geben sich die Betrüger als Bankberater oder Polizeibeamte aus und machen sich bestehendes Vertrauen und die Autorität zunutze. Bei aller Vielzahl haben die Angriffe auf Banken und ihre Kunden eines gemeinsam: das finanzielle Interesse der Betrüger.

Zwar hat die Digitalisierung für neue Möglichkeiten der Datensicherung gesorgt. Jedoch bedeutet der digitale Fortschritt im Umkehrschluss, dass Betrügern neue Wege geöffnet sind, potenzielle Opfer zu erreichen. Neben gängigen Phishing-Mails finden auch immer häufiger Angriffe über die sozialen Medien statt. Kaum verwunderlich, denn hier neigen Menschen dazu, teils sensible Daten öffentlich preiszugeben. Darauf basierend forschen Betrüger mittels Spear-Phishings noch genauer nach. Damit erhöhen die neuen Möglichkeiten auch die Wahrscheinlichkeit, irgendwann selbst Opfer eines Social-Engineering-Angriffs zu werden.

Doch wie können Banken ihre Kunden davor schützen? PLUSCARD verfügt über langjährige Erfahrung im Processing von Kreditkarten und dazu zählt auch die Betrugsprävention. Statt sich auf eine Variante zu verlassen, hat sich dabei die Nutzung mehrerer Präventionsmaßnahmen als besonders zielführend erwiesen.

Aufklärung durch regen Austausch

Eine einfache und effektive Option besteht in der Aufklärung des Kunden. Dies kann etwa über die Kommunikationswege der Bank geschehen. Jedoch sollte im Vorfeld festgelegt werden, welche Informationen über welche Kanäle kommuniziert werden. Welche Daten sind nur im geschützten Bereich des Online-Banking verfügbar? Wann muss sich der Kunde authentifizieren und was soll dabei überprüft werden? Es ist außerdem wichtig, den Kunden regelmäßig über mögliche Szenarien aufzuklären. Wiederholung ist hierbei besonders bedeutsam, um die Risiken im Bewusstsein des Kunden oder des Karteninhabers zu verankern. Darüber hinaus bedarf es zur Unterstützung des Kunden auch Präventionsmaßnahmen von technischer Seite.

Wird die getätigte Transaktion regelmäßig durchgeführt? Verfügt der Kunde derzeit über höhere Beträge? Nutzt er neue Geräte oder stammt die Transaktionsanfrage aus dem Ausland? All diese Punkte sind von Banken zu beachten. Das heißt für sie auch: Auf möglichst vielen Ebenen präventiv tätig werden.

Bankmitarbeiter vor Social Engineering schützen

Diese Schutzmaßnahmen sollten auch auf Bankmitarbeiter übertragen werden, damit sie für potenzielle Angriffe auf ihre Kunden sensibilisiert sind. Hier ist es ebenso von zentraler Bedeutung, dass alle Kollegen über aktuelle Szenarien informiert sind. Somit kann der Bankberater einschreiten, wenn der Kunde sich mit Problemen bei einer Transaktion meldet. Denn dann muss der Berater in der Lage sein, die Situation kritisch zu hinterfragen.

Wird er selbst Opfer eines Social-Engineering-Angriffs, decken sich die angewendeten Maßnahmen mit denen, die auf die Kunden angewendet werden. Die IT-Security der Institute ist hier in der Pflicht, Mitarbeiter vor möglichen Szenarien zu warnen. Zudem empfiehlt sich der Austausch mit anderen Instituten.

PLUSCARD informiert regelmäßig über die neusten Szenarien und Präventionsmaßnahmen. Das Ziel sollte sein, die vorliegenden Informationen möglichst schnell zu streuen. Somit kann hier eine Kooperation mit der Presse oder der Polizei ebenfalls hilfreich sein. Je mehr Informationsquellen es gibt, desto höher ist die Chance, die Kunden auch wirklich zu erreichen.

TIPP: Sie möchten mehr zum Thema Cybercrime lesen? Dann erfahren Sie hier, wie Banken sich effektiv vor Log4Shell und Co. schützen oder laden Sie hier die Studie „Sicherheitsrisiko Kundendaten“ herunter.