„Verhaltensbiometrie kann subtile Anzeichen von Manipulationen erkennen, bevor es zu spät ist“

Der Kunde ist für Unternehmen einer der wichtigen, aber häufig unterschätzten Sicherheitsrisiken für Cyberangriffe. Mittels Social Engineering können Betrüger so oftmals die gängigen Sicherheitsmaßnahmen umgehen. Im Interview erklärt Matthias Baumhof von LexisNexis ThreatMetrix, wie eine verhaltensbiometrische Lösung dabei helfen kann, diese Sicherheitslücke zu schließen.


Bildnachweis: ArtemisDiana via Getty Images

ADVERTORIAL

BANKINGNEWS: LexisNexis Risk Solutions und BehavioSec haben sich Anfang dieses Jahres zusammengeschlossen. Wie schreitet die Integration voran?

Matthias Baumhof: Wir haben ein engagiertes Team, das an der Integration arbeitet. Anfang nächsten Jahres können unsere Kunden eine hochentwickelte verhaltensbiometrische Lösung einfach per Mausklick hinzufügen. Sie werden von dieser kombinierten Lösung innerhalb von LexisNexis ThreatMetrix erheblich profitieren. Die Einfachheit der Integration in bestehende Systeme wird ein großer Vorteil sein.

Welche Rolle spielt Verhaltensbiometrie für die Cybersicherheit?

Verbraucher erledigen ihre persönlichen und geschäftlichen Angelegenheiten zunehmend online, was robuste Maßnahmen zur Sicherung dieser digitalen Kanäle erfordert. Die Verhaltensbiometrie hat sich als wichtiges Instrument erwiesen, um einen sicheren Zugang zu digitalen Diensten zu ermöglichen, Betrügern den Zugang zu verweigern und gleichzeitig die Datenschutzbestimmungen einzuhalten und die Reibungsverluste für die Verbraucher zu verringern. BehavioSec wurde 2008 in Schweden von einem Team von Pionieren der verhaltensbiometrischen Technologie gegründet. Heute wird die Technologie von BehavioSec von zahlreichen Global-2000-Unternehmen in den USA und EMEA eingesetzt.

Was sind die Hauptrisiken, welche die Sicherheit von Unternehmen gefährden?

Kein Sicherheitsfaktor ist so kritisch wie die Verbraucher selbst. Sie sind ein oft unterschätztes Sicherheitsrisiko für Cyberangriffe. Cyberkriminelle nutzen weltweit viele Techniken, um ihre Opfer dazu zu bringen, auf einen Link zu klicken, um Malware auf ihre IT-Geräte herunterzuladen. Auf diese Weise können sie Berechtigungsprüfungen, Token, Step-up-Authentifizierungen und andere Sicherheitsmechanismen umgehen. Für CISOs und Sicherheitsexperten ist es äußerst schwierig, solche Angriffe zu stoppen, da ihre herkömmlichen Sicherheitsmechanismen, wie etwa Fingerabdruck, Geolokalisierung, Anmeldedaten und Step-up-Authentifizierungen von Betrügern, umgangen werden können. Die Multi-Faktor-Authentifizierung schützt nicht vor dem Eindringen in Konten mit Hilfe gestohlener Passwörter und abgefangener PIN-Codes. Aus diesem Grund sollten Unternehmen die Verhaltensbiometrie als eine wichtige Komponente ihrer Sicherheitsstrategie und ihres Lösungsportfolios in Betracht ziehen.

„Es entsteht ein einzigartiges, individuelles Profil, das für Kriminelle kaum zu imitieren ist“

Was bietet die Verhaltensbiometrie, was andere Sicherheitsmaßnahmen nicht können?

Verhaltensbiometrie bietet eine zusätzliche Verteidigungsschicht. Während „gängige“ Sicherheitsmaßnahmen in der Regel lediglich die Anmeldung oder einzelne Transaktionen durch technische Mittel wie eine PIN oder physische Biometrie schützen, verifiziert die Verhaltensbiometrie den Benutzer kontinuierlich im Hintergrund und ist in der Lage, einen Betrüger zu erkennen, der versucht, eine bereits authentifizierte Sitzung zu übernehmen. Sie kann subtile Anzeichen von Manipulationen erkennen, bevor es zu spät ist. Anstatt sich ausschließlich auf Informationen zu verlassen, die ein Krimineller etwa über Social Engineering stehlen oder manipulieren kann, erstellt die Verhaltensbiometrie Benutzerprofile auf der Grundlage der physischen Interaktion der Verbraucher mit den Geräten. Auf diese Weise entsteht ein einzigartiges, individuelles Profil, das für Kriminelle kaum zu imitieren ist. Wenn ein Betrüger ein Opfer unter Druck setzt oder täuscht, greift diese intelligente Technologie ein.

Woran erkennt diese Technologie, dass es sich um das Opfer eines Betrugs handelt?

Sie erkennt verschiedene Merkmale, anhand derer festgestellt werden kann, dass sich der Benutzer nicht „normal“ oder wie üblich verhält, sondern dass der Bediener des Geräts ein merkwürdiges Verhalten an den Tag legt. Der Auslöser für einen Alarm kann zum Beispiel eine verzögerte Aktion sein, oder der Benutzer macht untypische Pausen beim Tippen. Dies könnte ein Hinweis darauf sein, dass der Benutzer die Anweisungen eines Dritten befolgt oder das Gerät von einer anderen Person übernommen wurde. Die Verhaltensbiometrie erkennt diese Abweichungen von der normalen Interaktion über die jeweiligen Geräte hinweg und sendet Warnmeldungen an die Sicherheitsteams. Diese können die Sitzung überprüfen und im Zweifelsfall die Transaktion stoppen oder die Kontoeinstellungen einfrieren. Es ist auch möglich, die Einstellungen zurückzusetzen und den Zugang zu sperren, bis ein Kundenbetreuer mit der betreffenden Person telefoniert und die Angelegenheit geklärt hat.

Wie schaffen Sie hier den Spagat zwischen Sicherheit, Datenschutz und Regulierung?

Verhaltensbiometrische Daten können transparent, mit klaren Vorteilen und in Übereinstimmung mit Datenschutzgesetzen verwendet werden. Dazu gehören zum Beispiel Maßnahmen wie die europäische Datenschutzgrundverordnung (DSGVO), die PSD2/SCA der Europäischen Kommission und ihr Open-Banking-Mandat sowie ähnliche Vorschriften in anderen Regionen. Die Technologie von BehavioSec konzentriert sich auf die Integrität des Benutzers, indem sie sicherstellt, dass die Person, die sich anzumelden versucht, auch diejenige ist, die sie vorgibt zu sein. Dabei geht es nicht darum, die Person persönlich zu identifizieren. Es werden lediglich die Verhaltensmerkmale mit den Erwartungen verglichen, die sich aus früheren Interaktionen ergeben haben. Um weiterhin erfolgreich arbeiten zu können, müssen Technologieanbieter mit Regierungen und Unternehmen zusammenarbeiten, um den Verbrauchern einen besseren Schutz und eine bessere Erfahrung zu bieten und gleichzeitig die Vorschriften einzuhalten.