Ein empfindliches Gleichgewicht

Die Cybersicherheitsmaßnahmen im Bankensektor haben sich in den letzten zehn Jahren dramatisch verändert, angetrieben durch den rasanten technologischen Fortschritt in der gesamten Branche. Beim Schutz der Bankeninfrastruktur vor netzwerkbasierten Angriffen wurden große Fortschritte erzielt. Das schließt auch den Bereich mobiles Bezahlen ein, der häufig als das Einfallstor für Cyberangriffe gilt.

Die Reaktionen von Betrügern auf die Einführung neuer Schutzmaßnahmen fallen unterschiedlich aus. Hacker zeigen sich äußerst kreativ, wenn es darum geht, immer neue Methoden zu entwickeln, um Computer zu kapern und Zugriff auf Kontoinformationen zu erhalten.

Cyberkriminalität kann verschiedenste Formen annehmen

Abgesehen von immer ausgefeilteren Hackerattacken spielt auch Social Engineering eine zunehmend wichtige Rolle. Social Engineering zielt darauf ab, Personen vertrauliche Informationen zu entlocken, beispielsweise mit Phishing-Nachrichten. Dabei werden mit einem infizierten Anhang oder Link ausgestattete E-Mails eines scheinbar vertrauenswürdigen Absenders an potentielle Opfer versendet, um so an deren Passwörter und Kreditkarteninformationen zu gelangen.

Sogenannte Authorized Push Payments (APPs), autorisierte Betrugszahlungen, fallen ebenfalls unter Social Engineering. In Großbritannien wurden allein im ersten Halbjahr 2018 rund 160 Millionen Euro mit dieser Betrugsvariante ergaunert. Das Perfide dabei: Die Opfer überweisen ihr Geld aus freien Stücken an die Täter.

Bei APPs wenden sich Betrüger direkt an die Kontoinhaber und geben sich beispielsweise als Bankmitarbeiter aus. Häufig versuchen sie, ihre Opfer davon zu überzeugen, ihr Geld zur „sicheren Aufbewahrung“ auf ein separates Konto zu überweisen. Haben Kunden ihr Geld an das vermeintlich sichere Konto überwiesen, sehen sie es in den meisten Fällen nie wieder.

Social Engineering ist vor allem bei technisch weniger versierten Kunden effektiv. Wer mit den neuesten technischen Errungenschaften nicht allzu vertraut ist, neigt eher dazu, auf diese Betrugsmasche hereinzufallen. Im Zeitalter der Technologie stellen somit vor allem Kunden einen der Hauptschwachpunkte bei der Bekämpfung von Cyberattacken dar.

Dem zunehmenden Einfallsreichtum der Betrüger können Banken und andere Finanzinstitute an mehreren Stellen gegensteuern.

Was kann getan werden, um Cyberattacken zu verhindern?

Aufklärung wäre schon einmal ein Anfang. Wenn Kunden wissen, was die „Dos and Don’ts“ im Bereich Digital- und Telefonbanking sind, ist schon viel geholfen. Darunter fallen beispielsweise E-Mails, die Kunden daran erinnern, dass offizielle Bankmitarbeiter am Telefon nie nach vertraulichen Informationen fragen würden. Anzeigen, die das Bewusstsein für Phishing-Attacken erhöhen, können ebenfalls zur Sensibilisierung beitragen und dafür sorgen, dass Kunden geschützt und gut informiert sind.

Davon abgesehen müssen Banken aktiv nach Indikatoren für Social Engineering suchen. Dies umfasst die Überwachung von wichtigen Schnittstellen wie Login, Einrichtung eines neuen Begünstigten und Zahlungsbestätigungen. Abweichungen vom üblichen Nutzerverhalten können so rechtzeitig erkannt und untersucht werden. Beginnt ein Kunde beispielsweise, exzessiven Gebrauch von Smartphone-Banking zu machen, obwohl Zahlungen vorher ausschließlich per Kreditkarte durchgeführt wurden, oder braucht beim Online-Banking länger als üblich, schrillen bei Sicherheitsverantwortlichen die Alarmglocken.

Sobald verdächtige Verhaltensmuster identifiziert werden, müssen Banken entscheiden, ob sie Transaktionen gegebenenfalls blockieren oder den Kunden zu den ungewohnten Kontobewegungen befragen. Die Kunst besteht darin, das Gleichgewicht zwischen maximaler Sicherheit und simplen Login- und Zahlungsprozessen zu finden. Denn obwohl Kunden großen Wert auf die bestmöglichen Anti-Betrugsmaßnahmen legen, haben viele dennoch wenig Verständnis für die Begleiterscheinungen, die deren Gewährleistung mit sich bringt.

Künstliche Intelligenz auf dem Vormarsch

Die Einrichtung und vor allem die regelmäßige Aktualisierung effizienter Cybersecurity-Systeme kann entscheidend dazu beitragen, dieses empfindliche Gleichgewicht zu wahren. Die Systeme erstellen anonymisierte Kundenprofile, die auf das bisherige Verhalten der Nutzer abgestimmt sind. Treten Abweichungen auf, schlagen sie Alarm.

Anstatt lediglich auf immer neue Bedrohungen zu reagieren, sollten Banken und Finanzinstitute deshalb ihre Prioritäten überdenken und aktiv Maßnahmen ergreifen, um Kriminellen einen Schritt voraus zu sein. Der Strom an immer neuen Angriffsformen im Cyberspace wird nicht abreißen und jede abgewehrte Attacke bringt neue Bedrohungen hervor. Doch der Finanzsektor kann sich die neuesten technologischen Errungenschaften ebenso zunutze machen wie Cyberkriminelle. Das Wettrüsten im Cyberspace hat längst begonnen.

Hinweis der Redaktion: Diese Reihe zum Thema Cybersecurity wird in Kürze fortgesetzt