Die Digitalisierung schreitet voran und hat durch die Pandemie einen zusätzlichen Schub bekommen. Dadurch wurde auch der E-Commerce bzw. Onlinehandel weiter angeheizt, indem er neue Kunden angezogen und den Bedarf an digitalen Dienstleistungen erhöht hat. Die steigende Nutzung von E-Commerce und digitalen Angeboten durch Privatanwender und Unternehmen führt jedoch auch dazu, dass Online-Betrug immer häufiger auftritt. Behavioral Biometrics kann helfen, diese zu verhindern.
Betrug kann über verschiedene Angriffswege erfolgen, wie z.B. Identitätsdiebstahl, gestohlene Zahlungsinformationen, Übernahme von Benutzerkonten oder Ad-Fraud (z.B. Anzeigenbetrug durch Clickbots). Die Folgen eines Betrugsfalles können für betroffene Unternehmen und Organisationen nicht nur monetärer Schaden sein, sondern auch einen Reputationsverlust und Verlust des Kundenvertrauens mit sich bringen.
Unternehmen müssen auch die hohen Anforderungen der DSGVO erfüllen, insbesondere in Bezug auf den Schutz personenbezogener Daten. Wenn Kriminelle Login-Informationen von Privatkunden erlangen können, können Unternehmen als fahrlässig angesehen und mit einem Bußgeld belegt werden.
Kriminelle haben längst aufgerüstet
Kriminelle setzen immer mehr digitale Technologien ein, um ihre Betrugsversuche zu optimieren. Retailer (Onlinehändler) und Finanzdienstleister nutzen zwar Schutzmechanismen gegen Betrugsversuche, aber Phishing-Attacken stellen weiterhin eine Schwachstelle dar. Künstliche Intelligenz steht Kriminellen über Cloud-Plattformen zur Verfügung, um zum Beispiel Deep Fakes zu erstellen und Sicherheitssysteme zu überwinden. Außerdem nutzen sie synthetisierte Sprache und verteilte Rechensysteme, um Bot-Netze zu organisieren. Um mit den Kriminellen Schritt zu halten, müssen Retailer und Finanzdienstleister ebenfalls auf modernste Technologien setzen.
Verhaltensbasierte Biometrie – das Verhalten der Menschen im Mittelpunkt
Behavioral Biometrics ist ein Ansatz der Biometrie, der sich auf das Verhalten einer Person fokussiert, um sie zu identifizieren. Das menschliche Verhalten besteht aus unbewussten Gewohnheiten und Mustern, die kennzeichnend für eine Person sind und sich in verschiedenen Situationen, wie z.B. bei der Nutzung technischer Geräte, zeigen. Systeme für das maschinelle Lernen analysieren die aus verschiedenen Sensoren stammenden Informationen, um ein digitales Referenzmuster der Person zu erstellen und vergleichen es mit vergangenen und aktuellen Interaktionen. Durch die Nutzung dieser unsichtbaren biometrischen Kennzeichen kann die Sicherheit von Anwendungen erhöht und das Betrugsrisiko verringert werden. Im Vergleich zu anderen Verfahren wie Passwörtern bietet die Behavioral Biometrics ein höheres Schutzniveau.
⭐️⭐️⭐️ Die BEX23: Deutschlands Banking-Event #1 ⭐️⭐️⭐️
Sicherheit und Nutzerkomfort sind kein Widerspruch
Die Betrugsprävention und die Sicherheitsinteressen von Unternehmen stehen oft im Konflikt mit den Wünschen der Kunden nach schnellem und bequemem Service. Kunden möchten ihre Ware schnell erhalten und Services sofort nutzen, ohne durch zu viele Sicherheitsabfragen behindert zu werden. Unternehmen müssen jedoch Mechanismen einsetzen, um legitime Transaktionen von Betrugsversuchen zu unterscheiden. Dies kann zu zusätzlichen Eingaben und Datenabfragen führen, die die Nutzererfahrung (Customer Experience) beeinträchtigen können und möglicherweise Kundenverluste bzw. Warenkorbabbrüche verursachen. Behavioral Biometrics bietet jedoch eine Lösung, um das Betrugsrisiko zu minimieren und gleichzeitig eine reibungslose Nutzererfahrung zu gewährleisten.
Unauffälliger Betrugsschutz im Hintergrund
Behavioral Biometrics arbeitet unauffällig im Hintergrund und beeinträchtigt somit nicht die Benutzererfahrung. Allerdings übernimmt die Technologie nicht die Verantwortung für das Erstellen eines Benutzerkontos in einer App, einem Shop oder einem Dienst. Die traditionelle Kombination aus Benutzername und Passwort bleibt für den Nutzer somit weiterhin relevant. Jedoch wird die Sicherheit des Benutzer- bzw. Kundenkontos durch einen fortlaufenden Abgleich deutlich erhöht.
Verhaltensbasierte Biometrie verhindert Account-Übernahmen
Behavioral Biometrics nutzt maschinelles Lernen, um das Verhalten von Nutzern zu analysieren und ein verhaltensbasiertes Profil zu erstellen. Dies geschieht von Anfang an, wenn der Nutzer z.B. ein neues Konto eröffnet. Dabei werden auch kriminelle Verhaltensmuster erkannt und ausgeschlossen. Je mehr dynamische Daten während der Interaktion des Nutzers mit dem System gesammelt werden, desto präziser wird das Profil des legitimen Nutzers.
Selbst wenn ein Angreifer manuell vorgeht und keine Softwareunterstützung nutzt, weist sein Verhalten Merkmale auf, die von der KI erkannt werden können. Beispielsweise können fehlende Sicherheitsmaßnahmen auf mobilen Geräten wie Smartphones oder Tablets Hinweise auf nicht legitimierte Nutzung geben.
Behavioral Biometrics bietet daher die Möglichkeit, die nicht legitimierte Nutzung zu erkennen und zu verhindern. Bei großangelegten Betrugsversuchen verlassen sich professionelle Kriminelle in erster Linie auf die Unterstützung von Automatisierungslösungen oder Bots. Um nicht vorzeitig entdeckt zu werden, verschleiern die Angreifer ihre Spuren, etwa durch die Nutzung von unterschiedlichen IP-Adressen. Führt der Betrüger sein Vorhaben vorwiegend manuell aus, existieren auch in diesem Fall besondere Verhaltensweisen, die sich von legitimen Nutzern unterscheiden:
- Der regelmäßige Aufruf einer Webseite zur Eröffnung von Benutzerkonten
- Zugriff auf die Zwischenablage, um Benutzernamen oder Passwörter zu kopieren
- Eine wie einstudiert wirkende Art und Weise, Dialoge aufzurufen und natürlich die Eröffnung mehrerer Konten vom gleichen Gerät.
Somit kann der Einsatz von Behavioral Biometrics auch bei einer Eröffnung von Benutzerkonten seine Vorteile ausspielen.
Schutz gegen Bots
Bots sind in der IT seit vielen Jahren bekannt. Ein Beispiel für einen Bot (der Name leitet sich von Roboter ab), den viele Anwender kennen, ist der Google-Bot, der automatisiert Webseiten besucht, um die Inhalte zu analysieren. Auf vielen Unternehmensseiten begegnen den Nutzern inzwischen Chatbot-Systeme, die Routineanfragen beantworten und Kundensupport liefern. Bots können massive Schäden anrichten, indem sie beispielsweise Ad-Fraud oder Kontoübernahmen durchführen.
Bestehende IT-Sicherheitslösungen können bekannte Bot-Muster erkennen, aber Bots können auch Captchas umgehen. Behavioral Biometrics kann Bots anhand von Unterschieden im Verhalten im Vergleich zum menschlichen Verhalten erkennen, wie zum Beispiel schnellere Kopier- und Einfügevorgänge oder identische Verhaltensweisen auf verschiedenen Geräten. Emulatoren und virtuelle Umgebungen, die von Bots genutzt werden, haben keinerlei menschliche Interaktion, was sie von legitimen Nutzern unterscheidet.
Die Vorteile von verhaltensbasierter Biometrie
Eine rein statische Analyse von Daten reicht nicht aus, um Betrug zu verhindern. Identitätsdiebstahl und Account Takeover werden oft zu spät entdeckt, da Betrüger häufig unauffällige Identitäten nutzen. Behavioral Biometrics bietet jedoch gute Ansatzpunkte, um kriminelles Verhalten zu erkennen und auf Anomalien aufmerksam zu machen. Diese Technologie schränkt die User Experience nicht ein und kann auch bei Betrug, der auf der Nutzung von Bots basiert, helfen. Unternehmen, die Behavioral Biometrics nutzen, minimieren ihre Risiken, stärken ihre Compliance und schützen die persönlichen Daten der Endanwender besser vor fremden Zugriffen. Gleichzeitig profitieren sie von einer höheren Conversion und Transaktionsrate bei geringeren Betrugsrisiken.
Angewandte Verhaltensbasierte Biometrie – HYBRIGHT
Finanzdienstleister und vor allem Onlinehändler sollten modernste Technologie nutzen, um sich gegen ausgefeilte Betrugsversuche von Kriminellen zu schützen. Eine Lösung dafür ist HYBRIGHT von CRIF, die durch eine Decision Engine mit anpassbarem Regelwerk und Machine Learning mit Behavioral Biometrics arbeitet. Dadurch werden Anomalien erkannt, selbst wenn Betrüger eine unauffällige Identität missbrauchen.
Crif ist Sponsor der diesjährigen Banking-Exchange. Wir sagen „Danke“ für den Support.