Massnahmen gegen Betrug im Onlinebanking

Massnahmen gegen Betrug im Onlinebanking

Der Handlungsdruck auf Online-Banken wächst. Das massive Betrugsaufkommen der letzten Monate verunsichert Kunden und schädigt die Reputation der Banken. In diesem White Paper stellen wir die unterschiedlichen Massnahmen gegen Missbrauch im Online-Banking vor, die derzeit von Banken weltweit eingesetzt werden.

Obwohl Online-Banking seit dem Internet-Boom der neunziger Jahre immer zu einem Standardkanal europäischer Banken wurde, blieb dieser Bereich bislang von Betrug im größeren Umfang verschont. Dies hat sich seit dem Jahr 2004 fast über Nacht geändert. Kriminelle haben Online-Banking als lukratives Ziel für Missbrauch entdeckt und verursachen innerhalb weniger Monate Schäden, die sich bei einigen Instituten auf bis zu € 10 Millionen summieren.

Wie kann eine Bank Betrug im Online Banking verhindern?

Die ersten Fälle von Missbrauch im Online Banking traten bereits im Jahre 2002 in Südafrika und Singapur, ab 2003 dann vermehrt in weiteren asiatischen Ländern und in den USA auf. Hierbei waren die Schadensummen zunächst eher gering und in vielen Fällen gingen Betrüger so unprofessionell vor, dass sie gefasst werden konnten. Zumal die rechtliche Lage in der Regel die Bank gar nicht verpflichtet, Ersatz für den entstanden Schaden zu leisten.

Der eigentliche Schaden bestand hier zunächst eher im Verlust des Kundenvertrauens. Um eine weitere Verunsicherung der Kundenbasis zu vermeiden, haben daher auch alle betroffenen Banken die Schäden ersetzt. Die stark ansteigende Zahlen, Schadenhöhen und die wachsende Professionalität der Betrugsfälle zwingt jedoch Banken weltweit über neue Sicherheitsmaßnahmen nachzudenken.

INFORM GmbH hat einige dieser Banken beim Einsatz solcher Sicherheitsmaßnahmen beraten, und Komponenten hierfür geliefert. INFORMs Präventionssysteme für kartenbasierte Zahlungen schützen heute bereits 122 Millionen Karten in ganz Europa vor Betrug. Auf Basis dieser Erfahrung stellt INFORM in diesem "RiskShield White Paper" einige Alternativen zur Betrugsbekämpfung im Online Banking vor.

Typische Betrugsschemata

Die meisten Betrugsfälle werden in zwei Schritten begangen. Im ersten Schritt verschafft sich der Kriminelle die Zugangsdaten des Kunden, also Login-Name und Passwort. Im zweiten Schritt verwendet der Kriminelle diese Daten um Gelder des Kunden auf andere Konten zu transferieren und abzuheben.

Für den ersten Schritt setzen Kriminelle derzeit unterschiedliche Schemata ein:

Transaktionsnummern

Besonders deutsche Banken setzen zusätzlich zu Login und Password noch so genannte Transaktionsnummern (TAN) ein, die wie "Einmalpasswörter" funktionieren. Der Kunde erhält bei der Aktivierung seines Kontos eine Liste solcher TAN per Post und verwendet für die Bestätigung jeder Transaktion eine solche TAN. Mit ihrer Nutzung wird die TAN auch gleich ungültig, sodass sie für einen Kriminellen nicht mehr nutzbar ist.

Das TAN-Verfahren schützt recht gut vor "über die Schulter schauen", bietet aber keinen Schutz vor den anderen Betrugsschemata. Kunden, die beim Phishing Login und Password preisgeben, sind in der Regel auch dazu bereit eine oder mehrere TAN preiszugeben.

Trojaner nehmen einfach auch die Eingabe der TAN über die Tastatur auf. Sobald diese eine TAN erkannt haben, lassen sie entweder den InternetBrowser "abstürzen" oder hängen an die TAN-Eingabe über einen simulierten Tastendruck ein unsichtbares Zeichen so an, dass der Bankrechner die Transaktion des Kunden abweist. Der Kriminelle erhält so eine gültige TAN. Versucht der Kunde seine Transaktion mit einer neuen TAN zu wiederholen, so erhält der Kriminelle möglicherweise sogar mehrere gültige TAN.

TAN-Generatoren

Die Hightech-Alternative zu TAN-Listen auf Papier sind so genannte TAN-Generatoren. Dies sind kleine elektronische Geräte in der Form eines Schlüsselanhängers, die alle 60 Sekunden eine neue TAN anzeigen, die nur für eine bestimmte Zeit gültig ist. Damit schützen TAN-Generatoren wirkungsvoll gegen heutige Formen des Phishing sowie gegen "über die Schulter schauen".

Einen wirkungsvollen Schutz gegen Trojaner bieten TAN-Generatoren jedoch nicht. Die Tatsache, dass eine TAN nur für eine kurze Zeit gültig ist, reduziert zwar die Zeit, die der Kriminelle hat, die TAN zu Betrug zu nutzen. Da aber viele Kriminelle automatisierte Computerscripte auf ihren Servern nutzen, die betrügerische Transaktionen sofort nach dem Eintref- fen der gestohlen Zugangsdaten erzeugen, stellt diese Zeitschranke keinen effektiven Schutz dar.

Zudem haben Banken bereits die ersten Trojaner entdeckt, die betrügerische Transaktionen direkt vom Kunden-PC aus erzeugen. Da hier keine Verzögerung entsteht, bietet auch hier die Zeitschranke des TAN-Generators keinen Schutz vor Betrug.

Transaktionsspezifische TAN

Der Angriffspunkt sei es bei TAN-Listen auf Papier als auch bei TAN-Generatoren liegt in der Tatsache, dass die TAN jeweils nicht transaktions spezifisch sind. Jede TAN kann sei es für die Bestätigung einer rechtmäßigen wie auch einer betrügerischen Transaktion verwendet werden. Ein möglicher Weg, diesen prinzipiellen Nachteil zu beseitigen ist die Verwendung eines "Schlüsselgenerators", der eine TAN erzeugt, die ausschließlich rechtmäßige Transaktionen bestätigt.

Ein solcher Schlüsselgenerator sieht so aus wie ein Taschenrechner. Er verfügt neben einer Zahlenanzeige auch über eine Zehnertastatur. Über diese Tastatur gibt der Kunde seine Kontonummer, die Zielkontonummer, den Überweisungsbetrag sowie eine spezielle PIN ein. Basierend auf diesen Transaktionsdaten erzeugt der Schlüsselgenerator eine spezielle TAN, die der Kunde dann auf der Website der Bank zur Bestätigung eingibt.

Der Server der Bank verwendet das gleiche Verfahren, um aus den Transaktionsdaten und der bekannten PIN diese spezielle TAN ebenfalls zu berechnen. Stimmen die beiden TAN überein, so wird die Transaktion durchgeführt.

Fängt ein Krimineller diese TAN ab, so ist sie für ihn wertlos, da diese TAN nur eine Transaktion mit den gle ichen Daten bestätigen kann. Da der Schlüsselgenerator auch nicht mit einem anderen Gerät verbunden ist, kann hier auch kein Trojaner oder eine andere schädliche Software ansetzen.

Aus diesen Gründen können nach heutigem Stand Schlüsselgeneratoren als effektive Präventionsmaßnahme für alle bekannten Betrugsschemata gelten. Der Nachteil von Schlüsselgeneratoren liegt, neben den Kosten für das Gerät, in der zweimaligen Eingabe der Überweisungsdaten in Gerät und Internet-Browser. Auch muss der Schlüsselgenerator für jede Transaktion immer vorliegen.

SMS-TAN

Einige Nachteile des Einsatzes von Schlüsselgeneratoren werden vermieden, wenn die transaktionsspezifische TAN vom Server der Bank erzeugt wird, und dem Kunden über einen zweiten Kanal mitgeteilt wird. Einige Banken verwenden beispielsweise den Short Message Service (SMS) der Mobilfunknetze.

Nachdem der Kunde seine Transaktion komplett auf der Website der Bank eingegeben hat, wählt der Server der Bank eine zufällige Nummer, die er dem Kunden per SMS schickt. Der Kunde gibt diese Nummer auf der Bestätigungsseite der Transaktion ein. Empfängt der Server der Bank die eben per SMS geschickte Nummer nun über die noch offene InternetSession, so wird die Transaktion durchgeführt.

Da die per SMS übertragene Nummer nur die bereits auf dem Server der Bank sicher gespeicherte rechtmäßige Transaktion des Kunden bestätigen kann, ist sie für einen Kriminellen wertlos. Diese Maßnahme sollte daher die gleiche Sicherheit vor Betrug bieten, wie ein Schlüsselgenerator. Banken, die dieses Verfahren einsetzen, haben allerdings festgestellt, dass Kriminelle auch die Mobilnummer auf eine Eigene ändern konnten. Diese Maßnahme kann daher nur als so sicher gelten, wie die Identitätsprüfung bei jeder Nummernänderung sicher ist.

Die große Zögerlichkeit der Banken im Einsatz dieser Maßnahme ist allerdings anders begründet. Das Versenden von TAN per SMS erfordert ja die Kopplung der eigenen Infrastruktur mit der Infrastruktur des Mobilfunkbetreibers. Nun suchen aber alle Mobilfunkbetreiber neue Geschäftsmodelle, die vorhandene Infrastruktur für Sprachübertragung weiter Gewinn bringend zu nutzen. Viele Mobilfunkbetreiber arbeiten daran, Finanz trans aktionen anzubieten. Banken könnten sich daher schnell in einer Situation wiederfinden, in der Mobilfunkbetreiber ihren Kunden Finanztransaktionen anbieten können, die komplett über das Handy abgewickelt werden können. Beim Angebot der Banken hingegen müssten Kunden erst den Internet-Browser benutzen, um die Transaktion einzugeben. Dann müssten sie auf die SMS der Bank warten, diese auslesen, die Nummer nun wiederum im Internet-Browser eingeben und schließlich die SMS löschen. Dem Kunden würde das Angebot der Bank sicherlich als deutlich umständlicher erscheinen.

Smartcards und USB-Token

Smartcards und USB-Tokens basieren auf einem völlig anderen Ansatz. Beide werden elektrisch mit dem PC des Kunden verbunden, die Smartcard über ein Lesegerät, das USB-Token direkt. Beide enthalten einen Kryptoprozessor, allerdings typischerweise keine Anzeige oder Tastatur. Indem Smartcards und USB-Token direkt Kryptoschlüssel mit dem Server der Bank austauschen, ist gesichert, dass der rechtmäßige Kunde mit dem rechtmäßigen Server der Bank verbunden ist. Auch wenn es viele Beispiele von "gehackten" Smartcards gibt, so ist doch davon auszugehen, dass diese Maßnahme für die nächsten Jahre eine relativ hohe Sicherheit bietet.

Der Nachteil von Smartcards und USB-Token liegt in der notwendigen Verbindung mit dem PC des Kunden. Diese Verbindung benötigt die Installation und Konfiguration spezieller Hardwaretreiber. In vielen Pilotstudien mit Smartcards und USB-Token zeigte sich hier, dass ein zu großer Anteil der Kunden mit dieser Installation und Konfiguration Schwierigkeiten hatte.

Hieraus ergeben sich auch weitere Nutzungseinschränkungen. Viele Kunden erledigen Transaktionen über Online Banking von ihrem Arbeitsplatz aus. Die Installation von Hardwaretreibern ist hier typischerweise für den Nutzer gar nicht möglich oder verboten. Auch führen immer mehr Kunden Transaktionen von Palm/PocketPC-artigen Geräten oder Handys mit Browsern durch. Diese Geräte bieten meist keinen einfachen Anschluss für Smartcard-Leser oder USB-Token.

Transaktionsüberwachung

Einen ganz anderen Weg geht die Transaktionsüberwachung. Diese Maßnahme wird bereits weltweit für die Betrugsprävention bei Kredit- und Debitkarten verwendet. Hier ist Betrug ein lange bekanntes Phänomen. Technische Sicherheitsmaßnahmen, wie beispielsweise die Einführung von Magnetstreifen oder Chips auf den Karten, konnten den Betrug nur für kurze Zeit reduzieren.

Die einzige Maßnahme, die dauerhaft Betrugsschäden begrenzen konnte, bestand im Einsatz von Softwaresystemen zur permanenten Transaktionsüberwachung. Transaktionsüberwachung ist daher heute Standard im Kartenprocessing weltweit.

Transaktionsüberwachung findet im Backoffice der Bank selbst statt. Die Software untersucht alle Daten jeder Transaktion und setzt diese mit den bisherigen Transaktionen sei es des Kundenkontos als auch des Zielkontos zu kompletten Historien zusammen. Durch Vergleich mit bekannten Betrugsmustern werden auffällige Transaktionen markiert. Der Kunde erhält dann statt der Bestätigung seiner Transaktion den Verweis an ein Callcenter zur manuellen Autorisierung.

Gegenüber den anderen vorgestellten Maßnahmen hat die Transaktionsüberwachung eine Reihe von Vorteilen. Es gibt kein neues Gerät, das der Kunde nutzen muss, keine Abhängigkeiten von Handys und Mobilfunknetzen, sowie keine Probleme bei der Installation von Hardwaretreibern. Zudem entstehen dem Kunden keine Kosten für Kartenleser oder anderen Geräten, und es gibt keine Kosten pro Transaktion für gesendete SMS.

Vergleich

Worin bestehen nun die Nachteile der Transaktionsüberwachung? Ein Problem besteht darin, dass es möglich ist, dass plötzlich ein neues Betrugsmuster auftaucht, welches die Überwachungssoftware noch nicht kennt. Ein anderes Problem entsteht, wenn eine rechtmäßige Transaktionsfolge so genau einem bekannten Betrugsmuster entspricht, dass die rechtmäßige Transaktion fälschlich markiert wird.

Das erste Problem besteht bei jeder Maßnahme zur Betrugsabwehr. Sobald Kriminelle eine Sicherheitslücke gefunden haben, steht die Tür zu Missbrauch offen. Befindet sich die Sicherheitsmaßnahme beim Kunden, so ist die Sicherheitslücke nur sehr schwer und mit erheblichen Kosten zu schließen. Als der Sicherheitschip der französischen Kreditkarten vor einigen Jahren "gehackt" wurde, hätte das Nachrüsten aller POS Terminals geschätzte € 4 Milliarden gekostet. Transaktionsüberwachung hat hier einen prinzipiellen Vorteil, da es an einer zentralen Stelle durchgeführt wird. Durch Einstellen des neuen Betrugsmusters in die Überwachungssoftware ist sofort das gesamte Online Banking "immunisiert".

Das zweite Problem besteht auch bei jeder Maßnahme zur Betrugsabwehr. Jede Maßnahme erzeugt eine gewisse Störung des Kunden. Smartcards und USB-Token versagen, wenn der Hardwaretreiber sich plötzlich mit irgendeinem Update einer Software des Kunden-PC nicht mehr versteht. Und alle zusätzlichen elektronischen Geräte haben eine bestimmte Versagenswahrscheinlichkeit (spätestens in der Kochwäsche) oder können verloren gehen. SMS mit TANs können verspätet werden oder gehen ganz verloren, speziell beim Roaming. Transaktionsüberwachung erzeugt zwangsläufig eine bestimmte Zahl Fehlalarme. Banken müssen hier individuell entscheiden, wie viel Kundenstörung für sicheres Online-Banking akzeptabel ist.

Transaktionsüberwachung mit RiskShield

Eines der meistverwendeten Missbrauchspräventionssysteme für kartenbasierte Zahlungen ist RiskShield® von INFORM GmbH Aachen. Seit der Markteinführung im Jahre 2001 hat RiskShield die Prävention von 122 Millionen Karten in 7 europäischen Portfolios gewonnen. Die nachgewiesene Gesamtersparnis beträgt derzeit € 186 Millionen pro Jahr. Im Jahre 2004 stellt INFORM nun eine spezielle Version von RiskShield für die Missbrauchsprävention im Online Banking vor. Dieses Produkt wird derzeit von 3 europäischen Banken implementiert.

RiskShield wird bereits mit Gegenmaßnahmen zu allen bekannten Betrugsmustern ausgeliefert. Ein solches Betrugsmuster ist beispielsweise beschrieben durch:

In einem solchen Fall würde RiskShield die betroffenen Transaktionen markieren und zur Verifikation an ein Callcenter leiten. Derzeit sind in RiskShield etwa 80 Betrugsmuster sowie deren Varianten gespeichert. Zusätzlich berücksichtigt RiskShield weitere Risikofaktoren:

Weiterhin erkennt RiskShield "ungewöhnliche" Transaktionsmuster, die auf neue Betrugsmuster hinweisen können und alarmiert die Missbrauchsexperten der Bank. Diese verwenden die Analyse- und Simulationsfunktionen von RiskShield um potenzielle Betrugsmuster zu isolieren und die Effektivität möglicher Gegenmaßnahmen zu testen.

Optional kann RiskShield auch andere Transaktionsströme bei der Erkennung spezieller Betrugsszenarien berücksichtigen (ATM, POS, Barabhebungen etc). RiskShield arbeitet diese Transaktionen in die Historien mit ein, sodass sich Betrugsmuster als komplette Fingerabdrücke identifizieren lassen.

RiskShield berücksichtigt auch so genannte nichtmonetäre Transaktionen, wie Passwortänderungen, Adressänderungen, oder Meldungen abhanden gekommener Karten bei der Erkennung von Betrug.

weiter >

INFORM
INFORM GmbH
Pascalstr. 23
52076 Aachen
Tel.: +49 (0) 2408/9456-5000
Fax: +49 (0) 2408/9456-5001
riskshield@inform-software.com
www.inform-software.de/produkte/riskshield
Logistik | Industrielogistik & Healthcare | Airport | Inventory & Supply Chain | Produktion | Risk & Fraud