Nuance Communications: Tipps zur nachhaltigen Betrugsprävention

Fingerabdrücke allein bieten keine ausreichende biometrische Sicherheit

[datensicherheit.de, 19.08.2019] Laut einer Meldung von Nuance Communications haben in der vergangenen Woche Sicherheitsforscher aus Israel eine riesige Datenbank mit rund einer Million Fingerabdrücken und anderen biometrischen Daten aufgespürt, die quasi ungeschützt und unverschlüsselt im Web abgerufen werden konnten. Die Daten stammen demnach vom System „Biostar 2“ der koreanischen Sicherheitsfirma Suprema, die nach eigenen Angaben Marktführer in Europa bei biometrischen Zutrittskontrollsystemen sein soll.

Geeignete Maßnahmen zum Schutz der Kunden und Mitarbeiter

Während Gesichts- und Fingerabdruckbiometrien eine zusätzliche Sicherheitsschicht darstellten, sollten Unternehmen immer auf die Sprachbiometrie achten, um vollständige Sicherheit zu gewährleisten. Dabei sollten sie sorgfältig untersuchen, mit wem sie zusammenarbeiten wollen, um diese Art von Technologie einzusetzen, und sicherstellen, dass geeignete Maßnahmen zum Schutz ihrer eigenen Kunden oder Mitarbeiter getroffen werden – eben um sicherzustellen, dass Daten nicht verwendet werden können, um Zugang zu Kundenkonten zu erhalten und betrügerische Transaktionen durchzuführen.
„Betrug hat viele Gesichter. Ob am Telefon, im Internet oder an der Ladentheke. Mit dem technologischen Fortschritt werden die Methoden der Betrüger immer ausgefeilter – glücklicherweise jedoch auch die Lösungen zur Betrugsprävention“, sagt Heiner Kruessmann, „Director Sales Enterprise DACH“ bei Nuance Communications und gibt Unternehmen sechs Tipps:

1. Sprachbiometrie für Identitätsnachweise

Der traditionelle Identitätsnachweis, zum Beispiel durch PINs oder Passwörter verliere zunehmend an Bedeutung. Das habe zum einen damit zu tun, „dass laut Gartner durchschnittlich 15 bis 30 Prozent der Nutzer die Daten immer wieder vergessen und die Methode somit in der Praxis schlecht abschneidet und zum anderen damit, dass 60 Prozent der Cyber-Kriminellen in der Lage sind, diese Art von Sicherheitsabfrage zu hacken“.
Je weiter die technologischen Möglichkeiten fortschritten, desto mehr Alternativen gebe es zur antwortbasierten Authentifizierung. In Zukunft werde unter anderem das Thema Sprachbiometrie eine wichtige Rolle bei Identitätsnachweisen spielen. Die Anzahl der aktiv verwendeten Sprachabdrucke wachse seit Jahren exponentiell. „Unternehmen, die sich Gedanken darüber machen, einen sprachbasierten Ansatz zur Kundenauthentifizierung einzuführen, können auf Lösungen wie die ,Security Suite‘ von Nuance zurückgreifen“, so Kruessmann.

2. Risikobewertung durchführen und die beste Lösung evaluieren

Die möglichen und sinnvollen Maßnahmen zur Betrugsprävention unterschieden sich je nach Unternehmen und Branche zum Teil deutlich. Beispielsweise könnte es sich für ein neu gegründetes Kreditkartenunternehmen als sinnvoll erweisen, zugunsten einer reibungslosen „Customer Experience“ auf aufwändige Verifizierungsmaßnahmen zu verzichten.
Kruessmann: „Ein traditionelles Finanzinstitut, das ein breites Spektrum aus Leistungen anbietet, zeichnet sich hingegen durch eine weitaus geringere Risikotoleranz aus.“ Es gelte also, eine Risikobewertung durchzuführen und die beste Lösung im Spannungsfeld zwischen Kundenkomfort und Sicherheit zu evaluieren.

3. Betrugsanfälligkeit analysieren

„Bevor Unternehmen konkrete Maßnahmen zur Betrugsprävention ergreifen können, müssen sie sich ein klares Bild von ihrer individuellen Bedrohungslage machen“, erläutert Kruessmann. Dazu gehöre eine Analyse der Kosten, „die im Zusammenhang mit Betrugsfällen entstehen sowie deren Anzahl“.
Auch hierbei spiele der Tätigkeitsbereich eines Unternehmens wieder eine wichtige Rolle. Eine Bank habe in finanzieller Hinsicht bei Betrugsfällen deutlich mehr zu befürchten als beispielsweise ein Telekommunikationsanbieter. „Eine Gemeinsamkeit besteht jedoch darin, dass die Verluste durch Betrug in vielen Fällen unterschätzt werden“, warnt Kruessmann. Mithilfe entsprechender Softwarelösungen bestehe die Möglichkeit, das volle Ausmaß der Verluste zu erfassen.

4. Offline- oder Echtzeit-Betrugserkennung auswählen

„Unternehmen, die sich darüber im Klaren sind, mit welcher Art von Betrugsversuch sie besonders oft konfrontiert sind, können entscheiden, welche Maßnahmen sinnvoll sind.“ Dabei könne es sich um die Authentifizierung mit Sprachbiometrie handeln, aber auch um Offline- oder Echtzeit-Betrugserkennung.
Offline-Lösungen erforderten vergleichsweise wenig Integrations- und Entwicklungsaufwand, „sind im Hinblick auf bestimmte Betrugsmethoden jedoch nicht so leistungsfähig wie Echtzeit-Lösungen“. Je nach individuellem Risikoprofil könnten auch beide Arten der Betrugserkennung zum Einsatz gebracht werden.

5. „Blacklist“-Management

„Die ersten Schritte bestehen darin, die Bedrohungslage zu analysieren und sich dann für eine Offline- und/oder Echtzeit-Lösung zu entscheiden.“ Dann gehe es um das Thema „Blacklist“-Management. Die meisten Unternehmen führten eine Vielzahl von Listen, wie „Blacklists“, „Watchlists“ und „Whitelists“. „Blacklists“ enthielten Personen, „die bereits als Betrüger in Erscheinung getreten sind“. „Watchlists“ dagegen Einträge zu gefährdeten Kunden oder verdächtigen Personen. „Whitelists“ schließlich umfassten Kunden, die zwar Betrugsmeldungen auslösten, jedoch nachweislich vertrauenswürdig seien.
„,Blacklist‘-Management ist sozusagen der Dreh- und Angelpunkt, wenn es um Betrugserkennung geht“, unterstreicht Kruessmann. Auch in diesem Zusammenhang könne Spracherkennung zu einer Optimierung der Betrugsprävention beitragen, da es so möglich werde, Betrüger anhand ihrer Stimme zu identifizieren. Dabei gelte es jedoch, Verwechslungen mit unbescholtenen Kunden zu vermeiden. Da Stimmen und vor allem regionale Akzente sich oft stark ähnelten, sollten die entsprechenden Kunden der jeweiligen Liste hinzugefügt werden.

6. Schutz fortlaufend anpassen

„Eine starke Sicherheitslösung bietei umfassende Betrugsprävention über digitale, telefonische und Selbstbedienungskanäle.“ Dazu gehöre auch die sprachbiometrische Authentifizierung zur Betrugsbekämpfung. Dennoch wäre es unrealistisch, zu behaupten, es gäbe hundertprozentige Sicherheit gegen Betrug. Um das Risiko jedoch so weit wie möglich zu minimieren, sollte immer ein mehrschichtiger Ansatz zur Authentifizierung in Stellung gebracht werden. Neue Technologien wie KI seien zudem sehr leistungsfähig, wenn es um das Erkennen von Betrugsmustern geht.
Dennoch gibt Kruessmann zu bedenken: „Je weiter sich die Biometrie für Authentifizierungszwecke verbreitet, desto stärker konzentrieren Betrüger sich darauf, biometrische Sicherheitsverfahren zu umgehen.“ Allerdings ermöglichten die neuesten Lösungen über die bloße Stimmbiometrie hinaus auch die Erfassung einer Verhaltensbiometrie und von Kontextfaktoren wie zum Beispiel Informationen zum Telefonmodell des Anrufers, so dass es für Betrüger sehr schwierig werde, die Identität eines legitimen Kunden nachzuahmen.

Weitere Informationen zum Thema:

datensicherheit.de, 25.07.2019
5 Dollar: Google zahlt für biometrische Daten

datensicherheit.de, 25.08.2016
Biometrische Daten nur zum Entsperren eines privaten Schlüssels verwenden