Account Takeover: Wenn der Kunde ein Betrüger ist

Eine Studie des Research-Unternehmens Aberdeen in Zusammenarbeit mit der auf sichere Login-Lösungen spezialisierten Nevis Security AG zeigt die Top 3 der für die Kriminellen am gewinnbringendsten Hacks als Folge einer Kontoübernahme. An erster Stelle stehen mit fast 40 Prozent betrügerische Transaktionen. Mit jeweils knapp 35 Prozent teilen sich die Bereiche „Anlegen neuer Konten“ und „fehlerhafte Ablehnung von Kartenzahlungen“ den zweiten Platz.

Die quantitative Analyse von Aberdeen zeigt auch, dass die Gesamtauswirkungen von Kontoübernahmen so immens geworden sind, dass sie zu signifikanten Geschäftsrisiken für die Banken führen können. So beläuft sich der finanzielle Schaden in der EMEA-Region auf bis zu 13,3 Mio. USD pro Jahr. Dabei ist noch nicht berücksichtigt, dass Kunden nach einem Sicherheitsvorfall oder anderen schlechten Erfahrungen das Finanzinstitut wechseln und ihm so weiter Einnahmen entgehen.

Nevis hat die fünf häufigsten Angriffsmethoden zusammengestellt, auf die der Finanzsektor achten sollte und die Kontoübernahmen zur Folge haben können.

1. Phishing und Social Engineering: Mit über 17 Prozent steht diese Angriffsmethode an vierter Stelle. Die Angreifer nutzen dabei das Vertrauen der Nutzer in die vermeintlichen Absender aus. Längst setzen sie nicht mehr nur auf E-Mails und SMS, um an Kontodaten zu gelangen, sondern manipulieren vermehrt über Telefonanrufe.
2. Brute-Force-Angriffe: Mit über 18 Prozent Häufigkeit liegt diese Angriffsmethode auf Platz 3. Die Cyberkriminellen nutzen dafür Tools, mit denen sie Zugangsdaten automatisiert ausprobieren können. Diese Angriffsmethode ist erfolgversprechend, da oft nicht so komplizierte und variable Passwörter verwendet werden, wie es Sicherheitsexperten empfehlen.
3. Keylogger-Angriffe: Bei dieser Methode verwenden Kriminelle Hard- oder Software, um Tastatureingaben zu protokollieren. So können Buchstaben- und Zahlenkombinationen aufgezeichnet und Login-Daten rekonstruiert werden.
4. Man-In-The-Middle-Angriffe: Bei diesem Angriffstyp schaltet sich ein Mittelsmann zwischen die Übertragung zweier Kommunikationsnetze und kann so die Verschlüsselung umgehen. Der Angreifer hat dann Zugriff auf verschiedene sensible Daten.
5. Credential Stuffing: Cyberkriminelle greifen auf Zugangsdaten zurück, die durch ein Datenleck öffentlich geworden sind oder im Dark Web gekauft wurden. Über Bots starten sie dann massenhaft Login-Versuche bei anderen Online-Diensten. Da Nutzer oft dieselben Zugangsdaten für mehrere Accounts verwenden, stehen die Chancen gut, dass es den Angreifern gelingt, einen weiteren Account zu übernehmen. Angriffe über Credential Stuffing bleiben oft unentdeckt, da sich bei der Account-Übernahme ein „legitimer“ Kunde einloggt.

„Um die Sicherheit zu gewährleisten, ist die Authentifizierung beziehungsweise die Überprüfung der Identität des Benutzers während des Anmeldevorgangs von entscheidender Bedeutung“, erklärt Stephan Schweizer, CEO der Nevis Security AG. „Einerseits ist es wichtig, die Sicherheit der hochsensiblen Finanzdaten zu gewährleisten und andererseits das Nutzererlebnis so komfortabel zu gestalten, dass sich der Kunde zu keinem Zeitpunkt gestört fühlt. Doch genau hier hapert es bei vielen Banken und Finanzinstituten, wenn auch längst nicht bei allen: Statt beispielsweise auf aktuelle Formen der passwortlosen Authentifizierung nach dem international anerkannten FIDO-Standard zu setzen, sind bei diesen Finanzinstituten immer noch das M-TAN-Verfahren oder Hardware-Token im Einsatz. Das ist weder mit Blick auf die Sicherheit noch auf die Benutzerfreundlichkeit ein Idealzustand“.

Auch bei nachgelagerten Verifikationsfunktionen wie Geolokalisierung oder User Behavior Analytics (UBA) zögern Banken oft, neueste Technologien einzusetzen. Mittelfristig wird es sich kein Finanzinstitut leisten können, die Modernisierung der eigenen Software-Infrastruktur aufzuschieben. Der Wunsch vieler Institute ist es daher, Software ohne aufwändige Anpassungen als Modul nutzen zu können. „In den letzten Jahren ist das Angebot an entsprechenden Lösungen, die von externen Dienstleistern entwickelt wurden, stark gewachsen. Sie bieten die notwendige bankfachliche Sicherheit, können aber ‚out of the box‘ eingesetzt werden; also so, wie sie konzipiert wurden, ohne dass unzählige Erweiterungen programmiert werden müssen. Das vereinfacht Release-Zyklen und eilige Upgrades, wie sie etwa zur Behebung einer Sicherheitslücke notwendig sein können“, berichtet Schweizer.