Der ewige Wettbewerb

Der Fall war ebenso spektakulär wie aufschlussreich: Ein seriös gekleideter Mann mittleren Alters betrat vor etwas mehr als einem Jahr eine Bankfiliale in Süddeutschland, nannte eine Kontonummer und verlangte die Auszahlung eines hohen, fünfstelligen Betrags. Selbstverständlich prüften die Angestellten seine Identität, ließen sich den Personalausweis vorlegen und glichen die Daten ab. Alles schien seine Ordnung zu haben, der vermeintliche Kunde bekam sein Geld. Und doch war es ein extrem geschickter Betrugsfall, denn der tatsächliche Kontoinhaber fiel beim Anblick seines Kontoauszugs aus allen Wolken. Er wusste von dem gesamten Vorgang nachweislich nichts.

Verstärkte Sicherheitsmaßnahmen

Natürlich handelt es sich hier um ein extremes Beispiel, zumal moderne Betrüger eher selten das Risiko eingehen, persönlich zu erscheinen. Das Vorgehen der Täter bei dem Versuch, Banken und ihre Kunden zu betrügen, wird auf allen Ebenen immer geschickter. Sowohl die Finanzinstitute selbst als auch die Aufsichtsbehörden unternehmen einiges, um möglichst viele potenzielle Gefahrenquellen zu schließen. So ist mit Inkrafttreten der zweiten Zahlungsdiensterichtlinie der EU (PSD2) die sogenannte starke Kundenauthentifizierung zur Freigabe von Aufträgen verpflichtend geworden. Dabei sind aus drei Kategorien jeweils mindestens zwei Merkmale aus unterschiedlichen Feldern abzufragen:

• Wissen (etwas, das nur der Nutzer weiß)
• Besitz (etwas, das nur der Nutzer besitzt)
• Inhärenz (etwas, das der Nutzer ist)

Dank dieser Methodik sind eine Reihe von denkbaren Betrugsmethoden inzwischen ausgeschlossen. Daraus resultierend konzentrieren sich die Täter nun darauf, auch diese Sicherheitsmaßnahmen zu durchbrechen und sich neue Praktiken auszudenken. Wo diese erfolgreich sind, steuern Institute und Gesetzgeber erneut gegen, was wieder Methodenwechsel der Verbrecher nach sich zieht. Ein Ende dieses immerwährenden Rennens ist nicht in Sicht.

Illegaler Datenhandel

Die Digitalisierung der Gesellschaft spielt den Betrügern zusätzlich in die Hände. Früher mussten Bankinformationen bei den Kunden direkt gestohlen werden. Inzwischen existiert im Darknet ein regelrechtes Geschäft rund um die Vermarktung unzureichend geschützter Daten aus den vielfältigsten Quellen. In diesem Zusammenhang ist auch eine fortschreitende Verlagerung der Angriffspunkte festzustellen, weg von Schwachstellen in der Sphäre des Kunden, wie etwa dem Onlinebanking-Zugang, hin zur direkten Attacke auf die Infrastruktur der Banken. Wie gut sind die Institute auf solchen Cyber-Fraud vorbereitet?

Falsches Sicherheitsgefühl?

Den Ergebnissen der Studie „Paradigmenwechsel in der Risikostrategie“ der Hamburger PPI zufolge sind Finanzdienstleister in Deutschland in dieser Hinsicht gut gerüstet. 86 Prozent sehen sich auf die Gefahren durch Cyber-Fraud eher gut bis sehr gut vorbereitet. Erhebliche finanzielle sowie Reputationsrisiken durch betrügerische Transaktionen bleiben dennoch bestehen. Auch kann der Fakt, dass Einzeltaten mit großem individuellem Schadenpotenzial zuletzt kaum auftraten, zu einem falschen Sicherheitsgefühl bei den Verantwortlichen führen. Denn der technische Fortschritt kann die Bedeutung solcher singulären Fälle in Zukunft verstärken.

Der Blick auf die Meinungen der Finanzinstitute zu den größten Herausforderungen zeigt deutlich, dass die Wichtigkeit der praktischen Umsetzung von Präventionsmaßnahmen zur Betrugserkennung allen Studienteilnehmern bewusst ist. Denn unter den Anforderungen zur Bekämpfung von Cyber-Fraud sehen sie die Umsetzung einer Risikostrategie in der Software als mitunter größte Herausforderung, unmittelbar gefolgt von der Mitarbeiterqualifikation.

Regulatorische Anpassungen

Nicht in Vergessenheit geraten sollte auch die Tatsache, dass die regulatorischen Anforderungen an die Betrugsverhinderung ständig weiter wachsen. Deren Umsetzung verschlingt immer mehr Ressourcen und belastet eine bei vielen Instituten noch heterogene und zunehmend veraltete IT. Verbesserungspotenziale dürften hier sowohl bei der Erkennung und Beseitigung von Schwachstellen als auch hinsichtlich der Ressourceneffizienz bei der Umsetzung geforderter Maßnahmen vorhanden sein.

Dies erfordert allerdings verstärkte Investitionen in die Modernisierung der IT-Infrastruktur, deren Amortisation erst auf den zweiten Blick ersichtlich wird. Neben verhinderten Betrugsfällen sind vorwiegend zuverlässigere Prüfungsfeststellungen und geringere Kosten für den Systemunterhalt fühlbare Vorteile einer solchen Neuaufstellung.

Zentrale Steuerung der Betrugserkennung

Weiterer Anpassungsbedarf ist bei den internen Prozessen einer Bank zur Betrugserkennung und -vermeidung auszumachen. Diese müssen laufend entsprechend dem aktuellen Betrugsgeschehen nachjustiert werden. Für diese Änderungen in der Organisation sollte eine zentrale Steuerungsstelle geschaffen werden, die vorhandenes Wissen bündelt und alle Aktivitäten kontinuierlich begleitet und evaluiert.

Am Ende wird sich der Aufwand in den allermeisten Fällen rechnen. Die Einsparpotenziale von Betrugspräventionsprozessen liegen in einer zusätzlichen Reduktion der Schadenkosten bei gleichzeitig unterproportionaler Erhöhung der Prozesskosten. Denkbar ist auch ein Sinken der Vorgangskosten ohne signifikante Schadenzunahme. Das unter dem Strich verbleibende Plus können die Institute in die Weiterentwicklung der eigenen Überwachungsprozesse reinvestieren. So lassen sich die Forderungen der Aufsicht deutlich besser und unkomplizierter erfüllen, aber auch die immer raffinierteren Betrugsmaschen effektiver bekämpfen.

Lesen Sie im letzten Teil unserer dreiteiligen Serie, welche Sicherheitsaspekte Banken bei künftigen Outsourcing-Projekten im Blick behalten müssen.

Studie: Detaillierte Informationen zur Risikowahrnehmung deutscher Banken im IKT-Bereich sowie zu weiteren Einzelaspekten dieses weiten Themenfeldes können Interessierte in der Studie „Paradigmenwechsel in der Risikostrategie“ nachlesen. Diese steht auf der Website von PPI kostenlos zum Download zur Verfügung.