Die Rolle der dynamischen Autorisierung bei der Betrugsprävention

Die Pandemie hat viele Unternehmen, unvorbereitet auf die plötzliche Verlagerung von persönlichen Interaktionen zu überwiegend digitalen Vorgängen, zurückgelassen. Von Banken und Einzelhändlern über Lebensmittelgeschäfte bis hin zu Gesundheitsdienstleistern: Unternehmen, die keine Systeme zur Unterstützung des sicheren Benutzerzugriffs von Geräten rund um die Uhr einsetzen, gefährden ihr Geschäft, ihre Mitarbeiter, Partner und Kunden. In der Ponemon-Studie The Real Cost of Online Fraud aus dem Jahr 2021 gaben 61 % der Befragten an, dass ihre Unternehmen nicht über die richtigen Technologien zur Eindämmung von Online-Finanzbetrug verfügen. 

Unternehmen, die sich noch in der Anfangsphase ihrer digitalen Transformation befinden, haben Mühe, mit neuen Marktteilnehmern mit besserem Kundenerlebnis Schritt zu halten, und verlieren Marktanteile. Außerdem öffneten sie sich für Angriffe bösartiger Akteure. Unternehmen, die eine rollenbasierte Zugriffskontrolle (RBAC) verwenden, einen grobkörnigen Ansatz, der effektiv war, wenn Benutzer und Systeme vor Ort waren, stellten fest, dass sie einen flexibleren Ansatz benötigten und migrierten zu einer identitätsdefinierten Sicherheitslösung, einer attributbasierten Zugriffskontrolle (ABAC) mit dynamischer Autorisierung. Dieser neue Ansatz kombiniert die zentrale Steuerung mit dem Kontext auf Benutzerebene, um Entscheidungen in Echtzeit zu treffen.

Die attributbasierte Zugriffskontrolle (ABAC) verbessert die Sicherheit, indem sie bei Autorisierungsentscheidungen mehr als nur die Rolle eines Benutzers berücksichtigt. Der Kontext eines Zugangsantrags gibt einen detaillierteren Einblick in die Situation. Da immer mehr Mitarbeiter von zu Hause aus arbeiten, müssen Unternehmen auf Betrüger achten, die versuchen, mit den gestohlenen Anmeldedaten eines Mitarbeiters in ihr System einzudringen. Durch Hinzufügen von Attributen bei der Autorisierungsentscheidung wird die Aktivität gekennzeichnet, wenn der Anmeldeversuch aus einem anderen Land erfolgt.  

Zu den Attributen können gehören:

• Benutzer (z. B. Sicherheitsüberprüfung oder Alter)  

• Ressource (z. B. Ressourcentyp oder Erstellungsdatum) 

• Kontext (z. B. Ort oder Tageszeit)

Dynamische Autorisierung ist die Echtzeit-Durchsetzung der feinkörnigen Geschäftslogik in Bezug darauf, was Benutzer in welchem Kontext und zu welchem Zweck sehen und tun dürfen.

Die dynamische Autorisierung beginnt damit, dass eine Anwendung, z. B. eine mobile App, dem zentralen Autorisierungssystem Daten zur Verfügung stellt, die die Art der Anfrage identifizieren. Beispiele hierfür sind ein Kunde, der auf sein E-Commerce-Konto zugreifen möchte, oder ein Mitarbeiter der Personalabteilung, der auf vertrauliche Mitarbeiterakten zugreifen möchte. Das zentrale Autorisierungssystem ist dann für die Sammlung der zusätzlichen Daten verantwortlich, die für die entsprechende Autorisierungsentscheidung erforderlich sind. Dazu könnten gehören:

• Abrufen von zusätzlichem Kontext, wie z. B. Organisationsrollen und Benutzerattribute, aus einem Verzeichnisdienst

• Prüfung von Cloud-basierten Diensten für Geräterisiken

• Auswertung von Betrugs- und Risikosystemen, um den aktuellen Risikostatus des Nutzers zu ermitteln

Die dynamische Autorisierung beruht auf Richtlinien, die über ein einzelnes Attribut wie eine Rolle (z. B. Kunde oder Mitarbeiter der Personalabteilung) hinausgehen und den Kontext durch die Bewertung mehrerer Attribute (z. B. Tageszeit, IP-Adresse oder Art der Ressource) für die Entscheidungsfindung hinzufügen. Die Richtlinien, die ein Unternehmen einführt, leiten den Entscheidungsbaum für die Autorisierung jeder Zugriffsanfrage. Handlungen von hohem Wert, wie z. B. der Zugriff auf sensible Daten oder das Tätigen eines bedeutenden Kaufs, unterliegen anderen Richtlinien als der einfache Besuch einer Einzelhandelswebsite. In Situationen mit geringem Risiko kann die Benutzererfahrung reibungslos bleiben, aber bei Bedarf können Reibungsebenen hinzugefügt werden. Wenn beispielsweise ein Kunde, der eine Einzelhandelswebsite nur selten nutzt, plötzlich versucht, einen Kauf im Wert von 10.000 USD zu tätigen, kann eine verstärkte Authentifizierung mithilfe der Multi-Faktor-Authentifizierung (MFA) erforderlich sein, um sicherzustellen, dass sein Konto nicht von einem Betrüger übernommen wurde.

Risikosignale und Risikoträger

Unternehmen stehen immer unter dem Druck, ein Gleichgewicht zwischen Sicherheit und Reibung in der Kundenerfahrung zu finden.  Ein zunehmend attraktiver Ansatz besteht darin, das Nutzererlebnis auf der Grundlage des Vertrauens in den Nutzer anzupassen.

Woher wissen Sie, ob Sie einem Nutzer vertrauen können? Unternehmen nutzen in der Regel zahlreiche Datenquellen und Risikosignale, um zu entscheiden, ob der Zugang gewährt werden soll. Im Laufe der Zeit wird eine Vertrauensbeziehung aufgebaut, indem Signale von externen Betrugs- und Risikoanbietern zusammen mit Informationen über den Benutzer, seine Geräte und die Aktionen, die er durchführen möchte, verwendet werden. Datenanreicherung durch Risikoanbieter kann:

• Niedrigere Betrugsraten

• Verringerung der Anzahl von Fehlalarmen

• Vermeiden Sie manuelle Überprüfungen und Rückbuchungen

• Reibungsverluste beseitigen und den Umsatz steigern

Durch einen zentralisierten Ansatz werden die Autorisierungsrichtlinien von Entscheidungen auf Anwendungsebene entkoppelt, sodass die Betrugspräventionsteams konsistent und schneller auf Probleme im gesamten Unternehmen reagieren können. Die Instrumente zur Aufdeckung von Betrug werden ständig weiterentwickelt, und die Betrugspräventionsteams können die besten Risikosignale überprüfen und zu den Richtlinien hinzufügen, sobald sie erkannt werden.

Ein mehrschichtiger Ansatz zur Betrugsprävention ist immer die beste Option, da böswillige Akteure jeden Tag neue Wege finden, um Betrug zu begehen.  

Betrug kann in jeder Phase der Nutzerreise vorkommen. Die Entwicklung strenger Richtlinien und die Ermittlung von Risikosignalen zur Eindämmung betrügerischer Aktivitäten sind Teil dieses vielschichtigen Ansatzes. Durch proaktives Erkennen verdächtiger Aktivitäten bei der Kontoerstellung, Kontoanmeldung, Profiländerungen, Transaktionsversuchen, Versuchen, auf sensible Daten zuzugreifen, und anderen Schritten in der Benutzerführung kann Betrug verhindert werden.

Im Rahmen eines mehrschichtigen Ansatzes haben einige Länder zusätzliche Maßnahmen zur Betrugsbekämpfung ergriffen. Im Vereinigten Königreich hilft die landesweite Kampagne Take Five Stop-Challenge-Protect den Menschen, sich vor vermeidbarem Finanzbetrug zu schützen, indem sie über E-Mail-Betrug, Telefonbetrug und Online-Betrug aufgeklärt und auf die Taktiken von Kriminellen aufmerksam gemacht werden, die sich als vertrauenswürdige Organisationen ausgeben. Ein Schwerpunkt der Kampagne ist der Authorized-Push-Payment (APP)-Betrug, bei dem ein Krimineller eine Privatperson oder ein Unternehmen dazu bringt, eine unwiderrufliche Zahlung an ein von ihm kontrolliertes Bankkonto zu senden. Wenn eine Bank, die eine vertrauensvolle Beziehung zu einer schutzbedürftigen Person aufgebaut hat, einen Weg findet, die Benutzererfahrung zu verändern - etwa durch die Frage, ob die Person einen Anruf oder eine E-Mail erhalten hat, in der sie aufgefordert wird, die Transaktion vorzunehmen - wird die Person dazu gebracht, aufzuhören, bevor sie ihr Geld an den Betrüger schickt. 

Die Vorteile zentralisierter Autorisierungsrichtlinien, die zur Zugriffskontrolle durch Auswertung von Identitätsattributen, Berechtigungen, Zustimmungen und zusätzlichen Kontextinformationen verwendet werden, gehen über die Betrugsprävention hinaus.

Einhaltung gesetzlicher Vorschriften und des Datenschutzes

Die dynamische Autorisierung ermöglicht es Unternehmen, durch Attributfilter und Mechanismen zur Durchsetzung der Datenschutzgenehmigung die Vorschriften einzuhalten. Die Einhaltung von DSGVO, CCPA, CDR und anderen Vorschriften bedeutet, dass Kunden die Kontrolle über und den Einblick in ihre Daten haben müssen. Ohne ein zentrales Autorisierungssystem, das eine einheitliche Sicht auf die Benutzer bietet, erschweren isolierte Benutzerdaten die Verwaltung von Einwilligungen.

Personalisierung

Wenn Sie Ihre Nutzer verstehen, können Sie Ihre Interaktionen mit ihnen personalisieren. Neben der Personalisierung von Begrüßungen und Angeboten können persönliche Vorlieben auch zur Betrugsprävention genutzt werden. So kann beispielsweise ein Bankkunde, der nie per Telefon Bankgeschäfte tätigt, diese Option in seinem Kontoprofil deaktivieren und so verhindern, dass ein Betrüger eine betrügerische Transaktion per Telefon durchführt. 

Die Landschaft der Lösungsanbieter entwickelt sich ständig weiter und verändert sich. Der richtige Ansatz ist die Kombination von Kontrollen und erstklassigen Risikomodellen. Unternehmen sollten bei ihren Lösungen zur Betrugsprävention auf Flexibilität achten.  

PingOne Authorize und PingAuthorize bieten Unternehmen die Möglichkeit, sofort zu reagieren, ohne die Sicherheit oder die Einhaltung von Vorschriften zu beeinträchtigen. Diese Tools bieten zentralisierte Autorisierungsrichtlinien, die den Kontext einer Anfrage auswerten, um intelligente Entscheidungen zu treffen – und das alles, während Sie Ihre Daten, Dienste, Anwendungen und APIs schützen und Ihren Benutzern ein nahtloses Erlebnis bieten.