Das Zusammenspiel von Identitätsnachweis, Access-Management und Betrugserkennung

Die Präferenzen von Kunden und Mitarbeitern haben sich im Zuge der Pandemie verlagert. Online arbeiten, shoppen, Bankgeschäfte tätigen und viele andere Aktivitäten im Internet sind nicht mehr wegzudenken. Cyberkriminelle betrachten diese verstärkte Onlineaktivität als eine großartige Gelegenheit, denn sie werden nicht mehr durch die Grenzen lokaler Standorte gebremst. Die Angriffsflächen für Unternehmen haben sich mit der Zunahme von Anwendungen, APIs und SaaS-Diensten vergrößert, so dass die Ressourcen an mehreren Fronten vor Angriffen geschützt werden müssen. 

Unternehmen müssen sich so anpassen, dass die rechtmäßigen Benutzer einen sicheren Zugriff auf die benötigten Ressourcen von jedem Ort und zu jeder Zeit auf jedem Gerät erhalten – ohne das Überwinden zu vieler Hürden. Eine moderne Strategie für die Betrugsbekämpfung überwacht das Nutzerverhalten und die Gerätesignale während der gesamten Nutzungsdauer in Echtzeit, ohne dabei die rechtmäßig zugreifenden Benutzer zu stören. Betrügerische Transaktionen können gestoppt werden, bevor sie Ihrem Unternehmen Kosten verursachen und den Ruf Ihrer Marke schädigen. LexisNexis hat herausgefunden, dass im Jahr 2021 jeder 1-Dollar-Betrug die Einzelhandels- und E-Commerce-Händler in den USA 3,60 Dollar und in Kanada 3,02 Dollar gekostet hat.

Onlinebetrug hat viele Formen, darunter Kontoübernahme (ATO), Betrug mit neuen Konten, Betrug an der Kasse und die Kompromittierung von Geschäfts-E-Mails (BEC), welche im Jahr 2020 als teuerste Form des Betrugs einen Schaden von 1,8 Milliarden Dollar verursachte. Feststellung der Identität, Access-Management und Betrugserkennung arbeiten Hand in Hand, um den Benutzern ein nahtloses Erlebnis zu bieten und sie gleichzeitig vor mehreren verschiedenen Angriffsvektoren zu schützen. Wir betrachten jede der Komponenten einzeln und ihre gemeinsame Wirksamkeit als ganzheitliche Lösung.

Der Identitätsnachweis, auch bekannt als Feststellung der Identität und ID-Proofing, schafft durch das Verknüpfen der digitalen mit der realen Identität von Nutzern von Anfang an die Gewissheit, dass sie wirklich diejenigen Personen sind, für die sie sich ausgeben. Gestohlene Identitäten, Anmeldedaten und personenbezogene Daten (PII) können dazu genutzt werden, mit betrügerischer Absicht neue Konten zu erstellen. Daher wird der Identitätsnachweis normalerweise in den Registrierungsvorgang eingebunden und kann in mobile Anwendungen integriert werden.

Das Einbinden des Identitätsnachweises in das Onboarding bietet den Unternehmen mehr Sicherheit, indem es von einem Benutzer ein Selfie und einen amtlichen Ausweis verlangt, um sicherzustellen, dass er derjenige ist, der er vorgibt, zu sein.

Das Fehlen einer Identitätsprüfung kann finanzielle Verluste und Rufschädigung nach sich ziehen. Wie wir es bereits zu Beginn der Pandemie beobachten konnten, zahlten US-Bundesstaaten, die keine Identitätsüberprüfung eingerichtet hatten, Arbeitslosenunterstützung in Millionenhöhe an organisierte Verbrecherbanden, die sich diese mit gestohlenen Identitäten ergaunert hatten. Nachdem ein Identitätsnachweis in den Prozess integriert worden war, konnten die Betrüger keine weiteren rechtswidrigen Leistungen mehr erhalten, weil sie die erforderlichen Selfies nicht vorlegen konnten.  

Dieses kurze Video demonstriert den Vorgang der Kundenverifizierung.

Durch die Kombination einer Identitätsüberprüfung mit dem Management von Kundenzugriff kann Ihr Unternehmen die Sicherheit bei der Interaktion von Kunden mit Ihren Anwendungen und Websites weiter steigern, ohne dass dies unnötige Reibung erzeugt. Single Sign-on (SSO) ermöglicht den Kunden das Login mit einer einzigen Kombination von Anmeldedaten, die ihnen den Zugriff auf mehrere Apps oder Websites gewähren. Damit bieten Sie Ihren Kunden einen bequemen und gleichbleibenden Anmeldevorgang und verringern gleichzeitig die Wahrscheinlichkeit eines Passwort-Hacks. Die nahtlose Integration der Multi-Faktor-Authentifizierung (MFA) neben dem SSO gibt Ihnen zusätzliche Gewissheit über die Identität Ihrer Kunden, denn sie bewertet das Risiko und den Kontext kontinuierlich und fordert bei Bedarf eine zusätzliche Authentifizierung an. 

Sobald Benutzer verifiziert und authentifiziert sind, müssen Sie sicherstellen, dass sie nur auf diejenigen Ressourcen zugreifen können, die sie tatsächlich benötigen. Dynamische Autorisierung, auch bekannt als attributbasierte Zugriffskontrolle (ABAC) und richtlinienbasierte Zugriffskontrolle (PBAC), gibt Ihnen die Kontrolle darüber, wer Zugriff auf welche Daten und Aktionen in Ihren SaaS-, Mobil-, Web- und Unternehmensanwendungen erhält. Die zentralisierte Steuerung und Verwaltung von Berechtigungen erleichtert das Erstellen und Durchsetzen von Richtlinien, mithilfe derer Sie die Sicherheit erhöhen, Ressourcen schützen und gesetzliche Anforderungen schnell und effizient erfüllen können.

Obwohl die traditionelle rollenbasierte Zugriffskontrolle (RBAC) bisher die Norm war, bietet sie aufgrund ihrer Beschränkungen keine optimale Lösung mehr für die Bewältigung aktueller Anwendungsfälle und Bedrohungen. Die richtlinienbasierte dynamische Autorisierung ist flexibler. Sie analysiert kontextbezogene Attribute in Echtzeit, um Authentifizierungsanforderungen zu genehmigen, zu verweigern oder hochzustufen, bevor ein Benutzer auf Ressourcen zugreifen oder Transaktionen durchführen kann. 

Die unternehmensintern entwickelten Richtlinien geben die Risikosignale für verschiedene Szenarien vor, und diese Informationen werden von Drittanbietern für Risikobewältigung abgerufen, um den nächsten Schritt zu bestimmen. Ein Szenario mit geringem Risiko, wie z. B. der Zugriff auf eine App, kann reibungsfrei ablaufen, wohingegen eine Finanztransaktion mit hohem Wert unter Umständen eine verstärkte Authentifizierung erfordert, bevor sie durchgeführt werden darf. So ist es durchaus möglich, dass ein Kunde, der sechs Monate lang kein Onlinebanking genutzt hat, eine zusätzliche Authentifizierung absolvieren muss, bevor er 5.000 Dollar auf ein verdächtiges Konto überweisen darf, damit sichergestellt werden kann, dass es sich bei der Person, welche die Überweisung vornehmen will, um den rechtmäßigen Kontoinhaber und nicht um einen Betrüger handelt.

Wenn betrügerisches Verhalten vor einer Aktion oder Transaktion erkannt wird, begrenzt dies auch den finanziellen Verlust und die Rufschädigung. Bei der Erkennung von Onlinebetrug werden künstliche Intelligenz (KI) und maschinelles Lernen (ML) eingesetzt, um verdächtiges Verhalten zu erkennen und Betrüger daran zu hindern, Konten zu erstellen, sich einzuloggen und/oder Transaktionen abzuschließen. 

Das Verhalten von Kunden, Mitarbeitern und Partnern folgt vorhersehbaren Mustern, die von Bots und Hackern nicht imitiert werden können, z. B. das Tippen mit normaler Geschwindigkeit statt Kopieren und Einfügen von Daten mit hoher Geschwindigkeit. Geschwindigkeit ist für Cyberkriminelle in der Regel von enormer Wichtigkeit, wenn sie versuchen, auf so viele Konten wie möglich in so kurzer Zeit wie möglich zuzugreifen und zu diesem Zweck Brute-Force-Angriffe oder Credential Stuffing mit kompromittierten Anmeldedaten einsetzen.

Das kontinuierliche Sammeln und Analysieren vieler verschiedener Datenpunkte zum Verhalten trägt zum Erkennen neuer Bedrohungen noch während ihrer Entstehung bei. Tools zur Überwachung und Betrugserkennung können an Ihr Unternehmen angepasst werden und bieten Risikobewertungen beispielsweise an folgenden Datenpunkten:

• Gerätetyp, Betriebssystem und Version

• Browsertyp und -version

• Datum, Uhrzeit und Ort des Zugriffs

Da Übeltäter unentwegt nach neuen Möglichkeiten suchen, in Ihr System einzudringen und es zu missbrauchen, benötigen Sie eine flexible, umfassende Lösung. Wer Onlinebetrug erfolgreich bekämpfen will, muss wissen, wie und wo der Betrug auftritt, damit er die Auswirkungen in Echtzeit eindämmen und die generelle Sicherheitslage verbessern kann. Das Integrieren von Lösungen mehrerer unterschiedlicher Anbieter kann kostspielig und zeitaufwendig sein und zu Schwachstellen, Betrug, Datenschutzverletzungen und Ransomware führen.

Wenn die Geschäfts-, Risiko-, Sicherheits-, Compliance- und IT-Teams ihre Prozesse über ein virtuelles Whiteboard austauschen, um potenzielle Schwachstellen aufzuzeigen, kann dies für das Gesamtbild sehr hilfreich sein. Keiner möchte seine Entwickler unnötig mit einem Albtraum an Programmierung überlasten, daher wird eine Roadmap, die mit wenig oder sogar gar keinem Code zu einer Lösung führt, Zeit und Geld sparen und Ärger vermeiden.

PingOne DaVinci ist eine Orchestrierungsplattform, die es Ihnen ermöglicht, Ihre Situation in einem Whiteboard darzustellen, die besten Optionen zur Bewältigung Ihrer Herausforderungen auszuwählen und dann eine Lösung mit wenig oder gar keinem Code zu entwickeln. Wissenswertes über unsere umfassende Lösung, die Identitätsnachweis, Access-Management und Onlinebetrugserkennung umspannt und das Betrugsrisiko eindämmt.