Schutz vor Online-Betrug

Risikogerechte Multi-Faktor-Authentifizierung

| Autor / Redakteur: Michael Neumayr, CA Technologies / Stephan Augsten

Eine Risiko-basierte Authentifizierung schließt auch Gerätetyp und Standort mit ein.
Eine Risiko-basierte Authentifizierung schließt auch Gerätetyp und Standort mit ein.

Das Web bietet für nahezu jede Lebenssituation einen komfortablen Zugriff auf Informationen oder Services. Gleichzeitig steigt das Risiko von Betrug und Sicherheitsverletzungen. Eine gut durchdachte, mehrstufige Sicherheitsstrategie muss daher das Gleichgewicht aus Schutzbedarf und Bedienkomfort finden.

Zwei Tage vor einem Fußballspiel checkt ein Fussball-Fan im Hotel in Madrid ein. Seine Kreditkarte mit einer Chip- und PIN-Kennung nutzt er, um die Zahlungen für die Dauer des Aufenthalts zu autorisieren. Im Laufe des Abends veranlasst er noch einige dringende Überweisungen mit seinem Tablet-PC.

Wie gewohnt läuft alles problemlos und sicher ab. Schließlich kennt die Bank durch eine ausgereifte Multikanal-Autorisierung den aktuellen Aufenthaltsort. Zudem "weiß" das Geldinstitut, dass der Tablet-PC bereits früher für Transaktionen zum Einsatz kam.

In der Nacht wird von Danzig aus versucht, eine Überweisung vom Konto des Fußballfans zu tätigen. Das Authentifizierungs-/Risikoschutzsystem der Bank schlägt Alarm, da kein Kunde an zwei Orten gleichzeitig sein kann. Die Transaktion wird abgelehnt und eine signierte E-Mail informiert über den Betrugsvorfall. Im Gegenzug bestätigt der Kunde mit einer digital signierten E-Mail seinen gegenwärtigen Aufenthaltsort.

Das Beispiel gibt eine kleine Vorstellung darüber, was heute möglich ist. Über unterschiedlichste Kanäle – Website, Geldautomaten, interne Chip-/PIN-Transaktion, Online-Shopping, aber auch Telefon – lassen sich heute zeit- und ortunabhängig finanzielle Transaktionen ausführen. Die Konsumerisierung der IT und die damit einhergehende Mobilität verstärken diesen Trend.

Tagtäglich lässt sich in Bussen oder Zügen beobachten, mitunter sogar hören, wie Fahrgäste ihre Smartphone oder Tablet-PCs für aktuelle Einkäufe, Flugbuchungen oder Überweisungen nutzen. Bedauerlicherweise wissen auch Betrüger die neuen Potenziale zu nutzen – sei es durch Malware, Phishing, Ausspähen von Kreditkartendaten (Skimming), Hacking einer Kundendatenbank oder Social Engineering.

Starke Schutzmechanismen gefordert

Die Folge ist, dass Kreditinstitute, öffentliche Institutionen, Einzelhandel und Gesundheitsorganisationen inzwischen mit zunehmendem Online-Betrug und Identitätsdiebstahl kämpfen. Mehr denn je stehen sie deshalb unter dem Druck, eine Strategie zu entwickeln, befugten Benutzern Zugang zu gewähren und Betrüger auszusperren.

Ihre Mitarbeiter, Partner und Kunden erwarten einen Barriere-freien Zugriff auf Informationen oder Services – unabhängig von Standorten oder Systemen. Vornehmlich die Mobilität in Kombination mit wechselnden Endgeräten führt zu neuen Dimensionen im Anforderungsprofil der Schutzmaßnahmen. Die Online-Risiken haben derart zugenommen, dass einfache User-IDs und Passwörter für die Authentifizierung nicht mehr ausreichen.

Unternehmen benötigen wirksame Authentifizierungsmaßnahmen, die vielseitig einsetzbar, einfach zu handhaben und bezahlbar sind. Die beiden letztgenannten Kriterien waren in der Vergangenheit meist ein limitierender Faktor. Starke Schutzmethoden wie Hardware-basierte Einmal-Passworte (One Time Token - OTP), biometrische Zugänge, Smart Card oder Public Key Infrastrukturen (PKI) sind in Aufbau und Unterhalt aufwändig und kostspielig.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 34525210 / Authentifizierung)