Immer mehr Kunden nutzen die digitalen Dienste von Banken. Mit den zunehmend raffinierteren Betrugsversuchen, bei denen Hacker auch auf Künstliche Intelligenz setzen, muss die Branche nun aufrüsten.
Immer mehr Bankkunden stehen in einer rein digitalen Beziehung zu ihrem Institut. So hat die UBS jüngst gemeldet, dass mit dem Angebot «Key4» innert Jahresfrist deutlich mehr Kunden auf die digitale Schiene gewechselt sind. Demnach verkehren aktuell rund 77 Prozent aller Privatkunden in der Schweiz und 81 Prozent der Firmenkunden und Institutionellen rein digital mit der Grossbank.
Zweistellig zugenommen
Doch mit den steigenden Nutzerzahlen erweitert sich auch das Jagdgebiet der Cyber-Kriminellen. So meldete der IT-Sicherheitsdienstleister Lexis Nexis Risk Solutions zuletzt einen Anstieg der weltweiten Cyber-Betrugsversuche und -angriffe um mehr als 50 Prozent. 2022 habe es laut den Daten aus dem eigenen Netzwerk 905 Millionen von Menschen initiierte Attacken auf Online-Transaktionen jedweder Art gegeben. Die Zahl der automatisierten Bot-Attacken stieg im vergangenen Jahr auf 3,5 Milliarden, ein Anstieg um 27 Prozent.
Auch der Schweizer Telekom-Konzern Swisscom hatte in seinem aktuellen Report «Cyber Security Threat Radar» die Bedrohungslage bewertet. Demnach macht insbesondere der Einsatz von Künstlicher Intelligenz (KI) die Angriffe von Hackern effizienter und unterläuft die Abwehrmassnahmen von Unternehmen.
Steigende Anforderungen
Die Finanzinstitute müssen sich im «Digital Banking» auf weiter steigende Anforderungen einstellen, wenn es um die Cyber-Sicherheit geht. Mit immer neuen Möglichkeiten der KI können Texte, Fotos oder Videos manipuliert werden. Zudem werden einige der Sicherheitsmechanismen der Banken angreifbarer.
Das betrifft nicht allein das Onlinebanking bestehender Kunden. Die Onboarding-Prozesse etwa bei der Kontoeröffnung könnten dadurch betroffen sein: In Zukunft könnte es für einen Mitarbeiter schwieriger werden zu beurteilen, ob ein Foto oder Video authentisch oder ein «Fake» ist.
Bei den Banken geht der Trend deshalb klar in Richtung Multifaktor-Identifizierung. Das Login in das persönliche Banking mit einem einfachen Passwort dürfte bald der Vergangenheit angehören. Bereits heute ist spätestens bei Transaktionen ein zweiter Schritt zur Freigabe nötig.
Vier Gruppen
Die Faktoren, mit denen sich Nutzer legitimieren, lassen sich grob in vier Bereiche einteilen. Unter «Wissen» fallen Passwörter, PINs, Geburtsdaten oder die Beantwortung von Sicherheitsfragen. So genannte Smartcards, kryptographische Schlüssel oder Geräteregistrierungen fallen in die Kategorie «Besitz», während als «Inhärenz» biometrische Merkmale wie Gesichts- und Iris-Erkennung sowie Sprecherauthentifizierung bezeichnet werden. Auch der Ort, also die «Location», kann als Faktor dienen.
Ältere Anwendungen wie das von vielen Banken etwa zur Freigabe von Zahlungen oder Transaktionen verwendete SMS-Verfahren wurden in der Vergangenheit bereits mehrfach Opfer von Hacks. Dies etwa durch Apps, die in der Lage waren, Nachrichten an Kriminelle weiterzuleiten.
Multifaktor bietet Sicherheit
«Die Multifaktor-Identifizierung bietet eine hohe Sicherheit», sagt Florian Leibenzeder, bei der Swisscom Leiter des Security Operation Centers. «Die Möglichkeiten, einzelne Verfahren wie etwa Gesichts- oder Spracherkennung durch KI auszuhebeln, werden in Zukunft steigen.» So habe es etwa in China einen Fall gegeben, bei dem mit Hilfe von hochauflösenden Fotos die Gesichtserkennung überlistet wurde. «Bisher haben wir selber das in der Schweiz aber noch nicht beobachtet.»
In der EU sind Banken seit Anfang 2021 verpflichtet, ihren Kunden eine «Starke Kundenauthentifizierung» (Strong Customer Authentication, SCA) anzubieten. Dabei ist eine Zwei-Faktor-Authentisierung (2FA) erforderlich. Dies ist auch bei Zahlungen im E-Commerce Pflicht. Bei Schweizer Banken gehört das inzwischen zum Standard.
Sicherheit versus Benutzerfreundlichkeit
Doch wegen des steigenden Aufwands für Sicherheit leidet die Benutzerfreundlichkeit. «Die Identifizierung, Authentifizierung und das Login müssen einerseits so benutzerfreundlich wie möglich und andererseits so sicher wie nötig sein», sagt der Cyber-Sicherheitsexperte weiter.
«Bei der Multi-Faktor-Authentifizierung ist es essenziell, dass der Enrollment-Prozess sicher und vertrauenswürdig ist.»