Aufrufe
vor 5 Jahren

die bank 01 // 2019

  • Text
  • Banken
  • Institute
  • Zudem
  • Unternehmen
  • Zahlungsverkehr
  • Transaktionen
  • Deutschland
  • Vorgaben
  • Anforderungen
die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

keit und Haftung bei

keit und Haftung bei APP-Fraud in der öffentlichen Diskussion. Auch wenn Banken bisher – weder in UK noch in Deutschland – für die Verluste aufkommen müssen, empfiehlt es sich trotzdem, schon jetzt zu handeln. Dem Institut werden zwar in der Regel keine direkten finanziellen Schäden entstehen. Der Vertrauensverlust der betroffenen Kunden ist aber trotzdem enorm. Umgekehrt wird ein Kunde es sehr schätzen, bei einem laufenden Betrugsversuch rechtzeitig gewarnt zu werden. Zudem können Banken durch präventive Maßnahmen schon jetzt möglichen einschneidenden Regulierungsmaßnahmen entgegenwirken. Doch welche vorbeugenden Optionen gibt es für Banken? 1. Verstärkte Risikoanalysen Um das Risiko für Kredit- oder EC-Kartenbetrug zu minimieren, wird schon längst auf Transaktions-Risikoanalysen zurückgegriffen. Dieselben Werkzeuge helfen auch bei der Unterbindung von APP-Fraud – sie müssen nur angepasst angewendet werden. Eine Plattform zur Kundenverhaltensanalyse erstellt ein Muster der typischen Gewohnheiten eines Kontoinhabers. Weicht eine Transaktion davon ab, kann die Bank dem Kunden eine aussagekräftige Warnung anzeigen und gegebenenfalls eine zusätzliche Authentifizierung verlangen, wie sie u. a. die starke Kundenauthentifizierung (SCA) im Rahmen der PSD 2 definiert. Vor allem Betrügern, die sich als das Finanzinstitut ausgeben, wird damit meist das Handwerk gelegt. 52 01 // 2019

SCHWERPUNKT ZAHLUNGSVERKEHR Wichtig ist hierbei aber vor allem eines: Die Programme zur Betrugserkennung müssen in Echtzeit funktionieren. Denn je schneller die Transaktion vonstattengeht, umso schneller muss die Plattform arbeiten und reagieren. 2. Detailliertes Reporting und Transparenz über Betrugsversuche Es bedarf einer klaren und einheitlichen Protokollierung jeder erfolgreichen oder versuchten betrügerischen Tat, um die Häufigkeit und Entwicklung verschiedener Betrugsmuster besser einschätzen zu können. Moderne Betrugserkennungslösungen nutzen die so gesammelten Informationen zudem, um die Betrugserkennung durch Machine Learning und Adaptive Analytics im laufenden Betrieb kontinuierlich anzupassen. 3. Beidseitige Authentifizierung Ein Kontoinhaber muss sich bei Transaktionen oder anderen kritischen Aktivitäten gegenüber dem Finanzinstitut authentifizieren. Andersherum funktioniert dieses Spiel aber nur eingeschränkt. Meldet sich ein Vertreter der Bank insbesondere telefonisch beim Kontoinhaber, fragt dieser selten nach einem Beweis für dessen Identität. Dabei ist ein erheblicher Teil von APP-Fraud genau darauf zurückzuführen: Betrüger geben vor, ein Vertreter der Bank zu sein – und die Opfer fallen darauf rein. Eine beidseitige Authentifizierung beim Kundenkontakt ist bislang unüblich und daher ungewohnt. Doch sie könnte helfen, Betrügern das Social Engineering erheblich zu erschweren. Nutzt beispielsweise ein Kontoinhaber eine Smartphone-App für seinen Account, wären Push-Nachrichten über diesen Kanal eine besonders sichere Möglichkeit der Authentifizierung für telefonische Kontakte. Ist dies nicht möglich, sind auch SMS- Nachrichten auf das Mobiltelefon eine Option. Damit bewahren sich Banken die Möglichkeit, mit ihren Kunden direkt telefonisch in Kontakt zu treten und bauen ein verbessertes Vertrauensverhältnis auf. 4. Aufklärung Banken können also einiges tun, um ungewöhnliche Transaktionen als APP-Fraud zu entlarven und den Betrügern das Handwerk zu legen. Noch wichtiger wäre aber, es gar nicht erst so weit kommen zu lassen. Und zwar indem sie das Bewusstsein des Kunden über diese Betrugsform – und deren persönliche Haftung – schärfen. Hinterfragt ein Kunde eine Zahlungsaufforderung und geht der Wahrhaftigkeit dieser sowie der des Adressaten auf den Grund, kann die Gefahr von Social Engineering und APP-Fraud oft bereits im Keim erstickt werden. Sinnvolle Maßnahmen sind deshalb Aufklärungskampagnen, die vor den Betrügern und ihren Methoden eindringlich warnen. In den Niederlanden beispielsweise erwiesen sich derartige Präventionsmaßnahmen als sehr erfolgreich. Im Januar 2016 starteten die Banken gemeinsam mit dem niederländischen Zahlungsverkehrsverband eine nationale Kampagne, um die Öffentlichkeit vor Betrug beim Online Banking, insbesondere durch Social Engineering, zu warnen. Auch aufgrund dieser Aufklärungsarbeit sanken die entsprechenden Betrugszahlen in den Niederlanden in den letzten Jahren. Eine ähnliche Aufklärungskampagne unter dem Namen „Take Five“ läuft seit 2017 auch in Großbritannien. In dieser wird auch eindringlich vor den Erscheinungsformen des autorisierten Zahlungsbetrugs gewarnt. FAZIT Zwar treten Social Engineering Scams in Deutschland bisher noch nicht so häufig auf wie in manchen anderen Nationen. Doch es ist mit Sicherheit davon auszugehen, dass die Gefahr dieser Betrugsform auch hierzulande zunehmen wird. Banken sollten vorbereitet sein und schon jetzt präventive Maßnahmen ergreifen, um ihre Kunden vor finanziellen Verlusten und sich selbst vor Image-Schäden zu schützen. Autor Jörg Reuter ist Pre-Sales Fraud Consultant für Banken und Finanzdienstleister bei FICO. Sein Fokus liegt auf der Erkennung und Prävention von Betrug mithilfe von fortschrittlicher Analytik und Künstlicher Intelligenz bzw. Machine Learning. 01 // 2019 53

die bank