![[Illustration]](06-6-022-1.jpg)
Betrugserkennungssysteme beobachten zunächst ohne Eingriff in den Datenstrom.
Betreiber von Online-Angeboten bemühen sich derzeit weltweit um eine bessere Absicherung ihrer Systeme. Vor allem Finanzdienstleister und Versicherungen sehen sich einem erhöhten Druck von Politik, Regulierungsbehörden und Öffentlichkeit ausgesetzt. Sie sollen technisch mehr gegen Identitätsbetrug unternehmen und Endkunden von den Risiken des Online-Betrugs entlasten. In Europa spielen hier unter anderem die Bestrebungen des EU-Binnenmarktkommissars Charlie McCreevy eine Rolle. Einem Richtlinienentwurf zufolge, der Ende November 2005 der Süddeutschen Zeitung vorlag, will McCreevy Banken verpflichten, Zahlungen aus manipulierten Überweisungen generell zu ersetzen.
Zurzeit laufen die Bemühungen von Online-Anbietern vor allem in zwei Richtungen: stärkere Authentifizierung und Betrugserkennung. Bei der Authentifizierung konzentrieren sich die Anstrengungen darauf, den Einsatz des zweiten Faktors "Besitz" neben dem Wissen als Standard zu etablieren. Verbesserte PIN/TAN-Systeme, Token, Smartcards und Out-of-Band-Lösungen mit Mobiltelefonen sind hier in der Diskussion. Authentifizierungsplattformen, die je nach Risikograd einer Transaktion oder Verbindung zum Anwender die jeweils sicherste, aber auch bequemste Möglichkeit der Anmeldung wählen, werden den Anforderungen hier am besten gerecht.
Der zweite Ansatz, die Betrugserkennung, ist außerhalb der Bankenwelt weniger bekannt. Hier geht es darum, betrügerische Aktionen von Personen aufzudecken, die sich bereits erfolgreich angemeldet haben. Auch das beste Authentifizierungssystem kann letztlich Identitätsbetrug nie völlig ausschließen. Einerseits warten beispielsweise Phishing-Banden mit immer neuen Angriffstechniken auf. Hinzu kommt aber auch, dass sich Angreifer notfalls geduldig als legitime Benutzer in Firmen oder Benutzergruppen von Online-Diensten einschleichen, wenn nur der Lohn der Mühe groß genug ist.
Die Gefahr, Online-Betrügern zu erliegen, droht vielen Unternehmen! Sie herrscht überall dort, wo Personen in der Rolle von Mitarbeitern, Partnern oder Kunden durch Manipulation von Finanztransaktionen, Warenbewegungen oder Informationen finanzielle Vorteile herausschlagen können. Dies gilt eben nicht nur für Finanzdienstleister, sondern beispielsweise auch für Versicherungen, Telekom-Unternehmen und jede Art von Groß- oder Einzelhändlern im Online-Geschäft.
Digitale Betrugserkennung existiert schon fast so lange, wie Computer Finanzdaten verarbeiten. Die klassischen Systeme laufen zumeist bei Banken; sie sind tief in deren Softwaresysteme eingebunden, die oft über lange Zeiträume in eigener Regie programmiert und ausgebaut wurden. Eins der möglichen Funktionsprinzipien solcher Detektoren besteht darin, Informationen über proprietäre Schnittstellen direkt bei der Eingabe in die Datenfelder einer Bankensoftware abzugreifen. Die Systeme untersuchen die so gewonnenen Daten dann separat auf Verdachtsmomente. Andere klassische Betrugserkennungssysteme führen rein forensische Analysen in den Datenbanken aus, in denen Transaktionsdaten vorliegen.
Betrugserkennungssysteme beobachten zunächst ohne Eingriff in den Datenstrom.
----------Anfang Textkasten----------
Betrugserkennungssoftware muss dem Anwender grundsätzlich die Möglichkeit bieten, sie so zu implementieren, dass sie verschiedenen internationalen Datenschutzgesetzen gerecht wird. Dies setzt auf technischem Gebiet zunächst entsprechende Konfigurationsmöglichkeiten voraus.
In Deutschland ist hierbei der wichtigste Aspekt die generelle Verpflichtung zur Datensparsamkeit und Datenvermeidung. Außerdem muss jede Erhebung von persönlichen Informationen zweckmäßig und verhältnismäßig sein. Der Zweck, Online-Betrug durch Profilerstellung und anschließende Anomalieerkennung verhindern und Beweise sichern zu wollen, rechtfertigt nach Ansicht von Datenschützern nicht automatisch eine langfristige Speicherung von Transaktionsdaten.
Das Datenschutzzentrum Schleswig-Holstein hat etwa 2004 eine Datenschutzprüfung bei einer großen Internetdirektbank begonnen, die Log-Daten von Kundenbesuchen einschließlich der IP-Adressen für bis zu sechs Monate speicherte (Tätigkeitsbericht 2006 des Unabhängigen Landeszentrums für den Datenschutz Schleswig-Holstein, S. 75). Die Datenschützer verstanden diese Speicherdauer als unverhältnismäßig und verlangten, die entsprechenden Informationen unverzüglich nach dem Besuch der Website zu löschen, sofern sie nicht unmittelbar Abrechnungszwecken dienten.
Betrugserkennungssysteme mit Anomaliedetektoren, die Online-Betrug an ungewöhnlichem Anwenderverhalten erkennen, können dies aus rein technischer Sicht am besten, wenn ihnen ein Verhaltensprofil jedes einzelnen Nutzers zu Verfügung steht. Diese Arbeitsweise kollidiert allerdings mit dem Bundesdatenschutzgesetz (§ 3a), nach dem bei der Speicherung persönlicher Daten von den Möglichkeiten der Anonymisierung und Pseudonymisierung Gebrauch zu machen ist, "soweit dies möglich ist und der Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht".
Tatsächlich hängt es vor allem von der Flexibilität der Anomalieerkennung einer Betrugserkennungssoftware ab, ob diese auch bei einer datenschutzgerechten Implementierung noch brauchbare Erkennungsraten erreicht. So kann ein System zum Beispiel mit völlig anonymisierten Durchschnittsdaten ganzer Benutzergruppen statt mit Einzelprofilen arbeiten, wenn es nach Auffälligkeiten gegenüber dem "normalen" Geschehen in einem Online-Dienst sucht. Wenn es auf Einzelprofile nicht verzichtet, kann es sie pseudonymisiert speichern und Profildaten nur über eine zusätzliche Referenzliste allein zum Zweck der Betrugsabwehr mit der zugehörigen Person verknüpfen. Bei der Bewertung eines Systems durch Datenschützer ist es dann entscheidend, ob die technische und organisatorische Umsetzung der Verschleierungsprinzipien die Rekonstruktion realer Transaktionen einer einzelnen Person zu anderen Zwecken hinreichend erschwert. Stand der Technik ist außerdem eine starke Verschlüsselung als Schutzmaßnahme für die Repositories selbst.
Neben Technik und Organisation entscheiden zudem nicht zuletzt kommunikative Maßnahmen darüber, ob der Betrieb einer Betrugserkennungssoftware die Zustimmung von Datenschützern findet: Anbieter müssen ihre Kunden vor der längerfristigen Speicherung von Transaktionsdaten auf jeden Fall über den Umfang dieser Datenerhebungen informieren und ihre Einwilligung einholen, damit das Recht auf informationelle Selbstbestimmung gewahrt bleibt.
----------Ende Textkasten----------
Für viele heutige IT-Umgebungen sind solche Lösungen jedoch zu wenig flexibel. Es fällt ihnen beispielsweise schwer, Informationen aus einem zentralen Wirtschaftssystem mit Daten abzugleichen, die sich aus der Anmeldung eines Anwenders an einem später installierten Authentifizierungssystem ergeben. Auch Zugriffe auf separate Kundendatenbanken, die persönliche Informationen zu den legitimen Benutzern enthalten, können nicht ohne Weiteres überwacht werden. Noch problematischer ist, dass die Einstellung der Systeme auf neue Betrugstechniken aufgrund ihrer engen Verflechtung mit den Wirtschaftssystemen meist zusätzliche Programmierarbeit bedeutet. Diese erfordert womöglich temporäre Abschaltungen der zentralen Software und verursacht damit gegebenenfalls Angebotsausfälle.
Ein modernes 24/7-Business toleriert derartige Unterbrechungen nicht. Hinzu kommt, dass ein klassisches System der beschriebenen Art schwerlich in Echtzeit auf einen laufenden Betrug reagieren kann. Speziell die forensischen Systeme dienen eher der Beweissicherung, weshalb sie möglicherweise um Tausende von Euro betrogenen Endkunden nur sehr mittelbar helfen.
Der Siegeszug des Webs hat hier nicht nur für mehr Angriffsfläche gesorgt, sondern bietet auch einen Ausweg aus dieser Problematik: Praktisch jede Finanzsoftware und jedes Warenwirtschaftssystem lässt sich heute über eine Web-Oberfläche bedienen. Stand der Technik ist deshalb eine Betrugserkennung, die sich in den HTTP-Verkehr zwischen Anwendung und Benutzer einschaltet. Solche Systeme analysieren diesen Datenstrom im laufenden Betrieb auf verdächtige Aktionen und legen die Kommunikationsdaten zusätzlich in eigenen Repositories ab. Dieses Verfahren ermöglicht es, Daten später vertiefend auszuwerten und Anwenderprofile zu erstellen. Dabei ist es auch gleichgültig, ob hinter einer Web-Oberfläche historisch gewachsene Einzellösungen anstelle eines zentralen Systems arbeiten – die webgestützte Betrugserkennungssoftware sieht den Kommunikationsablauf als Ganzes. So vermag sie zum Beispiel Änderungen an der Adresse eines Kunden sofort mit nachfolgenden Überweisungsaufträgen zu korrelieren.
Der technische Implementierungsaufwand für ein derartiges Betrugserkennungssystem ist deutlich geringer als bei älterer Software. Das Sensormodul solcher Produkte lässt sich im Idealfall wie ein Intrusion-Prevention-System (IPS) einfach an den Span-Port (auch Spiegel-, Mirror- oder Monitor-Port genannt) eines Switches anschließen, über den der Datenverkehr zum Zielsystem inklusive der Authentifizierungsabläufe überwacht werden kann.
Als weitere Aufgaben bei der Implementierung kommen zunächst die Einrichtung des erwähnten Repositories für die mitgeschnittenen Daten, deren Sicherung per Verschlüsselung und der Aufbau einer Management-Konsole oder die Einbindung in bestehende Systemverwaltungs-Software hinzu. Darüber hinaus müssen gegebenenfalls Schnittstellen und Kommunikationswege für Warnungen geschaffen werden, die das Betrugserkennungssystem an Anwender und Sicherheitsverantwortliche sendet. Ist das System in der Lage, bei Betrugsverdacht beispielsweise selbst oder über das verwendete Authentifizierungssystem eine zusätzliche Freigabe für eine Transaktion einzuholen, so müssen auch dazu die Voraussetzungen geschaffen werden. Möglich sind etwa die Implementierung eines SMS-Gateways oder die Einrichtung einer XML-Anbindung zum Authentifizierungsserver. Organisatorisch sind dann noch Zugriffsrechte zu vergeben und Verantwortlichkeiten zu verteilen. Außerdem müssen Prozesse und Richtlinien für die Reaktionen im "Alarmfall" aufgesetzt werden.
Bei all dem ist von zentraler Bedeutung, dass kein aufwändiger Eingriff in die Produktivsoftware nötig ist, um eine solche Betrugserkennungssoftware in Betrieb zu nehmen. Sie führt einen zusätzlichen Sicherheits-Layer ein, der weitgehend von der IT-Sicherheitsabteilung allein aufgesetzt werden kann. Auch für die Endanwender ändert sich nichts an den gewohnten Abläufen, solange die Sicherheitssoftware keinen möglichen Betrugsfall erkennt.
Die Betrugserkennungssoftware selbst arbeitet nach zwei Prinzipien: Anomalie- und Mustererkennung. Bei der Mustererkennung wird ein entsprechendes Produkt ganz ähnlich wie ein Viren-Scanner oder IPS mit Signatur-Dateien (Pattern) gefüttert, die in diesem Fall Informationen zum Ablauf typischer Online-Betrugsdelikte enthalten. Ändert beispielsweise ein Anwender während einer Online-Sitzung nacheinander seine E-Mail-Adresse, transferiert dann einen Betrag knapp unter dem Überweisungslimit auf ein verdächtiges Konto und setzt kurz darauf seine E-Mail-Adresse wieder auf den alten Eintrag zurück, dann könnte ein Kontenmissbrauch vorliegen.
Die Betrugsmuster erhält ein Erkennungssystem entweder vom Hersteller oder der Anwender definiert sie selbst. Selbst das ist meist um ein Vielfaches leichter zu bewältigen als entsprechende Änderungen an den eingangs beschriebenen traditionellen Systemen. Darüber hinaus existiert noch die Möglichkeit des Musteraustausches mit anderen Anwendern (s. u.). Gute Betrugserkennungssysteme für Banken berücksichtigen zudem auch (unter anderem) Daten wie den ungefähren Standort der Ausgangs-IP-Adressen. Damit können sie ermitteln, ob eine Online-Sitzung von einer für entsprechende Betrügereien bekannten Region aus initialisiert wird.
Anomalieerkennung stützt sich hingegen auf Anwenderprofile. Ändert beispielsweise ein Bankkunde völlig unvermittelt sein Verhalten und überweist weit höhere Beträge als sonst, womöglich noch aus dem Ausland und auf Zielkonten in der Karibik oder in Asien, so kann das System Alarm schlagen. Es benachrichtigt dann beispielsweise in Zusammenarbeit mit dem Authentifizierungssystem den legitimen Kontoinhaber "Out of Band" per SMS oder verlangt eine zusätzliche Freigabe der Transaktion.
In jedem Fall benötigt eine Anomalieerkennung allerdings eine Lernphase, in der sie das "normale" Verhalten eines Anwenders ermittelt. Immerhin soll sie ja auch beispielsweise keinen Bankkunden behelligen, der als internationaler Import-/Exportunternehmer fortwährend wechselnde Beträge auf Konten in Osteuropa und Mittelamerika transferiert und sein Konto während seiner Reisen in diese Staaten auch online verwaltet.
Anomalie- und Mustererkennung müssen sich darüber hinaus nicht auf die Auswertung der Vorgänge an jeweils einem Benutzerkonto beschränken. Moderne Systeme bemerken auch, wenn in einem vergleichsweise kurzen Zeitraum eine größere Anzahl von Transaktionen mit gleichen Parametern auf verschiedenen Konten stattfindet. Dies kann bei Phishing-Angriffen der Fall sein, bei denen die Angreifer einen durchweg ähnlichen Betrag von etwa 1000 bis 3000 Euro von den Konten vieler Opfer auf die Konten weniger Mittelsmänner überweisen.
Kontenübergreifende Detektionsverfahren dieser Art erhöhen die Chance, auch Phishing-Attacken zu erkennen, bei denen die Betrüger ihre Kommunikation über häufig wechselnde, ferngesteuerte Rechner initialisieren. Die Zielkonten nämlich können sie nicht so schnell und mit der gleichen Zahl an Auswahlmöglichkeiten wechseln, sodass sich bei den Überweisungen immer noch eine auffällige Häufung von übereinstimmenen Parametern ergibt.
----------Anfang Textkasten----------
Virenschutzprogramme bekommen ihre Pattern-/Signatur-Dateien von den jeweiligen Herstellern. Intrusion Prevention (IPS) ist oft schon einen Schritt weiter: Die Produkte diverser IPS-Anbieter importieren zumindest die Angriffsmusterdateien von Open-Source-Systemen, die wiederum aus der Anwendergemeinde gespeist werden. Auch bei der Betrugserkennung ist zurzeit ein Trend zu Anti-Fraud-Netzwerken festzustellen, bei denen Anwender die ihnen bekannten Betrugsmuster auch anderen Nutzern entsprechender Systeme zur Verfügung stellen. Manche Netzwerke sind dabei noch herstellergetrieben und proprietär, stehen also nur den Käufern derselben Software offen.
Für die technische Bewertung der Netze ist es von Bedeutung, welche Informationen überhaupt weitergegeben werden können: Handelt es sich dabei zum Beispiel nur um die IP-Adressen der Systeme von Angreifern, so ist der Nutzen begrenzt, denn Betrüger verschleiern immer erfolgreicher den realen Ausgangspunkt ihrer Aktionen. Sie arbeiten zum Beispiel mit Bot-Netzen und setzen in schneller Frequenz immer neue gekaperte Rechner ein. Wirksamer ist deshalb der Austausch von Informationen über komplette Betrugsabläufe.
Damit in Zukunft Anwender beliebiger Betrugserkennungsprodukte von der Vernetzung untereinander profitieren können, haben die Anbieter Entrust und VeriSign bei der Internet Engineering Task Force (IETF) vor kurzem einen Standardisierungsvorschlag für ein herstellerneutrales Netzwerk zum Betrugsmusteraustausch eingereicht. Der entsprechende Internet-Draft findet sich unter ![[externer Link]](../../../../images/link.gif)
www.ietf.org/internet-drafts/draft-mraihi-inch-thraud-01.txt.
----------Ende Textkasten----------
Betrugserkennungssoftware ist eine gute Ergänzung zur starken Authentifizierung, weil sie sich auf ein Merkmal konzentriert, das ein Betrüger mit keiner noch so ausgefeilten Maskerade verbergen kann: Irgendwann muss er jene Aktionen starten, die ihm zu seinem Gewinn verhelfen, und diese werden in vielen Fällen aus der Masse der legitimen Handlungen herausstechen. Authentifizierung überprüft die Person, die einen Online-Dienst betreten will, und Betrugserkennung beobachtet das Treiben im virtuellen Bankgebäude wie ein patroullierender Wachmann. Beide zusammen können die Wahrscheinlichkeit eines erfolgreichen Betrugs besser verringern als eines allein.
Neben allem Sicherheitsgewinn liefern Betrugserkennungssysteme, die sich auf die Analyse des Web-Traffics stützen, zumindest von der technischen Basis her zugleich den Einstieg in weitere Nutzungsmöglichkeiten der mitgeschnittenen Transaktionsdaten durch Data-Mining. Den ersten Vorteil davon hat der Support für eine Online-Site: Meldet sich ein Kunde, der an entscheidender Stelle im Web-Angebot auf Schwierigkeiten stößt, muss der Support-Mitarbeiter die Abläufe bis zum Auftreten des Problems nicht mühsam erfragen – er kann sich die Schritte aus dem Repository heraus anzeigen lassen. Die Kundenprofile eignen sich aber auch für wirtschaftliche Analysen des Kundenverhaltens und – ein Trend inzwischen auch im Online-Banking – für personalisierte Angebotsseiten. Dabei ist allerdings immer daran zu denken, dass jede Profilerstellung mit Datenschutzvorgaben abgeglichen werden muss (vgl. Kasten) und fast immer die Zustimmung der Anwender voraussetzt.
Hans Ydema ist Geschäftsführer bei Entrust ( www.entrust.com).
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2006#6, Seite 22
| 