Maßnahmen von Bankenseite gegen Identitätsdiebstahl

Für die Erreichung des Ziels, die Kommunikation zwischen Kunden und Bank so sicher wie möglich zu gestalten, setzt die Bankenbranche Verschlüsselungsmethoden zur Be-trugsprävention ein, wofür es zwei grundlegende Ansätze gibt [Jano06, S. 162].

Das am weitesten verbreitete Verfahren ist in diesem Zusammenhang das PIN/TAN-Verfahren. Zum Durchführen von Online-Transaktionen muss sich der Bankkunde – wie im Abschnitt 2.1 erwähnt – mittels seiner Persönlicher Identifikationsnummer (PIN) sowie seiner Kontonummer auf der Online-Banking-Seite der Bank anmelden. Für jede Transak-tion benötigt der Kunde zusätzlich eine TransakTransak-tionsnummer (TAN), die als Einmalpass-wort pro Überweisung gilt. Die TAN’s und eine initiale PIN, die nach dem ersten Einloggen geändert werden muss, werden dem Kunden per Post von seiner Bank zugesandt. Diese Nummern bieten nur Schutz, solange sie keinem Unbefugten bzw. Betrüger in die Hände fallen. Sie sind daher das Ziel von Phishingangriffen, bei denen der Kunde aufgefordert wird, eben diese Nummern in eine gefälschte Website einzugeben. Daher gilt das PIN/TAN-Verfahren als unsicher. [Kraf07, S. 308 - 309; Jano06, S. 162 - 163; Lini05, S.

167 - 168]

Zum Ausgleich der Schwächen des PIN/TAN-Verfahrens entwickelten die Kreditinstitute folgende vier Erweiterungen des Verfahrens, siehe [Müll08, S. 464 - 465]:

a) iTAN: Beim iTAN-Verfahren handelt es sich um die Verwendung einer indizierten TAN.

Es kann dabei nicht jede beliebige TAN für eine Transaktion aus der TAN-Liste ausge-wählt werden, sondern die Bank gibt für jede Überweisung einen bestimmten Index an.

Der Kunde muss für diese bestimmte Transaktion exakt die TAN auswählen, die mit dem angegeben Index versehen ist. Dafür hat der Kunde maximal fünf Minuten Zeit. Alle ande-ren TAN’s sind für diese Überweisung ungültig. Das ursprüngliche Verfahande-ren wurde zum iTAN plus weiterentwickelt. Hierbei muss der Kunde die Transaktionsdaten zusammen mit einem Kontrollbild vor dem Ausführen der Überweisung nochmals bestätigen.

b) eTAN: Beim eTAN-Verfahren stellt das Kreditinstitut dem Kunden einen TAN-Generator in Form eines zusätzlichen Geräts zur Verfügung. Vor der Durchführung einer Überwei-sung erzeugt der Kunde mit diesem Gerät eine TAN, die nur eine bestimmte Zeit lang gültig ist. Dieses Gerät wird zur Erhöhung der Sicherheit regelmäßig ausgetauscht. Auch dieses Verfahren wurde vom ursprünglichen Modus zum eTAN plus weiterentwickelt.

Hierbei müssen die Transaktionsdaten vom Kunden vor Ausführen der Überweisung nochmals bestätigt werden.

c) mTAN: Beim mTAN-Verfahren bekommt der Kunde per SMS seine TAN für eine Über-weisung auf sein Mobiltelefon zugeschickt, die anschließend fünf Minuten lang gültig ist.

d) smartTAN: Beim smartVerfahren wird die TAN ebenfalls mit einem TAN-Generator erzeugt. Hierbei ist die generierte TAN mit dem jeweiligen Kunden logisch ver-knüpft, z.B. mit Informationen der Giro- oder Kreditkarte, welche die Bank dem Kunden zur Verfügung stellt.

Das andere, nicht so weit verbreitete Verschlüsselungsverfahren ist das Home Banking Computer Interface (HBCI). Beim HBCI-Verfahren wird eine Chipkarte mit einem Chipkar-tenlesegerät verwendet. Beim Online-Banking wird die Chipkarte von dem Lesegerät aus-gelesen. Ohne diese Chipkarte, die den Benutzer eindeutig identifiziert, kann keine Onli-ne-Transaktion ausgeführt werden. Dabei existieren drei verschiedene Klassen, siehe [Kraf07, S. 312 - 313; Jano06, S. 163 - 165]:

Klasse 2: Die Daten werden direkt in den Chipkartenleser eingegeben.

Klasse 3: Der Chipkartenleser besitzt ein eigenes Display, worauf nochmals die Gültigkeit der eingegebenen Daten angezeigt wird. Der Chipkartenleser ist mit einem Signaturmodul ausgestattet, mit welchem dem Empfänger zusätzlich die Identität des Benutzers garan-tiert wird.

Nach dem Beenden der Online-Banking-Sitzung wird die Chipkarte wieder aus dem Kar-tenleser gezogen. Somit können nachträglich keine Angriffe auf die Chipkarte erfolgen.

Die Chipkarte selbst ist wiederum durch eine PIN geschützt um eventuellen Missbrauch bei Verlust der Karte zu vermeiden. Das HBCI-Verfahren gilt im Vergleich zum PIN/TAN-Verfahren als sichere Methode, da bei Geräten ab Klasse 1 Betrüger keine Chance ha-ben, über den PC an die vertraulichen Daten zu gelangen. Der Grund dafür ist, dass alle entscheidenden Sicherheitsprozeduren außerhalb des PC’s ablaufen. Die sicheren HBCI-Geräte konnten sich aber aufgrund der Kosten (zwischen 45 und 400 Euro pro Gerät) bislang nicht gegen das PIN/TAN-Verfahren durchsetzen. [Kraf07, S. 312 - 313; Jano06, S. 163 - 165; Lini05, S. 168]

Die Möglichkeiten des HBCI-Verfahrens werden zusätzlich durch den Standard FinTS V4.0 erweitert, der die Übertragung der Daten im XML-Format ermöglicht (die Abkürzung XML steht für Extensible Markup Language und bezeichnet einen Standard zur Definition von Auszeichnungssprachen mit dem Ziel der Trennung von Daten und Repräsentation, für weiterführende Informationen zu XML siehe [Haro04]). Für weiterführende Literatur zu FinTS V4.0, siehe [Jano06, S. 163 – 165; Haub04].

Einen ähnlichen Ansatz zur Betrugsprävention mit HBCI verwendet [Puen05]. In diesem Artikel wird ein Gerät beschrieben, das über USB oder Bluetooth (als Bluetooth werden miteinander interagierende Funkkomponenten für die drahtlose Datenübertragung be-zeichnet, siehe [Jano06, S. 45]) mit dem Rechner verbunden ist und die Signatur einer Transaktion empfängt, die anschließend verschlüsselt an den Rechner zurückliefert wird.

Das Gerät kann nach seiner ersten Aktivierung nicht mehr umprogrammiert werden, siehe [Puen05, S. 2].

Dagegen setzt [Hu09] bei der Authentifizierung auf eine Kombination von secret key- und smart cart-Techniken. Das in dem Artikel diskutierte System generiert in diesem Zusam-menhang digitale Signaturen und wird nach Aussage der Autoren eine wichtige Rolle für die Sicherheit beim Online-Banking spielen, siehe [Hu09, S. 3].

Ein weiteres Authentifizierungsverfahren, das auf Dynamic Key Generation (DKG) und Group Key (GK) basiert, ist in [Dand07a] diskutiert sowie dessen Weiterentwicklung mit der Integration des Internet Banking Payment Protocol (IBPP), das eine separate

Authen-tifizierung für jede einzelne Transaktion beinhaltet, siehe [Dand07b]. Eine zusätzliche Au-thentifizierung für jede einzelne Transaktion ist ebenfalls in [Alzo08] beschrieben. Ein ähn-liches Protokoll zur Authentifizierung ist das Transport Layer Security (TLS) Protokoll, das z.B. in [Badr07] oder [Herz08] erläutert wird. In den Artikeln ist kein Hinweis enthalten, ob das Verfahren bereits in der Praxis eingesetzt wird.

Einen anderen Ansatz zur Authentifizierung beinhaltet die Arbeit von [Dham05]. Hierbei muss der Anwender beim Einloggen sowie vor dem Ausführen einer Transaktion be-stimmte vertraute Bilder verifizieren, die ihm vom System mittels Zufallsgenerator vorge-schlagen werden, siehe [Dham05, S. 4]. Diese Methode wird beispielsweise bei der Bank of America eingesetzt [Jako08, S. 1].

In [Pate07, S. 3] dagegen wird Authentifizierung mittels Fingerabdruckerkennung vorge-schlagen.

Die Autoren von [Edge07] entwickelten ein Baumstrukturmodell, das zum Modellieren von Angriffsszenarien auf Kreditinstitute sowie zum Auffinden der effektivsten und kosten-günstigsten Schutzmethodik dient. Die Bäume sind im Rahmen der Arbeit von [Edge07]

so aufgebaut, dass im obersten Knoten das allgemeine Ziel definiert ist. In den darunter-liegenden Schichten sind jeweils Unterziele zum Erreichen des übergeordneten Ziels auf-geführt. In den Endknoten sind die jeweils zur Zielerreichung notwendigen Aktionen ge-nannt. Dabei werden in dem Artikel ein Attack Tree, der die Zielerreichung aus Sicht des Angreifers eines Online-Banking-Systems darstellt sowie ein Protection Tree, der die Ziele aus Sicht der Sicherheitsbeauftragten eines Online-Banking-Systems definiert, beschrie-ben. Die einzelnen Knoten der Bäume beinhalten drei Metriken. Diese Metriken sind die Wahrscheinlichkeit der jeweiligen Zielerreichung als Wert zwischen 0 und 1, die Kosten der Zielereichung in US Dollar sowie die Auswirkungen auf das Online-Banking-System auf einer Skala mit einer Größenordnung von 1 - 10. Die Werte dieser Metriken werden von entsprechenden Experten für jeden Knoten manuell festgelegt. Anhand dieser Struk-turen können z.B. die Kosten für eine Schutzwahrscheinlichkeit von 50% des kompletten Systems ermittelt werden oder die Schutzwahrscheinlichkeit bei einem Sicherheitsbudget von 900.000 Dollar. Eine Schwäche dieses Modells ist lt. den Autoren, dass hierbei nur bekannte Angriffs- und Schutzszenarien modelliert werden können, siehe [Edge07, S. 2].

Für das Ziel, dem Problem des Identitätsdiebstahls beim Online-Banking und bei Kredit-kartenzahlungen besser begegnen zu können, tauschen Online-Banken aus mittlerweile 130 Ländern im dafür gegründeten RSA eFraudNetwork Informationen zu identifizierten Betrügern wie z.B. verdächtige IP-Adressen aus, siehe [Zhan09, S. 2]. Zu diesem Zweck wurde z.B. das Incident Object Description Exchange Format (IODEF) erweitert (das

IO-maßnahmen, siehe [Cove08]). Das Ziel ist, den Informationsaustausch bezüglich Phis-hingfällen und anderen Arten von Internetbetrug auf Basis einer XML-Struktur zu unter-stützen [Cain09].

Laut den Aussagen aus den Experteninterviews (siehe Anhang 1) setzen Kreditinstitute in Deutschland bezüglich ihrer Betrugsbekämpfungsstrategie größtenteils auf Betrugsprä-vention mittels der genannten Verschlüsselungs- bzw. Authentifizierungsverfahren anstatt auf aktive Betrugserkennung mittels Analyse der durchgeführten Finanztransaktionen.

Dennoch existieren kommerzielle Systeme zur Transaktionsüberwachung auf dem Markt.

Diese Systeme können in regelbasierte und statistische Verfahren, wie z.B. auf Basis von neuronalen Netzwerken, unterteilt werden [Slew04, S. 4].

Das amerikanische Unternehmen Fair Isaac Corp. benutzt z.B. mit seiner Lösung Falcon Fraud Manager ein neuronales Netzwerk zur Überprüfung von Kreditkartenzah-lungen [Fico09a]. Eine Erweiterung der Lösung mit der Bezeichnung Falcon ID besteht aus einer Kombination von benutzerbasierten Fragen zur Authentifizierung (Betrugsprä-vention) sowie Transaktionsanalyse mittels einem neuronalen Netzwerk (Betrugserken-nung) zur Bekämpfung von Identitätsdiebstahl beim Online-Banking [Fico09b]. Ein ande-res Unternehmen aus den Vereinigen Staaten namens ID Analytics Inc. verwendet dagegen feste Muster, die das normale Transaktionsverhalten beim Online-Banking rep-räsentieren. Passt eine Transaktion nicht in das Muster, wird sie als Anomalie und somit als Betrug eingestuft. Beide Systeme haben das Problem, dass oftmals „gutartige“ Trans-aktionen fälschlicherweise als Betrug eingestuft werden, was als false positive (d.h.

fälschlicherweise positiv klassifiziert. Umgekehrt wird bei false-negative-Bewertung ein Objekt negativ klassifiziert, das aber positiv klassifiziert werden müsste, zur genauen Beg-riffserklärung siehe [Mcdo05, S. 24; Reol07, S. 69; Bose06, S. 3]) oder VIRT-Problem bezeichnet wird, das im Abschnitt 6.1 genauer erläutert wird. [Lini05, S. 183 - 184]

Das irische Unternehmen Norkom Technologies bietet eine Lösung zur Betrugsbe-kämpfung im Online-Banking, die auf Basis von bekannten Informationen das Transakti-ons- sowie das Webverhalten des jeweiligen Kunden in Echtzeit abprüft. Mit diesem An-satz wird ermittelt, ob das gegenwärtige Verhalten mit der normalen Vorgehensweise des Benutzers übereinstimmt oder nicht. [Nork09]

In Deutschland hat sich die Inform GmbH mit ihrer Lösung Risk Shield auf Transaktions-überwachung bei kartenbasierter Zahlung spezialisiert. Dieses System basiert ebenfalls auf Vergleichsverfahren mit bekannten Betrugsmustern. [Info08]

Falls bei der Transaktionsüberwachung eine Überweisung als betrugsverdächtig einge-stuft wird, wird diese gestoppt und manuell überprüft. Besteht in diesem Zusammenhang z.B. der Verdacht der Geldwäsche, werden die gesamten Gelder des Kunden eingefroren und der Fall der Staatsanwaltschaft übergeben. Falls von dieser Instanz kein kriminelles

Verhalten nachgewiesen werden kann, werden die Gelder des Kunden im Anschluss wie-der freigegeben. Anwie-dernfalls wird ein Strafverfahren eingeleitet. [Fina08]

Nach den Aussagen aus den Interviews würde bei einem Betrugsverdacht speziell beim Online-Banking die Transaktion gestoppt und der Kunde anschließend kontaktiert. Es ist dabei aufgrund des (möglichen) Reputationsverlusts problematisch, den Kunden zu fra-gen ob die Transaktion in dieser Form gewollt ist. Falls es sich um einen Betrugsfall han-delt, wird die Transaktion – sofern noch möglich – rückabgewickelt und der Fall an die Staatsanwaltschaft übergeben.

Die Lösung dieser Arbeit untersucht bzw. überwacht die Transaktionen im Zahlungsver-kehr, wobei hier – wie im Abschnitt 1.1 erwähnt – die Analyse zur Betrugsidentifikation auf Basis von Complex Event Processing, Entscheidungsbäumen, Diskriminanzanalyse und neuronalen Netzwerken in einem Hybrid-Modell zur Betrugserkennung erfolgt. Dieses Modell wird mit seinen Bestandteilen in den Kapiteln 6, 7, 8 und 9 erläutert.