Markt

Bildquelle: iStock.com/D3Damon

Identitätsprüfungen von Kunden: Präziser und schneller Abgleich dank KI  

Für Banken entwickelt sich die Bedrohung durch Cyberkriminalität zu einer ernsten Herausforderung. Einer aktuellen Umfrage der Boston Consulting Group (BCG) zufolge treffen Cyberattacken Finanzdienstleistungsunternehmen 300 Mal häufiger als andere Firmen. Die Kosten für den Umgang mit den Konsequenzen eines Cyberangriffs seien für Vermögensverwalter und Banken besonders hoch. Weltweit treibt etwa die sogenannte Lazarus-Gruppe, die sich auf Banken und FinTech-Unternehmen spezialisiert hat, seit Jahren ihr Unwesen. Vor allem in Afrika, Asien und Südamerika kam es zu Angriffen. Die Täter werden unter anderem für den Diebstahl von 81 Mio. US-Dollar von der Zentralbank in Bangladesch im Jahr 2016 verantwortlich gemacht.

Das russische Softwareunternehmen Kaspersky Lab arbeitete im Rahmen einer Analyse heraus, wie die Gruppe bei ihren Taten genau vorgeht. Zunächst dringe sie in ein einzelnes System innerhalb der Bank ein. Dies erfolge entweder über einen Code mit Schwachstellen, etwa auf einem Webserver, oder über ein Schadprogramm, das auf einer legitimen Webseite implantiert werde, auf die die Opfer, in diesem Fall die Bankangestellten, mit ihren Computern zugreifen können. Dabei werde Malware heruntergeladen, die weitere Komponenten nachladen könne. Danach wandere die Gruppe zu den weiteren Hosts der Bank und installiere dort Malware, die ein beliebiges Kommen und Gehen der Angreifer zulasse.

Betrüger mit fundierten IT-Kenntnissen
Laut Kapersky Lab untersuchen die Täter anschließend über Tage und Wochen das Netzwerk und identifizieren die für sie wertvollen Ressourcen. Das könne ein Backup-Server sein, auf dem Authentifizierungsinformationen abgelegt würden, ein Mail-Server beziehungsweise der komplette Domain Controller mit den Schlüsseln zu „jeder Tür“ im Unternehmen, oder ein Server, auf dem Prozessaufzeichnungen der Finanztransaktionen gespeichert würden. Schließlich werde eine spezielle Malware installiert, die die internen Sicherheitsfunktionen der Finanzsoftware umgeht und ihre betrügerischen Transaktionen im Namen der Bank ausführt. Die Methoden der Betrüger lassen auf fundierte IT-Kenntnisse schließen.

Doch wie lässt sich die Sicherheit in der Finanzdienstleistungsbranche erhöhen? „Am Einsatz von Künstlicher Intelligenz (KI) führt hierbei kein Weg vorbei“, betont Frank S. Jorga, Gründer und Geschäftsführer des u.a. für Banken und Versicherungen tätigen Dienstleisters WebID Solutions, im Gespräch mit der Redakton von KINOTE. Die Firma setzt im Rahmen des Know-Your-Costumer (KYC)-Pozesses das Video-Ident-Verfahren ein. Der Kunde hält während eines Internettelefonats einem Mitarbeiter seinen Ausweis in die Kamera, der dann mit dem Gesicht des Kunden verglichen wird. Pro Tag werden durch WebID rund 10.000 Video-Identifikationen durchgeführt. Die Identifikation selbst dauert nur wenige Minuten. Der Ausweis kann laut Jorga mit einer zusätzlich integrierbaren speziellen Software auf Basis von KI auf seine Echtheit überprüft werden. Hierbei greift die Firma auf eine Datenbank mit knapp 7.000 Ausweisdokumenten von Krankenkassenkarten bis hin zu Personalausweisen zurück.

Vollautomatisierter Abgleich
Das auf KI basierende Programm gleicht innerhalb von Sekunden den Ausweis mit den gespeicherten Ausweisdokumenten ab. Eine zusätzliche Option ist dabei der biometrische Abgleich eines Portraitfotos mit dem Foto auf dem Ausweisdokument. Nach erfolgter Identifikation leitet WebID die Nutzerdaten verschlüsselt an den Geschäftspartner, etwa eine Bank oder einen Finanzdienstleister, weiter. Der manuelle Abgleich von Gesichtern durch den Menschen sei aktuell noch präziser, betont Jorga. Es werde aber auch dank der weltweiten Forschung zahlreicher Unternehmen nicht mehr lange dauern, bis KI-unterstützte, automatische Verfahren den Menschen überholen.

Was wie ein autonomes Wunderwerk der Technik daherkommt, ist am Ende jedoch im hohem Maße auf menschlichen Input angewiesen. Eine noch so ausgeklügelte KI kann Betrug erst dann erkennen, wenn sie zuvor mit entsprechenden Betrugsszenarien vertraut gemacht worden ist. Jede KI müsse daher mit Erfahrungsdaten bestückt werden, erläutert Jorga. Doch was ist, wenn die Maschine mit einer Attacke konfrontiert wird, die ganz anders geartet ist als alle bisherigen? Jorga glaubt zwar nicht, dass eine KI jemals antizipieren könne, was Betrüger in Zukunft alles für Szenarien aufbauen würden – zumindest nicht nach heutigem Stand der Technik. Allerdings handele es sich bei den meisten Angriffen selten um gänzlich neue Betrugsversuche, sondern in der Regel um leichte Varianten älterer Betrugsansätze – und diese könne KI sehr wohl erkennen.

Mehr Spezialisten in Behörden notwendig
Zwar sind die Banken aufgrund vieler regulatorischer Vorgaben dazu gezwungen, sich vor Cyberattacken wirksam zu schützen. Und in der Regel erfüllen die Institute auch die strengen gesetzlichen Vorgaben. Doch leider bestünde die Ungewissheit, dass die Bestimmungen der Aufsicht oft nicht alle Risiken der Cyberkriminalität abdeckten, führt Jorga aus. „Die Finanzinstitute und die Regulierer hinken den Cyberkriminellen zum Teil noch hinterher.“ Notwendig seien daher mehr Spezialisten in den Behörden, die sich mit dem Thema Cyberkriminalität beschäftigten.

Nun stellt sich die Frage, was die Maschine besser kann als der Mensch und wo der Mensch der Technik überlegen ist. Für den Mitgründer des Ident-Dienstes IDnow, Dennis von Ferenczy, ist der Fall klar: „Die Künstliche Intelligenz ist bei der Erkennung, Bewertung und Verarbeitung von Ausweisdokumenten genauer. Zum Beispiel beim Auslesen von Daten und dem Abgleich von Sicherheitsmerkmalen“, erläutert er im Gespräch. Die Maschine könne eine große Anzahl von Daten in Echtzeit auswerten und Auffälligkeiten erkennen sowie Gegenmaßnahmen einleiten.

Der Mensch habe seine Stärken gegenüber der KI im Bereich Intuition und Psychologie. Eine KI könne derzeit noch nicht erkennen, ob sich jemand ungewöhnlich verhält oder aufgeregt ist. Sie sei auch nicht in der Lage, psychologische Fragen zu stellen beziehungsweise bestimmte Verhaltensmuster, die sich in Antworten ausdrücken, richtig zu deuten. „Deshalb setzen wir neben KI auch speziell geschulte Ident-Spezialisten in unserem Sicherheitsprozess ein und können somit in Kombination ein hohes Maß an Sicherheit erzielen“, erläutert Ferenczy.

Netz bietet Tätern Anonymität
Von deutlich steigender Internetkriminalität geht Uwe Stelzig, Vorstandschef der Identity Trust Management AG, einem Anbieter von Dienstleistungen im Bereich KYC und Identifikationslösungen, aus. Angriffe aus dem Netz hätten für die Täter den großen Vorteil, für eine relativ lange Zeit anonym bleiben zu können. „Wenn man eine Bank überfallen möchte, muss man da selbst hingehen. Fährt man hingegen eine Cyberattacke gegen eine Bank, lässt sich der Angriff über Serverstrukturen so verteilen, dass die Nachverfolgung oft fast unmöglich wird“, erklärt Stelzig auf Anfrage. Zwar könne mit KI in den nächsten Jahren die Zahl der Cyberattacken zunächst wohl nicht signifikant gesenkt werden. Doch mit der immer ausgereifteren Technologie ließe sich zumindest die finanzielle Höhe der Schäden durch sofortiges Erkennen und Verhindern von anormalen Transaktionen mittelfristig durchaus senken, so seine Einschätzung.

Stelzig weist zudem darauf hin, dass der Einsatz von KI immer mit einer Datenschutzfolgeabschätzung einhergehen müsse. Maßgeblich hierfür sei Artikel 35 der Datenschutzgrundverordnung (DSGVO): „Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.“ Laut Stelzig muss geklärt werden, ob Entscheidungen getroffen werden, die für die Betroffenen eine erhebliche Beeinträchtigung darstellten: „Das ist letztlich eine Herausforderung für das Compliance Management einer Bank“, resümiert er.

Gesprächspartner

Frank S. Jorga ist Gründer und Geschäftsführer des u.a. für Banken und Versicherungen tätigen Dienstleisters WebID Solutions.
Dennis von Ferenczy ist Mitgründer des Ident-Dienstes IDnow.

Uwe Stelzig ist Vorstandschef der Identity Trust Management AG, einem Anbieter von Dienstleistungen im Bereich KYC und Identifikationslösungen.

Stichworte

Verwandte Artikel

Anzeige

Lexikoneinträge