Forschungsprojekt :Betrugsschutz beim Online-Banking
Das Forschungsvorhaben
Online-Banking ermöglicht Privatpersonen und Unternehmen die Abwicklung von alltäglichen Bankgeschäften ohne Medienbruch und über die normalen Öffnungszeiten der Banken hinaus. Die Anzahl an Privatnutzern des Online-Bankings steigt und allein in 2016 erledigten bereits 38 Millionen Deutsche ihre Bankgeschäfte online.
Durch illegale Aktivitäten, wie etwa den nicht autorisierten Zugriff auf Bankkonten (z.B. durch Phishing) oder der schadhaften Manipulation von Online-Überweisungen, entstehen den Banken und Endbenutzern immense Schäden. Der Branchenverband BITKOM beziffert die in 2014 beim BKA gemeldeten Schäden durch Phishing in Deutschland mit über 27,9 Millionen Euro, bei einer beinahen Verdopplung gegenüber den Vorjahren. Es ist davon auszugehen, dass viele weitere Schadensfälle unbemerkt bleiben, nicht zur Anzeige gebracht werden, oder durch die Statistik nicht erfasst werden, sodass die Dunkelziffer deutlich höher ausfällt. Die über diese gemeldeten Fälle hinausgehende Dunkelziffer sowie die klar erkennbaren Trends machen die Relevanz des Finanzbetrugs in diesem Sektor deutlich.
Durch den Missbrauch des Online-Bankings entwickelt sich die Finanzkriminalität derzeit zu einer ernsten Gefahr für unsere heutige Informationsgesellschaft. Gleichzeitig ist unsere Gesellschaft mit einer Vielzahl neuer Medien konfrontiert, welche bei unzureichenden Sicherheitsmechanismen den Schaden noch weiter erhöhen können. Betrüger zielen z.B. vermehrt darauf ab, Online-Banking auf den zunehmend populären Smartphones zu missbrauchen. Ferner können vermeintlich sicherere Transaktionssysteme (z.B. mobile TAN) bereits von Angreifern umgangen werden.
Forschungsziele
In dem Forschungsprojekt wird ein ganzheitlicher Ansatz zum Schutz des Online-Bankings erarbeitet. Neben technischen Maßnahmen sollen auch gesellschaftliche Maßnahmen vorangetrieben werden. Die folgende Abbildung verdeutlicht die vier Säulen, die innerhalb des BOB-Projekts erarbeitet werden sollen:
Das Sicherheitsbewusstsein der Nutzer wird geschärft, indem Erkenntnisse aus der Risikoanalyse bestehender Sicherheitsmechanismen projektbegleitend Öffentlichkeitswirksam dargestellt werden (z.B. Zeitschriften, Radio, TV) und Nutzer, deren PCs mit Schadsoftware wie z.B. Bank-Trojaner infiziert sind, effektiv gewarnt werden.
Mechanismen zur Betrugserkennung werden erforscht, die Kriminaldelikte beim Online-Banking zeitnah aufdecken, um diese zu unterbinden oder zumindest eine Rückabwicklung veranlassen zu können. Die erforschten Erkennungsmechanismen werden komplementär sowohl beim Nutzer, als auch bei den Banken (bzw. bei deren IT-Dienstleister) eingesetzt.
Die Missbrauchsprävention beim Online-Banking wird verstärkt. So sollen die bestehenden und teils unsicheren Authentisierungsverfahren beim Online-Banking durch sicherere, wirtschaftliche und vom Nutzer akzeptierte Verfahren abgelöst werden. Dabei wird geprüft, ob digitale Identitäten wie der neue Personalausweis genutzt werden können.
Zuletzt soll die Wirtschaftlichkeit der Betrugsfälle beim Online-Banking reduziert werden, so dass Angriffe von einem wirtschaftlichen Aspekt weniger lukrativ werden.
Konzept zur Verringerung der Bedrohungslage
Nutzung von digitalen Identitäten für den Einsatz von starken Authentifikations- und Signaturverfahren (nPA, XignQA, …) beim Online-Banking.
Analyse von Banking-Malware u. – Apps als Basis für die Generierung von Wissen über aktuelle Angriffsmuster und Schwachstellen. Darauf aufbauend können nutzerseitige Schutzmechanismen entwickelt werden, wie z.B. die Erkennung von Banking-Trojanern.
Analyse der Bewegungsabläufe von Angreifern als Input für die Erkennung von bösartigen Transaktionen mittels Signatur- und Anomalie-Erkennung oder für weitere Maßnahmen zur Schaffung von bankenseitigen Schutzmechanismen, wie z.B. „Fraud Prevention Systeme“.
Wirtschaftlichkeit des Angreifers stören
Entwicklung eines effektiven Alertsystems für die kontinuierliche Bestimmung der aktuellen Gefahrenlage beim Online-Banking und darauf aufbauend eine punktuelle Alarmierung der Nutzer vor den identifizierten Angriffsmustern. Die aggregierten Kennzahlen des Alertsystems können zusätzlich als Input für bankenseitige „Fraud Prevention Systeme“ verwendet werden.
Durch Analysen mit dem Schwerpunkt auf Mensch-Maschine-Interaktion und Lernen von Nutzerstudien Maßnahmen erarbeiten, damit eine höhere Sensibilisierung der Nutzer für die bestehenden und zu erforschenden Schutzmechanismen erzielt werden kann.
Das Konsortium
Institut für Internet-Sicherheit – if(is)
Das Institut für Internet-Sicherheit – if(is) ist eine innovative, unabhängige und wissenschaftliche Einrichtung der Westfälischen Hochschule. Neben der Forschung und Entwicklung sind wir ein kreativer Dienstleister auf dem Gebiet der Internet-Sicherheit. Auch die Förderung und Weiterentwicklung der rechtlichen Rahmenbedingungen und der anwendungsbezogenen Lehre im Bereich der IT-Sicherheit sehen wir als wichtige Aufgaben unserer Einrichtung.
Ansprechpartner:
Herr Tobias Urban
Email an den Ansprechtpartner
Technische Universität Berlin
Das Fachgebiet Mensch-Maschine-Systeme ist am Institut für Psychologie und Arbeitswissenschaft der Technischen Universität Berlin angesiedelt und beschäftigt sich mit der Analyse, der Gestaltung und dem Einsatz von Mensch-Maschine-Systemen mit einem besonderen Blick auf die menschlichen Fähigkeiten und Eigenschaften.
Ansprechpartner:
Frau Dr.-Ing. Ulrike Schmuntzsch
Email an den Ansprechtpartner
Universität des Saarlandes
Die „System Security Group“, geleitet von Prof. Dr. Rossow, ist ein Teil des „Exzellenzclusters MMCI“ an der Universität des Saarlandes und beschäftigt sich mit Sicherheitsproblemen in Betriebssystemen und Netzwerken. Die Forschungsgruppe hat als einen Schwerpunkt die Analyse aktueller Schadsoftware wie z.B. Banking-Trojaner und erforschte u.a. Methoden zur Erkennung von Schadsoftware bzw. deren Kommunikation.
Ansprechpartner:
Prof. Dr. Christian Rossow
Email an den Ansprechtpartner
Fiducia & GAD IT AG
Die Fiducia & GAD IT AG ist der Dienstleister für Informationstechnologie innerhalb der genossenschaftlichen FinanzGruppe. Das Unternehmen mit Verwaltungssitz in Karlsruhe und Münster sowie Niederlassungen in München, Frankfurt und Berlin beschäftigt in der Unternehmensgruppe gegenwärtig fast 5.700 Mitarbeiter, die gemeinsam einen jährlichen Konzernumsatz von rund 1,3 Milliarden Euro erwirtschaften.
Ansprechpartner:
Herr Dr. Reinhold Pieper
Email an den Ansprechtpartner
Avira Operations GmbH & Co. KG
Mit rund 100 Millionen Kunden und fast 500 Mitarbeitern aus über 30 Ländern ist Avira ein weltweit führender Anbieter selbst entwickelter Sicherheitslösungen für den professionellen und privaten Einsatz. Avira gehört zu den Vorreitern des Freemium-Geschäftsmodells und belegen mit besten Malware-Erkennungsraten einen Spitzenplatz in der Branche – mit fast 30 Jahren Erfahrung.
Ansprechpartner:
Herr Alexander Vukcevic
Email an den Ansprechtpartner
Avira Operations GmbH
Mit rund 100 Millionen Kunden und fast 500 Mitarbeitern aus über 30 Ländern ist Avira ein weltweit führender Anbieter selbst entwickelter Sicherheitslösungen für den professionellen und privaten Einsatz. Avira gehört zu den Vorreitern des Freemium-Geschäftsmodells und belegen mit besten Malware-Erkennungsraten einen Spitzenplatz in der Branche – mit fast 30 Jahren Erfahrung.