Thought Leadership
Mehr Sicherheit bei Kundenkonten und Transaktionen? Viele Verantwortliche versuchen dieses Ziel durch ein Mehrschichtsystem aus Authentifizierungstools zu realisieren und schädigen damit die Customer Journey. Das muss so jedoch keineswegs sein.
Mit passiven Sicherheitsarchitekturen, einer risikoabhängigen Authentifizierung und KI-gestützten Modellen können Unternehmen eine einfache Identifikation erreichen, ohne dabei zusätzliche Risiken in Kauf zu nehmen.
MFA-Fatigue – was sich im ersten Moment wie ein medizinisches Krankheitsbild anhört, ist eine Technologieerfahrung, von der immer mehr Nutzer berichten können: komplizierte Passwörter und mehrstufige Anmeldeverfahren (Multi-Faktor-Authentifizierung) sorgen im Alltag für Frust. Sie sind die logische Konsequenz aus den stetig steigenden Risiken bei der Cybersicherheit und haben dabei doch erhebliche, negative Auswirkungen auf ein komfortables Kundenerlebnis. Das bestätigen aktuelle Studienergebnisse: mehr als 60 Prozent der Befragten in der DACH-Region waren 2024 mit der Verwaltung ihrer Passwörter und Logins überfordert.
Denkt man diese Entwicklung für die kommenden Jahren perspektivisch weiter, so stellt sich die grundlegende Frage, ob im Zeitalter von Künstlicher Intelligenz (KI) und Deepfakes überhaupt eine Betrugsprävention denkbar ist, die nicht auf Kosten des Kundenerlebnisses realisiert wird. Keine Lösung jedenfalls sind Abstriche bei der Cybersicherheit. Unternehmen müssen die steigenden Risiken von Online-Betrug ernst nehmen und die Verbraucher angemessen schützen.
Ob Fake-Banken, Kontoübernahmen oder Deepfake-Betrug – Sicherheitsbehörden warnen zu recht vor dem ausgeklügelten Vorgehen von Cyberkriminellen, das großen finanziellen Schaden verursacht. Die Europäische Bankenaufsicht (EBA) ermittelte für 2022 ein Schadensvolumen von über 4 Milliarden Euro.
Geheime Netzwerke von Cyberkriminellen
Anders als bei vielen Diebstahldelikten im Einzelhandel oder auf der offenen Straße, stecken hinter digitalem Betrug meist keine planlosen Zufallstaten, sondern mafiöse Strukturen. Über ihre Netzwerke im Dark Net erlangen Cyberkriminelle wertvolle Informationen über Schwachstellen, die sie dann strategisch für sich nutzen. Ganz gleich ob sie mit gefälschten Identitäten Neukonten erstellen oder bestehende Konten mit Deepfakes kapern – in dem Moment, in dem der Betrugsfall im Unternehmen sichtbar wird, haben sie bereits monatelange Vorarbeit geleistet. Wenn das Geld dann den Besitzer wechselt, ist es für Gegenmaßnahmen vielfach zu spät.
Eine Betrugsbekämpfung, die die Kompromittierung bereits im Moment des Entstehens erkennt und verhindert, ist deshalb die effektivste Gegenmaßnahme. Um das zu erreichen, haben viele Unternehmen in den letzten Jahren die Zahl der Sicherheitsmaßnahmen Schicht für Schicht erhöht. Doch genau das wirkt sich, negativ auf die Customer Experience aus. Es zählt daher zur Königsdisziplin in der Cybersicherheit, mit einem integrativen Technologie-Stack ein Plus an Sicherheit nicht auf Kosten des Kundenerlebnisses zu realisieren.
Passive Betrugsprüfung stärkt Hintergrundsicherheit
Ein zentraler Anker für die Gestaltung eines kundenfreundlichen Identifikationsprozesses sollte das Konzept einer passiver Sicherheitsarchitektur sein. Im Gegensatz zu aktiven Authentifikationssystemen, wie beispielsweise der Multi-Faktor-Authentifizierung, arbeiten diese Systeme im Hintergrund. Sie analysieren im Anmeldeprozess beispielsweise die biometrischen Informationen, die sich aus der Tippgeschwindigkeit oder den Mausbewegungen ableiten lassen, sowie technische Informationen zum Gerät oder dem Standort. Anomalien in diesen Daten können dann für erweiterte Sicherheitsprüfungen genutzt werden.
Für Kunden selbst bedeuten diese passiven Sicherheitstools auch ein größeres Maß an Freiheit. Wenn alle Regler auf grün stehen, können die Systeme etwa automatisch die Sitzungsdauer verlängern. Das erspart eine mehrfache Neuauthentifizierung, wenn sie aus Sicherheitsgründen nicht notwendig ist und Kunden damit unnötig stört.
Risikoabhängige Authentifizierung statt Nivellierung
Nur wenn Sicherheitsarchitekturen in der Lage sind, individuelle Kundenrisiken korrekt zu identifizieren, können Sicherheitsteams die Nivellierung von Risiken beenden. Anstatt also alle Kunden in einen Topf zu werfen, werden sie anhand ihres tatsächlichen Risikos differenziert. Dadurch lassen sich Hochrisikoszenarien mit entsprechenden Hürden versehen, ohne dass pauschal der Authentifizierungsaufwand steigt. Das entspricht auch den Erwartungen der Nutzer. In einer Studie bestätigten beispielsweise 38 Prozent der Verbraucher, dass sie mehr Sicherheitsmaßnahmen bevorzugen, wenn sie mit einem neuen Gerät auf ihr Bankkonto zugreifen. Ein ähnliches Ergebnis zeigte sich bei großen Transaktionssummen.
Um diese spezifischen Risiken richtig zu erkennen, bietet sich der Einsatz eines integrativen Technologie-Stacks aus Verhaltensanalysen und Step-Up-Systemen an. Erstere können die Lebendigkeit von Nutzern auch in Zeiten von Deepfakes erkennen. Zweitere werden genutzt, um situationsabhängig zusätzliche Verifizierungsschritte zu initiieren – beispielsweise bei größeren Transaktionssummen automatisch eine MFA oder Biometrie einzuleiten
Selbstlernende Modelle gegen non-statische Bedrohungen
Von heute auf morgen kann sich das Risiko bestimmter Individuen, Technologien oder Verfahren ändern. Je länger Systeme dann für eine Neukalibrierung benötigen, umso geringer ist das Schutzniveau, dass sich durch ihren Einsatz erzielen lässt. Eine dynamische Anpassung an Risikoveränderungen ist damit für die Cybersicherheit von großer Bedeutung.
Hierfür kommen vermehrt Tools des maschinellen Lernens zum Einsatz, die dynamische Risikobewertungen durchführen. Stellen sie ein steigendes Sicherheitsrisiko fest, können automatisiert strengere Authentifizierungsverfahren initiiert werden – beispielsweise CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart)-Prüfungen, die in verdächtigen Situationen aktiv werden.
Dieser dynamische Ansatz sollte auch nicht auf den Login-Prozess beschränkt bleiben. Wenn er über alle Touch Points der Customer Journey ausgerollt wird, können die Systeme verdächtige Aktivitäten von der Registrierung bis zum Bezahlvorgang erkennen. Damit haben Sicherheitsteams ein effektives Gegenmittel in der Hand, um viele Betrugsszenarien noch in ihrem Entstehungsprozess zu verhindern – beispielsweise Session Hijacking im Prozess der jeweiligen Sitzung zu identifizieren, den Kunden zu informieren und den Zugriff automatisch zu beenden.
KI im Kampf gegen KI-gestützte Bedrohungen
Längst hat sich gezeigt, dass Cyberkriminelle mit KI-gestützten Tools schnelle Erfolge erzielen können. Doch wie jede Technologie spielt auch KI nicht nur den Angreifern in die Karten. Verteidiger können sie ebenfalls für die eigene Mission nutzen: Mit Algorithmen lassen sich subtile Muster in großen Datenmengen erkennen, um legitime Nutzer von Bots zu unterscheiden. Und auch Bot-gestützte Angriffsmuster wie Brute-Force-Anmeldeversuche werden von Bots zielsicher erkannt. Das stärkt das Kundenvertrauen und beendet damit den klassischen Mythos, dass Unternehmen zwischen sicheren Technologien und einer komfortablen Customer Journey wählen müssen.
