Fraud Prevention im Onlinehandel

Menschen mit einer Prise Bereicherungsabsicht gepaart mit einem Flair für Internettechnologien und unmoralischer Wertvorstellung sind gesuchte Mitglieder in den Clans der Cyberkriminellen. Das Wettrüsten hat längst begonnen. Wie stehen die Chancen?

Das Thema Cyber Security, Hacking und Fraud im Internet ist in aller Munde. Das Thema ist nicht nur wichtig und dringend, sondern auch sexy und im Trend von Social Media, von Influencern sowie von echten und pseudo Security-Experten. Kein Blockbuster, James Bond oder Wallander kommt mehr ohne den Cyberspion aus und die USA sowie viele weitere Länder haben den Cyber Space zur militärischen Zone erklärt.

In der Schweiz laufen auf Stufe Bund bezüglich Cyber Crime die Fäden primär bei MELANI [1] und Fedpol [2] zusammen. Der Bund intensiviert heuer seine Anstrengungen bei der Prävention und Bekämpfung von Cyberrisiken durch die Einführung von einem "Mr. Cyber" [3]. Florian Schütz, ehemaliger Mitarbeiter der RUAG und Ex-Security-Verantwortlicher bei Zalando, konnte für diese Aufgabe gewonnen werden. Das Thema Cyber Security ist also nicht nur ein TV-Krimi, sondern ein ernstes Thema.

Der Titel dieses Beitrags richtet sich spezifisch auf die Verhinderung von betrügerischen Aktivitäten im Onlinehandel und grenzt sich von anderen Hackermethoden wie Ransomware und Verschlüsselungstrojaner ab. 99% der Onlinehandelssysteme basieren darauf, dass sich der Kunde mit seinem Browser (Chrome, Firefox, Edge, Safari, MobileApp) mit einer Webseite verbindet, um dort Produkte zu wählen und nach Hause liefern zu lassen.

Die Hacker, die diese Systeme angreifen, haben schnell gelernt, dass der direkte Angriff auf die Infrastruktur der Handelsplattform aufwändig und schwierig ist. Es gibt zwar immer wieder Berichte über erfolgreiche Firmenhacks, gestohlene Kreditkarten usw., bei welchen die Hacker einen Weg für den unerlaubten Zugang in die IT-Infrastruktur von Firmen gefunden haben. Bei 99% der Fälle versuchen Hacker jedoch, die Menschen (End User) zu überlisten und sich an deren PCs, Laptops oder Handys zu bereichern oder illegale Zahlungen in den Onlinesystemen einzustellen.

Aus der Sicht einer Handelsplattform ist es ein sehr schwieriges Thema, denn die Endgeräte sind in der Verantwortung der Kunden und vielleicht schlecht gewartet, ohne Updates usw. In anderen Worten: Die Handelsplattform muss das Endgerät eines Kunden als unsicher betrachten und gedanklich davon ausgehen, dass dieses Gerät bereits von einem Cyberkriminellen genutzt wird.

Doch was wäre, wenn sich eine Handelsplattform merken könnte, wie der Mensch eine Webseite oder App benutzt, in welcher Geschwindigkeit bei der Erfassung einer Zahlung getippt oder in welcher Reihenfolge ein Kauf getätigt wird? Hätte eine Handelsplattform dieses Wissen, so hätten es die Cyberkriminellen echt schwer. Die Analyse der Tippgeschwindigkeit sowie des Klick- und Userverhaltens ist keine Theorie, sondern wird bei vielen Onlinehandelsplattformen bereits als Fraud Detection System eingesetzt. Anhand des Benutzerverhaltens kann ein Missbrauch verhindert werden. Das ist ein mächtiges Werkzeug bei der Verteidigung. Aber der Krimi und das Wettrüsten geht weiter, denn die Hacker haben rückläufige Gewinne und setzen alles daran, in der Zukunft einen Schritt voraus zu sein und diese Fraud Detection Systeme auszutricksen.

Es bleibt also spannend – denn wir sind erst am Anfang! Mit der zunehmenden Digitalisierung und der Nutzung von Machine-Learning-Algorithmen werden die Chancen für Angreifer und Verteidiger exponentiell gesteigert. Für die IT-Branche ist es so oder so ein gutes Geschäft. Die Softwareentwickler sind Michelangelos und Rockstars der Zukunft. Security ist ein Prozess – und wir können nicht stehenbleiben. Die vielen Opportunitäten des digitalen Zeitalters haben ihren Preis und es sei daran erinnert, dass der Cyber Space nur ein Abbild der Realität darstellt. Betrug in der Realität gibt es schon, seit es Menschen gibt – vielleicht das zweitälteste Geschäftsmodell. Bleiben Sie dran.

Ivan Bütler referiert anlässlich der Connecta Bern zu diesem Thema.