Allerdings sind nicht nur Kunden, sondern auch Hacker auf die neuen Online-Services aufmerksam geworden. Damit Betrugsversuche böswilliger Angreifer bereits in den Anfängen erkannt und verhindert werden können, setzen Finanzinstitute bei der Erkennung und Verhinderung von Betrug zunehmend auf verhaltensbasierte Algorithmen. Mit den so genannten Behavioral Biometrics können sie:
- Betrug anhand von Normabweichungen im Verhalten des Nutzers erkennen,
- frühzeitig automatisiert Aktionen auslösen, die den Betrugsversuch verhindern, und somit
- das Betrugsrisiko minimieren. Dies kann als differenzierendes Wettbewerbsmerkmal entscheidend sein, wenn ein Kunde z. B. bei der Absicherung seiner Kreditkarte grossen Wert auf proaktive Sicherheit legt.
Den digitalen Fingerabdruck entschlüsseln
Mit Hilfe von Sensoren auf dem Smartphone oder Codes auf Websites können Unternehmen Tausende von Datenpunkten (Verhaltensbiometrie) sammeln, um zu verifizieren, ob ein digitaler Benutzer tatsächlich die Person ist, die sie zu sein vorgibt. Die verhaltensbiometrische Datenerfassung läuft darauf hinaus, dass quasi ein digitaler Fingerabdruck erstellt wird. Am Computer werden Mausbewegungen, Tastatureingaben, deren Geschwindigkeit und Festigkeit, aber auch individuelle Verhaltensmuster wie Zögern, spezifische Klickbewegungen oder Pfade erfasst. Auf mobilen Geräten (z.B. Handy, Tablet) entspricht dies persönlichkeitsspezifischen Fingerbewegungen beim Swipen oder Tippen. Denn Fakt ist: Die Art und Weise, wie jemand auf einem Display oder einer Tastatur drückt, scrollt und tippt, kann so einzigartig sein wie der Fingerabdruck oder die Gesichtszüge.
Die Verhaltensbiometrie vergleicht das spätere Verhalten des Benutzers mit dem Verhaltensfingerabdruck, der in seinem Profil gespeichert ist. Je grösser die Ähnlichkeit zwischen dem Profil und der Aktivität des Benutzers, desto weniger muss sich die Bank um die Identität und Absicht des Benutzers kümmern. Ein geringerer Ähnlichkeitsgrad rechtfertigt zusätzliche Authentifizierungsebenen, bevor der Benutzer Zugriff auf die Online- oder Mobil-Plattform erhält. Die verhaltensbiometrische Erkennnungsmethode liefert eine Mehrkanallösung, die sowohl für Smartphone- und Tablet-Nutzer als auch bei nicht mobilen Geräten funktioniert.
Breiter Einsatz und umfassende Prüfregeln
Bezüglich der Einsatzfelder bieten sich sämtliche Formulare an: sei dies beim Online-Banking, bei der Online-Hypothek, bei Adressanpassungen im Kundenportal (die insbesondere für Betrüger bei Änderungen der Mobilnummer attraktiv sind, da sie die SMS zur 2-Faktor-Authentifizierung abfangen können) sowie bei allen Logins.
Dabei werden in der Regel folgende Prüfungen durchgeführt:
- Stimmt der aktuelle Fingerprint mit der User History des eingeloggten Nutzers überein? Ist es also mit hoher Wahrscheinlichkeit der User selbst?
- Kann ausgeschlossen werden, dass es sich um einen Roboter (Bot) handelt?
- Weist das Klickverhalten betrügerische Auffälligkeiten im Allgemeinen – also ohne Vergleich zur spezifischen User History auf?
Neurowissenschaftliche Studien sind zum Schluss gekommen, dass sich typische betrügerische Verhaltensweisen bei Tastatur- und Mausbewegungen nachweisen lassen. Ähnlich wie bei der Kinderfigur Pinocchio die Nase rot wird beim Lügen, können ein Zögern in der Mausbewegung oder ein mehrfaches Korrigieren einer Feldeingabe böswillige Absichten entlarven.
Ziel dieser Analysen ist es, Betrug zu erkennen und abzuwenden. Zum Beispiel kann der Authentifizierungsprozess gestoppt und der Bankingprozess nicht begonnen oder fortgeführt werden. Analog zur Kreditkartenbetrugserkennung kann der Nutzer seine Telefonnummer hinterlegen und wird bei verdächtigen Bewegungen zur Verifizierung angerufen. Damit können Finanzinstitute ihre Kunden, aber auch ihr eigenes Business und ihre eigene Reputation schützen.