Unumkehrbare Schritte

Der Kampf gegen Betrug und Identitätsdiebstahl wird in Zukunft immer schwieriger. Jedes Mal, wenn Angreifer eine Schutzebene überwinden, sind wir gezwungen, neue Mittel einzusetzen, um sie zu stoppen. Und dieses Mal müssen wir unser biometrisches Arsenal ausschöpfen.

Der Kern des Kampfes gegen Betrug und Produktfälschung liegt darin, dass der Angreifer uns nichts entgegensetzen kann, sobald wir die Waffen ergriffen haben. Sofortige Wirksamkeit ist durchaus möglich, doch langfristige Wirksamkeit erfordert eine sorgfältige Strategie.

Online-Betrugsmaschen werden immer raffinierter. Der Einsatz biometrischer Sicherheitsmaßnahmen deutet darauf hin, dass der Kampf hart wird. Die biometrische Datenbank verfügt über mehrere Sicherheitsstufen, und jede höhere Stufe bedeutet einen unumkehrbaren Schritt. Sollte die Sicherheitsstufe weiter steigen und schließlich genetische Daten erforderlich sein, wäre dies der letzte Schritt und ließe im Falle eines Scheiterns des Betrugs keine andere Verteidigungsmöglichkeit mehr.

Nun müssen wir Echtzeitbilder zur Transaktionsverifizierung nutzen. Dies erfordert natürlich riesige Datenspeicher zur Speicherung von Bildern und biometrischen Daten für Abgleich und Authentifizierung. Diese Echtzeitbilder werden selbstverständlich über verschiedene Kommunikationskanäle übertragen. Was geschieht bei einem Angriff auf diese Datenspeicher oder bei unbefugtem Zugriff auf Übertragungsleitungen oder Endgeräte? Angreifer erhalten dann erneut Zugriff auf alle Nutzerdaten. Und wie lässt sich angesichts immer leistungsfähigerer KI-Tools sicherstellen, dass Angreifer diese neue Authentifizierungsbarriere nicht umgehen können?

Wir sammeln immer mehr personenbezogene Daten. Solange wir bestehende Datenbestände nicht ausreichend schützen können, welche Garantien gibt es dann für den Schutz der riesigen neuen Datenbestände, die bereits erfasst wurden und noch erfasst werden? Noch gefährlicher ist, dass Angreifer, wenn sie Zugriff auf Bild- und biometrische Datenbestände erhalten, sich als uns ausgeben könnten – nicht nur zur Bankverifizierung, sondern auch für viele andere, bankfremde Zwecke. Sie könnten eine falsche Identität über uns erstellen, die wir weder kontrollieren noch deren Missbrauch wir nachweisen können.

Voraussetzung dafür ist, dass die Bürger sich der Notwendigkeit bewusst sind, Schutz für sich selbst einzufordern, und dass die Behörden die Verantwortung tragen, biometrische Daten zu schützen, damit diese nicht in die falschen Hände geraten.

Wenn Banken einen irreversiblen Schritt unternehmen, sind Verantwortlichkeit und Gesetze zum Schutz der Bürger unerlässlich. Die Ursache liegt in den unzureichenden technischen Maßnahmen zum Schutz personenbezogener Daten und den oberflächlichen Richtlinien zur Zuweisung von Verantwortlichkeiten bei Datenlecks. Dadurch können Angreifer diese Schutzmaßnahmen leicht umgehen und die Systemkontrolle schrittweise untergraben.

Um einen wirklich effektiven Schutz zu gewährleisten, müssen Staat und Banken vor der Erhebung personenbezogener Daten folgende Verpflichtungen eingehen und Folgendes klären:

- Welche Verantwortung trägt die Bank, wenn biometrische Daten durchgesickert sind? Wer oder welche konkrete Institution wird zur Verantwortung gezogen, und welche Strafen drohen?

Welche Sicherheitsmaßnahmen verfügt das System, um zu verhindern, dass einzelne Verbindungen auf vertrauliche Daten zugreifen? Das technische System muss gewährleisten, dass selbst bei Manipulation von Bankmitarbeitern (einschließlich Führungskräften) diese nicht auf personenbezogene Daten zugreifen und diese verkaufen können.

Datensicherheit ist ein riesiges und komplexes Thema; selbst die erfahrensten IT-Experten können nicht jede Schwachstelle vorhersehen. Eine Implementierungsfrist bis zum 1. Juli könnte Banken zwingen, schwache, ungetestete Systeme einzusetzen und sie damit anfällig für Angriffe zu machen – mit potenziell verheerenden Folgen. Wir müssen äußerst vorsichtig vorgehen und schrittweise, begrenzte Tests durchführen. Neue Methoden sollten erst dann flächendeckend eingeführt werden, wenn maximale Sicherheit gewährleistet ist.

Auch in puncto Datensicherheit müssen wir von anderen Ländern lernen; Chinas Erfahrungen sind hierfür ein gutes Beispiel. Nach einer Phase ungezügelter Datensammlung erkannte man dort die Tragweite der Offenlegung personenbezogener Daten und erließ klare Gesetze, die Datenlecks streng bestrafen. Je wichtiger die Daten, desto größer die Verantwortung. Wenn die Verantwortung so hoch ist, kann sie niemand ignorieren.

Alle Organisationen, die personenbezogene Daten verarbeiten, müssen höchste technische Schutzmaßnahmen konsequent umsetzen. Aus diesem Bedarf heraus haben sich Unternehmen, die sich auf Sicherheitsbewertung und -implementierung spezialisiert haben, rasant entwickelt. Zahlreiche sogenannte „Einhorn“-Unternehmen sind entstanden und fördern eine dynamische, qualitativ hochwertige digitale Sicherheitswirtschaft , die den von der Regierung sorgfältig festgelegten Sicherheitsstandards entspricht.

Ein gut funktionierendes System ist eines, das den maximalen Schutz der personenbezogenen Daten der Bürger gewährleistet und gleichzeitig nur ein Minimum an personenbezogenen Daten von ihnen erhebt.