Unumkehrbare Schritte

Der Kampf gegen Betrug und Produktfälschung wird in Zukunft immer schwieriger. Jedes Mal, wenn ein Angreifer eine Schutzebene durchbricht, sind wir gezwungen, neue Mittel einzusetzen, um ihn zu stoppen. Und dieses Mal müssen wir auf biometrische Verfahren zurückgreifen.

Der Kern des Kampfes gegen Betrug und Produktfälschung besteht darin, dass der Angreifer, sobald wir ein wirksames Mittel einsetzen, dieses nicht neutralisieren kann. Der unmittelbare Effekt wird sicherlich eintreten, doch um diesen Effekt langfristig aufrechtzuerhalten, bedarf es einer sorgfältig ausgearbeiteten Strategie.

Online-Betrug wird immer raffinierter. Die Integration von Biometrie in die Schutzmaßnahmen deutet auf einen erbitterten Kampf hin. Das biometrische Arsenal wird viele Sicherheitsstufen umfassen, wobei jede höhere Stufe einen unumkehrbaren Schritt darstellt. Und wenn die Sicherheitsvorkehrungen schrittweise bis hin zur Nutzung genetischer Daten eskalieren, ist dies der letzte Schritt – und im Falle einer Niederlage bleiben keine anderen Mittel mehr.

Nun müssen wir Echtzeitbilder zur Transaktionsbestätigung nutzen. Dafür benötigen wir natürlich riesige Datenspeicher, um Bilder und biometrische Daten für Abgleich und Authentifizierung zu speichern. Selbstverständlich werden die Bilder über Informationskanäle übertragen. Was passiert aber, wenn diese Datenspeicher angegriffen, Übertragungsleitungen oder Endgeräte manipuliert werden? Dann haben Angreifer wieder Zugriff auf alle Nutzerdaten. Und wie können wir mit immer leistungsfähigeren KI-Tools sicherstellen, dass Angreifer die neue Authentifizierungsbarriere nicht überwinden?

Wir sammeln immer mehr personenbezogene Daten. Während wir die alten Daten nicht schützen können, welche Garantien garantieren dann den Schutz der neuen, massenhaft gesammelten Daten? Noch gefährlicher ist, dass Kriminelle, wenn sie Zugriff auf Bild- und biometrische Daten erhalten, sich als uns ausgeben können – nicht nur zur Authentifizierung bei Bankgeschäften, sondern auch für viele andere, bankfremde Zwecke. Sie können eine Scheinwelt erschaffen, über die wir keine Kontrolle haben und deren Identitätsdiebstahl wir nicht beweisen können.

Zunächst einmal müssen die Menschen sich darüber im Klaren sein, dass sie Schutz für sich selbst einfordern müssen, und die Verwaltungsbehörde ist dafür verantwortlich, biometrische Daten zu schützen, damit diese nicht in die falschen Hände geraten.

Wenn Banken einen irreversiblen Schritt unternehmen, müssen Verantwortlichkeiten und Gesetze zum Schutz der Menschen geschaffen werden. Die Ursache liegt in den unzureichenden technischen Maßnahmen zum Schutz personenbezogener Daten und in den oberflächlichen Richtlinien zur Zuweisung von Verantwortlichkeiten für die Datenweitergabe. Daher können Kriminelle die Schutzmechanismen leicht umgehen und die Systemkontrolle schrittweise außer Kraft setzen.

Um wirklichen Schutz zu gewährleisten, müssen Staat und Banken vor der Erhebung personenbezogener Daten klare Zusagen machen und diese präzisieren:

- Welche Verantwortung trägt die Bank, wenn biometrische Daten durchgesickert sind? Wer, welche Abteilung, ist verantwortlich, und welche Sanktionen drohen?

Welche Sicherheitsmaßnahmen sind im System implementiert, um zu gewährleisten, dass einzelne Mitarbeiter keinen Zugriff auf vertrauliche Daten haben? Das technische System muss sicherstellen, dass selbst bei Manipulation von Bankmitarbeitern (einschließlich Führungskräften) diese nicht auf personenbezogene Daten zugreifen und diese verkaufen können.

Datensicherheit ist ein gewaltiges und komplexes Thema, das selbst die talentiertesten IT-Experten nicht vollständig vorhersehen können. Eine Frist bis zum 1. Juli könnte Banken dazu zwingen, schwache, ungetestete Systeme einzusetzen, die leicht von Angreifern geknackt werden können – mit unvorhersehbaren Folgen. Wir müssen daher äußerst vorsichtig vorgehen und die Anwendung einzelner Maßnahmen testen, um neue Methoden erst dann flächendeckend einzusetzen, wenn maximale Sicherheit gewährleistet ist.

Wir müssen auch von der Welt lernen. Im Bereich Datensicherheit können wir uns Chinas Erfahrungen ansehen. Nach einer Phase flächendeckender Datenerfassung hat man dort die Tragweite der Offenlegung personenbezogener Daten erkannt und klare Gesetze erlassen, die gegen alle Datenverletzer äußerst streng vorgehen. Je wichtiger die Daten, desto größer die Verantwortung. Wenn die Verantwortung so hoch ist, kann sie niemand ignorieren.

Alle Einrichtungen, die personenbezogene Daten verarbeiten, müssen technische Schutzlösungen auf höchstem Niveau implementieren. Aus diesem Bedarf heraus haben sich Unternehmen, die sich auf Sicherheitsbewertung und die Implementierung von Sicherheitsmaßnahmen spezialisiert haben, stark entwickelt. Zahlreiche sogenannte „Einhorn“-Unternehmen sind entstanden und fördern eine dynamische digitale Sicherheitswirtschaft mit sehr hoher Qualität, die den vom Staat sorgfältig festgelegten Sicherheitsstandards entspricht.

Ein gut funktionierendes System ist dadurch gekennzeichnet, dass es den Schutz personenbezogener Daten maximiert und gleichzeitig nur ein Minimum an personenbezogenen Daten von den Personen erhebt.