Ist das Bankkonto erst einmal eröffnet, haben Kriminelle die erste große Hürde genommen. Denn ab diesem Zeitpunkt ist es für sie deutlich leichter, sich über das Internet große Geldsummen zu erschleichen. Bei der Kreissparkasse in Waiblingen wehrt den Anfängen des Identitätsbetrugs daher seit diesem Jahr eine neue Software. Bislang mussten die Mitarbeiter:innen selbst beurteilen, ob der Ausweis eines Kunden echt ist. Doch das war vor allem bei Dokumenten aus fernen Ländern nicht immer leicht.
Nun erkennt das Programm „Zak Veriscore“ die wichtigsten Echtheitsmerkmale von rund 1.300 Ausweisen, die für die Legitimation von Bankgeschäften anerkannt sind. Außerdem überprüft sie die Daten in Echtzeit auf Plausibilität und erinnert den Mitarbeiter daran, das Passfoto im Ausweis mit dem Gesicht des Kunden zu vergleichen. Schon einige Male hat die Software nach Angaben der Sparkasse Alarm geschlagen und Ausweise zurückgewiesen. Ob sie wirklich falsch sind, entscheiden allerdings Forensiker.
Mit der automatisierten Ausweiserkennung reagiert die Sparkasse auf eine Zunahme von Bedrohungen durch Identitätsbetrug. Denn ob in der Filiale vor Ort oder aus der Ferne: „Seit dem Digitalisierungsschub durch die Corona-Pandemie sind Cyberkriminelle auf dem Vormarsch, die mit falschen oder gestohlenen Daten Konten eröffnen, etwa um einen Kredit zu beantragen”, sagt Matthias Baumhof, CTO bei der IT-Sicherheitsfirma Threatmetrix Lexis Nexis Risk Solution.
Betrugsfälle nehmen zu
Jede zwölfte Kontoeröffnung bei einem Online-Händler oder einem Finanzinstitut via Internet ist ein Betrugsversuch. So hat es eine weltweite Studie von Lexis Nexis Risk Solutions ergeben. Fast die Hälfte der fast 3.000 befragten Unternehmen (44 Prozent) geben an, in diesem Jahr von Betrugsversuchen dieser Art deutlich stärker betroffen zu sein als im Vorjahr. Nur jede fünfte Organisation verzeichnet einen Rückgang.
Wie funktioniert der Betrug? Oft kapern Cyberkriminelle bereits existierende Kundenkonten. Sie hacken zunächst zum Beispiel per Phishing das E-Mail-Konto eines Kunden, um so die Zugangsdaten zum Bank-Account mitzulesen. Damit Kontoinhaber:in oder das Unternehmen nichts bemerkt, werden Kontoinformationen, Passwörter und Benachrichtigungseinstellungen des Bank-Kontos geändert. Nun plündern die Cyberkriminellen das Konto oder lassen sich einen Kredit ausbezahlen.
Banken tauschen sich selten über Betrug aus
Eine andere Variante: Besonders schnell auf dem Vormarsch ist laut Lexis Nexis Risk Solution der Betrug mit synthetischen Identitäten. Betrüger:innen erwecken dabei ihre erfundene Person zum Leben, indem sie Ausweise und andere Dokumente fälschen und Social-Media-Profile faken. So unterwandern sie die Checks der Banken. Betrüger:innen schrecken auch nicht vor dem persönlichen Besuch im Geldhaus zurück, um Vertrauen zu erwecken. Expert:innen sehen zudem die Möglichkeit, dass in Zukunft auch Deepfakes dabei helfen können, die Identitätsverifikationsverfahren auszutricksen (Background berichtete).
Gelingt es ihnen, ein Konto zu eröffnen, führen sie es einige Monate wie ganz normale Kunden, um Kreditwürdigkeit aufzubauen. Erst dann beantragen sie beispielsweise ein Darlehen, um dann mit dem kompletten Auszahlungsbetrag unterzutauchen. Diese Art von Betrug fällt später auf als ein Betrug mit gestohlener Identität, weil sich kein geschädigter Kunde beschwert. Das US-Magazin „Forbes“ schätzt, dass 20 Prozent aller Kreditverluste auf synthetischen Identitätsbetrug zurückzuführen sind. Dem Bundesverband deutscher Banken liegen nach eigenem Bekunden allerdings zu Cyberbetrug bei Kreditanträgen hierzulande „keine speziellen Informationen“ vor.
Im sogenannten Fraudpool der deutschen Auskunftei Schufa jedoch hinterlegen rund 80 deutsche Banken und Finanzdienstleister angezeigte Betrugsfälle und Betrugsversuche. Die Gesamtzahl der Fälle der Kategorie „Identität” wuchs im Jahr 2021 um rund 800 auf 7.200 Fälle. Bis zum Stichtag 11. Dezember 2022 kamen noch einmal 2.050 Fälle hinzu. Das entspricht einer Steigerung um gut 150 Prozent allein in den ersten elf Monaten des Jahres 2022.
Ein Mittel, um der anrollenden Welle von Identitätsbetrug zu begegnen, macht Experte Baumhof im Erfahrungsaustausch der Banken untereinander aus. „Dies geschieht im Vergleich zu anderen Ländern noch zu selten. So könnten sie zum Beispiel als betrügerisch enttarnte Endgeräte auf eine schwarze Liste setzen.“ In den Niederlanden tauschen sich Finanzinstitute zum Beispiel informell zu Cybersicherheitsrisiken aus, hört man im Hintergrund.
Baumhof sieht auch technischen Nachholbedarf. „Längst nicht alle Finanzinstitute prüfen die Identität von Kreditantragstellern ausreichend“. Er empfiehlt einen mehrschichtigen Ansatz. Banken können prüfen, ob das Gerät bekannt ist, von dem aus eine Anmeldung erfolgt. Sie können checken, wo die Anfrage stattfindet und ob Ortsangaben mit den eingegebenen Daten übereinstimmen. Und sie können Verhaltensbiometrie einsetzen.
Spagat zwischen Service und Sicherheit
Dabei verfolgt Software, wie sich ein:e Nutzer:in physisch etwa bei einer Kreditantragstellung verhält. „Kein Mensch würde etwa seinen Nachnamen copy-pasten”, nennt Baumhof ein Beispiel für ein Alarmsignal, bei dem die Software anschlagen würde, weil sie einen Identitätsdiebstahl annimmt.
Gerade bei Online-Anträgen wandeln Banken auf einem schmalen Grat zwischen Sicherheit und Kundenservice: Sind Sicherheitsabfragen zu aufwändig, können Kunden dies als lästig empfinden und abspringen. Sind sie zu lax, drohen Betrugsfälle. Oft entscheiden sich Finanzinstitute für das Risiko und unterschätzen das Bedürfnis der Kunden nach Sicherheit.
„Viele Banken versuchen, durch günstige Angebote neue Kunden zu gewinnen, dabei kann gerade der Betrugsschutz ein entscheidender Wettbewerbsfaktor sein”, sagt Jens Dauner, Vice President des Bankensoftware-Anbieters Fico. Denn tatsächlich ist für 36 Prozent der befragten Bankkunden der Schutz vor Betrug das wichtigste Kriterium bei der Eröffnung eines Kontos, hat das Unternehmen in einer Studie herausgefunden. Nur 29 Prozent erachten eine einfache Bedienbarkeit als wichtigstes Merkmal.