Inspirierende Vertrauensbeziehung durch Sicherung der digitalen Identität

Digitale Identität bedeutet digital-lebendig zu sein

Stellen Sie sich die Welt der vernetzten intelligenten oder nicht so intelligenten Objekte vor, die alle Arten von Informationen mithilfe kryptischer Strukturen, Protokolle und Kanäle austauschen und so tun, als würden sie das Universum zu einem besseren Ort zum Leben machen. Ähnlich wie Menschen versuchen auch digitale Entitäten, eine Reihe von Attributen zu finden, die sie unter anderem identifizieren würden. Identität zu haben bedeutet lebendig zu sein.

Natürlich gibt es eine ISO-Definition für digitale Identität. Gemäß ISO/IEC 24760–1 bedeutet digitale Identität:

Set of attributes related to an entity.
Oder laut dem National Institute of Standards and Technology ist die digitale Identität die eindeutige Darstellung eines Subjekts, das an einer Online-Transaktion beteiligt ist.

Für die Zwecke dieses Artikels können wir digitale Identität als (eindeutige) Identifizierung eines realen Subjekts (Person) innerhalb einer bestimmten digitalen Plattform verstehen, die die menschliche Person in der Welt der Nullen und Einsen widerspiegelt.

Kein Win-Win, kein Spaß, kein Geschäft

Das primäre Ziel, warum die Unternehmen mit Menschen auf einer digitalen Plattform interagieren, ist die Generierung von Einnahmen. So einfach ist das. Im ersten Schritt müssen sie die Verbraucher irgendwie anziehen. Ja, sie nennen das lieber Attraktion. „Ich brauche dich, weil ich dein Geld brauche“ muss zugunsten potenzieller Verbraucher übersetzt werden, damit Unternehmen ein Win-Win-Modell erfinden oder zumindest vorgeben, es zu haben.

D: Wenn Sie meine Dienste in Anspruch nehmen, gebe ich Ihnen einen Vorteil, vielleicht Waren.
I: Okay, ich glaube, ich brauche Ihren Service, darf ich zu Ihnen kommen?
D: Bitte folgen Sie diesem Link und registrieren Sie sich auf meiner Plattform. Sie erhalten zusätzlich -10% auf Ihre nächste Bestellung.
Weißt du es? Hier beginnt die digitale Beziehung, hier verdienen Sie Anerkennung als digitale Identität innerhalb einer bestimmten Plattform. Jetzt sind beide Seiten glücklich, Sie erhalten Zugang zur neuen Welt, auf dem Dashboard des Marketingleiters blinkt „Sie machen das gut, die Zahl der umgewandelten anonymen Besucher in anerkannte Konsumenten wurde erhöht.“

Der Aufstieg des digitalen Identitätsbetrugs

Foto von Benjamin Lehman auf Unsplash

Die Identität kann eine Reihe von Privilegien umfassen, die im Laufe der Zeit durch verschiedene Zertifizierungen und Bescheinigungen erworben wurden. Der Diebstahl einer menschlichen Identität, die durch Personalausweis, Reisepass oder Kreditkarte bestätigt wird, ist ein Einfallstor für Angreifer zu Diensten, für die das Opfer berechtigt ist. In der digitalen Welt birgt der Zugriff auf ein verifiziertes digitales Konto das Risiko einer unbefugten Nutzung von Diensten durch den Angreifer. Kreditkarten, Kredite, Rechts- und Regierungsdokumente, Firmenvermögen sind Beispiele für Angriffsziele.

Zahlen

Laut der PWC’s Global Economic Crime and Fraud Survey für 2020 waren 47 % der antwortenden Unternehmen in den letzten 24 Monaten mit durchschnittlich sechs Fällen mit einem Betrugsvorfall konfrontiert. Identitätsbetrug, der 35 % aller Betrugsdelikte ausmacht, war die führende Straftat. Der kumulierte finanzielle Verlust der Weltwirtschaft beläuft sich auf 5 Billionen US-Dollar, mit einem Anstieg von 15 % im Jahr 2020.

Anzahl der Berichte nach Kategorie und Jahr

Die Federal Trade Kommission meldete den Anstieg von Identitätsdiebstahl um alarmierende 213 % zwischen den Jahren 2019–2020 (Datensatz). Der Identitätsdiebstahl stellt die Hauptkategorie der Cyberkriminalität dar. Das Pandemiezeitalter zwang viele Unternehmen zu einer schnellen Umstellung auf digitale Dienste, was die Angriffsfläche vergrößerte. Um ehrlich zu sein, haben viele Dienstanbieter etwas falsch gemacht, sie zwingen einfach einen Online-Dienst auf und investieren in die Sicherheit, nachdem der erste signifikante Angriff stattgefunden hat. Sie werden es wahrscheinlich nicht entdecken, sondern nur die Informationen aus lokalen Medien erhalten, wo sich die Verbraucher darüber beschwert haben.

Anzahl der Identitätsdiebstähle über Jahre

Finanzielle Vorteile sind das häufigste Ziel des Identitätsbetrugs. Kreditkarten- und Kreditbetrug gehören zu den drei häufigsten Berichten über Identitätsdiebstahl. Der Missbrauch der digitalen Identität in Bezug auf Kreditkarten betrifft nicht nur Banken und Finanzinstitute, der Großteil stammt aus anderen Anwendungsfällen, in denen Kreditkarten involviert sind – Abonnements, E-Shops, andere Online-Dienste. Wenn Sie nur eine unglaubliche Preisnachlass-Werbung in den sozialen Medien finden und Ihre Kreditkartendaten in ein unsicheres Zahlungsgateway eingeben, sind Sie wahrscheinlich bereits in Schwierigkeiten. Der mittlere Verlust pro Betrugsmeldung beträgt 311 US-Dollar (Datensatz).

Sicherheitsanalysten berichteten, dass sich der Angriffsvektor im Laufe der Jahre von kurzfristiger Durchdringung – so viel wie möglich verschwinden lassen – zu einer langfristigen Präsenz des Angreifers innerhalb einer kompromittierten Plattform verschoben hat.Um eine solche Präsenz zu ermöglichen, muss der Angreifer durch eine digitale Identität geschützt werden, die sich im Grunde ähnlich wie ein gewöhnlicher Verbraucher verhält. Höhere Intelligenzkosten, die die digitale Identität gefährden, werden durch langfristige Vorteile für den Angreifer belohnt. Die Erstellung neuer Konten und die Übernahme von Konten sind die Angriffsvektoren mit der höchsten Inzidenz.

Ich werde dich imitieren!

Stellen Sie sich folgende Situation vor: Sie möchten ein neues Auto kaufen, Sie gehen in die Bank, identifizieren sich und fragen nach Kredit-/Darlehens-/Leasingoptionen. Nach einer Weile wendet sich der Bankangestellte mit geschultem Pokerface an Sie. Ihnen wurde gesagt, dass Sie keinen Anspruch auf Geld haben, Ihr Risiko-Score ist aufgrund mehrerer kleineren Kredite aus der kurzen Vergangenheit zu hoch. Sie haben mehrere Jahre lang weder in der Bank noch in der Online-Banking-App einen Kredit beantragt, wie in der Werbung zu sehen ist, Sie haben dort nicht einmal ein Konto.

Die Tatsache, dass Sie kein Online-Banking-Konto haben, bedeutet, dass Ihre digitale Spur innerhalb der zugrunde liegenden Bank nicht oder nur in sehr begrenztem Umfang existiert. Vielleicht fühlen Sie sich sicher, wenn Sie Ihre finanziellen Verhaltensdetails nicht preisgeben, auf der anderen Seite sind die Anomalieerkennungsalgorithmen, alle Verhaltensanalysen traurig über Sie, sie kennen Sie nicht, sie können die Institution kaum warnen, wenn jemand eine digitale Identität auf Ihnen erstellt Namen mit korrekten persönlichen Informationen. Dies ist ein sehr einfaches Beispiel für Identitätsbetrug bei der Erstellung neuer Konten. Sich auf gestohlene Identitätsdaten über echte Personen verlassen, versuchen, Behörden zu überzeugen, falsche digitale Identitäten auf Angreifer abbilden und für Sie geeignete Dienste zugunsten einer anderen Person enthüllen.

Mule-Konten sind auch ein gutes Beispiel für Identitätsbetrug bei der Erstellung neuer Konten.

Kontoübernahmebetrug stützt sich auf das vorhandene digitale Identitätskonto, das wahrscheinlich seine eigene Verhaltenshistorie hat, was es für die Verhaltensintelligenz einfacher macht, es zu entdecken. Natürlich, wenn die richtige Analyse-Engine eingerichtet wurde. In Bezug auf die Komplexität ist es für Angreifer einfacher, kompromittierte Kunden-Logins zu stehlen oder zu kaufen als bei der Erstellung neuer Konten, bei denen der Angreifer die Überprüfungsbehörde davon überzeugen muss, dass das digitale Identitätskonto dem Subjekt gehört, auf das sich die Identitätsattribute beziehen. Übernahmebetrug wird hauptsächlich im Finanzsektor eingesetzt – Banken, Finanzkonten, Renten, Versicherungen, medizinische Konten, Immobilien, Prämienprogramme. Abgesehen von Finanzbetrug werfen die COVID-19-Pandemien ein Licht auf den Know-how-Betrug der Branche, bei dem die Hacker die Patente, Verfahrenspläne oder andere gesicherte Vermögenswerte des Unternehmens stehlen.

Bis Ende 2020 meldete die Federal Trade Commission mehr als 3,3 Mrd. USD. in der digitalen Welt kumulierter finanzieller Verlust. Identitätsdiebstahl macht fast 30 % der Gesamtzahl aus. Der mittlere Verlust beträgt 311 $ pro Betrug (Dateznsatz).

Ja, richtig, wenn Ihr Konto übernommen wurde, kann es Sie etwa 311 $ kosten.

Von Sicherheit inspiriertes Vertrauensbeziehung

Manche Menschen halten Vertrauen für notwendig, wenn das Wissen fehlt oder es nicht in einem sinnvollen Zeit- und Energieaufwand gesammelt werden kann. Der durchschnittliche Verbraucher Ihrer Dienste hat keine Chance zu überprüfen, ob Ihre Plattform sicher ist, also wird er/sie ohne offensichtliche Sicherheitsprobleme dazu neigen, Ihrem System zu vertrauen. So weit ist es gut. Wenn Ihre Dienste primäre oder sekundäre finanzielle Vorteile bieten, können Sie sicher sein, dass Sie früher oder später auf dem Radar von Angreifern sind. Und schon ein einzelner Account Takeover mit durchschnittlichem finanziellem Verlust kann über Jahre aufgebautes Wohlwollen bei Ihren Kunden zerstören. Eine negative Erfahrung wird attraktiver als 100.000 zufriedene Kunden.

Das 360°-Sicherheitsmodell zusammen mit Empfehlungen wird im nächsten Teil beschrieben. Eine der größten Herausforderungen besteht darin, Sicherheit und Benutzererfahrung in Einklang zu bringen.

Bitte weisen Sie Ihre Identität nach!

Identity Proving zielt darauf ab, die Verbindung zwischen virtueller digitaler Identität und physischem Subjekt, das sein Eigentum beansprucht, zu überprüfen.

Risiko:

Dieses Risiko ist sehr einfach und einfach zu hoch, um es zu ignorieren. Es könnte einfach alles/jeder hinter einer unbewiesenen digitalen Identität stecken. Natürlich gibt es Szenarien, in denen die Identitätsprüfung keine entscheidende Rolle spielt. Der sehr einfache Wiederverkäufer-eshop verlangt von Ihnen die Angabe Ihrer Liefer- und Zahlungsdaten, wobei Ihre Identität hier keine besondere Rolle spielt. Nach der Zahlung werden die Waren an den Kunden geliefert oder an den Wiederverkäufer zurückgesandt.

Empfehlungen:

Tun Sie es regelmäßig, sogar zufällig. Motivieren Sie Verbraucher mit zusätzlichen Vorteilen, ihre Identität nachzuweisen. Es ist immer noch besser, Ihre Kunden zu kennen, auch wenn dies nicht erforderlich ist, Ihre Analytik wird es Ihnen danken.

Verfahren:

Foto-/Video-Chat: könnte als virtuelle Alternative zur Überprüfung vor Ort im Büro verstanden werden, wo die menschliche Identität anhand des Ausweisdokuments überprüft wird. Einige ausgewählte Identity Verification Provider (DACH-Region): (youniqx.com, verify-u.de, idnow.io, webid-solutions.de, deutschepost.de).

Online-Banking: Dieser Prozess setzt voraus, dass Ihre Bank oder ein anderes Finanzinstitut Ihre Identität bereits nachgewiesen hat und dieses Vertrauen auf den anderen Dienst überbrückt wird, den der Identitätsinhaber nutzen möchte.

Überprüfung von ID-Dokumenten: Echtzeit-/Offline-Überprüfung von gescannten ID-Dokumenten. Künstliche Intelligenz dient häufig der Bild- und Texterkennung, der Dokumentenvalidierung und der Berechnung des lexikalischen Unterschieds zu den in Ihrem digitalen Identitätsprofil gespeicherten Daten.

Vertrauenswürdige E-Government-Lösung: Ähnlich wie beim Online-Banking können Sie die vertrauenswürdigen Regierungsdienste nutzen, um die digitale Identität des Verbrauchers zu überprüfen. Eine solche Vertrauenskette ist sehr beliebt und relativ einfach zu implementieren, da Sie sich nur über die bereitgestellte Schnittstelle mit der vorhandenen Lösung verbinden müssen. Wahrscheinlich sind einige SSL-Zertifikate erforderlich, um eine vertrauenswürdige Verbindung zwischen Ihrem Dienst und dem Identitätsanbieter/Verifizierer-Dienst zu ermöglichen. Einige Beispiele für solche Regierungslösungen sind: eIDAS, Handy Signatur AT, ID Austria.

iloveyou 123456 P@ssword und andere Intelligenz

Foto von Paulius Dragunas auf Unsplash

Wahrscheinlich der einfachste und gebräuchlichste Weg, wie der Angreifer auf geschützte Inhalte zugreift. Wir sind immer noch Menschen und die Mehrheit der Menschen schafft es einfach nicht, sichere Passwörter für jedes Konto zu verwenden, das sie haben. Sichere Bedeutung – lang und komplex genug, ohne einfache lexikografische Bedeutung. Passworttresore und andere Authentifizierungsmethoden könnten hier eine Lösung sein, leider werden sie nur von einem kleinen Teil der Online-Konsumenten verwendet.
Risiko:

Der Missbrauch von Passwörtern führt zu verschiedenen Arten von Kontoübernahmen. Der Inhaber der digitalen Identität ist nicht länger ein einzelnes Subjekt. Kompromittierte Passwörter sind oft öffentlich zugänglich – für nicht allzu kurze Zeit kann jeder mit Internetverbindung auf diese Konten zugreifen und versuchen, einen Vorteil daraus zu ziehen.

Empfehlungen:

Implementieren Sie die richtige Passwortintelligenz mithilfe der Passwortrichtlinien. Laut OWASP sind einige grundlegende Regeln für Passwörter erforderlich:

  • Mindestlänge > 8 Zeichen (NIST SP800–63B)
  • Maximale Länge < 64, aufgrund von Einschränkungen bei bestimmten Hash-Algorithmen
  • Alle Zeichen einschließlich Unicode und Leerzeichen sind erlaubt, es sind keine Regeln für die Passworterstellung erlaubt, die die Art der Zeichen einschränken
  • Verwenden Sie die Passwortstärke-Hilfe, um Benutzern dabei zu helfen, ein sichereres Passwort zu erstellen, häufige und zuvor gebrochene Passwörter zu blockieren – es gibt bereits Dienste, die auf kompromittierte Passwörter prüfen können (Pwned Passwords)
  • Einmalige/anfängliche Passwörter müssen zufällig sein
  • Die Anwendung sollte keinen Kennwortverlauf führen und Benutzer zu regelmäßiger Kennwortrotation zwingen

Nützliche Links:

Wrap-up

“We don’t trust you”
— David Koh, CEO of the Cyber Security Agency of Singapore