Sie sind hier: Home » Fachartikel » Hintergrund

Mit Analytik Betrug erkennen


Betrug bei SWIFT-Überweisungen - So erhöht KI die Sicherheit
Kriminelle nutzen Sicherheitslücken in SWIFT



Von Egon Kando, Exabeam

Zahlungsanweisungen über SWIFT gelten im Allgemeinen als sicher. Doch es gibt Schlupflöcher im System, durch die es Kriminelle regelmäßig schaffen, Betrug zu begehen. Banken nutzen vermehrt KI-Tools wie User Entity Behaviour Analytics (UEBA) um sich und ihre Kunden zu schützen. SWIFT ist eine Plattform, die selbst keine Konten oder Guthaben verwaltet und über die Finanzinstitute aus aller Welt Finanztransaktionen unter einander ausführen. Ursprünglich wurde die Plattform lediglich gegründet, um Treasury- und Korrespondenzgeschäfte zu erleichtern. Das Format entpuppte sich in den Folgejahren jedoch als sehr sicher und praktisch, sodass immer mehr Teilnehmer die Plattform nutzten. Neben Notenbanken und normalen Banken wird Swiftnet heute auch von Großunternehmen, Wertpapierhändlern, Clearingstellen, Devisen- und Geldmaklern und zahlreichen weiteren Marktteilnehmern genutzt.

Obwohl Swift als sehr sicher gilt, haben Kriminelle immer wieder Wege gefunden Finanzbetrug über die Plattform zu begehen. Da die Technologie im Hintergrund kaum zu missbrauchen ist, ist wie so oft der Faktor Mensch das schwächste Glied in der Sicherheitskette. Um Transaktionen über die Plattform auch aus organisatorischer Sicht auf der Seite der nutzenden Finanzinstitute so sicher wie möglich zu machen, sind an der Absendung von Nachrichten über SWIFTNet immer drei verschiedene Personen beteiligt. In dem dreistufigen "Maker, Checker, Verifier"-Prozess gibt der Ersteller (Maker) die SWIFT-Nachricht im System ein, der Revisor (Checker) prüft sie und ein Bestätiger (Verifier) sendet sie, nachdem er von ihrer Echtheit überzeugt ist. Um Finanzbetrug über SWIFT zu begehen, müssten sich also mindestens theoretisch drei Personen innerhalb einer Organisation verschwören

Überall wo Menschen für die Einhaltung von Prozessen verantwortlich sind, gibt sich Schlupflöcher in der Sicherheit. Auch über die eigentlich sehr sichere Swift-Plattform kam es bereits zu Betrug mit kriminellen Transaktionen. Dies ist dann möglich, wenn die Prozesse der Sachbearbeiter der Swift-Nachrichten nicht eingehalten werden.

So wurde in einem Fall von einem Sachbearbeiter eine Kreditvergabe vorgetäuscht – und die fällige Überweisung von allen drei Sachbearbeitern bestätigt. Die Transaktion ging durch und fiel erst später auf, als es bereits zu spät war. Bei der späteren Untersuchung stellte sich heraus, dass sich nicht drei Sachbearbeiter verschworen hatten, um den Betrug zu begehen, sondern ein einzelner Mitarbeiter einfach alle drei Teile des Prozesses bearbeitet und bestätigt hatte. Die Schwachstelle lag also in der Organisation der Bank, die eigentlich verhindern sollte, dass eine Person gleichzeitig als Maker, Checker und Verifier fungiert.

In einem anderen Fall leitete ein Bank-Sachbearbeiter Darlehenserlöse auf sein persönliches Konto um und nutzte dafür ebenfalls eine aus Personalmangel resultierende organisatorische Sicherheitslücke aus. Die Bank hatte es versäumt, ein Vier-Augen-Prinzip für die Zahlungsanweisungen über SWIFT zwischen dem Checker und dem Verifier einzuführen. So wurden einige Swift-Nachrichten nicht von Vorgesetzten überprüft und der Sachbearbeiter leitet einfach Geld auf sein eigenes Konto um.

Für Finanzinstitute ist es grundsätzlich schwierig zu erkennen, ob sich ein oder mehrere Mitarbeiter verschworen haben, um den Swift-Prozess zu manipulieren. Um solch betrügerisches Verhalten zu entlarven, setzen Banken immer häufiger auf moderne Sicherheitslösung auf Basis von Künstlicher Intelligenz, wie etwa UEBA.

Eine solche Lösung kann eine verdächtige Transaktion beispielsweise erkennen, wenn ein oder mehrere Teile der Prozesskette von ein und demselben Nutzer ausgeführt wurden, oder einfach nur vom gleichen Terminal. Sachbearbeiter arbeiten gewöhnlicher Weise zu normalen Bürozeiten und meist nur an einem Terminal. Melden sich Nutzer zu ungewöhnlichen Zeiten oder Orten an, können diese Aktivitäten von UEBA-Lösungen, die Maschinelles Lernen und Verhaltensanalyse nutzen, erkannt werden.

Dafür setzen diese Lösungen Protokolldaten zusammen und erstellen daraus ein Basisverhalten. Als Quelle für diese Protokolldaten dienen etwa Windows Active Directory (AD), Proxy Server, Firewalls, E-Mail, Druckern, Sicherheitswarnungen, Datenbanken und anderen Anwendungen. Aus den Protokollen des IFT Alliance Gateway allein können sieben verschiedene Arten von Ereignissen erfasst werden. Allein drei davon beziehen sich auf SWIFT-Nachrichten. Diese Aktivitäten lassen sich der der Zeitleiste eines Benutzers zuordnen und analysieren um ungewöhnliche oder anomale SWIFT-Aktivitäten zu erkennen.

UEBA sichert SWIFT-Prozesse ab
Swift-Betrug ist zwar nicht auf der technologischen dafür aber auf der organisatorischen Ebene möglich. Neue Lösungen, wie etwa UEBA, können Banken und anderen Instituten, die Swift-Transaktionen durchführen, dabei helfen diese Ebene abzusichern. Diese Lösungen bieten sehr detaillierte Analysen aufgrund der Breite und Tiefe der genutzten Protokolldaten.

Über Egon Kando
Egon Kando ist Regional Sales Director Central & Eastern Europe bei Exabeam. Der diplomierte Ingenieur ist seit über 18 Jahren im IT-Security Markt tätig und begann seine Karriere einst bei der BinTec AG in Nürnberg. Im Verlauf seiner Karriere war der erfahrene IT-Spezialist in verschiedenen Rollen bei Internet Security Systems, später IBM ISS, SonicWALL und Imperva beschäftigt.
(Exabeam: ra)

eingetragen: 20.02.20
Newsletterlauf: 29.04.20

Exabeam: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Hintergrund

  • Wer ist von der CSRD betroffen?

    Für Unternehmen ist der eigene ökologische Fußabdruck mittlerweile eine entscheidende erfolgsrelevante Steuerungsgröße geworden. Welche Investitionen und wirtschaftlichen Tätigkeiten sind ökologisch nachhaltig und ermöglichen es, sich am Markt positiv zu differenzieren? Die Erstellung einer Nachhaltigkeitsberichtserstattung nimmt darüber hinaus auch seitens der Aufsichtsbehörden und Regulatoren einen immer größeren Raum ein. Das Jahr 2023 startete bereits mit einem wichtigen Meilenstein für das ESG-Reporting – der Berichterstattung für die Bereiche Umwelt (Environmental), Soziales (Social) und verantwortungsvolle Unternehmensführung (Governance). Am 5. Januar 2023 ist die EU-Richtlinie über die Nachhaltigkeitsberichterstattung der Corporate-Sustainability-Reporting-Direktive (CSRD) in Kraft getreten. Diese führt zu einer umfangreichen und verbindlichen Nachhaltigkeitsberichterstattung.

  • Data Act könnte schon 2024 in Kraft treten

    Wir erleben es jeden Tag: Datenmengen steigen ins Unermessliche. Die Prognose der EU-Kommission erwartet allein in der EU zwischen 2020 und 2030 einen Anstieg des Datenflusses in Cloud- und Edge-Rechenzentren um 1500 Prozent - kein Tippfehler. Entsprechend riesig ist das wirtschaftliche Potential, denn Daten sind der zentrale Rohstoff etwa für das Internet of Things. Das wiederum wird von der EU im Jahr 2030 (1) auf eine wirtschaftliche Gesamtleistung auf bis zu elf Billionen Euro geschätzt. Somit ist der EU Data Act, der in einem ersten Entwurf im Frühjahr 2022 von der EU-Kommission vorgestellt wurde, in seiner Bedeutung für die Datenökonomie nicht zu unterschätzen. Es geht nämlich um die Rahmenbedingungen für den Austausch von Daten: Das heißt, alle Geschäftsmodelle, die auf vernetzten Produkten und Dienstleistungen beruhen, sind betroffen. Und die Zeit steht nicht still. Der Data Act könnte schon 2024 in Kraft treten.

  • Aufsichtsbehörden machen Ernst

    Der Datenschutz wurde durch die im Mai 2018 in Kraft getretene EU-Datenschutz-Grundverordnung (DSGVO) europaweit geschärft und die Rechte der Betroffenen gestärkt. Die Aufsichtsbehörden sind mittlerweile aktiv geworden und verhängen teils empfindliche Strafen, wenn Unternehmen und Konzerne mit dem Schutz der User- und Kundendaten zu lax umgehen. Unternehmen, die online Leads und Kunden generieren, sollten deswegen ein Auge auf die Details haben und nur mit seriösen Partnern zusammenarbeiten, die eine DSGVO-konforme Verarbeitung von Daten nachweisen können. Das Inkrafttreten der DSGVO im Mai 2018 rollte wie eine Schockwelle durch die Welt des Online-Business und der Leadgenerierung. Denn die europäische Datenschutzgrundverordnung hat den Schutz personenbezogener Daten ausgeweitet und verschärft. Ziel war es, ein europaweit gleich hohes Schutzniveau zu erreichen, die Verfahren gegen Verstöße zu vereinfachen und den Datenschutz dem technischen Fortschritt der Digitalisierung anzupassen.

  • Audit-Druck ebnet Weg hin zu Abo-Modellen

    Beim Thema Software-Audit kommen zwei historisch signifikante Zustände zusammen: Einerseits hat sich Europa insbesondere von US-Softwareanbietern stark abhängig gemacht und ist andererseits durch den omnipräsenten Digitalisierungsdruck bereit, die Situation trotz gelegentlicher gegenteiliger Verlautbarungen offenbar noch zu verschlimmern. Lesen Sie hier, was die Erfindung des Software-Audits damit zu tun hat.

  • Digitale Verwaltungsdienste ohne Datengrundlage?

    Deutsche Behörden tun sich schwer, ihre Angebote für Bürger und Bürgerinnen digital anzubieten. Das aktuelle Onlinezugangsgesetz (OZG) macht aber Bund, Ländern und Kommunen jetzt kräftig Druck. Geht es nach dem Gesetzgeber, sollen bis Jahresende rund 600 Verwaltungsdienstleistungen in digitaler Form bereitstehen - und zwar bundesweit.

Was ist ein Selbst-Audit & warum ist es notwendig? Haftung für Behauptungen "ins Blaue hinein"

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen