Wie sicher sind persönliche Details? Und was kann ein Retail-Unternehmen tun, um die Daten seiner Kunden zuverlässig und langfristig zu schützen?
Persönlich identifizierbare Informationen (PII oder Personally Identifiable Information) werden im Internet und zwischen verschiedenen Ländern herumgereicht wie nie zuvor, und die einzelnen Personen werden wahrscheinlich die letzten sein, die überhaupt mitbekommen, wenn ihre Daten geraubt und von Kriminellen benützt worden sind.
Die andere Seite des Internet
Inzwischen passieren so viele entsprechende Aktionen, dass Fachleute sogar schon einzelne Begriffe dafür geprägt haben: Man spricht von „Medical Fraud“, von „Insurance Fraud“ und ähnlichem. Millionen Daten von Patienten sind bereits gestohlen und zur Monetarisierung auf bestimmten Seiten des Internet oder im Dark Web angeboten worden. Dabei geht es oft nicht nur um schnödes Geld, sondern ebenso um Erschleichung von Waren oder Krediten sowie um Erpressung.
Das 2004 gegründete Start-up „iovation“ aus Portland (Oregon) bezeichnet sich als „Innovator“ im „Kampf gegen Fraud“. Es bietet Online Fraud Detection und Authentifizierungslösungen, wobei so genannte Device Intelligence und Risk-Management eingesetzt werden. Iovation beansprucht, dass sein Tool jedes mit dem Internet verbundene Gerät erkennen und eventuelle Risiken aufdecken kann, selbst wenn das Gerät schwer zu erfassen ist. Man kann auch mehrere miteinander verbundene Geräte und Accounts über verschiedene Industrien hinweg identifizieren, ohne dass man dafür die PII braucht. Das globale Netzwerk von iovation enthält historische Informationen von über drei Milliarden bekannten Geräten, und seine Kunden haben Informationen über mehr als 30 Millionen bekannte Fraud- und Missbrauchsereignisse mitgeteilt. Zu den Kunden zählen Firmen aus den Bereichen Finanzen, Versicherungen, Retail, Social Networking, Telcos und Gaming. Man arbeitet auch mit führenden Fraud-Plattformen zusammen.
Spezielle Programme für Retailer
Im Bereich Retail will iovation die Unternehmen dabei unterstützen, ihre Kunden über den ganzen „Customer Lifecycle“ hinweg vor Fraud zu schützen, ohne dass darunter ihre Erfahrungen mit Online-Shopping leiden. Der Hersteller bietet u.a. geräte-basierte und multi-faktor Authentifizierung einschließlich der Techniken von Machine Learning an. Besonders diese Punkte will man minimieren: Abbruchraten bei Einkäufen, Angriffe auf die Kreditkarten der Kunden, Umleitung von Warenlieferungen, illegale Übernahme von Accounts, Cashback-Betrug und Missbrauch von Promotionsangeboten.
Iovation ClearKey geht von einer im Grunde einfachen Idee aus: Die sichtbare Anmeldung von Kunden über User-Namen und Passwort, die für die Kunden oft schwer zu merken sind und überdies leicht gestohlen werden können, wird durch eine unsichtbare zusätzliche Kontrolle im Hintergrund ergänzt. Diese muss jedoch sehr schnell funktionieren, damit der Einlogg-Vorgang für den Kunden nicht zu einem Problem wird.
Bei iovation wird ein „seamless 2nd Factor“ dadurch eingeführt, dass das Gerät, von dem aus sich der Kunde einloggt, in die Überprüfung einbezogen wird. Dieser Faktor wird sogar der bestimmende für den Anmeldungsprozess, ohne dass der Kunde dies bemerkt. Das Passwort oder andere zweite Identifizierungsmethoden werden in diesem Modell erst hinzugezogen, wenn sich der Kunde zum ersten Mal von einem neuen oder anderen Gerät aus anmeldet oder wenn das Überwachungstool besondere Risikofaktoren entdeckt. ClearKey arbeitet insofern mit zusätzlichen Angaben zum Kontext und zum Risiko bei der Anmeldung – ohne den gewohnten Prozess nach außen zu beeinträchtigen. Zusätzliche Sicherheit gewährt dieser Vorgang, da sich die Kontrolle als externer Software-as-a-Service-Prozess jenseits der klassischen IT-Infrastruktur des Retailers abspielt.
Mit LaunchKey bietet iovation ein weiteres Tool für die Sicherung von Zugangsprozessen an: Es besteht aus mehreren Multifaktor-Mechanismen, die je nach Situation mit anderen Authentifizierungsmethoden über ein Dashboard kombiniert werden können. Eine „intuitive“ Mobile-Applikation spielt ebenfalls eine Rolle.
Permanenter Wechsel von Sicherheits-Codes
Die Administratoren entscheiden, welche Authentifizierungsmethoden bei einer Webseite oder einer Anwendung eingesetzt werden, je nach Risikograd. Im einzelnen lassen sich einsetzen:
– Circle Code: Der Anwender gibt auf seinem mobilen Gerät bzw. seinem Touch Display ein Muster vor, und erhält dann sicheren, gespeicherten und passwortlosen Zugang.
– PIN Codes: Der Anwender wählt auf dem Handy einen einfachen PIN Code aus vier Zeichen aus, und der Administrator entscheidet auf Basis seines Hintergrundwissens darüber, wann er erneuert werden muss.
– Bluetooth Proximity: Stellt sicher, dass bei jedem Identifizierungsprozess ein vorausgewähltes Bluetooth-Gerät in der Nähe sein muss – zum Beispiel eine Uhr, ein Fitbit- oder irgendein anderes mobiles Gerät.
– Fingerprint Scan: Ein mobiles Endgerät, das mit einem entsprechenden Sensor ausgestattet ist, kann für die Authentifizierung bei einer Website eingesetzt werden.
– One-Time Passwords: Passwörter, die nach ausgewählten Zeitintervallen ihre Gültigkeit verlieren.
Weitere Schutzmethoden von iovation sind Fraud und Mobile Fraud Prevention sowie SureScore, wobei hauptsächlich das Erkennen von ans Internet angeschlossenen Geräten und Machine Learning und Analytics eine Rolle spielen.
Forrester Consulting hat sich näher mit den wirtschaftlichen Vorteilen der iovation-Tools befasst. Der zu erwartende Return on Investment (RoI) zeige sich in der Verringerung von finanziellen Verlusten und einer allgemeinen Verbesserung der Fraud Detection (Forrester Consulting, The Total Economic Impact of iovation ReputationManager).
