alphaspirit - Fotolia

Fünf Kriterien für den Kauf von Web-Fraud-Detection-Systemen

Dieser Artikel beschreibt fünf Kaufkriterien für Web-Fraud-Detection-Systeme und erklärt, wie sie verschiedene Branchen vor Online-Betrug schützen.

Frank Abagnale, ein ehemaliger Hochstapler und Betrüger, Autor des Buches Catch Me If You Can, das mit Leonardo Di Caprio in der Hauptrolle verfilmt wurde, sagt: „Da Bestrafung für Betrug und die Wiederbeschaffung gestohlener Güter sehr selten sind, ist Prävention die einzige Erfolg versprechende Vorgehensweise." Ein Unternehmen, das seine Geschäfte über das Internet abwickelt, sollte diese Aussage um den Begriff Erkennung erweitern. Das heißt, Internetbetrug (Web Fraud) lässt sich durch eine Kombination aus genauer Betrugserkennung und verschiedenen Sicherheitsebenen für Benutzer, Geräte und Netzwerke vermeiden.

Hinter Web Fraud Detection aka Online Fraud Detection verbergen sich Services oder Softwareprodukte, die betrügerische Transaktionen oder Aktivitäten erkennen, welche über das Internet erfolgen. Ein typisches Web-Fraud-Detection-System erkennt unter anderen die Anlage neuer Konten (Identitätsbetrug), die feindliche Übernahme von Konten (über gestohlene Benutzerdaten) und Zahlungsbetrug (zum Beispiel mit einer gestohlenen Kreditkarte); doch es kann noch viel mehr. Dieser Artikel zeigt, wie ein Web-Fraud-Detection-System betrügerische Aktivitäten erkennt und anhand welcher Kriterien Unternehmen diese Produkte beim Kauf bewerten können.

Branchenfokus

Einige Anbieter von Web Fraud Detection konzentrieren sich speziell auf Banken, Finanzdienstleister und E-Commerce, während andere Hersteller Produkte anbieten, die alle Branchen erreichen wollen, die Online-Konten verwalten und Transaktionen im Internet ausführen.

Ein Finanzdienstleister dürfte am besten von einem Web-Fraud-Detection-System profitieren, das sich speziell an seine eigene Branche richtet. Das Gleiche gilt für E-Commerce-Anbieter und Einzelhändler. Regierungsstellen mit Seiten für E-Government, Social Networking-Websites, Versicherungen und Unternehmen anderer Branchen sollten nach branchenneutralen Produkten suchen (die viele verschiedene Branchen unterstützen), die den Löwenanteil der verfügbaren Produkte ausmachen.

Web Fraud Detection: Schutz auf mehreren Ebenen

Die Analysten der Gartner Group empfehlen in ihrem Marktüberblick zu Online Fraud Detection (überarbeitet am 21. Juli 2015) und früheren Veröffentlichungen dringend Betrugsprävention auf mehreren Ebenen, um internetbasierte Malware-Angriffe zu stoppen oder Schäden zu verhindern. Zu den wichtigsten Schichten gehören Endpunkte (Layer 1), Navigation (Layer 2) und Benutzer (Layer 3). Dem Gartner Schichten-Modell zufolge analysiert ein Produkt auf der Ebene der Endpunkte Computer, mobile Geräte oder Smartphones nach Merkmalen wie den letzten Login-Daten und validiert die Kontoberechtigungen eines Benutzers. Ein System auf Navigationsebene untersucht die Navigation innerhalb einer Online-Sitzung auf Anomalien, und ein Produkt auf Benutzerebene vergleicht die Transaktionen mit den normalen Geschäften eines Benutzer oder Unternehmens auf einem bestimmten Kanal wie beispielsweise E-Commerce.

Viele Web-Fraud-Detection-Systeme bieten Schutz für alle drei Schichten; andere konzentrieren sich auf nur eine Schicht. Es ist möglich, über mehrere Produkte eine komplette Abdeckung zu erreichen; sinnvoller ist es aber, nach einem Produkt zu suchen, das alle drei Ebenen abdeckt.

Analytics und kontinuierliches Profiling

Regelbasierte Analysen stützen sich auf die Erkennung bereits bekannter Muster. Predictive Behavioral Analytics untersucht das bisherige Verhalten eines Kontoinhabers und sucht nach Anomalien beim erwarteten zukünftigen Verhalten. Die Modelle produzieren Risiko-Scores, die im Vergleich mit den Profilen von Benutzern oder Unternehmen entstehen, die aus der Datenanalyse gewonnen wurden.

In dieser Kategorie wird ein Produkt besonders gut bewertet, das die kontinuierliche Profilierung von Konten und Benutzern bietet, um Betrug zu erkennen, indem es ein oder beide analytischen Modelle einsetzt; Behavioral Analytics genießt hier im Zweifel Vorrang vor dem regelbasierten Ansatz.

Integration von externen Informationen über die Bedrohungslage

Die Analyse von Bedrohungsdaten (Threat Intelligence) hat in den letzten Jahren erheblich an Bedeutung gewonnen. Ein Threat Intelligence Service sammelt Rohdaten über neu auftretende Bedrohungen aus mehreren Quellen (und vielleicht Millionen von Endpunkten), analysiert und filtert diese Daten, um verwertbare Informationen zu gewinnen. Sicherheitssysteme wie beispielsweise Security Information and Event Management (SIEM) und Next-Generation Firewalls verwenden Threat Intelligence, um Unternehmen besser vor neuen oder Zero-Day-Attacken zu schützen. Ein Identity-Intelligence- oder Identity-Proofing-Service analysiert die Benutzeridentität und Merkmale beim Zugriff (Benutzerrollen, Richtlinienverstöße, biometrische Daten und so weiter) auf Basis von öffentlichen oder proprietären Datenquellen. Mithilfe von Identity Intelligence überprüfen Unternehmen häufig die Identität einer Person, bevor sie ein Benutzerkonto und die Anmeldeinformationen bestätigen.

Für die umfassendste Berichterstattung sollten Unternehmen auf Web-Fraud-Detection-Systeme zugreifen, die externe Threat-Intelligence- und/oder Identity-Intelligence-Dienste integrieren. In der Tat wird die Mehrheit der Produkte diese Funktion bis 2017 bereitstellen.

Compliance: Einhaltung von Normen und Standards

Unternehmen sollten darauf achten, dass das Web-Fraud-Detection-Systeme die Anforderungen aller erforderlichen Compliance-Vorschriften erfüllt. Ein Beispiel: Unternehmen, die Kreditkarten als Zahlungsmittel akzeptieren, sollten prüfen, ob das Produkt für den sicheren Zahlungsstandard PCI DSS zertifiziert ist.

Viele Unternehmen mit Handelsbeziehungen in die USA müssen die Anforderungen etwa des Gramm-Leach-Bliley Act, Sarbanes-Oxley Act oder FACTA Red-Flags erfüllen, oder sie benötigen eine Zertifizierung nach SSAE 16 oder ISO/ IEC 27001 für das Management von Informationssicherheit. Die ISO-Vorgaben sind auch für Compliance gemäß dem deutschen IT-Sicherheitsgesetz (IT-SiG) eine sinnvolle Best Practice. Unternehmen sollten daher eine Liste mit ihren Compliance-Anforderungen aufstellen und von den Anbietern der Web-Fraud-Detection-Systeme eine Dokumentation darüber verlangen, ob sie die entsprechenden Compliance-Anforderungen erfüllen.

Weitere Faktoren

Die Hersteller von Web-Fraud-Detection-Systemen bieten in der Regel auf ihren Websites Datenblätter, Broschüren oder andere Produktinformationen zum Download an. Achten Sie bei den Dokumenten besonders auf die Copyright-Informationen, vor allem aber bei den Datenblättern. Streichen Sie alle Produkte von ihrer Einkaufsliste, deren Daten älter als ein oder zwei Jahre sind. Web-Fraud-Detection-Systeme müssen ihre Regeln und Methoden stets auf die neuesten Bedrohungen anpassen und innovativ sein, um relevant und wettbewerbsfähig zu bleiben. Veraltete Dokumente könnten ein Indiz dafür sein, dass sich ein Produkt technologisch nicht auf dem neuesten Stand befindet.

Bei der Recherche nach Anbietern und Produkten werden Unternehmen feststellen, dass sich der Markt für Web Fraud Detection seit 2013 stark verändert hat, vor allem durch Fusionen und Übernahmen. Wenn ein Anbieter übernommen wird, um im eigenen Portfolio eine Technologielücke zu füllen, können Innovationen leiden. Beim Gespräch mit dem Vertrieb des Anbieters sollten Sie folgende Fragen stellen:

  1. Welche Produkte sind die drei wichtigsten Wettbewerber?
  2. Sind Produktverbesserungen oder Upgrades geplant (falls ja, wie sehen die Änderungen aus)?
  3. Wie unterscheidet sich das Web-Fraud-Detection-System von den Lösungen der Mitbewerber?

Bewertung von Web-Fraud-Detection-Systemen

Für die Bewertung von Web-Fraud-Detection-Systemen reicht es nicht aus, Datenblätter und Marketing-Materialien zu lesen, die irreführend und veraltet sein können. Profitieren Sie von Vor-Ort-Demos der Hersteller, in denen Sie den Vertriebsmitarbeitern spezifische Produktfragen stellen, die sich auf das Transaktionsvolumen der Branche oder des Vertriebskanals beziehen. Dadurch können Sie auch die möglichen Kosten besser einschätzen, da die meisten Anbieter von Web-Fraud-Detection-Systemen ihren Preis nach dem Transaktionsvolumen definieren.

Der nächste Artikel dieser Serie vergleicht führende Produkte und Anbieter von Web-Fraud-Detection-Systemen anhand der in diesem Artikel beschriebenen Kriterien. Leser erfahren, welche Produkte am besten für bestimmte Branchen passen und finden heraus, welche an die Spitze der „Best Buy“-Liste gelangen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Nächste Schritte

Im ersten Teil dieser Serie geben wir Ihnen eine Einführung in Web Fraud Detection-Systeme.

Im zweiten Artikel zeigen wir vier Anwendungsfälle für Web-Fraud-Detection-Systeme

Artikel wurde zuletzt im Februar 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Enterprise-Compliance

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close