Digitale Identität bedeutet digital-lebendig zu sein

Natürlich gibt es eine ISO-Definition für digitale Identität. Gemäß ISO/IEC 24760–1 bedeutet digitale Identität:

Für die Zwecke dieses Artikels können wir digitale Identität als (eindeutige) Identifizierung eines realen Subjekts (Person) innerhalb einer bestimmten digitalen Plattform verstehen, die die menschliche Person in der Welt der Nullen und Einsen widerspiegelt.

Kein Win-Win, kein Spaß, kein Geschäft

Das primäre Ziel, warum die Unternehmen mit Menschen auf einer digitalen Plattform interagieren, ist die Generierung von Einnahmen. So einfach ist das. Im ersten Schritt müssen sie die Verbraucher irgendwie anziehen. Ja, sie nennen das lieber Attraktion. „Ich brauche dich, weil ich dein Geld brauche“ muss zugunsten potenzieller Verbraucher übersetzt werden, damit Unternehmen ein Win-Win-Modell erfinden oder zumindest vorgeben, es zu haben.

Der Aufstieg des digitalen Identitätsbetrugs

Die Identität kann eine Reihe von Privilegien umfassen, die im Laufe der Zeit durch verschiedene Zertifizierungen und Bescheinigungen erworben wurden. Der Diebstahl einer menschlichen Identität, die durch Personalausweis, Reisepass oder Kreditkarte bestätigt wird, ist ein Einfallstor für Angreifer zu Diensten, für die das Opfer berechtigt ist. In der digitalen Welt birgt der Zugriff auf ein verifiziertes digitales Konto das Risiko einer unbefugten Nutzung von Diensten durch den Angreifer. Kreditkarten, Kredite, Rechts- und Regierungsdokumente, Firmenvermögen sind Beispiele für Angriffsziele.

Laut der PWC’s Global Economic Crime and Fraud Survey für 2020 waren 47 % der antwortenden Unternehmen in den letzten 24 Monaten mit durchschnittlich sechs Fällen mit einem Betrugsvorfall konfrontiert. Identitätsbetrug, der 35 % aller Betrugsdelikte ausmacht, war die führende Straftat. Der kumulierte finanzielle Verlust der Weltwirtschaft beläuft sich auf 5 Billionen US-Dollar, mit einem Anstieg von 15 % im Jahr 2020.

Die Federal Trade Kommission meldete den Anstieg von Identitätsdiebstahl um alarmierende 213 % zwischen den Jahren 2019–2020 (Datensatz). Der Identitätsdiebstahl stellt die Hauptkategorie der Cyberkriminalität dar. Das Pandemiezeitalter zwang viele Unternehmen zu einer schnellen Umstellung auf digitale Dienste, was die Angriffsfläche vergrößerte. Um ehrlich zu sein, haben viele Dienstanbieter etwas falsch gemacht, sie zwingen einfach einen Online-Dienst auf und investieren in die Sicherheit, nachdem der erste signifikante Angriff stattgefunden hat. Sie werden es wahrscheinlich nicht entdecken, sondern nur die Informationen aus lokalen Medien erhalten, wo sich die Verbraucher darüber beschwert haben.

Finanzielle Vorteile sind das häufigste Ziel des Identitätsbetrugs. Kreditkarten- und Kreditbetrug gehören zu den drei häufigsten Berichten über Identitätsdiebstahl. Der Missbrauch der digitalen Identität in Bezug auf Kreditkarten betrifft nicht nur Banken und Finanzinstitute, der Großteil stammt aus anderen Anwendungsfällen, in denen Kreditkarten involviert sind – Abonnements, E-Shops, andere Online-Dienste. Wenn Sie nur eine unglaubliche Preisnachlass-Werbung in den sozialen Medien finden und Ihre Kreditkartendaten in ein unsicheres Zahlungsgateway eingeben, sind Sie wahrscheinlich bereits in Schwierigkeiten. Der mittlere Verlust pro Betrugsmeldung beträgt 311 US-Dollar (Datensatz).

Sicherheitsanalysten berichteten, dass sich der Angriffsvektor im Laufe der Jahre von kurzfristiger Durchdringung – so viel wie möglich verschwinden lassen – zu einer langfristigen Präsenz des Angreifers innerhalb einer kompromittierten Plattform verschoben hat.Um eine solche Präsenz zu ermöglichen, muss der Angreifer durch eine digitale Identität geschützt werden, die sich im Grunde ähnlich wie ein gewöhnlicher Verbraucher verhält. Höhere Intelligenzkosten, die die digitale Identität gefährden, werden durch langfristige Vorteile für den Angreifer belohnt. Die Erstellung neuer Konten und die Übernahme von Konten sind die Angriffsvektoren mit der höchsten Inzidenz.

Ich werde dich imitieren!

Stellen Sie sich folgende Situation vor: Sie möchten ein neues Auto kaufen, Sie gehen in die Bank, identifizieren sich und fragen nach Kredit-/Darlehens-/Leasingoptionen. Nach einer Weile wendet sich der Bankangestellte mit geschultem Pokerface an Sie. Ihnen wurde gesagt, dass Sie keinen Anspruch auf Geld haben, Ihr Risiko-Score ist aufgrund mehrerer kleineren Kredite aus der kurzen Vergangenheit zu hoch. Sie haben mehrere Jahre lang weder in der Bank noch in der Online-Banking-App einen Kredit beantragt, wie in der Werbung zu sehen ist, Sie haben dort nicht einmal ein Konto.

Die Tatsache, dass Sie kein Online-Banking-Konto haben, bedeutet, dass Ihre digitale Spur innerhalb der zugrunde liegenden Bank nicht oder nur in sehr begrenztem Umfang existiert. Vielleicht fühlen Sie sich sicher, wenn Sie Ihre finanziellen Verhaltensdetails nicht preisgeben, auf der anderen Seite sind die Anomalieerkennungsalgorithmen, alle Verhaltensanalysen traurig über Sie, sie kennen Sie nicht, sie können die Institution kaum warnen, wenn jemand eine digitale Identität auf Ihnen erstellt Namen mit korrekten persönlichen Informationen. Dies ist ein sehr einfaches Beispiel für Identitätsbetrug bei der Erstellung neuer Konten. Sich auf gestohlene Identitätsdaten über echte Personen verlassen, versuchen, Behörden zu überzeugen, falsche digitale Identitäten auf Angreifer abbilden und für Sie geeignete Dienste zugunsten einer anderen Person enthüllen.

Mule-Konten sind auch ein gutes Beispiel für Identitätsbetrug bei der Erstellung neuer Konten.

Kontoübernahmebetrug stützt sich auf das vorhandene digitale Identitätskonto, das wahrscheinlich seine eigene Verhaltenshistorie hat, was es für die Verhaltensintelligenz einfacher macht, es zu entdecken. Natürlich, wenn die richtige Analyse-Engine eingerichtet wurde. In Bezug auf die Komplexität ist es für Angreifer einfacher, kompromittierte Kunden-Logins zu stehlen oder zu kaufen als bei der Erstellung neuer Konten, bei denen der Angreifer die Überprüfungsbehörde davon überzeugen muss, dass das digitale Identitätskonto dem Subjekt gehört, auf das sich die Identitätsattribute beziehen. Übernahmebetrug wird hauptsächlich im Finanzsektor eingesetzt – Banken, Finanzkonten, Renten, Versicherungen, medizinische Konten, Immobilien, Prämienprogramme. Abgesehen von Finanzbetrug werfen die COVID-19-Pandemien ein Licht auf den Know-how-Betrug der Branche, bei dem die Hacker die Patente, Verfahrenspläne oder andere gesicherte Vermögenswerte des Unternehmens stehlen.

Bis Ende 2020 meldete die Federal Trade Commission mehr als 3,3 Mrd. USD. in der digitalen Welt kumulierter finanzieller Verlust. Identitätsdiebstahl macht fast 30 % der Gesamtzahl aus. Der mittlere Verlust beträgt 311 $ pro Betrug (Dateznsatz).

Von Sicherheit inspiriertes Vertrauensbeziehung

Manche Menschen halten Vertrauen für notwendig, wenn das Wissen fehlt oder es nicht in einem sinnvollen Zeit- und Energieaufwand gesammelt werden kann. Der durchschnittliche Verbraucher Ihrer Dienste hat keine Chance zu überprüfen, ob Ihre Plattform sicher ist, also wird er/sie ohne offensichtliche Sicherheitsprobleme dazu neigen, Ihrem System zu vertrauen. So weit ist es gut. Wenn Ihre Dienste primäre oder sekundäre finanzielle Vorteile bieten, können Sie sicher sein, dass Sie früher oder später auf dem Radar von Angreifern sind. Und schon ein einzelner Account Takeover mit durchschnittlichem finanziellem Verlust kann über Jahre aufgebautes Wohlwollen bei Ihren Kunden zerstören. Eine negative Erfahrung wird attraktiver als 100.000 zufriedene Kunden.

Das 360°-Sicherheitsmodell zusammen mit Empfehlungen wird im nächsten Teil beschrieben. Eine der größten Herausforderungen besteht darin, Sicherheit und Benutzererfahrung in Einklang zu bringen.

Bitte weisen Sie Ihre Identität nach!

Identity Proving zielt darauf ab, die Verbindung zwischen virtueller digitaler Identität und physischem Subjekt, das sein Eigentum beansprucht, zu überprüfen.

Dieses Risiko ist sehr einfach und einfach zu hoch, um es zu ignorieren. Es könnte einfach alles/jeder hinter einer unbewiesenen digitalen Identität stecken. Natürlich gibt es Szenarien, in denen die Identitätsprüfung keine entscheidende Rolle spielt. Der sehr einfache Wiederverkäufer-eshop verlangt von Ihnen die Angabe Ihrer Liefer- und Zahlungsdaten, wobei Ihre Identität hier keine besondere Rolle spielt. Nach der Zahlung werden die Waren an den Kunden geliefert oder an den Wiederverkäufer zurückgesandt.

Tun Sie es regelmäßig, sogar zufällig. Motivieren Sie Verbraucher mit zusätzlichen Vorteilen, ihre Identität nachzuweisen. Es ist immer noch besser, Ihre Kunden zu kennen, auch wenn dies nicht erforderlich ist, Ihre Analytik wird es Ihnen danken.

Foto-/Video-Chat: könnte als virtuelle Alternative zur Überprüfung vor Ort im Büro verstanden werden, wo die menschliche Identität anhand des Ausweisdokuments überprüft wird. Einige ausgewählte Identity Verification Provider (DACH-Region): (youniqx.com, verify-u.de, idnow.io, webid-solutions.de, deutschepost.de).

Online-Banking: Dieser Prozess setzt voraus, dass Ihre Bank oder ein anderes Finanzinstitut Ihre Identität bereits nachgewiesen hat und dieses Vertrauen auf den anderen Dienst überbrückt wird, den der Identitätsinhaber nutzen möchte.

Überprüfung von ID-Dokumenten: Echtzeit-/Offline-Überprüfung von gescannten ID-Dokumenten. Künstliche Intelligenz dient häufig der Bild- und Texterkennung, der Dokumentenvalidierung und der Berechnung des lexikalischen Unterschieds zu den in Ihrem digitalen Identitätsprofil gespeicherten Daten.

Vertrauenswürdige E-Government-Lösung: Ähnlich wie beim Online-Banking können Sie die vertrauenswürdigen Regierungsdienste nutzen, um die digitale Identität des Verbrauchers zu überprüfen. Eine solche Vertrauenskette ist sehr beliebt und relativ einfach zu implementieren, da Sie sich nur über die bereitgestellte Schnittstelle mit der vorhandenen Lösung verbinden müssen. Wahrscheinlich sind einige SSL-Zertifikate erforderlich, um eine vertrauenswürdige Verbindung zwischen Ihrem Dienst und dem Identitätsanbieter/Verifizierer-Dienst zu ermöglichen. Einige Beispiele für solche Regierungslösungen sind: eIDAS, Handy Signatur AT, ID Austria.

iloveyou 123456 P@ssword und andere Intelligenz

Der Missbrauch von Passwörtern führt zu verschiedenen Arten von Kontoübernahmen. Der Inhaber der digitalen Identität ist nicht länger ein einzelnes Subjekt. Kompromittierte Passwörter sind oft öffentlich zugänglich – für nicht allzu kurze Zeit kann jeder mit Internetverbindung auf diese Konten zugreifen und versuchen, einen Vorteil daraus zu ziehen.

Implementieren Sie die richtige Passwortintelligenz mithilfe der Passwortrichtlinien. Laut OWASP sind einige grundlegende Regeln für Passwörter erforderlich:

• Mindestlänge > 8 Zeichen (NIST SP800–63B)
• Maximale Länge < 64, aufgrund von Einschränkungen bei bestimmten Hash-Algorithmen
• Alle Zeichen einschließlich Unicode und Leerzeichen sind erlaubt, es sind keine Regeln für die Passworterstellung erlaubt, die die Art der Zeichen einschränken
• Verwenden Sie die Passwortstärke-Hilfe, um Benutzern dabei zu helfen, ein sichereres Passwort zu erstellen, häufige und zuvor gebrochene Passwörter zu blockieren – es gibt bereits Dienste, die auf kompromittierte Passwörter prüfen können (Pwned Passwords)
• Einmalige/anfängliche Passwörter müssen zufällig sein
• Die Anwendung sollte keinen Kennwortverlauf führen und Benutzer zu regelmäßiger Kennwortrotation zwingen

• Digital Identity Guidelines, Authentication und Lifecycle Management NIST SP800–63B
• OWASP Authentication Cheat Sheet
• Breached Passwords API
• Password strength estimator

Wrap-up