Die Entstehung des Web 3.0 fiel in eine Zeit, in der sich die Welt grundlegend veränderte. In einer Zeit, in der es hieß, dass man zu Hause bleiben und den persönlichen Kontakt einschränken solle, musste das Leben weitergehen. Die Geschäfte mussten wie gewohnt weiterlaufen, Verträge mussten abgeschlossen und Geld überwiesen werden. Das Web 3.0 wurde zu einer Chance für Unternehmen, sich die digitale Zukunft zu erschließen.
Heute kann und wird alles digital abgewickelt, und obwohl die Vorteile auf der Hand liegen, sind neue Risiken und Herausforderungen entstanden. Mit dem Übergang zum Web 3.0 hat sich die Angriffsfläche auch auf die weitgehend unkontrollierte Kundenreise verlagert. Dies hat zur Folge, dass unsere Informationen, unser Geld und unsere Identität anfälliger sind als je zuvor.
Vor zehn Jahren war es noch eine große Sache, etwas für 20 Euro im Internet zu kaufen, doch heutzutage tätigen wir Großeinkäufe im Internet, ohne auch nur mit der Wimper zu zucken. Unsere Bequemlichkeit hat im Laufe der Jahre enorm zugenommen und wird noch weiterwachsen. Anfangs haben wir vielleicht nur kleine Einkäufe getätigt, aber heute werden Transaktionen mit hohem Wert wie Kredite, Geldüberweisungen und Versicherungsansprüche digital abgewickelt, was bedeutet, dass auch größere Vorkehrungen zur Sicherheit getroffen werden müssen.
Auf Verbraucherebene haben sich Plattformen wie Apple Pay und Amazon Pay entwickelt, die ein Gefühl des Vertrauens und der Sicherheit bei Online-Einkäufen vermitteln. Wir fühlen uns wohl, wenn wir mit Apple Pay bezahlen können. Wenn wir jedoch aufgefordert werden, unsere persönlichen Kreditkartendaten einzugeben, halten viele von uns inne und überlegen, ob die Website, der Anbieter seriös sind. Für hochwertige Geschäftstransaktionen gibt es ein solches System noch nicht.
Darüber hinaus gibt es kein System, mit dem man sich vergewissern kann, dass ein Unternehmen wirklich das ist, was es vorgibt zu sein. Oder ob eine Verbindung gültig ist. Oder ob wir einen echten Kredit unterschreiben. Der Übergang zu einer digitalisierten Welt vollzog sich so schnell, dass niemand darüber nachdachte, dass wir uns vergewissern müssen, dass der Prozess legitim ist. Woher sollen wir ohne persönliche Interaktion wissen, was legitim ist?
Es gibt einen Grund dafür, dass Phishing-Angriffe seit 2021 um 61 % zugenommen haben und weshalb Bots heute stärker verbreitet sind als noch vor fünf Jahren: Angreiferinnen und Angreifer haben für sich eine Gelegenheit erkannt und diese genutzt. Als Branche befinden wir uns in einer Sackgasse, weil sich unsere Lösungen auf den Schutz von Endgeräten konzentriert haben, jetzt müssen wir jedoch komplette digitale Prozesse und die Customer Journey absichern.
Wir müssen unsere Identität konsequent nachweisen. Lösungen wie Multi-Faktor-Authentifizierung (MFA), Biometrie und Token-basierte Authentifizierung leisten heute einen Teil dieser Aufgabe, aber leider reicht das nicht aus. Fast jede Woche hören wir von raffinierten BEC-Betrügern, die MFA umgehen und dabei Taktiken wie AitM-Phishing-Angriffe (Adversary-in-the-Middle) einsetzen.
Unternehmen sollten ihre Customer Journeys untersuchen und kritische Punkte identifizieren. Auf diese Weise können sie, während der gesamten Customer Journey Stellen ausfindig machen, die Angreiferinnen und Angreifer ausnutzen könnten. Die meisten Unternehmen haben mindestens einen dieser Knackpunkte erkannt und Schutzmaßnahmen ergriffen.
Bevor wir beispielsweise die endgültige Rechnung einsehen können, erhalten wir einen Text mit einem sechsstelligen Code, den wir eingeben müssen, bevor wir den Prozess fortsetzen können. Dies sind die richtigen Schritte, aber wir dürfen nicht vergessen, dass eine digitale Transaktion nicht nur ein einstufiger Prozess ist.
Wir bewegen uns auf ein Modell zu, das eine kontinuierliche Authentifizierung und Identifizierung während dieser Transaktionen erfordert. Dieses Modell wird für jede Firma etwas anders aussehen, aber letztlich wird das Modell die nachfolgenden fünf Schritte umfassen:
- Eine unbekannte Identität wird in eine bekannte Identität umgewandelt. Dies sollte zu Beginn eines jeden Prozesses geschehen, bevor eine Transaktion stattfindet. Jede beteiligte Partei sollte ihre Identität nachweisen, sei es durch biometrische Daten oder einen Personalausweis.
- Sobald die Identitätsprüfung abgeschlossen ist, sollten individuelle Berechtigungsnachweise für den Zugriff auf das digitale Eigentum verteilt werden – egal ob es sich um eine Website, eine App, ein elektronisches Dokument oder eine virtuelle Umgebung handelt.
- Kundschaft und Verbraucherschaft sollten über eine interaktive, sichere virtuelle Umgebung mit verschiedenen Authentifizierungsmethoden durch mehrstufige und hochsichere Transaktionen geleitet werden.
- Um die Transaktion selbst durchzuführen und abzuschließen, muss der Prozess eine starke Identitätssicherheit bieten, mit Funktionen wie der Verschlüsselung digitaler Signaturen ausgestattet sein und den strengsten Sicherheitsstandards und -vorschriften entsprechen.
- Viele Verträge müssen in Übereinstimmung mit Gesetzen wie ESIGN, UETA und UCC Artikel 9-105 während ihres gesamten Lebenszyklus als eindeutige Originalkopien gespeichert und aufbewahrt werden. Um die Integrität des Dokuments oder der Transaktion zu gewährleisten, müssen Sie die Aufbewahrungskette aufrechterhalten und den Prüfpfad erfassen.
Da sich die Angriffsfläche verlagert, muss die Sicherheit in den gesamten Prozess und die Arbeitsabläufe integriert werden, und zwar nahtlos, um das bestehende digitale Erlebnis nicht zu stören. Mit Blick auf das neue Jahr ist davon auszugehen, dass dieses Thema sowohl für Unternehmen als auch für Sicherheitsdienstleister oberste Priorität haben wird und dass der Identitätsnachweis und die Gewährleistung von Vertrauen in digitale Prozesse zu einem entscheidenden Erfolgsfaktor werden.
Sameer Hajarnis ist CPO bei OneSpan.