Der Kampf gegen Betrug und Fälschung wird in Zukunft immer härter werden. Jedes Mal, wenn ein Angreifer eine Schutzebene durchbricht, sind wir gezwungen, eine neue Waffe einzusetzen, um ihn aufzuhalten. Und dieses Mal müssen wir hineingehen und mehr aus dem „biometrischen“ Lager holen.

Der Kern des Kampfes gegen Betrug und Fälschung besteht darin, dass der Angreifer ein Schwert, das wir ziehen, nicht unschädlich machen kann. Sofortige Ergebnisse werden auf jeden Fall funktionieren, aber um langfristige Ergebnisse aufrechtzuerhalten, ist eine sorgfältige Strategie erforderlich.

Online-Betrug wird immer raffinierter. Der Schritt, den Schutz durch Biometrie zu erweitern, ist ein Zeichen dafür, dass der Kampf hart werden wird. Die biometrische Datenbank wird mehrere Ebenen umfassen. Jedes Mal, wenn eine höhere Ebene verwendet werden muss, handelt es sich um einen „irreversiblen“ Schritt. Und wenn wir das Niveau schrittweise weiter erhöhen und dann genetische Daten verwenden müssen, wird das der letzte Schritt sein, und wenn wir verlieren, werden wir keine anderen Waffen mehr haben.

Jetzt müssen wir echte, sofortige Bilder verwenden, um Transaktionen zu bestätigen. Natürlich wird eine riesige Datenbank benötigt, um Bilder und biometrische Daten zum Vergleich und zur Authentifizierung zu speichern. Selbstverständlich werden über die Informationskanäle auch reale Bilder übermittelt. Was passiert, wenn diese Datenspeicher angegriffen werden oder auf Übertragungsleitungen oder Endpunkte zugegriffen wird? Die Bösewichte haben dann wieder Zugriff auf alle Benutzerdaten. Und wie kann sichergestellt werden, dass böswillige Akteure angesichts der immer leistungsfähigeren KI-Tools die neue Authentifizierungsbarriere nicht überwinden können?

Wir erfassen immer mehr personenbezogene Daten. Während wir unsere alten Datenlager nicht schützen können, wie können wir sicherstellen, dass wir die riesigen neuen Datenlager schützen können, die bereits gesammelt wurden und noch gesammelt werden? Noch gefährlicher ist, dass Kriminelle, wenn sie auf das Bild- und biometrische Datenlager zugreifen, sich nicht nur zur Bankauthentifizierung als wir ausgeben können, sondern auch für viele andere Zwecke, die nichts mit Bankgeschäften zu tun haben. Sie können eine falsche Welt über uns selbst erschaffen, die wir nicht kontrollieren können und deren Existenz wir nicht beweisen können.

Zunächst einmal müssen sich die Menschen darüber im Klaren sein, dass sie Schutz für sich selbst fordern und dass die Verwaltungsbehörden dafür verantwortlich sind, biometrische Daten zu schützen, damit diese nicht in die falschen Hände geraten.

Wenn Banken einen unumkehrbaren Schritt unternehmen, müssen sie zur Rechenschaft gezogen werden und es müssen Gesetze zum Schutz der Menschen geschaffen werden. Der Grund hierfür liegt darin, dass die technischen Maßnahmen zum Schutz personenbezogener Daten noch nicht wirksam sind und die Richtlinien zur Zuweisung der Verantwortung für die Datenweitergabe zu oberflächlich sind. Daher können Kriminelle die Schutzmaßnahmen leicht umgehen und die Kontrolle über das System schrittweise außer Kraft setzen.

Um einen echten Schutz zu gewährleisten, müssen sich Staat und Banken vor der Erhebung personenbezogener Daten verpflichten und Folgendes klarstellen:

- Welche Verantwortung trägt die Bank, wenn biometrische Daten durchsickern? Wer, welche konkrete Einheit wird verantwortlich sein und welche Sanktionen werden verhängt?

- Welche Sicherheitsvorkehrungen gibt es im System, damit einzelne Links nicht auf vertrauliche Daten zugreifen können? Das technische System muss sicherstellen, dass auch bei Manipulationen an Bankmitarbeitern (einschließlich Führungskräften) keine personenbezogenen Daten erlangt und verkauft werden können.

Datensicherheit ist eine große und schwierige Angelegenheit. Selbst die besten IT-Experten können nicht alle Schwachstellen vorhersehen. Die Festlegung einer Frist zum 1. Juli könnte die Banken dazu zwingen, schwache, ungetestete Systeme zu verwenden, in die böswillige Akteure leicht eindringen können – mit verheerenden Folgen. Wir müssen sehr vorsichtig sein und in begrenzten Schritten testen, sodass wir neue Methoden erst dann flächendeckend anwenden können, wenn ein Höchstmaß an Sicherheit erreicht ist.

Wir müssen auch von der Welt lernen. In Sachen Datensicherheit können wir uns die Erfahrungen Chinas zum Vorbild nehmen. Nach einer Zeit der ungezügelten Datensammlung haben sie verstanden, wie schwerwiegend die Preisgabe persönlicher Daten ist, und verfügen über klare Gesetze, die ein äußerst strenges Vorgehen gegen alle Einheiten vorsehen, die Daten preisgeben. Je wichtiger die Daten, desto größer die Verantwortung. Wenn die Verantwortung auf eine sehr hohe Ebene verlagert wird, kann niemand sie auf die leichte Schulter nehmen.

Von allen Unternehmen, die über personenbezogene Daten verfügen, wird verlangt, dass sie technische Schutzmaßnahmen auf höchstem Niveau ernsthaft umsetzen. Aufgrund dieses Bedarfs haben sich auf Sicherheitsbewertung und Implementierung von Sicherheitsmaßnahmen spezialisierte Unternehmen stark entwickelt und zahlreiche „Einhorn“-Unternehmen sind entstanden, die eine dynamische digitale Sicherheitswirtschaft mit sehr hoher Qualität gemäß den vom Staat sorgfältig geprüften Sicherheitsstandards fördern.

Ein gut funktionierendes System ist eines, das den Schutz der persönlichen Daten der Menschen maximiert und gleichzeitig nur ein Minimum an persönlichen Daten der Menschen sammelt.