Sicherheit an der Schnittstelle von Produktdesign und Produktnutzung: Kyle, Vertrauen & Sicherheit

Kyle und sein Team durchsuchen das Internet jeden Tag nach potenziellen Sicherheitsbedrohungen. Ihre Spezialität: das Sammeln, Analysieren und Bereitstellen von Informationen über Betrugsversuche und Angriffe auf Banken, Fintechs und andere digitale Dienste für verschiedene Teams innerhalb von N26, die unsere Produkte so noch sicherer machen können.

Kyle, der Name deines Teams vereint zwei grundlegende Voraussetzungen für eine Bank: Vertrauen und Sicherheit. Was genau machen du und dein Team?

Bei N26 tun wir alles, um die Bankkonten unserer Kund:innen und unsere Systeme zu schützen. Produktsicherheit spielt dabei eine wesentliche Rolle. Aber es gibt auch eine menschliche Komponente in dem Bereich, in dem sich Produktdesign und Produktnutzung überschneiden. Genau da kommt das Trust & Safety-Team bei N26 ins Spiel.

Kurz gesagt ist es unsere Aufgabe, die Kund:innen von N26 vor Betrugsmustern zu schützen. Dabei handelt es sich in der Regel um böswillige Akteure, die versuchen, auf Konten zuzugreifen oder Menschen um ihr Geld zu betrügen. Die Geschichten, die man im Internet über Menschen hört, die beispielsweise einen Anruf von jemandem erhalten, der behauptet, ein Vertreter ihrer Bank zu sein, und am Ende Tausende von Euro verlieren – das ist ein Beispiel für das, was wir zu verhindern versuchen.

Deshalb überwachen wir das Internet ständig auf Phishing und Rechtsverletzungen an der Marke N26 – im Grunde auf alles, was wie N26 aussieht, es aber nicht ist, und es auf unsere Kund:innen abgesehen hat. Das kann zum Beispiel über Textnachrichten passieren, die Betrüger:innen an Kund:innen senden und sich darin als Mitarbeiter:in von N26 ausgeben. Sie fordern die Kund:innen dann auf, auf einen Link zu klicken, eine Telefonnummer anzurufen oder ihre PIN oder Anmeldedaten anzugeben, damit die Betrüger:innen an die persönlichen Daten der Kund:innen gelangen und Zugang zu ihren Konten erhalten können. 

Wir recherchieren auch breiter zu neuen Arten von Phishing-Angriffen und Betrugsmaschen. Regelmäßige Überprüfungen sind notwendig, weil böswillige Akteure leider recht innovativ sind und ihre Methoden häufig ändern.

Was geschieht mit all den Informationen, die ihr sammelt?

Du kannst das Trust & Safety-Team als Informationsdienst betrachten. Wir geben beispielsweise Informationen über potenzielle Cyberangriffe an die Teams weiter, die an Produktentwicklung arbeiten. Sie nutzen sie dann, um die N26 App noch sicherer zu machen. Unser Ziel ist es, sicherzustellen, dass alle neuen Produktangebote mögliche neue Bedrohungen schon berücksichtigen, bevor sie für Kund:innen freigegeben werden. Darüber hinaus helfen Informationen über die neuesten Betrugstrends und -maschen unseren Teams, verdächtige Aktivitäten auf Kundenkonten noch schneller zu erkennen. 

Außerdem helfen wir dabei, N26 Kund:innen über Sicherheit beim Online-Banking zu informieren: N26 hat einen Blog, mehrere Newsletter und Social-Media-Kanäle, in denen wir Tipps geben, wie man beim Online-Banking sicher bleibt und vor welchen Betrügereien man sich in Acht nehmen sollte.

Böswillige Akteure versuchen in der Regel, ihre Methoden für sich zu behalten. Wie erfahrt ihr von Betrugsmaschen und anderem missbräuchlichen Verhalten?

Du wärst überrascht, wie viele Betrüger:innen tatsächlich mit ihren Methoden und „Erfolgen“ im Internet prahlen. Aber wir erhalten unsere Informationen aus verschiedenen Quellen: Um zu verstehen, welche Arten von Betrug N26 Kund:innen melden, führen wir Recherchen in den sozialen Medien sowie im Deep und Dark Web durch und stehen im ständigen Austausch mit dem Kundenservice. Außerdem sind wir mit Kolleg:innen aus anderen Unternehmen auf internationaler Ebene gut vernetzt und tauschen Informationen mit ihnen aus.

Sich ständig über verschiedenste Arten von Betrugsversuchen zu informieren, die N26 möglicherweise betreffen könnten, klingt nach einer ziemlichen Herausforderung, die sich aber auch lohnt. Was macht dir an deinem Job am meisten Spaß?

Betrugsmaschen verändern sich ständig und mit der zunehmenden Digitalisierung hat Online-Kriminalität in den letzten Jahren erheblich zugenommen. Wir erleben oft, dass böswillige Akteure sowohl auf die Barrieren reagieren, die wir zum Schutz der Nutzer:innen errichten, als auch versuchen, sie zu umgehen. Es ist unheimlich spannend, genauer zu untersuchen, wer diese Menschen sind, wie sie ticken und wie sie auf unsere Maßnahmen reagieren. Gleichzeitig kann es wegen der Art und Geschwindigkeit der Veränderungen auch eine Herausforderung darstellen.

Welchen Beitrag leistet N26 aus deiner Sicht zur Verbesserung der Bankensicherheit?

Eine Sache, die N26 wirklich unterscheidet, ist, dass wir die Sicherheit unserer Kund:innen in den Mittelpunkt all unseres Handelns und jedes Produkts oder Features stellen, das wir entwickeln. Auf diese Weise können wir verhindern, dass potenzielle Betrügereien überhaupt möglich werden, weil wir proaktiv die richtigen Maßnahmen ergreifen.

Sind dir in Bezug auf Betrugsmuster neue Trends aufgefallen? Wie sehr haben sie sich in den letzten Jahren verändert?

Betrugsmuster unterliegen einem ständigen Wandel. Verbraucher:innen haben ein immer besseres Verständnis von Betrugsthemen, was leider wiederum zur Folge hat, dass auch die Betrüger:innen bei ihren Machenschaften immer raffinierter und innovativer werden. Es gibt eine Reihe von Betrugsmaschen, von denen wir regelmäßig hören, wie etwa gefälschte Shopping-Webseiten oder Vishing: Hier kontaktieren Betrüger:innen Verbraucher:innen telefonisch, um an persönliche Informationen und letztlich an Geld zu kommen. Der größte Trend, auf den ich eingehen möchte, ist allerdings der Betrug mit autorisierten Push-Zahlungen.

Wie bei anderen Betrügereien geht es auch hier darum, dass böswillige Akteure die Verbraucher:innen dazu verleiten, freiwillig eine Zahlung auf ein von den Betrüger:innen kontrolliertes Konto vorzunehmen. Das kann auf viele verschiedene Arten geschehen. Der Knackpunkt ist bei “Authorised Push Payment Fraud” die Konzentration auf Echtzeitzahlungen. Da diese Zahlungen sofort und unwiderruflich erfolgen, können die Opfer die Zahlung nicht mehr rückgängig machen, wenn sie herausfinden, dass sie betrogen worden sind. Deshalb empfehlen wir bei N26, dass Kund:innen generell nur Echtzeitzahlungen an Personen vornehmen, die sie kennen und denen sie vertrauen.

Was ist das Wichtigste, das Kund:innen unbedingt über Online-Sicherheit wissen sollten? 

Es ist wichtig zu verstehen, dass Online-Sicherheit genauso relevant ist wie die Sicherheit in der physischen Welt. Der wichtigste Rat, den ich den Nutzer:innen daher geben würde, ist, grundsätzlich skeptisch zu sein. Ich weiß, wie sich das anhört – natürlich möchte ich nicht, dass sie paranoid werden. Aber wenn du von jemandem mit einer Bitte angesprochen wirst, vor allem online – sei es von einer Person, die behauptet, eine von dir genutzte Marke, einen Dienstleister oder einen potenziellen Arbeitgeber zu vertreten, oder die du in einer Dating-App kennengelernt hast –, dann nimm dir einen Moment Zeit und sieh dir genau an, worum sie dich bittet. Auch wenn Betrüger:innen sehr gut darin sind, ihre Zielpersonen mithilfe von sogenanntem Social Engineering zu irrationalem Verhalten zu bewegen, ergeben ihre Bitten auf den zweiten Blick meist nicht viel Sinn. Eine gesunde Portion Skepsis hilft daher oft weiter.

Es gibt noch ein paar weitere allgemeine Ratschläge, die ich ergänzen möchte:

• Wenn du eine E-Mail oder Textnachricht von deiner Bank, deinem Zahlungsanbieter oder einem anderen Unternehmen erhältst, in der du aufgefordert wirst, sofort zu handeln, sei vorsichtig. In einigen Fällen können tatsächlich böswillige Akteure hinter der Nachricht stecken. N26 kommuniziert beispielsweise Inhalte, die personenbezogene Daten enthalten, nur über den Posteingang (“Nachrichten von N26”) in deiner N26-App. Wir fordern Kund:innen außerdem nur dazu auf, in der App zu antworten – nicht per E-Mail, SMS oder Telefon. Du kannst dich auch jederzeit per Chat an den Kundendienst wenden, wenn du dich vergewissern möchtest, ob die Person, die sich an dich wendet, wirklich eine Ansprechperson von N26 ist.
• Wenn du Opfer eines Phishing-Angriffs wirst und ein böswilliger Akteur deine E-Mail und dein Passwort für einen bestimmten Service hat, ist das natürlich schlecht, weil er dann Zugang zu deinem Account bei genau diesem Anbieter bekommen kann. Allerdings wird diese Person deine Zugangsdaten in den meisten Fällen zusätzlich auf jeder anderen Website ausprobieren, die ihr einfällt. Verwende also nie für mehrere Services dieselben Anmeldedaten!
• Wenn du jemals den Verdacht haben solltest, dass du Opfer eines Betrugs geworden sein könntest, dann erstatte bei den Strafverfolgungsbehörden Anzeige. Unternehmen sind nicht befugt, das in deinem Namen zu tun, da sie rechtlich gesehen nicht die Opfer sind. Fälle von Cyberkriminalität mögen für die Strafverfolgungsbehörden immer noch schwieriger zu verfolgen sein, aber die Anzahl der gemeldeten Fälle einer bestimmten Art macht einen Unterschied: Dies hilft bei der Erkennung von Mustern und kann den Strafverfolgungsbehörden auch ermöglichen, mehr Ressourcen für eine Untersuchung einzusetzen.