Tanja Steinhoff beschrieb ein Muster, das ihr in Gesprächen mit Bankkund:innen regelmäßig begegnet: eine Kontoübernahme, die nie wie eine solche aussieht. Der Betrüger verschafft sich Zugang zum Online-Banking und nimmt dann, anstatt direkt eine Transaktion durchzuführen, zunächst kleine, harmlos erscheinende Änderungen vor: Er passt Kreditlimits an, aktualisiert eine Telefonnummer, leitet eine Authentifizierungs-App um und so weiter. Jede einzelne Aktion löst für sich genommen keinen Verdacht aus. Bis die betrügerische Zahlung das 3DS-Verfahren durchläuft, hat der Angreifer bereits die volle Kontrolle, die Transaktion wird problemlos authentifiziert, und der SCA-Mechanismus, der genau dieses Ergebnis verhindern soll, ist damit wirkungslos geworden. „Was eigentlich als Massnahme gegen Betrug gedacht war“, sagte sie, „ist uns – durch Social Engineering und die Übernahme von Konten – als reiner ACS-Anbieter entglitten.“
Der Grund, warum dies immer wieder geschieht, liegt in einem strukturellen Problem, das die Branche nur zögerlich angeht. Banken greifen in der Regel erst ein, wenn Geld bewegt wird, und nicht vorher. Alles, was diesem Moment vorausgeht – die Erkundung, die Manipulation von Konten, die stillen Vorbereitungen – geschieht in den Lücken zwischen Systemen, die nicht miteinander kommunizieren. Sannelie Gallichan brachte es auf den Punkt: „Wir entscheiden uns für ein Eingreifen, wenn Geld bewegt wird. Das ist in der Regel der Zeitpunkt, an dem Banken handeln. Wenn die Zahlungstransaktion dann ansteht, findet der 3DS-Prozess vollständig ausserhalb des Ökosystems der Bank statt.“
Das Problem der betrügerischen Händler verdeutlicht genau, warum das von Bedeutung ist. Ein betrügerischer Händler beschränkt sich nicht auf eine Bank, sondern ist bei vielen tätig und nutzt dabei die Tatsache aus, dass die Informationen, über die jedes Institut verfügt, innerhalb der eigenen Mauern bleiben. Bank A entdeckt ein verdächtiges Muster, hat aber keine Möglichkeit, Bank B, C oder D zu warnen. Bis der Betrug seinen Lauf genommen hat, hat jedes Institut nur einen Ausschnitt des Gesamtbildes gesehen. „Was wirklich wichtig ist, ist, nach den Stellen zu suchen, an denen man die beste Abdeckung hat“, sagte Gallichan. „Suchen Sie nach Möglichkeiten, diese Informationen innerhalb der Umgebung Ihres 3DS-ACS-Anbieters zu generieren – sei es im Rahmen einer Konsortialvereinbarung, eines proprietären Modells oder einfach eines informellen Warnsystems.“
Letztendlich besteht das Problem nicht darin, dass die Signale fehlen. Vielmehr sind sie fragmentiert: eine Änderung der Limits in einem System, eine Aktualisierung der Authentifizierung in einem anderen, ein Gerätewechsel an anderer Stelle. Für sich genommen ist jedes dieser Ereignisse unauffällig, doch in ihrer Gesamtheit erzählen sie eine klare Geschichte. Die Branche muss nur anfangen, diese zu deuten.
Das Datenproblem reicht noch tiefer. Statische personenbezogene Daten, einst die Grundlage der Identitätsprüfung, lassen sich immer leichter beschaffen. Keith Groves veranschaulichte dies anhand eines aktuellen Beispiels aus der Praxis: Eine Person wurde nicht wegen direkt begangenen Betrugs verhaftet, sondern wegen des Sammelns und Verkaufs personenbezogener Daten an diejenigen, die damit Betrug begehen würden. „Organisierte Kriminelle müssen sich nicht besonders viel Mühe geben, um diese Daten zu sammeln und zu erfassen“, sagte er. Das bedeutet, dass es nicht mehr ausreicht, zu wissen, wer jemand zu sein vorgibt. Die Frage, die sich die Branche stellen muss, lautet nicht „wer“, sondern „wie“. „Wir verlagern unseren Fokus weg von der bloßen Überprüfung der Identität hin zur Überprüfung, ob die Handlung mit dem Verhalten des Verbrauchers übereinstimmt.“