Identitätsrisikobewertung: Warum sie wichtig ist und wann Sie sie vornehmen sollten

Radar
Radar

Bekämpfen Sie Betrug mit der geballten Power des Stripe-Netzwerks.

Mehr erfahren 
  1. Einführung
  2. Was ist eine Identitätsrisikobewertung?
  3. Welche Signale werden üblicherweise für die Identitätsanalyse genutzt?
    1. Gerätesignale
    2. Netzwerksignale
    3. Verhaltensbiometrie
    4. Signale von Identitätsmerkmalen
    5. Kontoübergreifende Verknüpfung
  4. Warum scheitern statische Regeln, wo die Identitätsrisikobewertung funktioniert?
    1. Schwarz-Weiß-Denken bei Graustufen
    2. Anpassungsfähigkeit der Angreifer/innen
    3. Die Grauzone
  5. Wo spielt die Identitätsrisikobewertung eine Rolle?
    1. Kontoerstellung
    2. Aktivierung kostenloser Testphasen
    3. Einlösung von Aktions- und Empfehlungscodes
    4. Anmeldung
  6. Wie finde ich die richtige Risikobewertungsplattform?
    1. Signalabdeckung und Aktualität
    2. Echtzeit-Leistung
    3. Genauigkeit und Häufigkeit falsch positiver Ergebnisse
    4. Optionen für die Integration
    5. Operative Tools
  7. Wie lässt sich ein Bewertungssystem verwalten und immer wieder anpassen?
    1. Legen Sie Schwellenwerte je nach Risikobereitschaft fest
    2. Achten Sie auf Veränderungen
    3. Richten Sie Feedbackschleifen ein
    4. Überprüfen Sie Ihre Schwellenwerte regelmäßig
  8. So kann Stripe Radar Sie unterstützen

Um ein Konto zu erstellen, muss ein/e Nutzer/in eine Kombination aus E-Mail-Adresse, Telefonnummer und Name angeben. Da diese Angaben jedoch in Sekundenschnelle frei erfunden werden können, liefern sie wenig nützliche Hinweise auf die tatsächliche Identität. Andere Datenpunkte sind weitaus relevanter: das verwendete Gerät, das Netzwerk, in dem sich die Person befindet, wie sie das Anmeldeformular ausgefüllt hat usw.

Eine Identitätsrisikobewertung ist ein Verfahren für Cybersicherheit, bei dem einer Identität ein Risikolevel zugewiesen wird. Dabei werden Entscheidungen anhand vermeintlich unerheblicher Signale getroffen. Im Folgenden erklären wir, was eine Identitätsrisikobewertung ist, warum sich moderne Missbrauchsmuster mit statischen Regeln nicht erkennen lassen und wie Sie ein Bewertungssystem einführen, evaluieren und durchsetzen.

Das Wichtigste auf einen Blick

  • Bei der Identitätsrisikobewertung werden Dutzende Signale gleichzeitig gewichtet, statt sich auf ein einzelnes Merkmal zu stützen. Dadurch ist sie für Angreifer/innen wesentlich schwieriger zu umgehen als statische Regeln.

  • Die besten Gelegenheiten für eine Bewertung sind u. a. die Aktivierung einer Testphase, die Einlösung eines Aktionscodes und die Anmeldung an sich.

  • Bei Nutzung einer Bewertungsplattform sollten Teams immer wieder Schwellenwertanpassungen vornehmen und Feedbackschleifen verwenden.

Was ist eine Identitätsrisikobewertung?

Bei der Identitätsrisikobewertung wird einem Anmeldeversuch je nach Gesamtgewichtung der zum jeweiligen Zeitpunkt vorliegenden Signale ein numerischer oder kategorischer Risikowert zugewiesen. Statt sich auf die Richtigkeit der E-Mail-Adresse des Nutzers/der Nutzerin zu konzentrieren, wird bewertet, ob der Versuch als Ganzes in sich so schlüssig ist wie der eines legitimen Nutzers/einer legitimen Nutzerin.

Welche Signale werden üblicherweise für die Identitätsanalyse genutzt?

Es gibt nicht den einen Datenpunkt, der Ihnen verrät, ob eine Anmeldung legitim ist. Identitätsanalyse- und Risikobewertungsplattformen verknüpfen daher Signale aus fünf verschiedenen Kategorien:

Gerätesignale

Der digitale Fingerabdruck eines Gerätes (sog. Device Fingerprinting) beinhaltet Informationen zu Browserversion, installierten Schriftarten, Bildschirmauflösung und Hardwarespezifikationen. So dient er als Kennung, die sitzungsübergreifend erhalten bleibt. Ein Gerät, das einmal mit Betrug oder Missbrauch in Verbindung gebracht wurde, kann also auch mit neuen Kontoanmeldedaten als verdächtig markiert werden. Plattformen achten zudem auf Anzeichen für Automatisierung, wie z. B. Headless-Browser, fehlende erwartete APIs (Programmierschnittstellen) oder Merkmalskombinationen, die bei Geräten echter Verbraucher/innen nicht vorkommen.

Netzwerksignale

Wichtiger als die IP-Adresse selbst ist die Reputation des Internetprotokolls (IP), also ob es mit einem Rechenzentrum, bekannten VPN-Anbieter, Tor-Ausgangsknoten oder Residential-Proxy-Netzwerk verknüpft ist, das Kriminelle nutzen, um normalen Traffic zu imitieren. Auch die Geschwindigkeit auf Netzwerkebene – z. B. 50 Anmeldungen aus demselben Subnetz innerhalb einer Stunde – ist für sich genommen bereits ein Signal für betrügerische Aktivitäten.

Verhaltensbiometrie

Die Tippfrequenz, Mausbewegungen, die jeweils für ein Feld aufgewendete Zeit sowie das Kopieren und Einfügen der E-Mail-Adresse statt des Eintippens, erzeugen messbare Muster. Die von Bots und skriptgesteuerten Tools erzeugten Signaturen unterscheiden sich statistisch von diesen menschlichen Mustern. Diese möglichst natürlich nachzuahmen, bleibt für Angreifer/innen eine technische Herausforderung.

Signale von Identitätsmerkmalen

Das Erstellungsdatum der E-Mail-Adresse, die Domain-Reputation, die Übereinstimmung der Adresse mit typischen Mustern von Wegwerfadressen und der Telefonnummerntyp (z. B. Voice over Internet Protocol (VoIP) oder von Netzbetreiber ausgestellt) sind einzeln schwache Signale, doch in Kombination mit anderen durchaus aufschlussreich.

Kontoübergreifende Verknüpfung

Wenn fünf Konten denselben Geräte-Fingerabdruck haben oder innerhalb einer Woche 20 Konten aus demselben IP-Bereich erstellt wurden, sind diese Verknüpfungen ebenfalls Signale. Eine Plattform, die eine große Bandbreite an Unternehmen abdeckt, kann Muster erkennen, die kein einzelner Betreiber jemals allein wahrnehmen würde.

Warum scheitern statische Regeln, wo die Identitätsrisikobewertung funktioniert?

Statische Regeln lassen sich leicht umgehen. Wenn Rechenzentrum-IPs gesperrt werden, wechseln Angreifer/innen zu privaten Proxys. Wenn Wegwerf-E-Mail-Regeln greifen, wechseln sie zu benutzerdefinierten Domains. Und wenn Geschwindigkeitslimits erreicht werden, verteilen sie den Traffic auf mehrere IPs.

So lassen sich mit einer Bewertung die folgenden Probleme vermeiden:

Schwarz-Weiß-Denken bei Graustufen

Echter Traffic bewegt sich in einem Spektrum zwischen legitim und betrügerisch, in dem es eine große Grauzone gibt. VPN-Nutzer/innen mit makelloser Vorgeschichte und normalem Verhalten unterscheiden sich von VPN-Nutzer/innen auf einem als riskant markierten privaten Proxy mit botartigem Tippverhalten und einer drei Minuten alten E-Mail-Adresse. Mit einer statischen Regel lässt sich dieser Unterschied nicht abbilden – mit einer Bewertung schon.

Anpassungsfähigkeit der Angreifer/innen

Wenn Betrüger/innen ihre Taktik ändern, bemerkt ein regelbasiertes System dies erst, wenn eine neue Regel aufgestellt wird. Ein auf Verhaltensmuster trainiertes Bewertungssystem kann die neue Taktik als Anomalie gegenüber dem bekannten legitimen Traffic erkennen – und das oft schon, bevor sie explizit klassifiziert wurde.

Die Grauzone

Viele Produktionssysteme verwenden strikte Regeln für eindeutig disqualifizierende Signale, wie bekannte Malware-Infrastruktur oder Übereinstimmungen mit Sanktionslisten, und Bewertungen für alles dazwischen.

Wo spielt die Identitätsrisikobewertung eine Rolle?

Missbrauchsmuster begleiten Nutzer/innen während ihres gesamten Lebenszyklus auf Ihrer Plattform. Die Risikobewertung findet an den folgenden Punkten Anwendung, an denen eine Identität behauptet oder potenziell missbraucht wird.

Kontoerstellung

Typische Formen von Missbrauch sind die Ausnutzung kostenloser Tarife, das Abgreifen von Anmeldedaten, Konten zur Fälschung von Bewertungen und das systematische Abgreifen von Aktionscodes. Eine Risikobewertung bei der Registrierung ist die erste und manchmal auch die einzige Gelegenheit, dies zu erkennen, bevor das Konto aktiviert wird.

Aktivierung kostenloser Testphasen

Der Missbrauch von Testphasen folgt einem festen Muster: Kontoerstellung, Aktivierung der Testphase, Ausnutzung, Erstellung des nächsten Kontos. Mit einer Bewertung bei der Aktivierung – zusätzlich zur Registrierung – lassen sich Nutzer/innen erfassen, die die erste Prüfung bereits umgangen haben.

Einlösung von Aktions- und Empfehlungscodes

Der Missbrauch von Aktionen folgt bestimmten Infrastrukturmustern. Mit einer Risikobewertung bei der Einlösung können Konten erfasst werden, die die Prüfung bei der Registrierung bestanden haben, aber nun Verhaltensweisen zeigen, die auf Missbrauch hindeuten.

Anmeldung

Eine Kontoübernahme stellt eine andere Form von Missbrauch dar als der Betrug mit neuen Konten, einige Signale sind jedoch gleich. Daher erfordern auffällige Anmeldeversuche eine eigene Bewertungsebene.

Manche Plattformen nehmen während einer Sitzung kontinuierlich Bewertungen vor. Nutzer/innen, die die Prüfung bei der Registrierung bestehen, aber anschließend durch API-Aufrufe mit hoher Frequenz, massenhafte Datenexporte oder wiederholte Zahlungsausfälle auffallen, werden anhand dieses Verhaltens neu bewertet. Stripe Radar bewertet Transaktionen anhand von Signalen aus dem gesamten Stripe-Netzwerk. So erhält es Einblicke in Muster, die einzelne Unternehmen allein nicht erkennen können. Unternehmen, die einen Registrierungsschutz einrichten und diesen mit Stripe-Zahlungen verknüpfen, dient die Bewertungsebene in der Zahlungsphase als Absicherung gegen Betrug, der bei früheren Prüfungen unentdeckt bleibt.

Wie finde ich die richtige Risikobewertungsplattform?

Auf Marketingseiten sind die Unterschiede zwischen Anbietern nicht immer klar erkennbar. Die Wahl der falschen Plattform kann allerdings dazu führen, dass legitime Nutzer/innen blockiert oder Missbrauch durchgelassen wird.

Darauf sollten Sie bei einer Risikobewertungsplattform achten:

Signalabdeckung und Aktualität

Informieren Sie sich, wie viele Signaltypen die Plattform erfasst und wie aktuell ihre Reputationsdaten sind. Eine Plattform mit veralteten IP-Reputationsdaten oder eingeschränkter Device-Fingerprinting-Abdeckung liefert Werte, die neuere Angriffsmuster nicht berücksichtigen. Fragen Sie Anbieter gezielt nach ihren Fähigkeiten zur Erkennung von Residential Proxies und Verhaltensbiometrie – hier können sich Plattformen erheblich unterscheiden.

Echtzeit-Leistung

Bei der Registrierung muss die Identitätsbewertung ein Ergebnis liefern, bevor der/die Nutzer/in eine Antwort erwartet. Verzögerungen von mehr als wenigen hundert Millisekunden wirken sich bereits auf die Konversion aus. Fragen Sie nach den tatsächlichen Latenzwerten für das 99. Perzentil.

Genauigkeit und Häufigkeit falsch positiver Ergebnisse

Ein System, das Betrug zu 95 % verhindert, aber 3 % legitime Nutzer/innen fälschlicherweise ablehnt, kann, je nach Art Ihres Unternehmens, unterm Strich von Nachteil sein. Beurteilen Sie die Falsch-positiv-Rate im Hinblick auf Ihr jeweiliges Traffic-Profil. Wenn das System ein Konto als riskant markiert, sollte es Ihnen mitteilen können, welche Signale für die Entscheidung ausschlaggebend waren.

Optionen für die Integration

Stellen Sie fest, ob die Plattform vorgefertigte Integrationen für Ihren Stack und eine Echtzeit-API bietet, die zu Ihrem Registrierungsablauf passt. Prüfen Sie, wie sie mit Entscheidungen umgeht, die sich auf Ihre Authentifizierungs- oder Zahlungssysteme auswirken.

Operative Tools

Für die Bewertung werden Dashboards mit Angaben zur Verteilung, Tools zur Prüfung markierter Konten, die Möglichkeit zur Anpassung von Schwellenwerten sowie Feedback-Mechanismen benötigt, die eine Modelloptimierung durch menschliche Prüfung ermöglichen. Plattformen, die nicht in derartige Infrastruktur investieren, werden mit der Zeit immer ineffizienter.

Wie lässt sich ein Bewertungssystem verwalten und immer wieder anpassen?

Mit der Einführung einer Identitätsanalyse- und Risikobewertungsplattform beginnt ein fortlaufender Prozess.

Das sollten Sie von Anfang an wissen:

Legen Sie Schwellenwerte je nach Risikobereitschaft fest

Viele Plattformen haben Standardschwellenwerte für die Auslösung von Sperren, Prüfungen oder Freigaben. Diese Standardwerte sind auf den/die Durchschnittsverbraucher/in kalibriert und müssen daher wahrscheinlich angepasst werden. Führen Sie das System im Shadow-Modus aus und vergleichen Sie die Risikoverteilung mit Ihren bereits bekannten Werten. So sehen Sie, wo Ihre Schwellenwerte tatsächlich liegen sollten.

Achten Sie auf Veränderungen

Das Verhalten von Angreifer/innen ändert sich, aber auch das legitimer Nutzer/innen – insbesondere wenn Sie in neue Märkte einsteigen, Ihr Produkt ändern oder eine Kampagne starten, die ungewöhnlichen Traffic anzieht. Wenn sich die Risikoverteilung verschiebt, ohne dass sich die tatsächlichen Betrugsraten entsprechend ändern, ist dies ein Signal dafür, dass sich etwas verändert hat und untersucht werden muss.

Richten Sie Feedbackschleifen ein

Die Risikobewertung ist eine Vorhersage, doch die Realität sind die tatsächlichen Ergebnisse. Plattformen, die Feedback aufnehmen können, um ihre Modelle anzupassen, sind langfristig nachweislich genauer.

Überprüfen Sie Ihre Schwellenwerte regelmäßig

Meist werden Schwellenwerte beim Onboarding festgelegt und dann monatelang nicht überprüft. Dabei ändern sich Betrugsraten und Produktoberflächen, sodass der Schwellenwert, der für das Traffic-Profil vom Vorjahr kalibriert wurde, jetzt zu restriktiv oder zu permissiv sein könnte. Legen Sie einen Prüfrhythmus fest, um die Bewertungsleistung mit den tatsächlichen Ergebnissen abzugleichen, und passen Sie die Schwellenwerte entsprechend an.

So kann Stripe Radar Sie unterstützen

Stripe Radar verwendet KI-Modelle, um Betrug zu erkennen und zu verhindern. Diese Modelle wurden mit Daten aus dem globalen Netzwerk von Stripe trainiert. Sie werden kontinuierlich auf der Grundlage neuester Betrugstrends aktualisiert und schützen Ihr Unternehmen vor aufkommenden betrügerischen Aktivitäten.

Stripe bietet außerdem Radar for Fraud Teams an, mit dem Nutzer/innen benutzerdefinierte Regeln für Betrugsszenarien hinzufügen können, die speziell auf ihr Unternehmen zugeschnitten sind. Außerdem erhalten sie Zugang zu neuesten Erkenntnissen über betrügerische Aktivitäten.
Mit Radar kann Ihr Unternehmen unter anderem Folgendes umsetzen:

  • Verlust aufgrund von Betrug vermeiden: Stripe wickelt jährlich Zahlungen in Höhe von über 1 Billion USD ab. Dadurch kann Radar auf einzigartige Weise Betrug genau erkennen und verhindern.

  • Umsatz steigern: Die KI-Modelle von Radar werden anhand tatsächlicher Anfechtungsdaten, Kundeninformationen, Daten zum Surfverhalten und mehr trainiert. Damit kann Radar riskante Transaktionen identifizieren und falsch positive Ergebnisse reduzieren und so Ihren Umsatz steigern.

  • Zeit sparen: Radar ist in Stripe integriert und lässt sich ohne Codierung einrichten. Sie können über eine einzige Plattform Ihre Performance mit Blick auf Betrug überwachen, Regeln schreiben und vieles mehr. Das erhöht die Effizienz.

Erfahren Sie mehr über Stripe Radar oder starten Sie noch heute.

Der Inhalt dieses Artikels dient nur zu allgemeinen Informations- und Bildungszwecken und sollte nicht als Rechts- oder Steuerberatung interpretiert werden. Stripe übernimmt keine Gewähr oder Garantie für die Richtigkeit, Vollständigkeit, Angemessenheit oder Aktualität der Informationen in diesem Artikel. Sie sollten den Rat eines in Ihrem steuerlichen Zuständigkeitsbereich zugelassenen kompetenten Rechtsbeistands oder von einer Steuerberatungsstelle einholen und sich hinsichtlich Ihrer speziellen Situation beraten lassen.

Weitere Artikel

  • Etwas ist schiefgegangen. Bitte versuchen Sie es noch einmal oder kontaktieren Sie den Support.

Startklar?

Erstellen Sie direkt ein Konto und beginnen Sie mit dem Akzeptieren von Zahlungen. Unser Sales-Team berät Sie gerne und gestaltet für Sie ein individuelles Angebot, das ganz auf Ihr Unternehmen abgestimmt ist.
Radar

Radar

Bekämpfen Sie Betrug mit der geballten Power des Stripe-Netzwerks.

Dokumentation zu Radar

Verwenden Sie Stripe Radar, um Ihr Unternehmen vor Betrug zu schützen.