Die Zukunft von Payment Security

Ähnliche Dokumente
Sicherheit. im Zahlungsverkehr

10 Die neue 10-Franken-Note

20 Die neue 20-Franken-Note

Viren-Terror im Zeitalter von E-Health:

Offline Zahlungs-Software im Visier von Hackern - Schweizer Unternehmen betroffen

Der schnelle Weg ins E-Banking. Logins bestätigen & Zahlungen freigeben im E-Banking der Luzerner Kantonalbank

Industrial Security. Sicherheit im industriellen Umfeld. Frei verwendbar Siemens AG 2018

Marktauftritt ebill. Empfehlung für Banken

Ihr schnellster Weg ins E-Banking. Logins bestätigen & Zahlungen freigeben mit der Key App der Luzerner Kantonalbank

Digitale Identität und Sicherheit

Lauernde Gefahren im Internet

So geht s. a b. Der einfache und sichere Zugang zu UBS Digital Banking. Für alle Ihre Fragen ubs.com/digital ubs.com/hilfe

Gefahren im Internet

KomFIT 2018 DS-GVO Konformität durch Zwei-Faktor-Authentifizierung

Bedrohungen Heute und Morgen

Informationssicherheit an der RWTH

SICHERE DIGITALE KOMMUNIKATION LERNEINHEIT 2

eid Starker Beitrag der Banken als Chance für die Schweizer Wirtschaft

KASPERSKY INTERNET SECURITY 2011 UND KASPERSKY ANTI-VIRUS 2011 COPY POINTS

Einstieg ins Tool. SuccessFactors Learning Management System (LMS). SBB AG Bildung SBB

Cyber Crime. Gefahren, Bedrohung, Ursachen, Massnahmen. KZEI Fyrabig-Anlass vom 22. März 2018

UBS KeyPort Web. Initial anmelden und Benutzerkennung einrichten, Schlüsselmedium und Bankzugang initialisieren. November 2016

Datenschutzkonforme Kommunikation im Gesundheitswesen noch nie so wichtig wie heute. Zürich, 22. November 2017 Christian Greuter, Health Info Net AG

Was kostet der Empfang von Rechnungen mit ebill? Der Empfang von Rechnungen mit ebill im E-Banking ist für Sie kostenlos.

Von E-Rechnung auf ebill wechseln ebill im E-Banking aktivieren Firmen hinzufügen Übersicht Anmeldungen... 7

SwissID die digitale Identität für die Schweiz. Urs Fischer, CDO, SwissSign Group AG

Herzlich willkommen zur Lernwerkstatt

Sicherheit beim Online-Banking. Neuester Stand.

Über mich. Dem Hacker keine Chance Marc Nilius WordPress-Meetup Dortmund

lyondellbasell.com Sicherheit im Internet

Schutz vor Cyberbedrohungen Schutzmassnahmen MUM

Migration auf die neue Infrastruktur für ebill

> Ihr Sparkasse Mobile Banking. Jederzeit griffbereit.

Cybersecurity Minimale Vorkehrungen grosse Wirkung

InnovationsDIALOG 2016 Digitales Datensicherheitsrecht Das Geschäft mit den Daten Oberbank

Live Hacking. Einblicke in die Methoden der Hacker und Was Sie zum Schutz Ihres Unternehmens tun können.

Über mich. Dem Hacker keine Chance Marc Nilius WordPress-Meetup Bonn

Fernwartung, was kann da schon schiefgehen? Erfahrungsberichte aus dem BSI

Checkliste Facebook-Einstellungen

DIGIPASS IHR ZUGANGSGERÄT FÜR E-BANKING BENUTZERANLEITUNG

DB Secure-Access-Portal Benutzeranleitung SMS-Token

ANTWORTEN AUF HÄUFIGE FRAGEN TKB E-BANKING

Sicherheitsinformationen

ebill Frequently Asked Questions

ANTWORTEN AUF HÄUFIGE FRAGEN TKB E-BANKING

Co-Browsing: Neue Service-Dimension durch Telefon und Website Integration

RAS-Zugang (Remote Access Service)

Informationssicherheit für KMU

Informationsveranstaltung "Digitalisierung im KMU" Herzlich willkommen. Zusammen erfolgreich.

Falschgelderkennung Theorie und Praxis. Dierk Dominicus

Cyber Telekom Thomas Tschersich, SVP Group Cyber- and Datasecurity

ebill Frequently Asked Questions

GANZHEITLICHE -SICHERHEIT

Herzlich Willkommen zum Vortrag: Sicherheit im Internet

50 Die neue 50-Franken-Note Das jüngste Schweizer Original

Rotary SH. Paul Schöbi, Cnlab AG

How to hack your critical infrastructure

Anleitung für Windows.

IT-Security-Symposium 2019 IT- Security im Fokus

8com Awareness-Portal

Das CERT-Brandenburg und die Kommunen 4. Kommunaler IT-Sicherheitskongress Berlin,

Safenet Token Bereitstellung. Installationsanleitung für den Benutzer. Autoren: Christoph Neuhaus, Jan Kleinhans StA10 T Team 1

[m]it-sicherheit am Arbeitsplatz: kleine Lösungen, große Wirkung

ANTWORTEN AUF HÄUFIGE FRAGEN TKB E-BANKING

ANTWORTEN AUF HÄUFIGE FRAGEN TKB E-BANKING

ELEKTRONISCHER PERSONALAUSWEIS. Elektronische Zertifikate zur Online- Authentifizierung und zum Signieren von Dokumenten ohne Sicherheitsrisiken

ANLEITUNG FÜR DEN ZUGANG ZU IHREM E-BANKING-BEREICH MIT LUXTRUST SCAN und/ oder LUXTRUST MOBILE

Unternehmensvorstellung. Wir schützen Ihre Unternehmenswerte

Sophos Enterprise Console

Cyber Crime ein Hype oder ständiger Begleiter?

Häufige Fragen zu ZOIN

Zwei-Faktor- Authentifizierung für das Smartphone.

Drahtlosnetzwerk AGS-Basel. Android Geräte. Version 1.2. Mittelschulen und Berufsbildung. Erziehungsdepartement des Kantons Basel-Stadt

Userportal: GridCard und Token Self Service. Benutzeranleitung

Digitale Kommunikation im Zeitalter der Cyberkriminalität. Bern, 9. November 2017, Fachtagung FSP Christian Greuter, Health Info Net AG

ANLEITUNG FÜR DEN ZUGANG ZU IHREM E-BANKING-BEREICH MIT LUXTRUST SCAN UND LUXTRUST MOBILE

Raiffeisen E-Banking E-Banking einfach und sicher

Warnmeldung für Unternehmen und Behörden

Sicherheit in der IT, alles fängt mit einem sicheren Passwort an

Rechnungsstellungsprozess von A bis Z

für Unternehmen HYPO Business Banking App Qualität, die zählt.

Microsoft Office 365

Cybersicherheit in kleinen und mittleren Unternehmen

Das neue Anmeldeverfahren für die DVAG IT-Systeme

Häufig gestellte Fragen

Verschlüsselungsdienst für mobile Apps im Gesundheitswesen. 4. ehealth-kongress in Rhein-Main und Hessen

Endpoint Web Control Übersichtsanleitung

Swisscom Dialog Arena 2018 Cyber Security was beschäftigt die Schweiz?

Herzlich willkommen zur Lernwerkstatt Cyber Security Sicherheit im elektronischen Zahlungsverkehr

CYBER TELEKOM DR. MARKUS SCHMALL

Kontrollblatt: Malware Backup Social Engineering Phishing

ANTWORTEN AUF HÄUFIGE FRAGEN TKB E-BANKING

> Schnell, bequem und rund um die Uhr Ihre Bankgeschäfte erledigen.

IT Best Practice Rules

Transkript:

Öffentlich Die Zukunft von Payment Security Von der Vergangenheit in die Zukunft Peter Ruoss Head Produkt Management Payment Products 11. April 2018

Inhaltsverzeichnis Abschnitt 0 Die Geschichte des Falschgelds 2 Abschnitt 1 Die Geschichte der Cyberkriminalität 6 Abschnitt 2 Populäre Massnahmen der Gegenwart 10 Abschnitt 3 Die Zukunft von Payment Security 14 Abschnitt 4 Die Evolution der Rechnungsstellung digitaler und sicherer 20 1

Abschnitt 0 Die Geschichte des Falschgelds

Die Geschichte des Falschgelds Die Geschichte des Falschgelds ist so alt wie die des Geldes selbst 700 vor Christus Heute Geld mit 1 Geld mit 2 Geld mit 3 Geld mit 4 etc. Zentralbank 1 gefälscht 2 gefälscht 3 gefälscht 4 gefälscht etc. Geldfälscher 3

e Bargeld Verbeitete e von Hartgeld und Banknoten Hartgeld Material Farbe Rändelung Gewicht und Schwerpunktlage (durch nicht exakt mittige Prägung) Abmessungen Elektrischer Widerstand Magnetismus Banknoten Stichtiefdruck Sicherheitsfaden (Silberfaden) Wasserzeichen Hologramm Farbwechsel beim Kippen (OVI) Durchsichtsregister Spezialfolie / Spezialfolienelement Perlglanzstreifen / Farbwechsel Mikroschrift UV-Licht-Fluoreszenz (Fasern im Papier, Leuchtstoffe in der Druckfarbe) Infrarot: Absorption oder IR-Fluoreszenz- Eigenschaft Spezialpapier Quelle: Wikipedia: Falschgeld 4

e der neuen Banknoten Schweizer 50-Franken-Note Die neuen Banknoten der Schweiz sind mit 18 en ausgestattet. Was die neue Notenserie auszeichnet, ist die Kombination von komplexen en und anspruchsvoller Gestaltung. Vorderseite Rückseite 1 Globustest 2 Streifentest 3 Kreuztest 4 Handtest 5 Microperf 6 Tastzeichen 7 Wasserzeichen 8 Kippeffekt 9 Durchsichtsregister 10 Mikrotext 11 Ultraviolett 1 12 Ultraviolett 2 13 Infrarot 1 Dreieckstest 2 Durchsichtsregister 3 Seriennummer 4 Ultraviolett 5 Infrarot Quelle: Schweizerische Nationalbank 5

Abschnitt 1 Die Geschichte der Cyberkriminalität

Die Geschichte der Cyberkriminalität Die Geschichte der Cyberkriminalität ist so alt wie die der Computernetzwerke 1980 (ARPAnet) Heute (Internet) Software mit 1 Software mit 2 Software mit 3 Software mit 4 etc. Computer 1 gehackt 2 gehackt 3 gehackt 4 gehackt etc. Cyberkriminelle 7

Bedrohungen Cyberkriminalität Jede Firma kann ein attraktives Ziel sein für Cyberkriminelle Worin besteht die Bedrohung? Informationsdiebstahl Sabotage des Geschäftsbetriebs Betrug etc. Wo ist die Bedrohung? Soziale Medien E-Mail Intranet / Internet Telefon Brief etc. Von wem geht die Bedrohung aus? Insider Cyberkriminelle Hackern Organisierte Verbrechersyndikate Hacktivisten Staatlich unterstützte Angriffe etc. 8

Aktuelle Gefahren gemäss MELANI Aktuelle Gefahren (April 2018) Social Engineering Schadsoftware in E-Mail Schadsoftware auf Webseiten Phishing DDoS Attacken Webseiten Verunstaltung Gefälschte Supportanrufe Spam Verschlüsselungstrojaner Sicherheit im Internet of Things (IoT) CEO-Fraud Schwachstellen in Software und Hardware MELANI Website von MELANI richtet sich an private Computer- und Internetbenutzer, sowie an kleinere und mittlere Unternehmen (KMU) der Schweiz. Informationen für: Privatanwender Unternehmen Webseitenbetreiber Häufige Fälle und Meldeformular Dokumentation Häufige Fälle und Meldeformular Newsletter Quelle: Melde- und Analysestelle Informationssicherung MELANI www.melani.admin.ch 9

Abschnitt 2 Populäre Massnahmen der Gegenwart

IT-Sicherheit im Unternehmensnetzwerk erhöhen Das schwächste Glied in der Kette ist oft nicht die Technik, sondern der Benutzer "Das schwächste Glied in der Kette ist in vielen Fällen nicht die Technik, sondern der Benutzer. Ist dieser nicht mit dem sicheren Umgang mit IT-Systemen geschult, sind viele der aufgezählten technischen Massnahmen nutzlos." (MELANI) IT-Sicherheit Technische Massnahmen Organisatorische Massnahmen Quelle: Melde- und Analysestelle Informationssicherung MELANI www.melani.admin.ch 11

Populäre Massnahmen Wichtige Massnahmen auf technischer Ebene Technische Massnahmen Mit technischen Massnahmen lässt sich die Gefahr einer Infektion mit Schadsoftware mindern und die IT-Sicherheit im Unternehmensnetzwerk steigern. Auf jedem Computer soll ein aktueller Virenschutz installiert sein Regelmässiges (tägliches) Backup aller Daten durchführen Logdateien sind bei der Nachbearbeitung eines IT-Vorfalles enorm wichtig Rechte nur nach dem least privilege Prinzip vergeben Segmentieren des Netzwerkes Verwenden eines Spam-Filter Blockieren von potenziell schädlichen Email Anhängen bereits auf Gateway Auf jedem Computer eine Firewall verwenden Remote-Zugänge (z.b. RAS, VPN) immer stark authentisieren Technische Umsetzung der Passwort-Policy Sicherheitsupdates automatisch auf Computer und Server einspielen Vorsicht bei der Verwendung von Cloud-Diensten Verschlüsseln von wichtige Daten Quelle: Melde- und Analysestelle Informationssicherung MELANI www.melani.admin.ch 12

Populäre Massnahmen Wichtige Massnahmen organisatorischer Ebene Organisatorische Massnahmen Ziel von organisatorischen Massnahmen ist es, sicher zu stellen, dass die Verantwortlichkeiten im Unternehmen bzgl. IT-Sicherheit definiert sind. Verantwortlichkeiten bzgl. IT, insbesondere der IT-Sicherheit regeln Regelmässige Schulung der Mitarbeiter im Umgang mit der IT-Infrastruktur hinsichtlich der IT-Sicherheit Zuständigkeiten zwischen Ihnen und Ihrem IT-Dienstleister bezüglich IT-Sicherheit klar regeln Regelmässiges Überprüfen der Risiken im Bereich Informationssicherheit mit Review durch Geschäftsleitung Definieren einer Passwort-Policy welche technisch umgesetzt wird Nutzen von Einschränkungsmöglichkeiten in Ihrer e-banking-applikation Nutzen von Kollektiv-E-Banking-Verträge um Zahlungen über einen zweiten E- Banking-Vertrag freizugegeben Quelle: Melde- und Analysestelle Informationssicherung MELANI www.melani.admin.ch 13

Abschnitt 3 Die Zukunft von Payment Security

"Tokenlose" Zwei-Faktor-Authentifizierung Sicheres Login wird der Normalfall dank Smartphone Apps Die Zwei-Faktor-Authentifizierung (2FA) dient dem Identitätsnachweis eines Benutzers mittels der Kombination zweier unterschiedlicher und unabhängiger Faktoren. 2FA gilt als sehr sicher, hat aber dem Nachteil, dass das jeweilige Token (Hardware- Token, Bankkarte oder Schlüssel) jederzeit mitgeführt werden muss. Als Verbesserung, ist die tokenlose 2FA als Alternative entwickelt worden. Diese neue Zwei-Faktor-Authentifizierung nutzt Smartphones als Token. Möchte sich der Anwender authentifizieren, nutzt er seine persönliche Zugang zum Smartphone und ein einmalig gültiges, dynamischen zusätzliches One Time Passwort (OTP), welches er über eine entsprechende App auf sein Smartphone bekommt. Der Vorteil bei dieser Methode: Ein zusätzliches Token wird entbehrlich, da das Mobilgerät bei vielen Menschen ohnehin schon ständiger Begleiter ist. Beispiel Apps: Google Authenticator UBS Access App Quelle: Wikipedia: Zwei-Faktor-Authentifizierung 15

Verteilte Elektronische Unterschriften Die verteilte elektronische Unterschrift wird in Zukunft unverzichtbar Bei Verteilten Elektronischen Unterschriften (VEU)s, werden Zahlungsaufträge von der Finanzbuchhaltung oder der Treasury-Abteilung elektronisch an die Bank übertragen. Sie werden dort aber noch nicht verbucht. Die Unterschriftsberechtigten können prüfen, ob die korrekten Zahlungsaufträge zur Freigabe vorliegen und welche Unterschriften bereits geleistet wurden bzw. noch fehlen. Die zu signierenden Aufträge können vom Unterschriftsberechtigten elektronisch unterschrieben werden. Erst wenn alle erforderlichen Unterschriften vorliegen, führt die Bank die Aufträge aus. Wenn zusätzlich Zahlungsaufträge über einen getrennten Kanal als die Unterschriften übermittelt wird, kann die Sicherheit nochmals erhöht werden. Beispiel mit getrennten Kanälen: Zahlungsauftrag via EBICS Unterschriften via E-Banking. Ein Cyberkrimineller müsste dann, um erfolgreich zu sein, beide in sich schon sehr sichere Kanäle gleichzeitig hacken. 16

SwissID Die digitale Identität der Schweiz Effiziente und breit abgestützte Lösung für eine digitale Identität Schweiz Personen in der Schweiz können heute ihre Identität mit einem Reisepass, einer Identitätskarte oder einem Führerausweis nachweisen. Bei Transaktionen über das Internet ist dieser Nachweis jedoch sehr umständlich. Daher ist ein elektronischer Identitätsnachweis nötig, welcher es zum Beispiel Online-Portalen erlaubt, den Inhaber einer elektronischen Identität eindeutig zu identifizieren und zu authentifizieren. Die "SwissID" wird es erlauben, sich in einer zunehmend digitalen Welt sicher zu bewegen und online Dienstleistungen einfacher zu nutzen. Mit SwissID loggen Benutzer sich in Schweizer Onlinedienste einfach und sicher ein, weisen sich aus, kaufen Produkte, machen Zahlungen und unterschreiben online. SwissID ist eine kostenlose Dienstleistung von SwissSign, einem Joint Venture aus staatsnahen Betrieben, Finanzunternehmen, Versicherungsgesellschaften und Krankenkassen. Quelle: SwissID: www.swissid.ch 17

Anomalieerkennung (Anomaly Detection) Bankseitige automatisierte Anomalieerkennung bei Zahlungsaufträgen Die automatisierte Anomalieerkennung ist eine komplexe Aufgabe, die Bereiche wie maschinelles Lernen, Statistik und Data-Mining einbezieht. Die Anomalieerkennung wird definiert als Suchen nach Strukturen in einem Dataset, welche sich nicht erwartungsgemäss verhalten. Ein Anomaly Detection System (ADS) versucht zu erkennen, welche Werte unter all den Daten problematisch sind. Zum Beispiel wird ein Kreditkartenanbieter versuchen, betrügerische Transaktionen zu identifizieren anhand von unüblichen Käufen oder ein Finanzinstitut Zahlungsaufträge mit unüblichen Begünstigten. Quelle: LeanBI: http://leanbi.ch/blog/was-ist-anomalieerkennung/ 18

Einschränkungsmöglichkeiten für Bankkunden Persönliche Sicherheitseinstellungen für Zahlungen und Karten Mit der Anpassung von persönlichen Einstellungen erhöht sich die Sicherheit von Zahlungsaufträgen zusätzlich. Zahlungen und Karten für bestimmte Länder sperren (Geo-Blocking) Sperren von Länder, in die nie Geld überwiesen wird. Überweisungslimit einrichten Periodenbezogenes Überweisungslimit für Zahlungen. Wird das Limit überschritten, lassen sich in der aktuellen Periode keine Zahlungen mehr erfassen. Konten für Online-Zahlungen deaktivieren Bei mehreren Konten, können einzelne Konten für Online-Zahlungen deaktiviert werden. Diese Konten sind dann für Überweisungen und Kontoüberträge gesperrt. Zahlungen an neue Begünstigte bestätigen Wurden an neue Empfänger bisher noch nie Geld überwiesen, müssen die zur Sicherheit zusätzlich einmalig bestätigt werden. 19

Abschnitt 4 Die Evolution der Rechnungsstellung digitaler und sicherer

ebill - Digitalisierung der Rechnungsstellung ebill ist die sichere Rechnung für die Schweiz 21 Quelle: Migration ebill - Informationsveranstaltung für Banken und SW-Partner Banken - 22. Januar 2018 - SIX Paynet AG

ebill - Digitalisierung der Rechnungsstellung Digitalisierung der Rechnungsstellung Schritt für Schritt. 22 Quelle: Migration ebill - Informationsveranstaltung für Banken und SW-Partner Banken - 22. Januar 2018 - SIX Paynet AG

ebill - Digitalisierung der Rechnungsstellung ebill - für die digitale Schweiz. 23 Quelle: Migration ebill - Informationsveranstaltung für Banken und SW-Partner Banken - 22. Januar 2018 - SIX Paynet AG

Kontaktinformation Peter Ruoss Head Product Management Payment Products +41-44-238 53 78 peter.ruoss@ubs.com UBS Switzerland AG Postfach 8098 Zürich Tel. +41-44-234 11 11 www.ubs.com 24

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback