Topstory

So macht UBS das digitale Banking sicher

Uhr

Für eine Universalbank wie UBS sind digitale Dienstleistungen längst Normalität, und immer mehr Kunden vertrauen auf E-Banking und Mobile Banking. Doch durch deren zunehmende Verbreitung steigt auch das Risiko von Cyberangriffen. Die UBS hält mit umfassenden Massnahmen und einer eigenen Cybersecurity-Abteilung dagegen.

 Künstliche Intelligenz und Machine Learning helfen uns dabei, das gesamte digitale Banking noch sicherer zu machen.

Stefan Brunner, Leiter Digital Banking, UBS

Cyberangriffe haben durch die Digitalisierung in den vergangenen Jahren stark zugenommen und auch deren Komplexität ist gestiegen. Gerade die Finanzindustrie und ihre Kunden sind für Angreifer natürlich attraktive Ziele. Die UBS als Universalbank mit Privat- und Firmenkunden sieht sich dabei den Risiken auf mehreren Angriffsvektoren ausgesetzt. Für den Kampf gegen Cyberangriffe setzt die Bank auf eine ebenso vielfältige Abwehrstrategie. So tauscht sich die UBS regelmässig mit anderen Banken, Regulierungsbehörden und Strafverfolgungsbehörden aus, um den Entwicklungen in der Bedrohungslandschaft und der Komplexität Herr zu werden, wie einem UBS-Whitepaper zu entnehmen ist. Schliesslich sind Banken als Hort der Sicherheit bekannt, auch durch hohe Anforderungen des Regulators. Sicherheit steht bei der UBS seit jeher an oberster Stelle; die Bank beschäftigt sich seit dem Beginn von Digital Banking sehr intensiv mit IT-Security.
Das zeigt sich auch daran, dass die Bank im Kampf gegen Cyberbedrohungen durch substanzielle Investitionen in die IT-Sicherheit aufrüstete und beträchtliche Ressourcen für Betrieb und Ausbau von Sicherheitskontrollinfrastruktur und -programmen bereitstellt. So flossen in den letzten Jahren signifikante Beiträge in das digitale Sicherheitskonzept, das mit mehreren Bausteinen vierfach geschützt für optimale Sicherheit sorgt. Und es kümmern sich zahlreiche Experten dediziert und mit entsprechender thematischer Spezialisierung um die verschiedenen Sicherheitsdisziplinen, wie Stefan Brunner, Head of Digital Banking bei der UBS, sagt.

Ganzheitliches Sicherheitskonzept

Im Gegensatz zu anderen Banken betreibt die UBS dabei ihre gesamte IT-Sicherheit selbst und hat lediglich einzelne, sehr spezialisierte Disziplinen von Dritten bei sich integriert. «So stellen wir sicher, dass wir das konzentrierte Know-how inhouse haben, und sind mehrheitlich unabhängig von externen Dienstleistern», erklärt Brunner den Grund für diesen für die Branche einzigartigen Ansatz.
Um Cybergefahren zu begegnen, setzen die Sicherheitsexperten der UBS einerseits auf State-of-the-Art-Technologie mit künstlicher Intelligenz und Machine Learning und andererseits auf die ständige Kommunikation mit ihren Kunden. «Wir unterstützen unsere Kunden dabei, dass sie Attacken durch Phishing, Corporate Whaling und Social Engineering erkennen», sagt Brunner. Beim Social Engineering greift der Cyberkriminelle die Schwachstelle Mensch an. Dem Opfer werden falsche Tatsachen vorgegaukelt, um dessen Vertrauen zu gewinnen. Die Fehlinformationen werden bewusst so gestreut, dass das Opfer zu einer bestimmten Handlung motiviert wird – etwa zur Herausgabe von Daten. «Es genügt nicht, als Bank die Netzwerk-Gateways zu sichern, und so unterstützen wir unsere Kunden dabei, ihr Sicherheitsverhalten im Zeitalter der Digitalisierung insgesamt zu verbessern und achtsam zu sein.» Die UBS setzt dafür auch auf einen spielerischen Security-Check, den Kunden als Online-Quiz absolvieren können. So sollen sie erkennen, ob sie sich im Internet sicher bewegen, und falls nicht, welche Massnahmen sie treffen können, um ihr Verhalten sicherer zu machen.

Es genügt nicht, nur die Netzwerk-Gateways zu sichern.

Stefan Brunner, Leiter Digital Banking, UBS

So beinhaltet das Quiz etwa Fragen nach dem sichersten Aufbewahrungsort für Login-Daten. Natürlich ist «im Kopf» die richtige Antwort. Wenn es um die Login-Methode geht, favorisiert der Security-Check die UBS Access App, von der auch Brunner begeistert ist: «Wir können mit der Access App im Mobile Banking eine sehr einfache und zugleich sichere Login-Methode bieten, die den Kunden fast als eine Art persönliches Hardware-Sicherheits-Modul dient. Die Access App erleichtert das Login und erkennt Sicherheitslücken durch automatische Sicherheitsüberprüfung. Durch die Nutzung der App wird zudem automatisch die sichere Verbindung zur UBS hergestellt.

Individuelle Einstellungen für zusätzliche Sicherheit

Noch sicherer wird der Zugriff aufs E-Banking mittels individueller Einstellungen. Etwa indem Kunden Überweisungslimiten für Onlinezahlungen festlegen, bestimmte Länder für Onlinezahlungen sperren oder einzelne Konten fürs E-Banking deaktivieren. Auch Benachrichtigungen inklusive Sicherheitsnachrichten zu kritischen und unüblichen Aktivitäten direkt als Push-Mitteilungen via App, per E-Mail oder SMS sollen den Kunden helfen, stets den Überblick über Saldo, Kontobewegungen, Kartenbelastungen etc. zu behalten. 
Mit der Analyse von Nutzungsverhalten prüft die UBS zudem automatisiert Abläufe im Digital Banking und die individuelle Authenzität ihrer Kunden. Damit erhöht sich die Sicherheit für die Kunden massgeblich. «Künstliche Intelligenz und Machine Learning helfen uns dabei, unsere Kunden auch digital, wie der Mitarbeiter der Geschäftsstelle im Kleinstdorf, persönlich zu erkennen und damit das gesamte digitale Banking noch sicherer zu machen.» Es sorgen also die Bausteine Identifizierung, erweiterte Sicherheitseinstellungen mit Echtzeitbenachrichtigungen, Prävention, persönliches Verhalten und korrekter Umgang mit sensiblen Daten für optimale Sicherheit im digitalen Banking.
Die Bank prüft aber auch die Sicherheitsmassnahmen ihrer externen Anbieter, die sich mit dem UBS-Netzwerk verbinden oder anderweitig mit vertraulichen Bankdaten zu tun haben. Zudem setzt sich die UBS für die Sensibilisierung der Mitarbeitenden ein und informiert sie über einen wirksamen Schutz und Abwehrmassnahmen zur Minderung der Cyberrisiken.
Für Sicherheit sorgt UBS in Zeiten komplexer werdender Cyberbedrohungen mit einem umfassenden Konzept, eigenen Experten und viel internem Know-how. UBS und Sicherheit – das gehört zusammen.

=============================

Fünf Säulen der Cybersicherheit 

Die Sicherheitsexperten der UBS stellen die Cybersicherheit sicher, indem sie anerkannte Kontrollprinzipien anwenden, die auf den folgenden fünf Säulen basiert:

Vertraulichkeit von Daten
Die UBS verwendet Prozesse und Technologien zum Schutz der Daten vor unbefugter oder unangemessener Weitergabe. Zusätzlich zu den Kundendaten ergreift die Bank Massnahmen zum Schutz sensibler Daten wie geistiges Eigentum, unveröffentlichte Finanzinformationen und persönliche Daten.

Datenschutz
Die UBS setzt Prozesse und Technologien ein, welche die Bank bei der Erfüllung gesetzlicher, regulatorischer und vertraglicher Verpflichtungen in Bezug auf den Schutz personenbezogener Daten unterstützt, die auch den Schutz von Kunden- und/oder Mitarbeiterdaten umfassen können.

IT-Sicherheit
Die UBS stellt durch Prozesse und Technologien sicher, dass Vertraulichkeit, Integrität und Verfügbarkeit von Informationen gegeben sind, die elektronisch verarbeitet werden.

Cyberbedrohungsmanagement
Die Bank setzt Prozesse und Technologien ein, die speziell zum Schutz der Bank vor Cyberangriffen wie Denial-of-Service, externem Betrug und Datendiebstahl entwickelt wurden.

Physische Sicherheit
Dazu zählen Prozesse und Technologien, die speziell zum Schutz der Netzwerkinfrastruktur und der Datenspeicheranlagen entwickelt wurden, bei denen UBS- und Kundendaten verarbeitet und gepflegt werden.

=============================

So schützt man sich vor Phishing 

Jede unverlangte Kontaktaufnahme hinterfragen.
Auf der Hut sein vor unerwarteten E-Mails, Anrufen oder Faxmitteilungen, besonders wenn man als Kontoinhaber einer Bank, eines Kreditkartenunternehmens oder eines Onlineanbieters kontaktiert wird. Und: Niemals vertrauliche Informationen preisgeben.

In E-Mails unbekannter Absender nicht auf Links klicken und keine Anhänge öffnen.
Auf untypische Absenderadressen, Schreibfehler, Tonalität, Haftungsausschlüsse und Logos der E-Mail achten.

Nur vertrauenswürdige Webseiten besuchen.
Steht https:// vor der Internetadresse, handelt es sich um eine sichere Webseite. Häufig besuchte Webseiten unter Favoriten speichern. Keine Webformulare mit vertraulichen Daten ausfüllen, wenn Zweifel an der Vertrauenswürdigkeit der Webseite bestehen.
Zahlungsaufforderungen überprüfen, 
die per E-Mail eintreffen.
Bankangaben, die man für eine Zahlung per E-Mail erhält, stets mit dem Empfänger über eine offizielle Telefonnummer überprüfen. Keine Nummer aus der verdächtigen E-Mail wählen.
 
E-Mails über angeblich ungewöhnliche Kontobewegungen ignorieren.
Phishing-E-Mails wollen Neugier, Angst oder Handlungsdruck provozieren. Vertrauenswürdige Organisationen informieren kaum per E-Mail über ungewöhnliche Kontobewegungen. Bei solchen E-Mails die vollständige Absenderadresse auf Korrektheit hinsichtlich verwendeter Internet-Domäne (z. B. ...ubs.com/...) überprüfen.

Software auf dem neuesten Stand halten.
Antivirenprogramm regelmässig aktualisieren für optimalen Schutz. Auch Spamfilter und sogar «Anti-Phishing»-Software helfen, Phishing-Webseiten und E-Mails herauszufiltern.