Von Schecks bis zur DSGVO – Wie Trusona Ihren Ausweis schützen möchte

Wie beweisen Sie, dass Sie der sind, für den Sie sich ausgeben? Das scheint eine leicht zu beantwortende Frage zu sein, aber in einer Welt, in der Ihre persönlichsten privaten Daten vertraulich sein können erhalten Sie von Ihrer Kreditauskunftei oder Social-Networking-Konto, diese Leichtigkeit ist ein Problem. Auch Betrüger und Kriminelle können mit überraschend wenigen Informationen nachweisen, dass sie Sie sind.

Das ist das Rätsel, das Ori Eisen mit dem lösen möchte Trusona passwortfreie Authentifizierung System. Es bietet Unternehmen auf der ganzen Welt Mittelsmann-Validierungsdienste an, in der Hoffnung, den Schutz der digitalen Daten aller zu verbessern. Er nutzt die Expertise von 20^Th Jahrhundertbetrüger wie Frank Abagnale, der im Film berühmt dargestellt wird Fang mich, wenn du kannst, um unsere modernen digitalen Abwehrmaßnahmen gegen klassische Social-Engineering-Taktiken zu stärken.

Digitale Trends: Frank Abagnale ist den meisten wahrscheinlich als Protagonist des Films von 2002 bekannt

Ori Eisen: Kurz gesagt: Während ich für eines der größten Kreditkartenunternehmen arbeitete, wurde ich zusätzlich gefragt zu meinen Internetaufgaben, alles über das Fälschen von Karten zu erfahren, von denen ich nichts wusste um. Es gibt kein Buch oder einen Universitätsabschluss zu diesem Thema, also fragte ich: Wer kann es mir beibringen? Der Name Frank Abagnale fällt immer wieder, nur nimmt er keine neuen Schüler auf.

Die „Geldmänner“ zu Besuch @FairFX -mit dem einzigartigen Frank Abagnale. Lassen Sie die #NoPasswords Die Revolution beginnt. @trusona_incpic.twitter.com/soAYZ3Vn7u

— Ori Eisen (@orieisen) 7. Dezember 2017

Ich habe ihn monatelang angefleht, mich kennenzulernen und mir zu helfen, weil er durch mich helfen könnte, die Kriminalität einzudämmen, weil ich sein Wissen nutzen und die Bösewichte besiegen würde. Schließlich stimmte er dem Treffen zu und wir arbeiten seitdem zusammen.

Obwohl heute Abagnale betreibt ein BeratungsunternehmenSein Fachwissen stammt aus einer Zeit, als Computer unglaublich selten und mit der digitalisierten Welt, die wir heute genießen, nicht zu vergleichen waren. Welchen Nutzen hat sein Beitrag in der Moderne?

Das Wort „Trusona“ ist eine Mischung aus „True“ und „Persona“. Um herauszufinden, wer die wahre Persona ist, muss man einen Prozess durchlaufen, der als Identitätsnachweis bezeichnet wird. Lassen Sie uns zunächst feststellen, wer Sie als Person sind [denn…] es gibt keine Authentifizierung ohne Identitätsnachweis. Wie kann ich Ihre Identität authentifizieren, wenn ich nicht von vornherein beweisen kann, dass Sie es sind?

Frank ist wirklich gut darin, uns dabei zu helfen, in dem Moment, in dem Sie einen Identitätsnachweis durchführen, darüber nachzudenken, wie wir ein gefälschtes Dokument erkennen können. Wie ein Bösewicht ein Bild von Frank durch ein Bild von Steven Spielberg ersetzen würde. Wie würden Sie dem Zertifikat oder der schwarzen Tinte auf dem Dokument oder dem ganzen feinen Mikrodruck überlegen sein? Er weiß wirklich viel über diese Dokumente, weil Regierungen sie in diesem Prozess verwenden.

Auf dem Weg, einen Weg zu finden, um herauszufinden, wer die wahre Person ist, zeigte er uns in vielen Fällen, in denen wir eine Lösung gefunden hätten, im Grunde genommen, wie man diese ganz einfach umgehen kann. Es war also so, als würde man Schach spielen, bis man an den Punkt kam, an dem er nicht mehr schlagen konnte, was wir taten.

Welche Art von Systemen haben Sie entwickelt, die vor den Social-Engineering-Angriffen geschützt sind, die Frank Abagnale so effektiv umsetzt?

Als Trusona auf den Markt kam, starteten wir mit einer Kurve, die verdeutlichte, was Sie schützen möchten, und das ist das Serviceniveau, das wir bieten. In allen wird es kein Passwort geben.

Unterschiedliche Serviceebenen erfordern unterschiedliche Offenlegungsebenen. Bei unserem Basislevel namens „Essential“ werden Sie lediglich aufgefordert, eine E-Mail-Adresse anzugeben, an die wir eine E-Mail senden, um zu bestätigen, dass Sie tatsächlich Zugriff darauf haben. Es sind keine Dokumente dabei, keine Bilder, nichts dergleichen. Das kann Sie an ein Konto für Medienstreaming oder ähnliches binden. Weil es gut genug ist. Es nutzt immer noch unsere Anti-Replay-Technologie, so dass selbst wenn Bösewichte es abhören würden, sie es nicht wiederverwenden könnten.

Unsere nächste Ebene ist „Executive“. Auf dieser Ebene heißt es: „OK, Sie können immer noch in Ihrem Haus sein, aber ich möchte, dass Sie zusätzlich zu Ihren E-Mails scannen.“ aus der Ferne, entweder einen Reisepass oder einen Führerschein.‘ Trusona fordert Sie nicht auf, dies zu tun, wir kommen lediglich unserer Bitte nach Partner. Sie versuchen also, etwas mit Ihrer Bank oder Ihrem Gesundheitswesen zu tun, und in ihrem Namen tun wir das. Trusona speichert keine dieser Daten, denn wir wollen nicht zum nächsten heißen Eisen für einen Bösewicht werden.

Die dritte Ebene heißt „Elite“ und fordert Sie auf, eine E-Mail zu senden, Ihr Dokument aus der Ferne zu scannen und persönlich zu erscheinen. Wir bitten Sie, dies nur einmal zu tun, um Ihnen eine sehr starke Qualifikation zu verschaffen. Es ist nicht so, dass Sie jedes Mal ein Selfie oder Video machen müssen, denn das ist die einzige Ebene, die ein Versicherer versichert. Es ist nicht für den Massenmarkt gedacht, sondern für einzigartige Situationen, aber nur so kann man die wahre Persönlichkeit kennen, und darum geht es in unserem Geschäft.

Wie sieht es mit dem Wachstum aus? Deepfakes und KI-gesteuerte Videomanipulationssoftware das es ermöglicht, im Handumdrehen lebensechte Videos und Bilder von Menschen zu erstellen? Stellt das eine Bedrohung für Ihr „Elite“-Level dar?

Unternehmen wie Adobe haben das Äquivalent für Photoshop für Live-Videos veröffentlicht. Es kann Stimme und Gesicht imitieren […] Um darüber hinauszugehen, müsste man mit der persönlichen Identität beginnen Korrektur, das heißt, ich muss Sie im wirklichen Leben und mit Ihren Dokumenten treffen, um festzustellen, ob dies der Fall ist Du. Sie können es nicht aus der Ferne tun. Aber nicht jeder Anwendungsfall erfordert dies. Es kommt wirklich darauf an, was Sie schützen möchten. Wenn HBO Ihnen das Ansehen eines Films ermöglichen möchte, ist dieses Sicherheitsniveau nicht erforderlich. Aber wenn Goldman Sachs 50 Millionen US-Dollar für Steven Spielberg überweisen möchte, benötigen sie möglicherweise dieses Maß an Sicherheit.

Hat Frank Abagnale jemals versucht, Trusona-Mitarbeiter durch Social Engineering zu manipulieren?

Um das erste authentifizierte Unternehmen der Welt zu werden – niemand sonst hat diese Schritte unternommen, weil es nicht einfach ist – müssen wir zunächst unsere eigenen Daten vor unseren eigenen Mitarbeitern schützen. Was wäre, wenn Sie einen von ihnen entführen und uns sagen würden: „Ich werde sie nur freilassen, wenn Sie mir Zugang zu den Schlüsseln gewähren?“

Von Anfang an haben wir ein Jahr im Stealth-Modus verbracht und ein System entwickelt, bei dem ich Ihnen nicht helfen kann, selbst wenn Sie mir eine Waffe an den Kopf halten. Dazu gehören unser technischer Leiter und alle anderen, die das System gebaut haben, denn ich habe ihnen erklärt: Um die Welt vor den Bösewichten zu schützen, dürfen wir nicht das schwächste Glied in der Kette und vor ihnen sein verstehen. Deshalb müssen wir ganz besondere Menschen für diese Mission gewinnen.

Wir lagern auch keine heißen Kartoffeln. Wenn Sie uns heute gehackt haben und wir viele Penetrationstests mit verschiedenen Unternehmen durchgeführt haben, erhalten Sie nur einen Einweg-Hash von Daten. Wenn ich Ihre E-Mail genommen habe, handelt es sich um einen Einweg-Hash. Wenn ich etwas über eine Transaktion erfasst habe, wird es in eine Richtung gehasht, sodass Sie es nie wieder auf die Daten zurückführen können, da wir den Rohwert nicht kennen.

Wenn wir von einem Nationalstaat gehackt würden, was meiner Meinung nach jeden Tag passieren wird, würden sie etwas finden, das nutzlos ist. Wir haben unsere Versicherung am 6. Mai 2016 – also vor zwei Jahren – bekannt gegeben. Seitdem kommen 13 Prozent unserer Webaufrufe aus Russland. Und wir haben dort keinen einzigen Kunden, wir haben dort keinen einzigen Verkäufer. Das ist viel für Leute, mit denen wir keine Geschäfte machen!

Der dritte ist das Training. Ich kann Ihnen sagen, dass wir sogar unseren Support-Mitarbeiter, der Support-Anrufe entgegennimmt, darin schulen, Anrufe von Leuten wie „Donald“ entgegenzunehmen Trump.“ Wir sind sehr geschickt darin, Telefonanrufe zu fälschen und sie wirklich seriös aussehen zu lassen, damit es so aussieht, als ob der Präsident anruft Du. Wir wissen, wie das geht, weil wir Hacker sind. Es sind die Schritte, die Fragen und nicht nur das Ja-Sagen zu allem, die uns so stark machen, wie wir nur sein können. Weil wir erkennen, dass wir selbst zum Ziel werden, je allgegenwärtiger wir werden.

Wie sieht es mit berechtigten Forderungen staatlicher Stellen aus? Sind Trusona-Daten vor dem echten Donald Trump geschützt?

Wir hatten viele Geschäfte mit drei Briefagenturen, aber das Design ist so, dass ich es nicht machen kann, selbst wenn Sie es wollten. Ich kenne die Daten nicht. Sie können mich heute vorladen und mir sagen, dass ich Ihnen alle Daten über [einen Kunden] geben soll. Ok, ich bekomme die Vorladung und antworte, wenn Sie mir sagen können, welche unserer Unterlagen ihnen gehören, dann können Sie sie haben, aber ich weiß es nicht.

Eines der am meisten diskutierten digitalen Systeme in den letzten Jahren war Blockchain-Technologie. Heutzutage wird es von Regierungen und Organisationen verwendet, um die Richtigkeit von Daten zu schützen. Ist es auch ein wirksames Instrument zur Verbesserung der Privatsphäre und des Datenschutzes?

Die Blockchain-Technologie ist definitiv eine der erstaunlichsten Erfindungen unserer Zeit. Viele Leute stellen jedoch den Link her, dass sie im wirklichen Leben unveränderlich sind, wenn es mathematisch korrekt ist, und Frank Abagnale wird Sie dann nur auslachen.

Wenn ich ein gefälschtes Dokument von Jon Martindale mache und zu einer Bank gehe und es beantrage und sie es in eine Blockchain stecken, von Sobald du herausgefunden hast, dass du es nicht warst, und versuchst, es rückgängig zu machen, wie wirst du es aus dem löschen? Blockchain? Es ist das „GIGO“-Prinzip, Müll in Müll raus.

Es ist wunderbar, eine Technologie zu entwickeln, die mathematisch perfekt ist. Ich bin eigentlich der Meinung, dass jeder, der ein Haus kauft, es auf einer Blockchain haben sollte, damit man sein Haus nie verlieren kann. Dafür gibt es viele gute Anwendungen, aber zu sagen, dass damit das zentrale Identitätsproblem gelöst wird, ist eine Lüge. Das Problem bestand nie in der Speicherung der Daten, sondern in der Frage: Woher weiß ich, wer im Zoo wer ist?

Da es so viele große Hackerangriffe und Datendiebstähle gibt, kommt es leicht dazu, dass sich Menschen machtlos fühlen, wenn es um den Schutz ihrer Daten geht. Haben Sie Sicherheitsempfehlungen für unsere Leser, mit denen sie sich schützen können?

Es gibt einen ganz einfachen Tipp, den ich ihnen geben werde. Bis wir in einer Welt ohne Passwörter leben, ist mein einziger Rat, Ihre Passwörter zu ändern. Es kostet Sie nichts. Selbst wenn gestern Passwörter gestohlen wurden, ist das Ändern derselben so, als würde man das Schloss an der Tür austauschen. Für die wichtigsten Dinge in Ihrem Leben, Ihre Bank, Ihre Gesundheitsfürsorge, erstellen Sie einen Kalendereintrag und ändern Sie jeden Monat, jedes Quartal, mindestens einmal im Jahr, Ihre Passwörter. Die Tatsache, dass wir Gewohnheitstiere sind, wirkt sich gegen uns aus.