1. Was ist Cyber-Betrug
Unter Cyber-Betrug versteht man Straftaten, bei denen das Internet oder andere digitale Technologien genutzt werden, um eine Person oder Organisation zu täuschen oder zu betrügen. Bei Cyber-Betrug steht klar die Ausnutzung von menschlichen Fehlern im Vordergrund, während andere Cyber-Incidents durchaus auch ohne menschliche “Mithilfe” erfolgen können.
Die Merkmale der Täuschung finden sich auch in den einschlägigen Bedingungswerken der Versicherer wieder. Die entsprechenden Cyber-Betrugs- bzw. Cyber-Diebstahl-Deckungen sind sehr unterschiedlich aufgebaut – während für die meisten Cyber-Versicherer ein typischer Cyber-Vorfall (Netzwerkssicherheitsverletzung) als Grundvoraussetzung vorliegen muss, gibt es auch Versicherer, welche Deckungen anbieten, die der Vertrauensschadenversicherung näherstehen und dies nicht zur Voraussetzung machen.
Cyber-Betrug kann auf verschiedenste Arten durchgeführt werden, darunter Phishing, Identitätsdiebstahl, Kreditkartenbetrug, Malware, Social Engineering und weitere Methoden. Die Täter nutzen oft gefälschte E-Mails, Webseiten oder Apps, um arglose Opfer zu täuschen und ihre persönlichen Daten, Finanzinformationen oder andere vertrauliche Informationen zu stehlen.
Die Auswirkungen von Cyber-Betrug können schwerwiegend sein, von finanziellen Verlusten bis hin zu Identitätsdiebstahl und anderen Formen von Missbrauch. Ca. 70% aller Cyber-Angriffe beginnen mit einem Cyber-Betrug.
Opfer von entsprechenden Cyber-Betrügereien kann grundsätzlich jeder werden – damit sollten sich auch Unternehmen bewusst sein, dass sie ein potentielles Ziel von Cyber-Betrug sind und entsprechende Maßnahmen ergreifen, um ihre IT-Systeme und Daten zu schützen.
Dazu können zum Beispiel Schulungen für Mitarbeiterinnen und Mitarbeiter zur Sensibilisierung für Cyber-Sicherheit gehören, sowie die Implementierung von Firewalls und anderen Sicherheitsmaßnahmen. Letztendlich ist es wichtig, dass wir alle uns bewusst sind, dass Cyber-Betrug eine reale Bedrohung darstellt und dass wir uns aktiv schützen müssen, um uns und unsere Daten zu schützen.
2. Arten von Cyber-Betrug
Die Arten von Cyber-Betrug sind so vielfältig, dass es hier nicht möglich sein wird jede einzelne aufzuzählen – insbesondere da täglich neue Betrugsmaschen entwickelt werden und auch Bestehende laufend verbessert werden. Damit werden wir uns in diesem Artikel auf die wichtigsten und häufigsten Kategorien beschränken.
Auch die Auswirkungen, insofern ein solcher Betrug erfolgreich durchgezogen wird, können höchst unterschiedlich sein – je nachdem auf welche Ressourcen (Zugangsdaten, Geld, Ware, Informationen etc.) der Betrüger Zugriff erhält.
Account-Takeover
Account Takeover ist eine Form des Cyber-Betrugs, bei der ein Angreifer die Kontrolle über ein Benutzerkonto übernimmt. Sehr oft ist ein Account-Takeover auch das Ziel eines Cyber-Angriffs, da meist der Zugriff auf privilegierte Accounts für einen erfolgreichen Angriff erforderlich ist.
Die Übernahme kann durch Phishing-Methoden, Malware oder Social Engineering erreicht werden. In sehr vielen Fällen werden in diesem Zusammenhang bereits geleakte Passwörter wiederverwendet – da sehr viele Personen für mehrere Services dieselben Zugangsdaten verwenden. Prüfen Sie daher auf Seiten wie https://haveibeenpwned.com/, ob von Ihnen verwendete Passwörter bereits für Betrugsakteure verfügbar sind und falls ja, ändern Sie alle Accounts, welche dasselbe Passwort verwenden. Sobald der Angreifer Zugriff auf das Konto hat, kann er dieses vollumfänglich nutzen, sofern dieses nicht anderweitig (MFA oder ähnliches) geschützt ist.
Phishing
Phishing ist eine Form des Cyber-Angriffs, bei der ein Angreifer versucht, an vertrauliche Informationen wie Benutzernamen, Passwörter oder Kreditkarteninformationen zu gelangen. Dies wird oft durch gefälschte E-Mails oder Websites erreicht, die so aussehen, als kämen sie von legitimen Quellen wie Banken oder Online-Shops. Die Opfer werden dazu gebracht, auf einen Link zu klicken oder persönliche Daten einzugeben, die dann von den Angreifern gestohlen werden. Wenn gezielt potentielle Opfer mit individuellen Phishing-Mail “angegriffen” werden, nennt man dies “Spear Phishing” – Informationen über die Mitarbeiter findet man oft auf den Unternehmenswebsites – auch wenn sich Personen auf Social-Media-Seiten verausgaben, kann dies für erfolgreiche Angriffe genutzt werden.
Social Engineering
Social Engineering ist eine Methode des Cyber-Angriffs, bei der ein Angreifer menschliche Schwächen ausnutzt, um an vertrauliche Informationen zu gelangen. Dies kann durch Lügen, Manipulation oder Täuschung erreicht werden, um das Opfer dazu zu bringen, persönliche Informationen preiszugeben oder schädliche Aktionen auszuführen. Der klassische CEO-Fraud (siehe dazu unten mehr) gehört auch in diese Kategorie.
Im Zusammenhang mit modernen KI-Tools erreichen Social-Engineering Angriffe in letzter Zeit eine neue Evolutionsstufe – es ist nun grundsätzlich vorstellbar, dass diese ohne menschliches Zutun durchgeführt werden und damit beliebig skalierbar sind. Die KI recherchiert, schreibt und antwortet komplett selbständig und teilt dem Angreifer nur mehr mit, wenn das Ziel erreicht wurde.
CEO-Fraud
Bei einem sog. CEO-Fraud gibt ein Angreifer vor, der CEO oder ein anderer hochrangiger Mitarbeiter eines Unternehmens zu sein, und bringt so Mitarbeiter dazu, Geld zu überweisen oder vertrauliche Informationen offen zu legen. Dass auch hier die neue Generation von intelligenter Software hilfreich sein kann, zeigt ein Beispiel bereits aus dem Jahr 2019: https://www.allianz-trade.de/presse/pressemitteilungen/neue-betrugsmasche-fake-president-mit-stimmimitation.html
Mandate-Fraud
Mandate Fraud ist eine Form des Betrugs, bei dem ein Angreifer sich als legitimer Lieferant oder Geschäftspartner ausgibt und eine gefälschte Rechnung oder Zahlungsaufforderung an ein Unternehmen sendet. Das Unternehmen denkt, dass eine legitime Zahlung getätigt wird, allerdings zahlt es das Geld direkt an den Betrüger. Die Betrüger verwenden gefälschte Briefköpfe und E-Mail-Adressen, um das Opfer zu täuschen. Auch nur die erfolgreiche Änderung einer Bankverbindung kann sich als durchaus lukrativ herausstellen. Als wirksame Mittel gegen diese Betrügereien hat sich hier die Einführung von Standardverfahren zum Gegencheck bei Änderungen von Bankverbindungen über einen anderen Kanal erwiesen.
Fake-Shops
Immer wieder kommt es vor, dass gewisse hochpreisige Consumer-Artikel nicht in ausreichender Stückzahl vorhanden sind und jeder Bestand bei regulären Händlern innerhalb von Sekunden ausverkauft ist. Dies wird einerseits von professionellen Weiterverkäufern genutzt, um selbst erstandene Ware zu hohen Preisen weiterzuverkaufen – hier kann man allerdings wohl nicht von Betrug sprechen, wenn die Ware (wenn auch teuer) gehandelt wird.
Manche gehen jedoch den direkten Weg und bieten in kostengünstig erstellten (aber nicht minder professionell aussehenden) Fake-Shops Ware an, die jedoch nie geliefert wird. Abhilfe schafft hier eine kurze Recherche und ein Blick auf die weiteren Artikel in dem Shop, sowie die verwendeten Zahlungsmethoden. Im Zweifel ist es wahrscheinlich besser, bei renommierten Online-Shops zu bestellen und etwas länger auf den gewünschten Artikel zu warten.
Tech-Support-Angriffe
Viele von uns kennen die Anrufe eines angeblichen Microsoft- oder Apple-Mitarbeiters welcher uns mitteilt, dass er ein ein Problem mit dem PC festgestellt hat, das behoben werden muss. Der Betrüger fordert das Opfer auf, eine Fernzugriffssoftware herunterzuladen oder eine Gebühr zu zahlen, um das Problem zu beheben. In Wirklichkeit gibt es jedoch kein Problem mit dem Computer und der Betrüger nutzt nur die Angst und Unsicherheit des Opfers aus, um es dazu zu bringen, Geld zu zahlen oder persönliche Daten preiszugeben. Tech-Support-Scams sind ein wachsendes Problem, insbesondere bei älteren Menschen und Menschen mit eingeschränkten Computerkenntnissen.
3. Wie kann man sich schützen?
Da die Betrugsmaschen sehr unterschiedlich sind, ist es schwierig, ein Patentrezept zu finden. Es gibt aber einige generelle Tipps, welche man beherzigen sollte und den Betrügern die Arbeit um einiges schwerer machen.
Vorsicht bei der Weitergabe von persönlichen Informationen
Je weniger Informationen die Betrüger im Internet über jemanden finden, desto schwerer ist es, für die Betrüger glaubwürdig zu erscheinen – dies beginnt bereits bei der verwendeten Email-Adresse – die Domain-Endung sagt schon viel über jemanden aus – jemand, der eine icloud.com oder me.com EMail-Adresse verwendet, verfügt in vielen Fällen über ein iPhone. Nutzer einer Gmail-Adresse wahrscheinlich ein Android-Device. Persönliche oder Firmen-Email-Adresse verraten noch viel mehr.
Zwei-Faktor-Authentifizierung verwenden
Wenn die Möglichkeit der 2-Faktor-Authentifizierung von einem Anbieter zur Verfügung gestellt wird, sollte diese genutzt werden. Dies klingt umständlich, erhöht aber die Sicherheit jedes Benutzerkontos enorm. Insbesondere bei wichtigen Onlinekonten von Google, Amazon, Microsoft, die wiederum zur Nutzung von anderen Services herangezogen werden können, sollte eine 2FA jedenfalls eingerichtet werden.
Sichere Passwörter verwenden
Sichere Passwörter zu verwenden ist wichtig, um die eigene Online-Identität zu schützen – insbesondere (aber nicht nur), wenn eine 2FA nicht möglich ist. Dazu gehört einerseits die Passwortsicherheit selbst (Art und Länge des Passworts), aber auch die Vermeidung der Wiederverwendung von Passwörtern. Um die vielen verschiedenen Passwörter managen zu können, empfiehlt sich die Verwendung eines Passwort-Safes, welche die Verwendung von verschiedenen Passwörtern handhabbar macht. Es können hier auch die integrierten Lösungen von Google- oder Apple verwendet werden, welche den Vorteil haben, dass sie sich auf die mobilen Devices synchronisieren – es gibt aber zahlreiche anderen Anbieter – wobei es gerade hierfür wichtig ist, einen vertrauenswürdigen Anbieter zu wählen.
Für Unternehmen: Mitarbeiter-Awareness steigern
Wiederkehrende Schulungsmaßnahmen für alle Mitarbeitenden haben sich bewährt, um Schäden vom Unternehmen aus diesem Bereich fernzuhalten. Wenn dazu noch regelmäßige Phishing-Tests kommen, um die Aufmerksamkeit der Mitarbeiter hochzuhalten ist bereits viel getan.
4. Fazit
Cyber-Betrugsmaschen ändern täglich ihr Erscheinungsbild und hier sieht man ebenfalls eine Professionalisierung wie in anderen Cyber-Risiken durch die Angreifer. Neuartige Techniken wie ChatGPT und Tools zur Stimmimitation finden auch bei den Kriminellen Anwendung. Es ist in Zukunft auch damit zu rechnen, dass diese Tools künftig eine Reihe von Aufgaben auf “Autopilot” erledigen, welche bisher menschlicher Unterstützung bedurften, um glaubwürdig zu erscheinen. Der Mensch wird dann erst, wenn überhaupt, in Fällen eingreifen, die eine hohe Erfolgswahrscheinlichkeit versprechen. Die Effektivität solcher Betrugsmaschinerien kann man nicht hoch genug einschätzen.