Betrugsfall Video-Ident-Verfahren

Aktuell warnt unter anderem die Postbank vor Betrügern. Demnach werde das oft von Banken, Telekommunikationsunternehmen und Versicherungen verwendete Video-Ident-Verfahren genutzt, um in falschem Namen ein Bankkonto einzurichten. Der Kunde muss dabei nicht physisch zur Identifikation anwesend sein, sondern zeigt sich via Videochat einem Mitarbeiter des Anbieters mit seinem Personalausweis. In der Folge verwenden die Betrüger das Konto, um Geld zu waschen, oder Fake-Shops zu betreiben. Die Kriminellen gehen dabei unterschiedlich vor. Berichten zur Folge seien Arbeitssuchende betroffen, welche angeblich ihre Identität des Lebenslaufs bei einer Partnerbank verifizieren sollen. Ähnlich geht es Wohnungssuchenden, welche ebenfalls aufgefordert werden, ihre persönlichen Informationen anzugeben. Die Internetbetrüger erhalten dann die Login-Daten von der Bank für das Bankkonto. In Zukunft könnte sich die Anwendung solcher Ident-Verfahren noch weiter dramatisieren, da diese durch Deepfakes oder künstlicher Intelligenz manipuliert werden könnten

Für Unternehmen ist Cyberkriminalität generell eine große Gefahr, das zeigt auch die neue Allianz-Studie auf. Sie stellt Prognosen auf, welche Risiken die Unternehmen in 2020 zu erwarten haben, basierend auf den Aussagen von über 2700 Risk-Management-Experten aus 102 verschiedenen Ländern. Vor allem Erpressungen lassen die Unternehmenskasse leiden. Die Studie zählt die zehn wichtigsten Geschäftsrisiken in Deutschland auf:

  1. Betriebsunterbrechungen
  2. Cyber-Vorfälle
  3. Rechtliche Veränderungen
  4. Feuer, Explosion
  5. Marktentwicklungen
  6. Naturkatastrophen
  7. Neue Technologien
  8. Produktrückruf
  9. Reputationsverlust oder Beeinträchtigung des Markenwerts
  10. Makroökonomische Entwicklungen

Demnach scheint der Kernmarkt für die Organisationen ein weit kleineres Risiko darzustellen, als Betriebsunterbrechungen und auf Rang zwei folgen bereits Cyber-Vorfälle mit einer Risikobewertung von 44 Prozent. Darunter fallen laut Untersuchung Cyberkriminalität, IT-Ausfälle, Datenschutzverletzungen, Geldbußen und Strafen bei Rechtsstreitigkeiten in der Folge. Das zeigt, dass das Bewusstsein für Hackings und ähnlichem vorhanden ist. Weltweit rangiert die Gefahr für Cyber-Vorfälle auf dem ersten Platz der Bewertung. Seit 2013 stieg die Bedrohung um das 6,5-fache. Dies liegt laut Studie daran, dass die Datenmengen in den Unternehmen zunehmen. Besonders die Mega-Data-Breaks mit Datensätzen in Millionenhöhe nehmen zu. Im Juli 2019 war Capital One von einer Attacke betroffen, die in der Folge in etwa 100 Millionen Kunden betraf.

Ransomware ist zumeist der Anfang der Tragödie

Jelle Wieringa, Security Awareness Advocate bei KnowBe4

Europol, die europäische Polizeibehörde stellt fest, dass Lösegeld das oberste Ziel von Cyberkriminellen ist. Besonders Enterprise Unternehmen seien von Ransomware-Angriffen betroffen. Dem geht zumeist Phishing voraus. Vor fünf Jahren hätte eine typische Lösegeldforderung im Bereich von Zehntausenden von Dollar gelegen. Jetzt können es Millionen sein. Organisationen, dessen Produkte und Dienstleistungen von der Bereitstellung innerhalb der IT abhängig sind, müssen mit den größten Schäden rechnen.

Business-E-Mail-Kompromittierung (BEC) hat seit 2016 weltweit zu Verlusten in Höhe von 26 Milliarden Dollar geführt. Diese Angriffe beinhalten normalerweise Social-Engineering und Phishing. Mitarbeiter, aber auch Führungskräfte werden getäuscht mit dem Ziel, Anmeldedaten freizugeben, oder auf trügerische Links zu klicken. Sie sollen den Eindringlingen ein Einfallstor öffnen – unbewusst. Zwischen 50 und 90 Prozent der Verstöße werden von Mitarbeitern verursacht oder begünstigt, sei es durch einfache Fehler oder weil sie Opfer von Phishing oder Social-Engineering werden. Gut geschulte und wachsame Mitarbeiter können zu einer Erweiterung des Cybersicherheits-Teams eines Unternehmens werden.

Um sich gegen solche Attacken, meist ausgelöst durch Phishing, zu wappnen, sollten Unternehmen in den Aufbau einer „menschlichen Firewall“ investieren. Dafür müssen alle Mitarbeiter mit einem fortgeschrittenen Security-Awareness-Training und darin enthaltenen regelmäßig durchgeführten simulierten Phishing-Tests geschult werden. Die Trainings unterstützen die Mitarbeiter dabei bösartige E-Mails und Webinhalte zu erkennen. Verbunden mit den Erfahrungswerten, die Mitarbeiter im Laufe der Zeit im Umgang mit diesen Angriffen entwickeln, erhöhen sich die Chancen für eine erfolgreiche Abwehr eines Angriffs.

#Netzpalaver #KnowBe4