Wir verwenden Cookies auf unserer Webseite, um Ihren Besuch effizienter zu machen und Ihnen eine möglichst angenehme Nutzung bieten zu können. Indem Sie diese Website nutzen, erklären Sie sich damit einverstanden, dass wir Cookies verwenden. Bitte lesen Sie unseren DATENSCHUTZERKLÄRUNG. Dort erfahren Sie mehr über die von uns verwendeten Cookies und wie Sie diese löschen oder blockieren können.
  • Recognize Cyber Scams

Recognize Cyber Scams

Kontinuierlich steigende Entwicklung von Internetkriminalität zu verzeichnen

Das Internet bietet viele Angriffsmöglichkeiten für kriminelle Aktivitäten. Die Bandbreite erstreckt sich von

  • Phishing-Attacken,
  • Diebstahl von persönlichen Zugangsdaten oder digitalen Identitäten,
  • Einsatz von Schadsoftware (Malware) zur Manipulation und Zerstörung von (persönlichen) Daten oder erpresserischen Aktivitäten,
  • Wirtschaftsspionage durch das Abfangen von Netzwerkaktivitäten bis hin zu
  • Betrugshandlungen.

Das nötige Werkzeug für solche Handlungen wird über sogenannte Untergrund-Netze wie bspw. dem der breiten Bevölkerung bekannten „Darknet“ käuflich erworben. Jeder zweite deutsche Internetnutzer (49%) ist in den vergangenen zwölf Monaten Opfer von Internetkriminalität geworden. Dies belegt eine Studie des Digitalverbandes BITKOM aus dem vergangenen Jahr. Diese kontinuierlich steigende Entwicklung von Internetkriminalität ist auch im aktuellen Bericht „Cybercrime – Bundeslagebild 2017“ des Bundeskriminalamts (BKA) wiederzufinden, wobei hier der Hinweis gegeben wird, dass nur die polizeilich erfassten bzw. an die Staatsanwaltschaft abgegebenen Fälle dokumentiert sind. Daraus lässt sich schließen, dass die Zahlen nicht annähernd die Realität wiederspiegeln und somit auch von einer hohen Dunkelziffer auszugehen ist.

Die häufigsten Betrugsmuster in der Praxis (Fokus insb. auf E-Commerce)

Es sind nicht nur kleine Unternehmen mit einfachen Strukturen und flachen Hierarchien, die mit Cyberangriffen und Betrugsfällen zu tun haben. Vor allem Großkonzerne haben häufig Schwierigkeiten sich gegen solche Angriffe zu wehren. Ob Streaming- oder Spieleplattform, Soziale Netzwerke oder Onlinehändler, alle Unternehmen müssen sich der großen Herausforderung stellen und fortwährend lernen, sich adäquat und präventiv gegen Cyberangriffe und Betrugsfälle zu schützen. Gerade da auch Kriminelle, die über wenig Erfahrung und Expertise bzgl. Programmierung verfügen, über Untergrund-Netze einfach und anonym an illegales Werkzeug (z. B. Key-Logger) kommen können. Die Auswirkungen sind nicht nur finanzieller Natur (z. B. juristische Kosten, Schadensersatzforderungen, offene Verbindlichkeiten oder Wiederherstellungskosten). Ebenso erleiden Unternehmen auch einen Reputationsschaden, von dem sich einige nicht mehr erholen können. Allerdings hat im E-Commerce-Umfeld der finanzielle Aspekt den größten Einfluss auf Online-Händler. In den Jahren 2014 und 2015 wurde Zalando Opfer eines großen Zahlungsbetrugs. Hierbei gingen Bestellungen ein, die in den meisten Fällen nicht beglichen wurden, sodass ein Schaden in Höhe von 120.000 Euro zu verzeichnen war. Da sich die Betrugsfälle weiter häuften, musste Zalando Rückstellungen für ausfallende Zahlungen in Höhe von 18,5 Mio. Euro für das Geschäftsjahr 2015 bilden. Darüber hinaus gibt es noch weitere Betrugsmuster im E-Commerce-Umfeld, die im Weiteren kurz betrachtet werden.[1]

  • Betrug via Kreditkarten

Erfolgt durch ein Chargeback-Verfahren. Hierbei werden Kreditkartenabbuchungen kurz vor Ablauf der Rückbuchungsfrist storniert. Dieser Betrugsfall ist auch unter „Friendly Fraud“ bekannt. In der Praxis ist es für den Online-Händler schwierig nachzuweisen, dass die Ware bspw. nicht beim Kunden angekommen ist. Die Händler bleiben somit zusätzlich zum Warenwert noch auf den Prüfungskosten für das Chargeback-Verfahren sitzen.

  • Betrug via Paypal

In diesem Betrugsszenario sind drei Parteien involviert. Hierbei bestellt der Betrüger (A) einen Artikel von einer Privatperson (B) und verkauft diesen zugleich an eine zweite Privatperson (C), ohne den Artikel überhaupt im Besitz zu haben. A übermittelt die Zahlungsdaten von B an C. C überweist unmittelbar den Betrag an B und dieser versendet nun den Artikel an A und nicht an C (abweichende Adresse). Da C den Artikel nicht erhält, fordert er anschließend den Kaufpreis von B zurück. A erhält den Artikel, C bekommt den gezahlten Kaufpreis zurückerstattet, nur B bleibt letztlich auf seinen Kosten (Warenwert zzgl. weiterer, möglicher Kosten) sitzen. Diese Betrugsform kommt häufig auf Plattformen wie Ebay oder Kleiderkreisel vor.[2]

Laut der „ECC-Payment-Studie Vol. 22 – Der Payment-Markt aus Sicht der Händler und Konsumenten“ werden drei Prozent aller Bestellungen in Online-Shops als Betrug identifiziert. Ebenso ist jeder zehnte Opfer von betrügerischer Nutzung seiner Zahlungsdaten geworden. Bei Betrugsfällen sind Kreditkartenzahlungen die am Häufigsten genutzte Zahlungsart mit ca. 35%. Aber auch bei den Zahlungsarten Paypal (24%) oder Vorkasse (19%) werden die Zahlungsdaten missbräuchlich genutzt. Für Kunden ist eine sichere Zahlung und somit der Schutz vor Datenmissbrauch das wichtigste Kriterium für die Wahl des Zahlungsverfahrens. Aus regulatorischer Sicht verspricht die EU-Richtlinie „Payment Service Directive“ (dt.: Zweite Zahlungsdiensterichtlinie, kurz: PSD2), die seit Januar 2018 gilt und auch in Deutschland in nationales Recht umgesetzt wurde, die Sicherheit bei Online-Zahlungen durch eine doppelte Authentifizierung (auch als Multi-Faktor-Authentifizierung bekannt) zu erhöhen. Betrüger nutzen gestohlene oder falsche Identitäten, oder aber falsche Adressen, um illegal an Waren oder Dienstleistungen zu kommen. Diese beiden Betrugsarten kommen laut Studie bei jedem zweiten Online-Händler vor. Auch Bonitäts- und Kreditkartenbetrug kommen häufig vor.[3]

Betrugsprävention – Wie schützen Sie sich am besten?

Unternehmen sollten sich grundsätzlich bewusst werden, welche Assets für Betrüger attraktiv sind, um diese dann adäquat schützen zu können. Es sollten Szenarien entwickelt werden, die genau aufzeigen, wie Betrüger vorgehen könnten. Eine Sicherheitsschwachstellenanalyse liefert ausführliche Ergebnisse über potenzielle Schäden mit den dazugehörigen Eintrittswahrscheinlichkeiten der jeweiligen Betrugsszenarien. Hiernach kann eine Priorisierung der einzuleitenden (präventiven) Maßnahmen erfolgen, die abhängig ist von der Wahrscheinlichkeit und der Höhe des potenziellen Schadens bestimmter Betrugsszenarien. Insbesondere im E-Commerce-Umfeld sind bspw. die Einführung und kontinuierliche Verbesserung eines automatisierten, transaktionsbasierten Risiko-Scoring-Systems, welches interne und externe Daten analysiert und auswertet um risikobehaftete Transaktionen zu identifizieren, empfehlenswert.

Ein Blick in die Zukunft

Internetkriminalität bleibt zwar weiterhin „Neuland“ für die öffentlichen Strafverfolgungsbehörden, der hohe Stellenwert wird aber nun endlich auch dort so wahrgenommen. Auch der Gesetzgeber hat in dieser Hinsicht bereits einiges getan (bspw. die Aufnahme von digitalen Straftatbeständen im Strafgesetzbuch, der Aufbau einer Sondergruppe für Cybercrime, die der Abteilung für Schwere und Organisierte Kriminalität des BKA[4] zugeordnet ist, oder weitere Gesetzentwürfe bzgl. IT-Sicherheit durch die Bundesregierung[5]). Dieser Trend wird sich auch zukünftig nicht so schnell ändern, da weiterhin von einem anhaltenden Anstieg an Internetkriminalität auszugehen ist. Hierbei spielen der technische Fortschritt und die Digitalisierung eine nicht unwesentliche Rolle. Während in den Anfängen der Internetkriminalität Hacker mühsam ihre eigenen Programmierkenntnisse und -fähigkeiten für kriminelle Aktivitäten nutzen mussten, sieht es heute bereits anders aus. Auch Laien haben nun die Möglichkeit einfach und anonym an illegale Tools (bspw. Schadprogramme) heranzukommen und diese für kriminelle Zwecke zu nutzen. Auch werden die Hacker in Folge der Globalisierung und der Verbreitung des Internets immer raffinierter und teilen auch gerne ihr Wissen und ihre Erfahrungen mit Gleichgesinnten.

Neue Geschäftsmodelle und persönliche Nutzerdaten werden immer attraktiver für Hacker, sodass diese immer neue Möglichkeiten und Schwachstellen finden werden, um sich finanziell oder in anderer Weise zu bereichern. Ebenso zeigt die Evolution des Internets vom einstigen Kommunikationsmedium zum „Internet of Things“ (IoT) auf, welche vielfältigen neuen Möglichkeiten Kriminellen eröffnet werden. Somit werden zukünftig die Probleme mit Online-Betrügern weiter bestehen bleiben. Wo Sicherheitslücken geschlossen werden, entstehen wieder neue Angriffsmöglichkeiten, die es den Unternehmen unmöglich machen den Status von 100%-iger Sicherheit zu gewährleisten. Eine Sensibilisierung bzgl. des sicheren Umgangs mit persönlichen Daten sollte nicht nur Mitarbeitern in Unternehmen, sondern der breiten Bevölkerung regelmäßig in Form von kostenfreien Seminaren oder Ähnlichem nahegebracht werden. Ebenso sollten Unternehmen (möglichst) vollautomatisierte Prozesse zu Betrugsprävention in ihre Geschäftsprozesse integrieren. Sicherheit sollte daher als ein nie endender Prozess und nicht als ein Produkt verstanden werden, denn nur so kann es gelingen diesem Ziel, soweit es möglich ist, nahezukommen.

 

[1] Vgl. Handelsblatt Online (2015): Betrügerische Kunden tun Zalando weh.

[2] Ebd.

[3] Vgl. IFH Köln – ECC Köln Pressemitteilung (2018): Jeder zehnte Online-Shopper von Zahlungsdatenbetrug betroffen.