In einer losen Serie von Beiträgen blickt HZ Insurance hinter die Kulissen von Cybercrime und Betrugsszenarien, die Versicherern zu schaffen machen. Bisher erschienen:
Betrüger im virtuellen Raum sind kreativ und gehen mit der Zeit. Schnell erkennen sie neue Situationen und nutzen diese aus. Remote Work und hybride Arbeitswelten öffnen ihnen neue Einfallstore. Aber auch der technologische Fortschritt mit künstlicher Intelligenz (KI) und Deepfakes bietet ihnen neue Spielfelder.
Mit täuschend echten Fälschungen, erstellt mit künstlicher Intelligenz, treten bekannte Persönlichkeiten wie der Schauspieler Tom Cruise in TikTok-Videos auf. Um möglichst authentische Kulissen für eine Fake-President-Attacke zu schaffen, bauten Betrüger in einem anderen Fall ein ganzes CEO-Büro nach, um maximales Vertrauen in die Echtheit der Videokonferenz und der erteilten Zahlungsaufträge herzustellen. Und in Hongkong erbeuteten Kriminelle mit einem gefälschten Stimmprofil umgerechnet rund 30 Millionen Euro von einer Bank.
Noch sind dies Einzelfälle. Der Aufwand für solche Inszenierungen ist relativ gross – aber die Entwicklung zeigt, was technisch möglich ist. Insofern dürfte es nach Einschätzung der Sicherheitsexperten von Allianz Trade lediglich eine Frage der Zeit sein, bis Deepfakes «massentauglich» werden. Dabei müssen Betrüger gar nicht selbst professionelle Hacker sein: Im Darknet gibt es schon entsprechende «Software-as-a-Service»-Angebote inklusive entsprechender Schulungen.
Noch zu wenig Vorsorge gegen Cyberkriminalität
Die Situation ist paradox: Laut Allianz Risk Barometer 2023 sehen Unternehmer Cybervorfälle aktuell als zweitgrösstes Geschäftsrisiko an - nach einer Betriebsunterbrechung. Auch in der Schweiz schätzt ein Grossteil der international ausgerichteten Unternehmen das Risiko der Internetkriminalität als hoch ein, wie Schweizer Ergebnisse einer weltweiten PwC-Befragung zum Thema Cybersecurity belegen: Mehr als die Hälfte der befragten Führungskräfte rechnet mit einem weiteren Anstieg der meldepflichtigen Cybervorfälle.
Dennoch zeigen aktuelle Zahlen: Ausreichende Vorsorgemassnahmen treffen längst nicht alle Organisationen. «Wir erleben in der Beratungspraxis regelmässig, dass Risiken verdrängt werden», sagt Axa-Sprecherin Altwegg. Vor allem kleinere Firmen bezweifelten, dass sie ein lohnendes Ziel für Cyberkriminelle sein könnten. «Dies ist leider nicht korrekt.» Es brauche daher in dieser Versicherungssparte mehr Aufklärungsbedarf und Beratuing als in anderen Sparten.
Manuel Pachlatko, Head of Cyber bei Aon Schweiz, beobachtet: «Kunden, die noch nie von einem Cyberangriff betroffen waren, tendieren weniger zum Abschluss einer Versicherung.» In der Beratungspraxis zeigt sich allerdings auch: Hat sich ein Unternehmen einmal dazu entschieden, sich beraten zu lassen, folgen oft Massnahmen wie die Verbesserung der IT-Sicherheit oder der Abschluss einer Cyberversicherung.
Betrüger werden immer professioneller
Cybercrime wird immer arbeitsteiliger, internationaler und ist für die Täter oft hoch lukrativ. Homeoffice und mangelnde IT-Sicherheitsstandards spielen den Betrügern dabei in die Karten.
In ihren Attacken setzen Cyberkriminelle vor allem zwei Schwerpunkte: Ransomware-Delikte und Business-E-Mail-Compromise (BEC), zu denen auch Fake President (CEO Fraud), Zahlungsbetrug (Payment Diversion Fraud) und Bestellerbetrug (Fake Identity) gehören - ein Überblick:
- Fake President Fraud: Bei dieser Betrugsmasche geben sich die Täter oft als Mitglied der Geschäftsleitung eines Unternehmens aus und bitten online einen für Bankgeschäfte zuständigen Mitarbeiter im Unternehmen, eine dringende Überweisung vertraulich auszuführen. Die angebliche Wichtigkeit führt Betroffene nicht selten unter Druck. Der Erfolg der Betrüger belegt, das Geldtransfer in beträchtlicher Höhe stattfindet. Fast immer landet das Geld auf ausländischen Konten. Fliegt der Betrug dann auf, sind die Konten dort meist leergeräumt oder eine Rückholung wird aufgrund des ausländischen Rechtssystems erheblich erschwert.
- Zahlungsbetrug (Payment Diversion): In diesen Fällen geben sich die Betrüger als Geschäftspartner oder Lieferanten eines Unternehmens aus und erreichen durch gefälschte Mitteilungen, dass die Bezahlung für Waren oder erbrachte Dienstleistungen auf abweichende Konten erfolgt.
- Bestellerbetrug (Fake Identity Fraud): Bei diesem Betrugsszenario geben sich die Täter als ein bereits existierender Kunde oder als ein Neukunde des Unternehmens aus und ordern schriftlich Waren. Mit plausiblen Erklärungen wird dann die Lieferung an eine abweichende Lieferadresse verlangt. Da die Identität einer tatsächlich existierenden Firma genutzt wird, schöpfen die Betrugsopfer zunächst keinen Verdacht. Oft fliegt der Betrug erst bei Zahlungsverzug auf und die tatsächlich existierende Firma gemahnt wird. Wird dann die Lieferadresse überprüft, werden die Geschäftsräume verlassen vorgefunde; die Ware ist längst weiter verschoben worden.
- Phishing in verschärfter Form: Phishing, also Versuche, an persönliche Daten eines Internet-Benutzers zu gelangen und damit Identitätsdiebstahl zu begehen, tritt in jüngster Zeit in neuen Varianten auf. Als «Pharming» basiert Phising auf einer Manipulation der Anfragen von Webbrowsern, um den Benutzer auf gefälschte Webseiten umzuleiten. Bei «Hostpoint-Phisching» behaupten Betrüger, dass Domainnamen gesperrt würden, wenn Hostpoint-Kunden ihre Zahlungsmethode nicht aktualisieren. Davor warnt unter anderem die Kantonspolizei Zürich auf dem Portal Cybercrimepolice.ch.
- Man-in-the-Cloud: Für den Diebstahl von online in einer Cloud gespeicherter Daten benötigt ein Hacker keinen speziellen Zugriff auf den Namen oder das Passwort des jeweiligen Anwenders, sondern lediglich einen Passwort-Token. Dies ist eine kleine Datei auf dem Gerät eines Nutzers, in der seine Anmeldedaten hinterlegt sind. Den per Phishing entwendeten Token kann der Angreifer anschliessend nutzen, um von einem anderen Rechner aus das Konto des Nutzers zu übernehmen und sich damit Zugriff auf alle online abgelegten Dateien zu verschaffen.
- Pig Butchering: Die neue Krypto-Betrugsmasche, genannt Pig Butchering, stammt aus China und heisst wörtlich: Das Schwein schlachten. Opfer werden nach Drehbuch «gemästet» und von freundlich wirkenden Personen überredet, Geld in Krypto-Anlagen zu investieren. Ziel ist es, User dazu zu bringen, ihr Vermögen an der Börse Binance in die Krypto-Währung Tether umzuwandeln und scheinbar in eine Trading-App zu investieren. Von dort verlieren sich die Geldspuren.