Proaktive Cybersicherheit und Betrugsprävention durch teamübergreifende Zusammenarbeit aufbauen

• Der Cyberbetrug nimmt rasant zu, da Kriminelle neue Werkzeuge und Taktiken einsetzen, um Angriffe in großem Umfang durchzuführen. Dies dürfte in den nächsten zehn Jahren zu geschätzten Verlusten durch Kartenbetrug in Höhe von 404 Milliarden US-Dollar führen. 
• Die Zusammenarbeit und der Informationsaustausch zwischen den Teams für Cybersicherheit und Betrugsprävention bei Banken tragen dazu bei, Frühwarnsignale zu erkennen, bevor der Betrug eskaliert. 
• Der Wechsel von reaktiver zu proaktiver Verteidigung ist entscheidend, um durch Cyberbetrug verursachte Verluste zu mindern und Kunden in einer sich ständig verändernden Bedrohungslandschaft zu schützen. 

Betrug und Cyberkriminalität sind heute untrennbar miteinander verbunden. Cyberangriffe wie Sicherheitslücken und Exploits legen gestohlene Kartendaten und Zugangsdaten offen, die Betrug in großem Umfang ermöglichen. 

Allein im Jahr 2024 veröffentlichten Bedrohungsakteure 269 Millionen gestohlene Kartendatensätze, und die weltweiten Verluste durch Kartenbetrug werden sich im Laufe des nächsten Jahrzehnts voraussichtlich auf 404 Milliarden US-Dollar belaufen. Zahlungsbetrug ist ein sich rasant verschärfendes Cybersicherheitsproblem, das sich direkt auf den Gewinn und den Ruf eines Unternehmens auswirkt.  

Als Reaktion darauf müssen sich die Experten für Betrugsprävention bei ausstellenden und akquirierenden Banken mit den Ursprüngen des Betrugs im Cyberraum auseinandersetzen. Bei Cyberangriffen folgen Betrugsmaschen häufig vorhersehbaren Mustern, da gestohlene Daten durch Kontoübernahmen, betrügerische Transaktionen oder andere Finanzbetrügereien zu Geld gemacht werden. Doch allzu oft bleiben frühe Anzeichen eines Angriffs unbemerkt, weil die Teams für Cybersicherheit und Betrugsprävention isoliert voneinander arbeiten.

Die Überwindung dieser Silos ist entscheidend für den Übergang von reaktiver zu proaktiver Betrugsprävention. Durch enge Zusammenarbeit und den Austausch von Informationen können Betrugs- und Cybersicherheitsteams eine einheitliche Verteidigung bilden, um aufkommende Signale zu erkennen und eine Eskalation des Betrugs zu verhindern und so Verluste zu minimieren.

Heutige Bedrohungsakteure setzen auf Cyber-Taktiken, um Betrug in großem Umfang zu begehen. Mithilfe frei verfügbarer Online-Tools identifizieren sie anfällige Websites und automatisieren die Infektion hunderter Domains gleichzeitig.

Beispielsweise scannen Cyberkriminelle häufig im Voraus potenzielle Ziele, um Schwachstellen zu identifizieren und potenzielle Angriffsflächen zu kartieren. Die Zahl der erkannten Scanversuche stieg im Jahr 2024 weltweit um 16,7 % , wobei Cyberkriminelle automatisierte Tools einsetzten, um Millionen von Scans pro Stunde im gesamten Web durchzuführen.

Dieser Anstieg bei der automatisierten Aufklärung ist nur ein Beispiel dafür, wie Bedrohungsakteure den Umfang und die Raffinesse ihrer Operationen ausbauen. Mehrere Faktoren beschleunigen diesen Wandel und beeinflussen, wie Betrugs- und Cybersicherheitsteams reagieren müssen:

• Cyberkriminalität als Dienstleistung (CaaS) 
• Auswirkungen von KI auf Cyberbedrohungen und -schwachstellen  
• Neue und aufkommende Betrugstaktiken 

CaaS beschreibt den wachsenden Marktplatz, auf dem Kriminelle die Werkzeuge, die Infrastruktur und das Fachwissen kaufen oder mieten können, die für die Durchführung von Cyberangriffen erforderlich sind. Die Nachfrage nach diesen Dienstleistungen steigt rasant. Beispielsweise stieg in der zweiten Jahreshälfte 2024 die Nutzung von Malware-as-a-Service (MaaS)-Tools, die Angreifern vorgefertigte Malware-Kits zur Verfügung stellen, um 17 %. 

Diese Kits machen das Starten eines Cyberangriffs relativ einfach und kostengünstig; einige kosten nur etwa 40 Dollar im Monat.

CaaS ermöglicht es unerfahrenen Akteuren, Kampagnen durchzuführen, die früher fortgeschrittene technische Kenntnisse erforderten, und senkt so die Einstiegshürde. Es erweitert auch das Repertoire erfahrener Cyberkrimineller, die wichtige Angriffskomponenten auslagern können, um die Effizienz und Wirkung ihrer Operationen zu steigern.

Künstliche Intelligenz verändert die Cyberbedrohungslandschaft. Da Unternehmen KI-gestützte Tools schnell einführen (manchmal ohne angemessene Sicherheitsbewertungen), erweitern sie ungewollt die Angriffsfläche für Angreifer. 

Angreifer können dann KI einsetzen, um diese Schwachstellen schneller auszunutzen und die Ausbruchszeit deutlich zu verkürzen. Darüber hinaus können Cyberkriminelle jetzt autonome, KI-gestützte Bots einsetzen, die aus Fehlern lernen und sich in Echtzeit anpassen können. 

Bei einem Brute-Force-Angriff, bei dem ein Angreifer versucht, Passwörter durch Ausprobieren vieler möglicher alphanumerischer Kombinationen zu erraten, können KI-gesteuerte Bots beispielsweise jeden neuen Passwortversuch auf der Grundlage vorheriger Fehlschläge anpassen und so ihre Chancen auf Zugriff stetig verbessern.

Laut Schätzungen von McKinsey werden KI-getriebene Trends das Risiko für die traditionelle Perimeterinfrastruktur einer Organisation (z. B. Endgeräte und Server) in den nächsten drei Jahren um 30 % erhöhen.

Bedrohungsakteure passen ihre Methoden ständig an, um neue Technologien und Prozesse auszunutzen. Beispielsweise nutzen Betrüger im Bereich Social Engineering zunehmend Deepfakes (synthetische Audio- und Videoaufnahmen, die eine reale Person imitieren), um ihren Machenschaften mehr Glaubwürdigkeit zu verleihen. 

Bei einem kürzlich erfolgten Angriff überwies ein Finanzangestellter in Hongkong 25 Millionen Dollar an Betrüger, die mithilfe von Deepfake-Technologie in einem Videoanruf den Finanzchef des Unternehmens imitierten. Dieser Fall spiegelt einen breiteren Anstieg solcher Taktiken wider, da 46 % der Finanzinstitute im vergangenen Jahr einen Anstieg von Betrugsversuchen im Zusammenhang mit Deepfakes gemeldet haben.

In diesem Bedrohungsumfeld werden bekannte Angriffsmethoden mit neuen Werkzeugen und über neue Kanäle neu eingesetzt, insbesondere Techniken, die menschliches Versagen ausnutzen. Die durchschnittliche Zeit, die Nutzer benötigen, um auf eine Phishing-E-Mail hereinzufallen, beträgt weniger als 60 Sekunden, und der menschliche Faktor war bei 68 % der Sicherheitsverletzungen im Jahr 2024 beteiligt, was die Bedeutung von Sicherheitsschulungen unterstreicht, um sowohl technische als auch menschenbedingte Risiken anzugehen.

Da sich Cyberangriffe weiterentwickeln und immer ausgefeilter werden, ist die Integration von Betrugs- und Cybersicherheitsteams notwendig, um Betrug zu bekämpfen. Dazu gehört auch der Austausch von Informationen, um Betrug proaktiv aufzudecken, bevor er finanzielle Konsequenzen hat. 

Für eine effektive Integration benötigen Betrugs- und Cybersicherheitsteams jedoch einen gemeinsamen Ansatz für die Bewertung und Reaktion auf Bedrohungen.  

​​Als Leitfaden bieten die sechs Funktionen des Cybersecurity Frameworks eine klare Struktur, um Prioritäten aufeinander abzustimmen und Betrugsprävention aus der Perspektive der Cybersicherheit anzugehen. Das Rahmenwerk wurde vom National Institute of Standards and Technology (NIST) entwickelt, um den Umgang von Organisationen mit Cybersicherheit zu verbessern.  

Die sechs Funktionen des Cybersecurity Frameworks stellen die Hauptpfeiler eines ganzheitlichen Cybersecurity-Programms dar. Zusammen helfen sie Organisationen dabei, einen organisierten und effektiven Ansatz für das Management von Cybersicherheitsrisiken aufrechtzuerhalten.

1. Identifizieren: Diese Funktion konzentriert sich auf die Entwicklung eines Verständnisses der Systeme, Personen, Anlagen, Daten und Prozesse, die den kritischen Abläufen zugrunde liegen. Durch die Erfassung dieser Elemente und die Bewertung der damit verbundenen Bedrohungen und Schwachstellen kann ein Unternehmen Ressourcen priorisieren und seine Sicherheitsstrategie an den Geschäftsanforderungen ausrichten.

2. Schutz: Die Schutzfunktion etabliert Sicherheitsvorkehrungen, um die Widerstandsfähigkeit kritischer Dienste aufrechtzuerhalten und Organisationen dabei zu unterstützen, die potenziellen Auswirkungen eines Cybervorfalls zu begrenzen. Dies umfasst beispielsweise eine Organisation, die ein strenges Identitätsmanagement und eine strenge Zugriffskontrolle für den physischen und Fernzugriff durchsetzt.

3. Erkennung: Die Erkennungsfunktion legt Wert auf die zeitnahe Identifizierung von Cybersicherheitsereignissen durch kontinuierliche Überwachung und Analyse. Ziel dieser Funktion ist es, dass Organisationen Anomalien aufdecken und deren potenzielle Auswirkungen verstehen. 

4. Reagieren: Die Reaktionsfunktion konzentriert sich auf Maßnahmen zur Eindämmung der Auswirkungen eines erkannten Cybersicherheitsvorfalls. Dies beinhaltet die Umsetzung von Reaktionsplänen, die Koordinierung der Kommunikation mit den Beteiligten und die Anwendung von Eindämmungsmaßnahmen, um die Ausbreitung eines Angriffs zu verhindern.

5. Wiederherstellung: Nachdem ein Vorfall eingedämmt wurde, sorgt die Wiederherstellungsfunktion dafür, dass Systeme und Dienste umgehend wiederhergestellt werden. Neben der Implementierung strukturierter Wiederherstellungsprozesse können Organisationen bestehende Strategien auf der Grundlage der gewonnenen Erkenntnisse verfeinern.

6. Steuerung: Im Jahr 2024 wurde eine sechste Funktion hinzugefügt, die den gesamten Rahmen für Cybersicherheit untermauert und darüber informiert, wie Organisationen die anderen fünf Funktionen umsetzen. Die Governance-Funktion hilft dabei, festzulegen, was eine Organisation tun sollte, um ihre Cybersicherheitsziele und -prioritäten zu unterstützen, und stellt sicher, dass diese Bemühungen mit der Mission und dem breiteren organisatorischen Kontext vereinbar sind.

Um den Cybersicherheitsrisiken, die Betrug begünstigen, zu begegnen, müssen Banken die Rückkopplungsschleife bei ihren zentralen Verteidigungsbemühungen verstärken. Dies erfordert jedoch eine koordinierte Zusammenarbeit zwischen Betrugs- und Cybersicherheitsteams, um frühzeitig auf Bedrohungssignale reagieren zu können.

Wenn Cybersicherheits- und Betrugsteams isoliert voneinander arbeiten, kommt ein Betrug möglicherweise erst nach Eintritt eines Schadens ans Licht, während den Cyberteams nicht bewusst ist, dass ein Sicherheitsvorfall in ihren Systemen der Auslöser für den Betrug war. Diese Diskrepanz gibt Bedrohungsakteuren die Möglichkeit, ihre Operationen auszuweiten und Schwachstellen auszunutzen, bevor die Abwehrmaßnahmen reagieren können.

Integrierte Betrugs- und Cybersicherheitsteams können jedoch Cybersignale interpretieren, um Betrug früher zu erkennen und sich auf entsprechende Reaktionsstrategien abzustimmen. Insbesondere müssen die Teams Informationen über Angriffsmethoden und Indikatoren für eine Kompromittierung sammeln, analysieren und austauschen.  

Eine Schlüsselkomponente dieser Bemühungen ist die Bedrohungsanalyse. Im Gegensatz zu herkömmlichen Betrugserkennungstools, die Betrugsfälle erst nach deren Auftreten aufdecken, überwacht Threat Intelligence proaktiv kriminelle Marktplätze, Messaging-Apps und kompromittierte Websites, um gestohlene Zahlungsdaten und neu auftretende Bedrohungen zu erkennen.

Cyber- und Betrugsbekämpfungsteams, die zusammenarbeiten, um diese Informationen auszutauschen und anzuwenden, gewinnen die nötigen Erkenntnisse, um Angriffe zu erkennen und zu unterbinden, bevor es zu größeren Verlusten kommt. Im Gegenzug verlagert sich die Betrugsabwehr einer Organisation von reaktiv auf proaktiv – eine unerlässliche Haltung angesichts zunehmender Komplexität der Bedrohungen.

Während Betrugs- und Cybersicherheitsteams es gewohnt sein mögen, isoliert zu arbeiten, entstehen durch diese Silos kritische Sicherheitslücken, die Angreifer ausnutzen können. Die Realität des Cyberbetrugs erfordert eine gemeinsame Verteidigung. 

Durch enge Zusammenarbeit können Betrugs- und Cybersicherheitsteams Transparenzlücken schließen und Cyberbedrohungen erkennen und bekämpfen, bevor es zu Betrugsfällen kommt. Entscheidend ist, dass diese Zusammenarbeit den kontinuierlichen Austausch von Informationen umfasst, um die Taktiken der Angreifer zu verfolgen und frühzeitig Warnsignale für Betrug aufzudecken. Mit diesem Bewusstsein können Banken ihre Abwehrmaßnahmen anpassen und proaktiv handeln, um Risiken zu reduzieren.

Die Bedeutung des Informationsaustauschs reicht jedoch über jede einzelne Bank hinaus. Eine umfassendere Koordinierung und ein besserer Informationsaustausch im gesamten Finanzsektor verbessern das Bewusstsein für aktive Bedrohungen und unterstützen die Banken zusätzlich beim Schutz ihrer Kunden.

Möchten Sie mehr über proaktive Betrugsprävention erfahren? Erfahren Sie, wie Mastercard Threat Intelligence Ihnen helfen kann.