Eine Bedrohung, zwei Reaktionen: Warum Cybersicherheits- und Betrugsbekämpfungsteams nicht isoliert arbeiten dürfen.

• Betrug beginnt oft mit einem Cybervorfall, doch frühe Warnzeichen bleiben unbemerkt, wenn Cybersicherheits- und Betrugsteams isoliert voneinander arbeiten. 
• Aufgrund mangelnder Kommunikation und fehlender Datenaustauschlücken bestehen weiterhin Silos zwischen Cybersicherheits- und Betrugsteams, was die Fähigkeit der Banken beeinträchtigt, Betrug frühzeitig zu erkennen und zu stoppen. 
• Die auf Zahlungsdienste zugeschnittene Bedrohungsanalyse bietet Sicherheitsteams eine gemeinsame Perspektive, um Zusammenhänge zwischen Cybervorfällen und Betrugsrisiken zu erkennen. Dies ermöglicht schnellere und proaktivere Reaktionen, die Verluste reduzieren und die Integration im Bereich Cyberbetrug verbessern.  

Betrugs- und Cybersicherheitsteams verfolgen dieselben Kriminellen auf parallelen Spuren.

In den meisten Organisationen konzentrieren sich Cybersicherheitsteams auf das Aufspüren und Eindämmen von Sicherheitslücken, während Betrugsteams verdächtige Transaktionen überwachen, die auf die Verwendung gestohlener Daten hinweisen. Ihre Ermittlungen sind oft miteinander verknüpft, doch ohne Koordination gehen die frühen Warnzeichen für Betrug unter. 

Diese Lücke kostet die Banken Geld: 60 % der globalen Betrugs- und Risikomanager geben an, erst von Cyberangriffen zu erfahren, nachdem bereits Betrugsverluste entstanden sind und gestohlene Daten zu Geld gemacht wurden. Diese Verzögerung verschafft Angreifern einen Vorsprung und zwingt die Banken dazu, den Rückstand aufzuholen.

Angesichts der zunehmenden Zahl von Betrugsfällen im Internet müssen Banken die Integration von Maßnahmen gegen Cyberbetrug als geschäftliche Priorität und nicht nur als technische Lösung betrachten. Es beginnt mit der Unterstützung der Führungsebene für den Abbau von Silos und setzt sich mit praktischen Schritten wie der Verbesserung des Datenaustauschs, der Angleichung von Erfolgskennzahlen und der Verfolgung eines einheitlichen Ansatzes für die Bedrohungsanalyse fort.

Teams für Cybersicherheit und Betrugsprävention verfolgen zwar das gemeinsame Ziel, Banken zu schützen, arbeiten aber aufgrund grundlegender Unterschiede oft isoliert voneinander.

Zu den wichtigsten Hindernissen gehören:

• Prioritäten und Erfolgskennzahlen 
• Betriebssprache 
• Organisationsstruktur 

Obwohl sowohl Cybersicherheits- als auch Betrugsteams die Bank schützen, arbeiten sie mit unterschiedlichen Prioritäten und Leistungskennzahlen (KPIs).

Cybersicherheitsteams:

• Schwerpunkt auf dem Schutz von Netzwerken, Systemen und Daten vor unberechtigtem Zugriff oder Angriffen 
• Sicherheitslücken erkennen und eindämmen durch Überwachung technischer Schwachstellen und Bedrohungsaktivitäten 
• Den Erfolg anhand von Kennzahlen wie der Geschwindigkeit der Reaktion auf Vorfälle, der Eindämmung von Bedrohungen und der Einhaltung von Sicherheitsrahmen messen. 

Betrugsteams:

• Der Fokus liegt auf dem Schutz von Kunden und Transaktionen vor betrügerischen Aktivitäten, um das Kundenvertrauen zu erhalten. 
• Verdächtige Aktivitäten mithilfe von Zahlungsüberwachungs- und Betrugserkennungstools erkennen und direkt mit Kunden zusammenarbeiten, um Probleme zu lösen 
• Den Erfolg anhand von Kennzahlen wie der Reduzierung von Betrugsraten, der Wiedergutmachung von Verlusten und der Kundenzufriedenheit messen

Da jede Gruppe unterschiedliche Ziele verfolgt, gibt es keine gemeinsame Systematik oder Mechanismen, um den regelmäßigen Informationsaustausch zu erleichtern.

Cybersicherheits- und Betrugsbekämpfungsteams verwenden unterschiedliche Fachsprachen, was zu Kommunikationsschwierigkeiten führt. So verwenden beispielsweise Verantwortliche für Cybersicherheit den Begriff „Kompromittierung“, um einen Angreifer zu beschreiben, der in die internen Systeme der Bank eindringt. Für Betrugsteams kann derselbe Begriff ein gehacktes Händler- oder Kundenkonto beschreiben.

Diese Unterschiede im Vokabular scheinen geringfügig, weisen aber auf ein größeres Problem hin: Cybersicherheit und Betrugsprävention sind getrennte Disziplinen, die selten miteinander ins Gespräch kommen. Das Fehlen einer gemeinsamen Sprache erschwert die Zusammenarbeit.

Bei vielen Finanzinstituten sind die Teams für Cybersicherheit und Betrugsbekämpfung in verschiedenen Abteilungen angesiedelt und berichten über separate Befehlsketten. 

Daher werden Informationen typischerweise nur dann ausgetauscht, wenn dringende Probleme auftreten. Tatsächlich verfügen 24 % der globalen Emittenten und Acquirer immer noch nicht über formale Prozesse für die Zusammenarbeit im Bereich der Bekämpfung von Cyberbetrug. 

Banken benötigen ein gezieltes Veränderungsmanagement, um diese strukturellen Barrieren zu überwinden. Durch die Einrichtung regelmäßiger Kontaktpunkte und die Nutzung gemeinsamer Erkenntnisse können Betrugs- und Cybersicherheitsteams den Wert der Integration aufzeigen und Führungskräfte dazu ermutigen, tiefgreifendere strukturelle Veränderungen voranzutreiben.

Die mangelnde Integration zwischen Cybersicherheits- und Betrugsbekämpfungsteams stellt mehr als nur ein theoretisches Risiko dar. Das spielt sich jeden Tag in realen Betrugsfällen ab. 

Hier ein Beispiel, wie ein digitaler Skimming-Angriff bei isolierten Cybersicherheits- und Betrugsteams eskalieren kann:

1. Cyberteam entdeckt Sicherheitsrisiko: Das Cybersicherheitsteam erhält Informationen über zunehmende Malware-Einschleusungen auf E-Commerce-Websites. (Diese Angriffe nehmen rasant zu.) Im Jahr 2024 wurden fast 11.000 verschiedene E-Commerce-Domains mit E-Skimmer-Infektionen identifiziert, dreimal so viele wie im Jahr 2023. Da die Bedrohung die digitale Infrastruktur der Bank nicht direkt betrifft, gibt das Cyber-Team die Informationen nicht weiter und ergreift keine Maßnahmen. 
2. Betrugsteam sieht die Folgen: Wochen später bemerkt das Betrugsteam der ausstellenden Bank einen sprunghaften Anstieg von Rückbuchungen und verdächtigen Transaktionen. Da dem Cyber-Team kein Kontext zum Anstieg der E-Skimmer-Angriffe vorliegt, wird die Aktivität als isolierter Betrug behandelt. 
3. Die eigentliche Ursache wurde zu spät aufgedeckt: Nach eingehenderen Ermittlungen konnte das Betrugsteam den Betrug auf die infizierten Websites zurückführen. Bis dahin haben die Angreifer die gestohlenen Kartendaten bereits zu Geld gemacht. Der Schaden beschränkt sich nicht auf den Karteninhaber. Der Erwerber übernimmt häufig die Schulden oder die Kosten der betrügerischen Transaktionen. 

Obwohl das Cybersicherheitsteam eine potenzielle Bedrohung identifiziert hatte, fehlte es an einem Verfahren, um die Informationen an das Betrugsteam weiterzugeben, sodass der Betrug unentdeckt eskalieren konnte.

Einer der besten Ansätze, um die Silos im Bereich Betrug und Cyberkriminalität aufzubrechen, ist der Austausch von Bedrohungsinformationen.

Threat Intelligence liefert Daten und Erkenntnisse über neu auftretende Cyberangriffe. Wenn diese Informationen auf den Zahlungsverkehr zugeschnitten werden, helfen sie, die Lücke zwischen Cybervorfällen und Betrugsrisiken auf Transaktionsebene zu schließen und den Teams eine gemeinsame Grundlage für ihr Handeln zu bieten.

In diesem Kontext können Cybersicherheits- und Betrugsbekämpfungsteams Folgendes tun:

• Daten konsistent teilen 
• Eine gemeinsame Sprache sprechen 
• Koordinierte Bedrohungsreaktion 

Cyber- und Betrugsbekämpfungsteams müssen über die sporadische Kommunikation hinausgehen und regelmäßige Kontaktpunkte einrichten, um Erkenntnisse auszutauschen. Die auf Zahlungsdienste zugeschnittene Bedrohungsanalyse unterstützt diesen Prozess, indem sie eine gemeinsame Grundlage relevanter Informationen schafft. 

Beispielsweise ermöglichen wöchentliche Informationsabgleiche den Gruppen die Zusammenarbeit und das Erkennen neuer Betrugsmuster. Im Rahmen dieser Synchronisierungen können Teams unter Einhaltung bewährter Datenschutzpraktiken sicher Informationen über kompromittierte Händler-Checkout-Seiten oder gestohlene Kartennummern, die auf kriminellen Marktplätzen auftauchen, austauschen. 

Ebenso können Führungskräfte diese Zusammenarbeit stärken. CISOs können in Cyber-Briefings nach Betrugsrisiken fragen oder Betrugsteams in entsprechende Bedrohungsanalysen einbeziehen und damit signalisieren, dass der Datenaustausch für das Unternehmen Priorität hat. Ebenso wichtig ist es, sicherzustellen, dass Karteninhaberdaten und Händlerzugangsdaten geschützt und sicher verarbeitet werden, um weitere Gefährdungen zu verhindern.

Cybersicherheits- und Betrugsteams definieren Risiko unterschiedlich, was die Abstimmung erschwert. Die Nutzung von Bedrohungsdaten zur Zuordnung technischer Bedrohungen zu nachgelagerten Betrugsfällen hilft den Teams jedoch dabei zu verstehen, wie sich ihre Prioritäten überschneiden. 

Für CISOs verdeutlicht dieser Zusammenhang die geschäftlichen Interessen hinter technischen Schutzmaßnahmen. Für Betrugsanalysten stellt es eine Verbindung zwischen betrügerischen Aktivitäten und ihren Ursprüngen im Cyberraum her. Ein gemeinsamer Bezugsrahmen ermöglicht es Teams, Ressourcen effizienter zuzuweisen und den ROI von Investitionen in Cybersicherheit und Betrugsprävention nachzuweisen. 

Wenn Cyber- und Betrugsteams Informationen austauschen, können sie ihre Reaktionen koordinieren, anstatt isoliert zu arbeiten. 

Beispielsweise kann die Bedrohungsanalyse ungewöhnliche Kartentestaktivitäten auf der Website eines bestimmten Händlers erkennen, bei denen Betrüger kleine Testtransaktionen durchführen, um gestohlene Karten zu validieren. Im Gegenzug können die Teams die Informationen gemeinsam auswerten, und die Betrugsbekämpfungsteams können gefährdete Kartenportfolios auf entsprechende Aktivitäten überwachen, sodass sie eingreifen können, bevor die Angreifer ihre Operationen ausweiten.

Cybersicherheit und Betrugsprävention können nicht länger getrennte Kämpfe austragen. Wenn sie das tun, nutzen Angreifer die Sicherheitslücken aus. Wenn Teams jedoch zusammenarbeiten, können Banken koordinierte Maßnahmen ergreifen, um Verluste zu stoppen, bevor sie sich ausweiten.

Mastercard Threat Intelligence stattet Betrugsteams mit sorgfältig ausgewählten Informationen über die neuesten Bedrohungen und Schwachstellen im Bereich Zahlungsbetrug aus und versetzt sie so in die Lage , mit Cyber-Teams zusammenzuarbeiten und frühzeitig Maßnahmen zu ergreifen, um Verluste zu reduzieren. 

Ist Ihr Unternehmen bereit, die Lücke zwischen Cyberkriminalität und Betrug zu schließen? Erfahren Sie, wie Mastercard Threat Intelligence Ihnen helfen kann.