Wie kann man Online-Betrug bekämpfen?

Sponsored content Für Originaltext auf Französisch umschalten

Diesen Artikel hören

Finanzbetrug entwickelt sich rasant – doch vor welchen spezifischen Herausforderungen stehen Finanzinstitute? Genau dieser Frage widmete sich die jüngste Folge des Podcasts Evergreens by Spuerkeess, die jetzt auch als Artikel verfügbar ist.

In der ersten Folge einer dreiteiligen Sonderserie spricht Podcast-Gastgeber Bryan Ferrari mit drei Experten über Strategien zur Betrugsprävention und -aufdeckung, die zentrale Rolle der ABBL in diesem Kontext sowie die Chancen und Risiken des Einsatzes von Künstlicher Intelligenz.

Camille Seillès ist Generalsekretär der Association des Banques et Banquiers Luxembourg (ABBL). Er ist Mitglied des Wirtschafts- und Sozialrats des Großherzogtums Luxemburg und des beratenden Ausschusses für aufsichtsrechtliche Vorschriften bei der Commission de Surveillance du Secteur Financier. Steve Muller ist Spezialist für Cybersicherheit im Wirtschaftsministerium. Er ist als technischer Berater und Ausbilder bei BEE SECURE tätig und legt den Schwerpunkt auf die Sensibilisierung für Sicherheitsfragen durch verschiedene Bildungsinitiativen. Serge Wagener ist Vize-Präsident und Head of Business Unit Payments bei der Spuerkeess.

Bryan Ferrari (Host): In der heutigen Episode geht es um Cybersicherheit. Nach allem, was man in den Medien liest, nehmen die Betrugsfälle zu. Ist das wirklich der Fall?

Steve Muller: Bei der Helpline von BEE SECURE sehen wir, dass die Zahlen steigen. Auf der anderen Seite muss man sich die Frage stellen, ob das an mehr Betrugsfällen liegt oder ob die Sichtbarkeit unserer Helpline zunimmt. Aber nach dem, was wir mit unseren Partnern – Staatsanwaltschaft, Polizei und so weiter – sehen, würde ich sagen, dass die Fälle schnell zunehmen.

Bryan: Das ist auf der Ebene der Einzelhandelskunden. Beobachten wir auch einen Trend auf der Ebene der Institutionen?

Camille Seillès: Die Zahl der Phishing-Fälle, die der Polizei gemeldet wurden, ist zwischen 2020 und 2023 stark angestiegen. Im Jahr 2020 hatten wir 28 Fälle, das war vor vier Jahren. Im Jahr 2023 hatten wir 1.310. Diese Zahl stammt vom Innenministerium.

Camille Seillès

Bryan: Vielleicht können wir etwas ausführlicher über Phishing sprechen. Was ist Phishing und was sind dessen Hauptmerkmale?

Serge Wagener: Phishing ist die am häufigsten vorkommende Betrugsmasche. Für Cyberkriminelle ist es der effektivste Weg, an Passwörter und sensible Kundendaten zu gelangen, um deren Identität zu übernehmen. Als Mitglied einer Bankenvereinigung habe ich an der Entwicklung einer Taxonomie mitgewirkt, die Betrugsformen systematisch strukturiert. Dabei haben wir rund zwanzig Kategorien definiert, darunter Phishing, Manipulation oder der Verkauf nicht existierender Produkte. Auch falsche Investitionen, Erpressung und emotionale Manipulation gehören zu den erfassten Betrugsarten.

Bryan: Was ist ein typischer Fall von Phishing?

Serge: Zunächst wird der Kunde kontaktiert – das kann per SMS oder Telefonkontakt sein – und so manipuliert, dass er ganz langsam Vertrauen in sein Gegenüber fasst. Das Ziel ist es, ihm Informationen zu entlocken – vertrauliche Daten und Zugang zu seinen S-Banking-Konten – und ihn idealerweise dazu zu bringen, eine Transaktion durchzuführen, die er sonst nie getätigt hätte.

Bryan: Wie kommen diese Betrüger an die Adressen der Kunden? Gibt es eine Schwachstelle im System?

Steve: Wir haben alles. Heutzutage ist die E-Mail-Adresse keine private Information mehr. Sie wird überall angegeben. Es ist also ziemlich einfach, eine Liste von Personen mit ihren E-Mail-Adressen zu bekommen. Im berüchtigten Darknet kann man sie sogar kaufen. Außerdem kann es bei all den Datenlecks, die wir haben, Kriminelle geben, die nicht nur die E-Mail-Adressen als Listen erhalten, sondern auch eine ganze Reihe zusätzlicher Informationen. Wenn es die Informationen eines Kunden bei einem Unternehmen sind, können Kriminelle noch plausibleres Phishing betreiben, weil sie Informationen verwenden werden, die theoretisch nur der Kunde bzw. das Unternehmen kennen kann. Nun geht Phishing natürlich darüber hinaus. Es geht nicht nur darum, diese Informationen zu haben, sondern auch darum, sich Zugang zu Ihrer Mailbox oder Ihrem sozialen Netzwerk zu verschaffen und sich als jemand auszugeben, dem das Opfer vertraut.

Bryan: Es gibt also eine direkte Verbindung zu Data Breaches? Wenn wir sehen, dass ein Unternehmen, bei dem wir ein Konto haben, gehackt wurde, sollten wir alle unsere Passwörter ändern.

Steve: Auf jeden Fall. Wenn ein solches Leck bekannt wird, muss man mit dieser Art von Phishing und allen möglichen Manipulationen rechnen. Wenn jetzt zum Beispiel Ihr Stromversorger betrogen wird und es ein Datenleck gibt, müssen Sie damit rechnen, dass Sie eine gefälschte E-Mail oder sogar Post von Ihrem angeblichen Stromversorger erhalten, in der er Ihnen mitteilt, dass es eine unbezahlte Rechnung gibt.

"Für Cyberkriminelle ist Phishing der effektivste Weg, an Passwörter und sensible Kundendaten zu gelangen, um deren Identität zu übernehmen."

Serge Wagener, Spuerkeess

Bryan: Wie gehen die Finanzinstitute mit diesen Herausforderungen um? Welche neuen oder zukünftigen Maßnahmen werden eingeführt, um einen Gegenangriff zu starten?

Camille: Man kann von der Feststellung ausgehen, dass trotz des Einsatzes neuer Technologien und einer höheren Raffinesse der menschliche Faktor immer noch existiertt. Das geht also nur über eine Sensibilisierung der breiten Öffentlichkeit. Daran kann und muss unserer Meinung nach gearbeitet werden. In der ABBL haben wir eine Stiftung für Finanzbildung, die eine spezielle Website mit dem Titel "Sécher am Internet" eingerichtet hat, auf der man Tipps zum richtigen Verhalten und zur Vermeidung von Online-Fallen findet. Man könnte auch über Kampagnen zur Sensibilisierung der breiten Öffentlichkeit nachdenken. Es gibt auch die Betrugsbekämpfungs-Hotline - die 491010. Dann gibt es natürlich auch die Schulung von Bankpersonal, im weiteren Sinne im Kampf gegen Finanzkriminalität. Denn danach werden diese Kriminellen versuchen, dieses illegitime Geld wieder in die legitimen Kreisläufe einzuschleusen. Das betrifft den gesamten Kampf gegen die Geldwäsche.

Bryan: Für Banken bedeutet das vermutlich viel Aufwand?

Serge: Das ist offensichtlich. Die Kunden erwarten, dass Zahlungen immer schneller ausgeführt werden, also steigt auch die Geschwindigkeit, mit der ein Betrug organisiert werden kann. Man muss dann in immer ausgefeiltere Mechanismen investieren, um Betrug zu erkennen. Wir haben Maßnahmen, bei denen für bestimmte Transaktionen der automatische Fluss unterbrochen wird, um einen Kunden anzurufen und ihn zu bitten, seine Zahlung zu bestätigen. In nicht wenigen Fällen kann dadurch ein Betrug vereitelt werden. Es ist jedoch äußerst schwierig, zu bestimmen, wie weit man gehen kann, um den normalen Ablauf zu unterbrechen und Kunden mit Zahlungen zu belästigen, die sie tatsächlich tätigen wollen. Was wir hingegen bei diesen Anrufen nie tun werden, ist, ihn um zusätzliche Informationen zu bitten. Es ist einfach die Frage: "Wollen Sie diese Transaktion wirklich durchführen?" Ja oder Nein - that's it. Betrüger spielen insbesondere damit. Der Kunde wird kontaktiert und sie versetzen ihn in einen emotionalen Stresszustand. Danach sagen sie ihm, dass er dieses oder jenes Problem lösen muss, indem er zusätzliche Informationen mitteilt. Wenn ein Kunde sein Auto zur Reparatur in die Werkstatt gibt, findet er es normal, dass er nicht an der Reparatur des Autos beteiligt ist. Wenn hier bei einer Transaktion etwas schief läuft, wird die Bank den Kunden nie um Hilfe bitten oder ihn auffordern, sich an der Korrektur zu beteiligen. Die Bank hat alle Werkzeuge, um dies von ihrer Seite aus zu tun.

Camille: Die Beschleunigung der Geldströme ist ein Punkt, auf den man achten sollte. Letzte Woche war ich auf einer Konferenz über Finanzkriminalität, auf der eine Feststellung getroffen wurde, die meiner Meinung nach sehr aussagekräftig ist. Er besagt, dass die Kriminellen mit der Geschwindigkeit des Geldes arbeiten und wir, die Behörden und Marktteilnehmer, mit der Geschwindigkeit des Rechts. Wie können wir dafür sorgen, dass der Rechtsrahmen mit der Beschleunigung der Finanzströme Schritt hält? Ein Denkansatz, der bereits recht weit fortgeschritten ist, ist der Informationsaustausch, sei es zwischen Behörden und Marktakteuren oder zwischen Marktakteuren untereinander. Es wurde über den europäischen Rahmen für Zahlungen gesprochen, der sich weiterentwickelt. Dieser wird in Kürze verlangen, dass Zahlungsdienstleister Informationen und Daten in Bezug auf Betrug austauschen. In einigen Ländern funktioniert das bereits. Ich denke dabei an die Niederlande, wo es ein solches System gibt. Es hat die Zahl der betrügerischen Überweisungen um fast 80% gesenkt.

Bryan: Das ist für Finanzinstitute. Wie sieht es mit normalen Unternehmen oder KMU aus?

Steve: Für KMU ist es schwieriger, weil sie keine Vorschriften haben. KMU werden zu nichts gezwungen. Aus diesem Grund haben sie auch keine Rahmenbedingungen. Bei jedem KMU hängt es von seinem Geschäftsführer ab. Wenn der Geschäftsführer sich ein wenig auskennt oder sensibilisiert ist, wird er vielleicht etwas unternehmen. Aber leider sind die meisten Geschäftsführer das nicht. Schließlich sind sie keine IT-Spezialisten.

Bryan: Die Finanzinstitute sind also dank des regulatorischen Rahmens besser ausgerüstet. Aber was könnte noch verbessert werden?

Steve: Für mich wäre es gut, das Bewusstsein der Privatpersonen zu schärfen, denn es sind Privatpersonen, die in diesen Kisten arbeiten. Das ist keine Aufgabe, die den Unternehmen selbst gegeben werden sollte. Ich höre oft, dass die Menschen das Vertrauen in die Finanzinfrastruktur verloren haben. Das ist möglich, ja, aber wir müssen trotzdem damit umgehen. Ich bin also eher der Meinung, dass man diese Menschen trösten und ihnen zeigen muss, dass die Welt nicht einfach nur schlecht ist, sondern wie man diese Versuche anhand von Beispielen erkennen kann.

Serge: Von unserer Seite aus investieren wir auch in Technologie. Einer der Wege, den die gesamte Branche im nächsten Jahr beschreiten wird, das ist die Überprüfung des Zahlungsempfängers. Wenn der Kunde eine Überweisung tätigen will, wird die Bank des Begünstigten die Übereinstimmung zwischen der Kontonummer und dem Namen des Kontoinhabers bestätigen. Das sollte zusätzliche Sicherheit bieten. Darüber hinaus werden die Werkzeuge, mit denen wir Daten analysieren und gegebenenfalls Betrug aufdecken können, immer ausgefeilter. Und dann, last but not least, die künstliche Intelligenz, die noch hinzukommen wird.

"Kriminelle arbeiten mit der Geschwindigkeit des Geldes und Behörden und Marktteilnehmer mit der Geschwindigkeit des Rechts."

Camille Seillès, ABBL

Bryan: Wir arbeiten an der Prävention, und wenn das Geld erst einmal im System ist, kann diese Geldwäsche durch andere Maßnahmen gestoppt werden… Nicht wahr, Camille?

Camille: Natürlich ist das so. Die Art und Weise, wie eine Bank arbeitet, mit ihren Risiken umgeht und sie erfasst, ist durch einen europäischen Rahmen und das System, das man die "drei Verteidigungslinien" nennt, normiert, wobei jeder Bankakteur seine Rolle bei der Aufdeckung zu spielen hat. Zunächst diejenigen, die in direktem Kontakt mit den Kunden stehen. Es ist an ihnen, auf der Grundlage ihrer Kenntnisse der Kunden, des Terrains, ungewöhnliche Aktivitäten unverzüglich zu melden. Dabei können sie auf die sogenannte zweite Verteidigungslinie zählen: die Abteilung für Risiken und Kontrollen, die dafür sorgt, dass die Kontrollen vor Ort wirksam umgesetzt werden. Die Innenrevision also, die sozusagen nach hinten durchgereicht wird, die überprüft und bewertet, ob die Kontrollprozesse solide sind und den Anforderungen entsprechen. Danach gibt es den externen Prüfer, der seine Rolle bei der Beurteilung der Robustheit der Kontrollen innerhalb der Bank spielt. Dann, ganz am Ende, haben Sie die Aufsichtsbehörden. In Luxemburg ist es die Kommission für die Überwachung des Finanzsektors (Commission de surveillance du secteur financier), die auf zwei Ebenen tätig wird: Es gibt jährliche Kontrollen auf einer deklarativen Basis der Bank, die aufgefordert wird, die Robustheit ihres internen Rahmens selbst zu bewerten, und Besuche vor Ort. In regelmäßigen Abständen kommt die CSSF also in die Bank und führt eine Prüfung des bestehenden Rahmens durch.

Bryan: Das klingt alles sehr schwer… Um die Debatte ein wenig aufzulockern: Haben Sie Beispiele für Betrugsfälle, die Sie in letzter Zeit überrascht haben?

Steve: Laut der BEE SECURE Helpline ist einer der größten Betrügereien alles, was mit Online-Shopping zu tun hat. Dann haben wir den sogenannten Romance Scam. Die Opfer sind alleinstehende Personen, die online nach einem neuen Partner suchen. Hier gibt es Leute, die sich als jemand ausgeben, der romantisch interessiert ist, aber in Wirklichkeit nur das Ziel hat, ihnen das Geld aus der Tasche zu ziehen. Dann gibt es immer mehr Leute, die sich als jemand anderes ausgeben. Die Bank, die Sie anruft und Ihnen sagt, dass es ein Problem mit einer Überweisung gibt und dass Sie bald einen Antrag auf Ihrer LuxTrust App erhalten werden, den Sie unterschreiben müssen. Die Leute sagen sich, da es über das LuxTrust-System läuft, das sicher ist, ist es in Ordnung.

Steve Muller

Serge: Ein Beispiel, das mich eher durch seine Effizienz und Frechheit als durch seinen Einfallsreichtum beeindruckt hat, ist das folgende. Die Betrüger traten durch klassisches Phishing - E-Mail oder Telefonanruf - an den Kunden heran. Sie tauschten sich aus, gaben sich als die Bank aus und erklärten, dass sie gesehen hätten, dass der Kunde eine Reihe an Transaktion durchgeführt habe und fragen, ob der Kunde dies tatsächlich selbst war. Natürlich nicht, weil es diese Transaktionen nicht gab. Es war an einem Freitag um elf Uhr abends. Sie haben dann den Kunden überzeugt, dass er sowohl sein LuxTrust-Token als auch alle seine Karten mit allen PIN-Codes in einer Plastiktüte verpackt abgeben müsse und dass ein Bankangestellter alles bei ihm zu Hause abholen würde. Tatsächlich tauchte dann auch ein junger Mann vor der Tür auf. Der Kunde gab alles ab. Natürlich wurden die Karten bis zum Limit verwendet. In einem solchen Fall kann man den Kunden nur empfehlen, alles zu stoppen, die 491010 anzurufen, um alle ihre Karten und das LuxTrust-Zertifikat zu sperren. Das ist ein Mittel für den Notfall, liegt aber in der Geschwindigkeit, mit der man reagiert.

Bryan: Der erste Reflex des Kunden sollte auch sein, dass es verdächtig ist, wenn die Nachricht irgendwo anders als über die Bankanwendung ankommt?

Serge: Das ist ein sehr starker Hinweis, ja. Wir kontaktieren Kunden nie per E-Mail.

Bryan: Abschließend: Wie kann man in Zukunft Betrug bekämpfen?

Camille: Wir haben über die Geschwindigkeit und die Kreativität der Betrüger gesprochen. Der Mehrwert, den wir als Bankenverband in dieser Situation hoffentlich bieten können, ist der Austausch von Best Practices zwischen den Mitgliedern. Wir haben verschiedene Arbeitsgruppen im Bereich der Cybersicherheit, insbesondere im Bereich Phishing. Ich denke, dass der Informationsaustausch zwischen den Akteuren von entscheidender Bedeutung ist, da einige von ihnen mit Szenarien konfrontiert sind, die vielleicht noch nie dagewesen sind, und daher eine frühzeitige Sensibilisierung ihrer Partner sinnvoll ist, und es liegt an jedem Einzelnen, diese Informationen an die breite Öffentlichkeit weiterzugeben, wo es Werkzeuge gibt, die in Zukunft noch weiterentwickelt werden können.

Bryan: Das Schlüsselwort ist Aufklärung, Vorsicht?

Serge: Und eine gute Portion Misstrauen gegenüber Situationen, die auf den ersten Blick komisch wirken …

In Zusammenarbeit mit
Jetzt den Newsletter abonnieren und nichts mehr verpassen. 

Um die Anmeldung abzuschließen, klicke auf den Link in der E-Mail, die wir dir gerade geschickt haben. Überprüfe im Zweifelsfall auch deinen Spam- oder Junk-Ordner. Es kann einige Minuten dauern, bis dein Journal-Profil aktualisiert ist.

Da ist was schief gelaufen bei deiner Anmeldung für den Newsletter. Bitte kontaktiere uns über abo@journal.lu.

Weiter

"Das Glas ist halbvoll"