Der COVID-Kriminalitätsindex – Trends in der Entwicklung von Cyberkriminalität und Finanzbetrug

Seit Menschengedenken gab es nur wenige Krisen, die mit der globalen COVID-19-Pandemie, deren Auswirkungen noch viele Jahre lang nachwirken werden, vergleichbar sind. Viele Unternehmen wurden an einen „technologischen Kipppunkt“ gebracht, eine Situation also, in der eine einigermaßen vorhersehbare und geradlinige Entwicklung plötzlich in eine unvorhersehbare Richtung wechselt und sich das Umfeld, in dem die Geschäftstätigkeit stattfindet, stark verändert. Cyberkriminelle finden das super – und finden viele neue Angriffsmöglichkeiten.

von Simon Viney, Cyber Security Financial Services Sector Lead bei BAE Systems Applied Intelligence

Banken und Versicherungen sind von diesem Wandel nicht ausgenommen. Sie haben seit Beginn der COVID-19-Pandemie mit einem signifikanten Anstieg von Cyberkriminalität und Finanzbetrug zu kämpfen. Um herauszufinden, in welcher Weise die Finanzdienstleister und ihre Kunden betroffen sind, gab BAE Systems Applied Intelligence eine Studie in Auftrag. Der Bericht „COVID Crime Index” vom April 2021 zeigt die Herausforderungen und Chancen auf, mit denen die Finanzbranche seit Beginn der Pandemie konfrontiert ist, und wirft einen Blick darauf, wie sie diese in den kommenden Monaten und Jahren bewältigen kann.

Anstieg an Cyberkriminalität während des Lockdowns

Es gibt viele anekdotische Hinweise darauf, dass Internetkriminalität und Finanzbetrug während des pandemiebedingten Lockdowns zunahmen, aber genaue Zahlen für die Finanzbranche fehlten bislang. Wie sah das Jahr 2020 für die Finanzdienstleister in dieser Hinsicht also aus?

Die 902 Finanzinstitute, die wir in den USA und Großbritannien befragt haben, waren sich ziemlich einig. Drei Viertel (74 Prozent) gaben an, dass sie seit Beginn der Krise einen Anstieg bösartiger Aktivitäten beobachtet haben.”

Im Durchschnitt betrug der Anstieg 29 Prozent, insbesondere verursacht durch Bedrohungen für die IT-Systeme der Finanzdienstleister und ihrer Daten durch mobile Malware, Phishing, Botnet-Angriffe, Ransomware und Insider-Bedrohungen. Etwa ein Fünftel (17 Prozent) der Finanzinstitute gaben an, dass sie wenig Vertrauen in ihre Fähigkeit haben, Cyberkriminalität und Betrug im Jahr 2021 zu blockieren.

Die durch die COVID-19-Einschränkungen verursachte Unterbrechung des Geschäftsbetriebs lieferte den perfekten Köder für Phishing-Angriffe. Zusätzliche Schwachpunkte waren abgelenkte Mitarbeiter im Homeoffice, ungeschützte Infrastrukturen wie nicht gepatchte virtuelle private Netzwerke (VPNs) und Remote-Desktop-Protokoll (RDP)-Endpunkte.

Insgesamt gab die überwiegende Mehrheit (86 Prozent) der befragten Mitarbeiter der Finanzdienstleister zu, dass der massenhafte Umstieg auf Telearbeit die Sicherheit ihres Unternehmens beeinträchtigt hat.”

Über zwei Fünftel (44 Prozent) beklagten sich über einen Mangel an Transparenz in ihren Netzwerken.

Finanzinstitute kürzen Budgets der Betrugs- und Risikoabteilungen

 

Gleichzeitig zwang der finanzielle Druck viele Finanzinstitute dazu, die Budgets der Abteilungen für IT-Sicherheit, Cyberkriminalität, Betrug und Risiko zu kürzen.”

Im Durchschnitt wurden die Budgets zwischen März 2020 und März 2021 um 26 Prozent gekürzt – in etwa der Prozentsatz (29 Prozent), um den kriminelle Aktivitäten während des Berichtszeitraums anstiegen. Obgleich die beiden Trends nicht miteinander verbunden sind, gaben 37 Prozent der Befragten an, dass Kunden aufgrund des Investitionsrückgangs einem größeren Risiko von Cyberkriminalität oder Betrug ausgesetzt sind. Etwa die gleiche Anzahl (36 Prozent) warnte vor dem Verlust erfahrener Sicherheitsexperten und die meisten Befragten (75 Prozent) gaben an, dass die Verluste, die ihr Unternehmen in diesem Zeitraum durch Cyberkriminalität erlitten haben, auf pandemiebedingte Verbrechen zurückzuführen sind.

Verbraucher werden zum Ziel von Cyberangriffen

Im Rahmen der Studie wurden auch mehr als 2000 Verbraucher in den USA und Großbritannien zu ihren Erfahrungen während der Pandemie befragt. Es ist vielleicht nicht überraschend, dass angesichts der großen Zahl von Verbrauchern, die zum ersten Mal im Bereich E-Commerce online gingen, viele von ihnen Verluste erlitten.

Die Hälfte der Befragten gab an, in der Vergangenheit Opfer von Internetkriminalität oder Online-Betrug geworden zu sein, etwa ein Fünftel (19 Prozent) davon im letzten Jahr. Ein Viertel der Befragten gab an, dass dies innerhalb eines Jahres zweimal war und 15 Prozent sagten, dass sie dreimal Opfer von Internetkriminalität oder Online-Betrug wurden. Phishing, Kreditkartenbetrug, gestohlene Daten, gefälschte SMS-Nachrichten und Telefonanrufe waren an der Tagesordnung, wobei COVID-19 häufig als Lockmittel eingesetzt wurde.

Obwohl diese Vorfälle für viele Verbraucher Stress und Belastungen verursachten, haben sie auch ihr Bewusstsein für böswillige Online-Aktivitäten geschärft. Fast ein Viertel der Verbraucher macht sich nun mehr Sorgen über Cyberkriminalität als über physische Kriminalität und ebenfalls etwa ein Viertel der befragten Verbraucher glaubt, dass ihr Finanzinstitut viel mehr tun könnte, um sie vor Internetkriminalität zu schützen.

Mehr als die Hälfte (53 Prozent) der Verbraucher ist der Meinung, dass es die Aufgabe der Finanzinstitute ist, sie vor Cyberkriminalität zu schützen – von der Regierung erwarten dies knapp die Hälfte (47 Prozent) und von der Polizei etwa ein Drittel (34 Prozent).”

Die meisten Verbraucher sagen auch, dass sie bei der Wahl einer Bank oder eines Kartenanbieters den Schutz vor Internetkriminalität berücksichtigen.

Lehren für die Finanzdienstleister

Welche Lehren sollten die Finanzinstitute ziehen, wenn sie aus der Krise gestärkt hervorgehen wollen? Eine wichtige Lehre ist sicherlich, dass die Finanzinstitute mehr Transparenz bezüglich aktueller Cyberkriminalitäts- und Betrugskampagnen herstellen und mehr in Aufklärung und den Kontakt zum Kunden investieren. Aber auch in der Stärkung und Verbesserung der eigenen Sicherheit sind die Finanzinstitute gefordert. Das bedeutet, die Beschäftigten kontinuierlich in Best-Practice-Cyber-Awareness zu schulen, Silos zwischen Compliance-, Betrugs- und Sicherheitsteams aufzubrechen und international anerkannte Governance-Frameworks und Standards zu befolgen.

Es bedeutet auch, die Fähigkeiten zur Cybersicherheit und Betrugserkennung zu verbessern, wobei der Schwerpunkt auf Defense-in-Depth, Automatisierung und Konsolidierung liegen sollte.”

Es gibt viel aus den Ereignissen des vergangenen Jahres zu lernen. Die Finanzinstitute, die die richtigen Lehren aus der Pandemie ziehen und schnell mit den richtigen Maßnahmen reagieren, werden am besten aufgestellt sein, um in einer Zukunft nach der Pandemie zu überleben.Simon Viney, BAE Systems Applied Intelligence