Sie befinden sich hier:  Home  |  NEW BUSINESS  |  NR. 2, MÄRZ 2021  |  Ich bin ich. Wer noch?

Ich bin ich. Wer noch?

NEW BUSINESS - NR. 2, MÄRZ 2021
Steve Ragan, Akamai Security Researcher: »Kriminelle sind nicht wählerisch – alles, was zugänglich ist, kann auch in irgendeiner Weise genutzt werden.« © Adobe Stock/Goffkein

Der Onlineboom ruft finstere Gesellen auf den Plan, die ihren Vorteil aus der digitalen Welle ziehen wollen. Die Betrügereien mit falschen bzw. ergaunerten Identitäten im Web nehmen zu.

Die Geschwindigkeit, mit der mehr und mehr Abläufe aus der realen Welt in die digitale verlagert wurden und werden, hat gerade in den letzten Monaten noch einmal deutlich zugelegt. Der ohnehin boomende E-Commerce etwa konnte allein in Österreich laut Angaben des Handelsverbands im vergangenen Jahr ein Umsatzwachstum von rund 30 Prozent für sich verbuchen, erstmals seien mehr als 8,5 Mrd. Euro erwirtschaftet worden.
Das ist gut für die Händler, allen voran Amazon, ruft aber auch immer mehr zwielichtige Gesellen auf den Plan. Onlinebetrüger und Identitätsdiebe surfen als Trittbrettfahrer auf der Digitalisierungswelle. So hat beispielsweise das Unternehmen Onfido, das für seine Kunden zur Authentifizierung Foto-IDs mit der Gesichtsbiometrie von Nutzern vergleicht, zwischen Oktober 2019 und Oktober 2020 in Deutschland eine Steigerung der Identitätsbetrugsrate im Vergleich zum Vorjahr von 23 Prozent verzeichnet. Dazu setzte das Unternehmen die Anzahl der Betrugsfälle in Relation zu den untersuchten Identitäten. Lag dieser Wert 2019 noch bei 6 Prozent, so waren es 2020 bereits 7,4 Prozent. IDnow, als Anbieter von Identity-Verification-as-a-Service-Lösungen ebenfalls in diesem Bereich tätig, spricht für den Zeitraum von März bis Juni international sogar von einem Anstieg von 250 Prozent bei Onlinebetrugsversuchen.
Dazu kommt, dass sich auch die Methoden der Kriminellen ändern und an die Situation angepasst werden. Laut IDnow wurden etwa in Sachen Social Engineering – also dem Austricksen von Menschen, um ihnen zum Beispiel persönliche Informationen abzuluchsen – Fälle bekannt, in denen Anträge für staatliche Hilfsprogramme oder falsche Jobanzeigen als Lockmittel eingesetzt wurden.

Treue Kunden im Visier
Das Unternehmen Akamai, welches mit seiner Content-Delivery-Plattform nicht nur dafür sorgt, dass Webinhalte ohne lange Ladezeiten beim Kunden ankommen, sondern mittlerweile auch IT-Sicherheitsservices anbietet, hat einen weiteren Ansatzpunkt für kriminelle Machenschaften im Web beobachtet: Treueprogramme. Der Bericht „2020 State of the Internet / Security Report: Loyalty for Sale – Betrug im Einzelhandel und Gastgewerbe“ bezieht sich auf Vorkommnisse verschiedener Art und Größe zwischen Juli 2018 und Juni 2020.
„Kriminelle sind nicht wählerisch – alles, was zugänglich ist, kann auch in irgendeiner Weise genutzt werden“, erläutert Steve Ragan, Akamai Security Researcher und Autor des Sicherheitsberichts. „Daher ist der unautorisierte Zugriff auf Nutzerkonten über gestohlene Log-ins – das sogenannte Credential Stuffing – auf Einzelhandelsseiten seit einigen Jahren besonders beliebt. Nutzer- und Bonusprogrammprofile enthalten viele verschiedene persönliche Informationen und manchmal sogar Finanzdaten. All diese Daten können gesammelt, verkauft und gehandelt oder sogar zu umfangreichen Profilen zusammengestellt werden, um damit Straftaten wie Identitätsdiebstahl zu begehen.“
Wenn also die Kombination aus Log-in und Passwort eines Nutzers bei irgendeinem Onlinedienst zum Beispiel durch ein Datenleck in der Vergangenheit publik gemacht wurde, und er dieselbe Kombination für das Treueprogramm eines Supermarktes einsetzt, können die Identitätsdiebe ihre Informationssammlung so leicht vervollständigen und damit auf Raubzug gehen. Akamai stellte über 100 Milliarden Credential-Stuffing-Angriffe, das heißt unautorisierte, Bot-gesteuerte Zugriffe auf Nutzerkonten über gestohlene Log-ins, in dem von dem Bericht behandelten Zeitraum fest: Allein im Handelssektor, der neben dem Einzelhandel das Reise- und Gaststättengewerbe umfasst, wurden rund 63,8 Milliarden Angriffe registriert. Mehr als 90 Prozent der Angriffe zielten auf Einzelhändler ab. Das zeigt einmal mehr, wie wichtig es ist, als User ein vernünftiges Passwortmanagement zu betreiben.

Amateure mischen mit
In seinem „Identity Fraud Report 2020“ beschäftigte sich das eingangs bereits erwähnte Unternehmen Onfido noch eingehender mit dem Thema Online-Identitätsbetrug und stellte dabei einige Zusammenhänge mit der Covid-19-Pandemie fest. So hätte der massive Onlineboom dazu geführt, dass vermehrt auch „nichtprofessionelle“ Betrüger ihr Glück versucht hätten. Weltweit gesehen lag der Anstieg leichter Betrugsfälle von 2019 auf 2020 bei 23 Prozent, in Deutschland sogar bei 48 Prozent. Als Beleg für seine Theorie sieht das Unternehmen, dass sich die Zahl der schweren Angriffe durch Profis in dieser Zeit kaum verändert hat. Zudem scheinen Homeoffice, und in Verbindung damit das Verschwimmen der Grenzen zwischen (zweifelhaftem) Beruf und Freizeit, auch in der Betrugsbranche ein Thema zu sein: War im vorangegangenen Identity Fraud Report noch zu lesen, dass die Menge der Angriffe an Wochentagen höher war, aber an den Wochenenden abflachte – ein Hinweis auf die Professionalisierung des Identitätsbetrugs –, blieb 2020 die Betrugsverdachtsrate an allen Wochentagen ziemlich konstant.
Generell lässt sich festhalten, dass, wie in jeder Krise, auch aktuell die Betrugsrate tendenziell zunimmt. Das liegt daran, dass Betrug normalerweise von drei Faktoren begünstigt wird: Gelegenheit, Vereinfachung und Druck. „Dank Covid-19 haben sich alle drei Faktoren verstärkt“, sagt Michael Van Gestel, Global Head of Fraud bei Onfido. „Unternehmen aller Branchen sollten jetzt die Zeit nutzen, um Prozesse für die Identitätsprüfung ihrer Kunden zu überdenken, und sicherstellen, dass sie in der Lage sind, Online-Identitätsbetrug zuverlässig aufzudecken.“ (RNF)