Cyberkriminellen immer einen Schritt voraus sein durch die Abstimmung von Sicherheit und Betrug

Manchmal kann Betrug wie ein Katz-und-Maus-Spiel erscheinen: Die Kriminellen gehen in der Regel aggressiv vor und sind in der Offensive, während die Unternehmen Mühe haben, sich zu schützen und sich in der Defensive befinden. Für Unternehmen wird das Spiel immer schwieriger. Die Werkzeuge krimineller Organisationen werden immer ausgefeilter und ihre Angriffe komplexer. Für Finanzdienstleister und Händler ist es schwierig, ihre Sicherheits- und Betrugsschutzmaßnahmen ständig anzupassen, um mit den sich rasch weiterentwickelnden Angriffen Schritt zu halten. Und wer nicht mithält, fällt zurück. Die Gefahren sind höhere Verluste, abgebrochene Transaktionen und Unzufriedenheit bei den Kunden. Geld- und Kundenverlust – keine gute Kombination.

Es ist Zeit, Ihren Ansatz zur Betrugsprävention zu überdenken. Aber jetzt kann ich es hören. „Ich bin unterbesetzt und unterfinanziert. Wie soll ich denn mit flexibleren und finanziell besser ausgestatteten Verbrecherorganisationen mithalten?“ In diesem anspruchsvollen Umfeld ist es an der Zeit, intelligenter und nicht härter zu arbeiten. Händler und Finanzdienstleister, die dieses Problem gelöst haben, haben es geschafft, indem sie sowohl nach innen als auch nach außen geblickt haben.

Nach innen schauen

Im Rückblick haben erfolgreiche Unternehmen ihre Ineffizienzen bei der Sicherheit und Betrugsbekämpfung eingestanden. Üblicherweise gibt es eine Abteilung für Cybersicherheit, die Computernetzwerke und nach außen gerichtete Applications vor Infiltration, Exploits und Denial-of-Service-Angriffen schützt, und eine Betrugsbekämpfungsabteilung, die sich auf Online-/digitale Transaktionen, Ereigniskorrelation und Vorfallreaktionen konzentriert. Dadurch kommt es zu einer Trennung der Zuständigkeiten und zur Schaffung von zwei Abteilungen mit unterschiedlichen Tools, Datensätzen, Leistungsindikatoren, Mitarbeitern und Budgets. Sehen wir uns an, wie dies einem Unternehmen schadet.

Durch Datendiebstahl und die Offenlegung von Anmeldeinformationen wurden Milliarden personenbezogener Daten offengelegt, darunter auch Benutzernamen/Passwort-Paare. Bei einem typischen Angriff führt ein Angreifer mithilfe stark verteilter Botnetze Credential Stuffing durch, um diese Paare in großem Maßstab zu testen und herauszufinden, welche Benutzernamen-/Passwortpaare noch gültig sind. Mit einem gültigen Paar wird ein Angreifer leicht zum Cyberkriminellen, indem er das Online-Konto eines Kunden übernimmt, Geld abzieht, Treuepunkte wäscht oder nicht autorisierte Einkäufe tätigt. Abhängig von den getroffenen Sicherheitsmaßnahmen kann der Cyberkriminelle den Angriff mithilfe von Tools modifizieren, die von Netzwerkskripten und Botnetzen bis hin zu Tools reichen, die menschliches Verhalten nachahmen, oder Frameworks, die API-Aufrufe an menschliche Klickfarmen tätigen können, um CAPTCHAs zu lösen.

Diese Art von Angriff betrifft sowohl die Sicherheits- als auch die Betrugsbekämpfungsteams. Wenn die Sicherheits- und Betrugsbekämpfungsteams oder ihre Tools nicht miteinander kommunizieren, gehen Bedrohungsinformationen und Kontext verloren und es ist schwierig (vielleicht sogar unmöglich), den Angriff in seiner Gesamtheit zu erkennen. Dies führt dazu, dass Betrüger durch das Netz schlüpfen und Unternehmen sowie deren Kunden finanzielle Verluste erleiden.

Es ist an der Zeit, organisatorische Silos aufzubrechen. Wenn Sie Teams und Technologien vernetzen, schaffen Sie so die Grundlage für Konvergenz, steigende Umsätze und den langfristigen Erfolg Ihres Unternehmens. Gemeinsame Nutzung von Ressourcen und Daten erhöht die Transparenz. So verhindern Sie den Zugang krimineller Organisationen und ermöglichen Ihren vertrauenswürdigen Kunden einen reibungslosen Ablauf. Eine aktuelle Studie der Aite-Novarica Group mit 110 Fintech-Firmen zeigt: Wer ein integriertes Betrugssystem nutzt, findet die Betrugsbekämpfung doppelt so häufig einfach oder sehr einfach im Vergleich zu Unternehmen mit getrennten Systemen.

Eine integrierte Plattform bietet den Vorteil, dass sie durch die Bündelung und kontinuierliche Analyse von Daten einen besseren Einblick in die Betrugslandschaft erhält. Mit einem größeren Datensatz und damit mehr Betrugssignalen ist es möglich, prädiktivere und präzisere Modelle für maschinelles Lernen zu erstellen. Dies kann nicht nur zu proaktiveren und umsetzbareren Informationen führen, sondern auch zu einem besseren Benutzererlebnis, da die erhöhte Präzision die Authentifizierung beschleunigen kann und Kunden nahtlose Transaktionen durchführen können, ohne dass es zu mehr Betrug kommt.

Der Blick nach außen

Um ein wirksames Ökosystem für Betrugsbekämpfung zu schaffen, ist auch der Blick nach außen wichtig. Für Finanzdienstleister und Händler ist es gängige Praxis, Tools anzuschaffen und Betrug intern zu bekämpfen, wobei die Mitarbeiter die Tools so konfigurieren, dass Betrug verhindert wird. Da sich die Art der Betrugsangriffe im Laufe der Zeit verändert, muss das Unternehmen seine Betrugsstrategien entsprechend anpassen, um ihnen entgegenzuwirken, die Authentifizierungsregeln optimieren und Fehlalarme untersuchen. Mit anderen Worten: Das Unternehmen muss erst einen neuen Betrugsangriff (und einen finanziellen Verlust) erleben, bevor es zukünftige verhindern kann. Durch diese reaktive Strategie bleibt das Unternehmen ungeschützt, während die internen Abteilungen die Sicherheitslücke untersuchen und beheben.

Warum nicht proaktiv sein? Anbieter kommerzieller Lösungen nutzen ihre umfassende Erfahrung und Transparenz, um ihre Kunden besser zu schützen, als ein einzelner Kunde sich selbst schützen kann. Wie? Ein Anbieter mit einem großen Kundenstamm in vielen Regionen und Branchen hat einen sehr umfassenden Überblick über Betrugsfälle, insbesondere wenn Informationen zu Bedrohungen in seinem gemeinsamen Verteidigungsnetzwerk ausgetauscht werden. Wenn ein neuer Betrugsangriffsvektor auftritt, kann der Anbieter seine Betrugsschutzmaßnahmen schnell ändern, um alle Kunden zu schützen.

Die Win-Win-Win-Lösung

Es ist anspruchsvoll, kriminellen Organisationen und ihren immer ausgeklügelteren Angriffen mit knappen Personal- und Ressourcenbudgets voraus zu bleiben. Wir sollten sowohl nach innen als auch nach außen blicken. Indem wir Cybersicherheit und Betrugsmanagement in einem integrierten Team vereinen und externe Expertise einbinden, profitieren Sie von drei Hauptvorteilen. Sie vereinfachen Cybersicherheit und Betrugsmanagement, senken Verluste und bieten Kunden ein deutlich besseres Online-Erlebnis. Ein Erfolgsdreiklang für alle Beteiligten.

Von David Mattei, strategischer Berater, Aite-Novarica Group

_____

Weitere Informationen und neue Strategien zur Minimierung von Betrugsverlusten finden Sie im Aite-Bericht .