Die Corona-Pandemie hat gezeigt, wie schnell eine Krise zu sozialer Disruption führen kann. In Zeiten, in denen Menschen um ihre Gesundheit und finanzielle Zukunft bangen, herrscht in Contact Centern Hochbetrieb. Das stellt Kunden und Mitarbeiter unter enorme Belastungen.

Innerhalb der ersten Jahreshälfte verzeichneten viele Unternehmen einen sprunghaften Anstieg des Anrufaufkommens auf ein zuvor nicht gekanntes Niveau. Gleichzeitig sorgten Social-Distancing-Maßnahmen, die Herausforderungen des Homeoffice sowie krankheitsbedingte Ausfälle von Mitarbeitern dafür, dass Contact Center am Rande ihrer Kapazitätsgrenzen arbeiten mussten – oder gar darüber hinaus.

Ein globales Problem

Es ist beinahe unerheblich, in welchem Teil der Welt die Unternehmen ihre Geschäfte abwickeln, denn die Gefahren lauern nahezu überall.  Während die Pandemie der Weltwirtschaft einen schweren Schlag versetzt, unterstützen immer mehr Regierungen besonders betroffene Unternehmen mit Corona bezogenen Förderprogrammen. Nachrichten über diese pandemiebezogenen Hilfen wurden dabei vielfach von Betrügern für Phishing eingesetzt. Hierfür wurden Emails versendet, die vorgaben von amtlicher Stelle zu kommen und z.B. zur vermeintlichen Prüfung der Anspruchsberechtigung zur Eingabe persönlicher Daten aufforderten. Dass auch deutsche Unternehmen in hohem Maße Angriffen ausgeliefert sind, zeigt sich daran, dass bereits 2019 hierzulande immerhin 79,2 % von ihnen erfolgreich attackiert wurden.

Beunruhigend für die Sicherheitsexperten in Unternehmen, Organisationen und Regierungen ist, dass diese Zahl trotz umfangreicher Schutzmaßnahmen weiter zunimmt. Während 2016 weltweit 71,6 % von ihnen Betrugsschäden erlitten, schnellte dieser Wert bis 2020 auf über 80 %. Dabei traf es überproportional häufig Unternehmen aus der Finanzbranche, gefolgt vom Einzelhandel sowie dem Telekommunikations- und IT-Sektor. Gleichzeitig stehen zunehmend Regierungen im Fokus der Betrüger, was dafür spricht, dass die Verbrecher in immer größeren Maßstäben denken.

Kanalübergreifende Attacken

Betrüger lassen sich auch von ausgereiften Schutzmaßnahmen bei der Kundenauthentifizierung nicht abschrecken. So erfolgen die Angriffe sowohl auf digitalen Kanälen – wie ­­­­­Webseiten, mobilen Apps und Chats – als auch per Telefon oder im persönlichen Gespräch.

Darauf müssen Unternehmen ihre Schutzmaßnahmen einstellen, denn in all diesen Bereichen werden seit 2017 mitunter erheblich erhöhte Betrugsaktivitäten registriert. Dabei stellen sich die Angreifer individuell auf die jeweiligen Kanäle ein. Während sie im Onlinebereich auf Kontoübernahmen oder Identitätsdiebstahl zurückgreifen, arbeiten sie am Telefon mit Ausreden oder täuschen ihre Ansprechpartner bei persönlichen Kontakten mit gefälschten Ausweisen.

Zudem zeigt sich, dass die Betrüger besonders gerne wiederholt bei gleichen Unternehmen zuschlagen. So wurden im Jahr 2019 über ein Drittel der betroffenen Unternehmen mehr als sechs Mal angegriffen. Ein Grund dafür ist, dass sich noch immer viel zu viele von ihnen bei der Authentifizierung ihrer Kunden auf herkömmliche Methoden wie PIN- oder Passwort-Abfragen verlassen. Doch darauf haben sich die Betrüger längst eingestellt und Wege gefunden, die veralteten Schutzmechanismen erfolgreich zu umgehen.

PINs und Passwörter taugen aus unterschiedlichen Gründen nicht mehr zur effizienten Kundenidentifikation über alle Kanäle hinweg. Einer Studie von Forrester Research zufolge kann ein achtstelliges, zufällig ausgewähltes und mit Großbuchstaben, Ziffern sowie Sonderzeichen versehenes Passwort mittlerweile in neun Stunden geknackt werden. Die so erbeuteten Daten werden in betrügerischer Absicht zur kanalübergreifenden Authentifizierung genutzt und verursachen weltweit jährliche Schäden in Milliardenhöhe.

Wenn Betroffene erzählen

Robert Ross, Tech-Investor in den USA, verlor knapp eine Million US-Dollar innerhalb von weniger als einer Stunde, und ist seither ein leidenschaftlicher Verfechter von Präventionsmaßnahmen gegen SIM-Swapping.

Ende 2016 erhielt Rob eines Freitagnachts zu Hause von seiner Bank die Mitteilung, dass Geld von seinem Konto abgehoben wurde. Zu diesem Zeitpunkt blickte er gleichzeitig auf sein Mobiltelefon und seinen Laptop. Rob bemerkte sofort, dass er von seinem E-Mail-Konto abgemeldet war und sah im Sperrbildschirm seines Mobilgeräts, dass kein Telefondienst mehr angezeigt wurde.  Er wusste sofort, dass etwas nicht stimmte, hatte aber nicht die geringste Ahnung von den drohenden Folgen.

Robs Betrugsfall folgte genau dem typischen Ablauf eines SIM-Karten-Swap-Angriffs: Als erstes kontaktierte der Betrüger seinen Mobilfunkanbieter und gab vor, Rob zu sein. Dann überzeugte er den Support-Mitarbeiter, die Mobilnummer von Rob auf eine andere SIM-Karte zu transferieren. Anschließend forderte der Betrüger per Textnachricht einen Reset der Passwörter des E-Mail-Kontos und der Bankkonten an. Da der Betrüger die Mobilnummer der SIM-Karte von Rob mit einer von ihm kontrollierten Nummer ausgetauscht hatte, wurden alle diese Einmalpasswörter an sein Gerät versandt. In nur wenigen Minuten hatte der Betrüger uneingeschränkten Zugriff auf alle Konten von Rob.

Dieses Erlebnis hat ihn dazu bewogen sowohl Unternehmen als auch Einzelpersonen über die Gefahren aufzuklären.

In einem Gespräch mit Brett Beranek, VP & GM Voice Biometrics bei Nuance Communications, erzählt er was diese Erfahrung mit ihm und seiner Familie gemacht hat.

Fragen Sie sich noch, was Stimmbiometrie mit Ihrem Unternehmen zu tun hat? Verlieren Ihre Kunden Geld aufgrund fehlender Sicherheitsmaßnahmen, verliert ihr Unternehmen an Ansehen, dass schwer zurückzugewinnen sein wird.

Morna Florack – Nuance Communications