Marke, Geschäft und Betrug

Phishing und Betrug werden am häufigsten (und bedauerlicherweise) mit der Finanz- und Bankenbranche in Verbindung gebracht.  

Betrug ist lediglich ein anderes Wort für Täuschung, Täuschung, Schwindel und Schikane. Und genau auf diese Weise verschaffen sich Angreifer tagtäglich Zugangsdaten von Unternehmensbenutzern. Durch Phishing und durch Malware, die beim bloßen Surfen auf dem Unternehmensnetzwerk abgelegt wird. Oh, ich weiß, Sie lassen Unternehmensbenutzer nicht auf solchen Websites surfen. Aber lassen Sie sie im BBC-Programm stöbern? Nachrichtenwoche? Die New York Times? Wie wäre es mit MSN? Sie alle sind vor Kurzem Opfer von Malvertising geworden . Dabei nutzen Kriminelle erstklassige Websites, um über Online-Werbefirmen mit Malware belastete Online-Anzeigen zu verbreiten. Oh, natürlich haben Sie eine Antivirensoftware ausgeführt. Doch den fünf Gewohnheiten äußerst erfolgreicher Malware zufolge werden nur 25 % der realen Schadsoftware von Antivirenprogrammen erkannt. Sie haben zweifellos mehrere Schulungen zur „Sensibilisierung für Sicherheit“ mit Ihren Mitarbeitern abgehalten, in denen Sie ihnen beigebracht haben, die Anzeichen eines Phishing-Versuchs zu erkennen. Und dennoch öffnen fast 50 % der Opfer die E-Mail und klicken innerhalb der ersten Stunde nach Erhalt auf den Link .

Wir sollten auch nicht vergessen, dass Menschen von ihrem Arbeitsplatz aus auf ihre Finanzinstitute zugreifen, wo die Bösewichte in hohem Maße auf Phishing und Malware setzen. Untersuchungen von IDC zeigen, dass 30–40 % der Internet-Nutzungszeit am Arbeitsplatz für nicht arbeitsbezogene Aktivitäten aufgewendet wird. Dies könnte der Grund sein, warum unser F5 SOC festgestellt hat, dass die Zahl der Phishing-Versuche unter der Woche deutlich höher war als an den Wochenenden, wobei der Montag ein sehr beliebter Tag zum Phishing war. Wenn ein Mitarbeiter am Montagmorgen seine Bankgeschäfte erledigt und dabei einem Phishing-Angriff zum Opfer fällt, der darauf abzielt, seine Bankdaten abzugreifen, ist es sehr wahrscheinlich, dass die Bösewichte auch Firmendaten erbeuten. Denn Virenschutzsysteme erkennen nicht alles und immer noch werden Menschen Opfer von Phishing-Angriffen. Diese Unternehmensnachweise lassen sich auf dem freien Markt genauso gut verkaufen wie alle anderen, das heißt sehr gut.

Dann gibt es die Mitarbeiter, die von außerhalb der Unternehmensmauern über ein SSL-VPN oder ein anderes „geschütztes“ Portal auf Unternehmensressourcen zugreifen. Der Malware, die sich gerade in ihrem Browser befindet, ist es eigentlich egal, ob sie Unternehmens- oder Privatanmeldeinformationen abgreift. Für den Angreifer sind sie alle etwas wert, und wenn er sich schon die Mühe gemacht hat, das Gerät zu infizieren, warum sollte er dann nicht alles mitnehmen, was er kriegen kann?

Tatsächlich ist „Betrug“ kein Einzelfall im Finanz- und Bankwesen. Oh, sie sind am härtesten betroffen und spüren die unmittelbarsten Auswirkungen, denn die bösen Jungs haben es auf das Geld abgesehen, das sie für den Rest von uns verwalten sollen. Doch wenn man sich an die „großen“ Verstöße der letzten Jahre erinnert, so lassen sich die meisten davon auf eine einzige Grundursache zurückführen: gestohlene Zugangsdaten.

Anmeldeinformationen, die möglicherweise direkt durch Phishing oder Malware oder durch Trojaner gestohlen wurden, die herkömmliche Erkennungssysteme umgangen haben und den Bösewichten so einen einfachen Zugang zu Ihrem Netzwerk ermöglichten. Von dort aus sind Daten meistens das Ziel. Kunden- und Unternehmensdaten gleichermaßen. Und ehe man sich versieht, bumm! Sie sind auf dem Cover des „Raten Sie mal, wer es dieses Woche nicht geschafft hat, Ihre Daten zu schützen“-Magazins*.

Die Kosten für die Behebung dieses Problems gehen weit über die technischen und betrieblichen Kosten hinaus.

Auswirkungen auf Marke und Geschäft

Und natürlich fallen auch Bergungs- und Reinigungskosten an. Die Ressourcen werden neu zugewiesen, um jede einzelne Instanz von Malware und Backdoors auszumerzen, die aus dieser einzelnen erfolgreichen Phishing-Expedition stammen. Desktops werden gelöscht und neu installiert, um diejenigen zu entfernen, die durch Drive-By-Downloads oder Malvertising eingedrungen sind.  Dies führt zu erheblichen Produktivitätsverlusten in der IT und in den Geschäftsbereichen, die sich negativ auf Ihr Endergebnis auswirken.

Und dann setzt die Markenwirkung ein. Auf Twitter wimmelt es von wütenden Gefühlen. Ihre bis dahin makellose Marke wird in ein spöttisches Meme verwandelt, das sich schneller verbreitet als die erste Winterkälte durch eine Grundschule.

Sobald die Desktops bereinigt und stärkere Schutzmaßnahmen eingerichtet sind, wirken sich die Nachbeben eines Verstoßes weiterhin negativ auf den Ruf Ihrer Marke aus, und Sie müssen sich damit auseinandersetzen. Einer aktuellen Studie zufolge geben über die Hälfte (57 %) der Organisationen zu, dass sich Sicherheitsvorfälle negativ auf ihren Ruf ausgewirkt haben und kleine und mittlere Unternehmen mehr als 8.000 US-Dollar und Großunternehmen über 200.000 US-Dollar gekostet haben. Ein Teil dieser Kosten entsteht durch die Beauftragung externer Agenturen, die bei der Bewältigung der überwältigenden Nachfrage nach Rückmeldungen, Antworten auf Fragen und Ratschlägen zum weiteren Vorgehen helfen. Ein Teil davon ist auf Kosten zurückzuführen, die entstehen, um die Erwartungen der Verbraucher in Bezug auf Schutz vor Identitätsdiebstahl (63 %), Kreditüberwachungsdienste (58 %) und Entschädigungen in Form von Bargeld, Produkten oder Dienstleistungen (67 %) zu erfüllen.

Ein Teil davon ist auf den Verlust von Kunden zurückzuführen, denn wie es sich herausstellt, ist die Marke ein wesentlicher Faktor bei der Kaufentscheidung der Verbraucher. Der Preis wird normalerweise als wichtigster Faktor genannt, es stellt sich jedoch heraus, dass Preisüberlegungen relativ zum Ruf der Marke sind . Verbraucher sind bereit, für eine Marke mit gutem Ruf mehr zu zahlen. Daher ist es zwingend erforderlich, dass Ihre Marke nach einem Verstoß so schnell wie möglich wiederhergestellt wird.

Allerdings beschränkt sich der Schaden nicht nur auf die Verbraucher, obwohl wir in der Regel zuerst dort nachsehen. Wie es scheint, ist auch die Personalbeschaffung davon betroffen. Die richtigen Talente zu gewinnen kostet Geld, und der Bericht „Employer Branding Global Trends“ stellte fest, dass gute Arbeitgebermarken um 22 % niedrigere Rekrutierungsgebühren verzeichneten. Dies setzt voraus, dass Sie das Talent überhaupt dafür interessieren können. Dieselbe Umfrage ergab, dass 45 % der potenziellen Arbeitgeber bei der Wahl eines neuen Arbeitsplatzes die Wahrnehmung ihres Unternehmens durch andere ganz oben auf die Liste der „wichtigsten“ Dinge setzen. Die Marke hat Einfluss darauf, ob Menschen für ein Unternehmen arbeiten möchten oder nicht. Daher können Verstöße Ihre Fähigkeit, die Talente, die Sie heute für Ihren Erfolg benötigen, zu gewinnen (und möglicherweise zu halten), negativ beeinflussen.

Bekämpfung von Internetbetrug

Die gute Nachricht ist, dass es Tools gibt, die den Bedrohungen durch Phishing und Malware begegnen. Sehr viele. Der Punkt ist, dass sie im Allgemeinen als „Betrugsschutz“ kategorisiert und im Zusammenhang mit dem Finanz- und Bankwesen sowie anderen geldbasierten Branchen erwähnt werden . Doch diese Lösungen sind nicht nur auf das Finanz- und Bankwesen beschränkt. Die Art und Weise, wie diese Branchen mit ihren Kunden interagieren, hat nichts Magisches an sich, weshalb Betrugsbekämpfungsmaßnahmen sich nur auf deren Schutz beziehen. Denn in Wirklichkeit geht es dabei darum, Internetbetrug zu unterbinden, also den Einsatz von Webanwendungen und -technologien, um Einzelpersonen auszutricksen, zu täuschen und sie dazu zu zwingen, ihre Zugangsdaten preiszugeben. 

Lösungen zur Erkennung von Internetbetrug suchen und verhindern den Diebstahl von Anmeldeinformationen, die Angreifern letztlich dabei helfen, die Sicherheit zu verletzen. Ob sie es auf Bargeld oder Daten abgesehen haben, spielt keine Rolle. Sobald sie Anmeldeinformationen sammeln, sammeln sie alle Anmeldeinformationen, egal ob von Unternehmen oder Privatpersonen. Wenn Mitarbeiter über einen kompromittierten Computer auf Unternehmensressourcen zugreifen, gelangen die Bösewichte gleichzeitig auch an die Anmeldeinformationen des Unternehmens und an alles andere. Und das sollte für Unternehmen jeder Branche ein Anliegen sein.

* Keine echte Veröffentlichung, aber nach der Flut von Verstößen in den letzten Jahren scheint es, als ob Bedarf dafür besteht, oder nicht?