[datensicherheit.de, 14.06.2022] Die Imperva, Inc. warnt vor einer steigenden Zahl an Angriffen zur Kontoübernahme („Account Takeover“ / ATO) im Zuge der wachsenden Beliebtheit von „Jetzt kaufen, später zahlen“ („Buy Now, Pay Later“ / BNPL). So hätten im vergangenen Jahr – 2021 – ATO-Attacken in allen Branchen um 148 Prozent zugenommen. Allein im vergangenen Monat – Mai 2022 – habe das „Imperva Threat Research Team“ festgestellt, dass Angriffe auf Finanzdienstleister und Fintech-Unternehmen um 58 Prozent angestiegen seien. Dies zeige, dass Bot-Betreiber zunehmend auf die Übernahme von Konten setzten, um Störungen zu verursachen und Profit zu machen.

BNPL-Sektor wächst – Betrug nimmt ebenfalls zu

Der BNPL-Sektor wachse und werde bis 2030 voraussichtlich einen Wert von fast vier Billionen US-Dollar (3.98 Trillion USD) erreichen. Er sei auch deshalb ein äußerst attraktives Ziel für Bot-Betreiber, weil viele der Unternehmen, die „Jetzt kaufen, später zahlen“ anbieten, relativ neu seien. Daher fehlten ihnen historische Daten zu Betrugsfällen, die ihnen helfen könnten, potenziell betrügerische Käufe zu identifizieren.
Hinzu komme, dass BNPL-Darlehen im Vergleich zu anderen Kreditverträgen nur unzureichend reguliert seien, was es den Bot-Betreibern erleichter, einen sogenannten Account Creation Fraud (ACF) zu begehen. Beim ACF werden demnach gestohlene persönliche Informationen aus Datenpannen verwendet, um gefälschte Konten zu erstellen und darüber Waren zu kaufen.

Erfolgreicher ATO-Betrug oder ACFs schaden allen am Geschäft Beteiligten

„Erfolgreiche ATO-Angriffe oder ACFs schaden allen an dem Geschäft Beteiligten“, betont Kai Zobel, „Area Vice President EMEA“ bei Imperva, und warnt: „Für die Verbraucher kann es bedeuten, dass sie am Ende mehrere Hundert oder gar Tausende Euro verlieren, und dass ihre Kreditwürdigkeit im Zuge des Betrugs in Mitleidenschaft gezogen wird. Selbst wenn man das Geld zurückbekommt, können die psychologischen Folgen tiefgreifend sein.“
Unternehmen liefen zudem nicht nur Gefahr, den gesamten Darlehensbetrag zu verlieren, sondern auch erhebliche zusätzliche Kosten für die Unterstützung der Betrogenen und für die Untersuchung weiterer Betrugsvorwürfe tragen zu müssen. Zobel: „Zusätzlich besteht das Risiko, dass ihre Reputation leidet und Kunden abwandern, weil sie nicht verhindern konnten, dass Konten kompromittiert wurden.“

Branchen Finanzdienstleistungen, Reisen und Einzelhandel am stärksten vom Betrug via ATO-Angriffe betroffen

Laut dem „Imperva Bad Bot Report 2022“ sind drei der vier am stärksten von ATO-Angriffen betroffenen Branchen (Finanzdienstleistungen, Reisen und Einzelhandel) am ehesten an BNPL-Transaktionen beteiligt. Tatsächlich hätten sich mehr als ein Drittel aller ATO-Angriffe (34,6 %) gegen die Finanzdienstleistungsbranche gerichtet, welche im Zentrum von BNPL stehe. Da der Trend zum digitalen Zahlungsverkehr unvermindert anhalte – zum Teil angeheizt durch den Boom bei BNPL-Angeboten –, werde die Zahl der ATO-Angriffe auf Finanzdienstleister wahrscheinlich weiter stark ansteigen.
„Es ist wichtig, dass wir dies nicht als ein Problem betrachten, das ausschließlich die Zahlungsverkehrsbranche betrifft“, unterstreicht Zobel. BNPL sei in allen Branchen sehr beliebt – von der Unterhaltungsbranche über den Einzelhandel bis hin zum Reise- und Glücksspielsektor. Es bestehe überall das Risiko, betrogen zu werden, „wenn Unternehmen nicht über angemessene Schutzmaßnahmen verfügen“. Die Bewältigung des BNPL-Betrugsrisikos erfordere einen ganzheitlichen Ansatz, „der sich auf eine fortschrittliche Bot-Schutzlösung stützt, die automatisierten Betrug erkennen und eindämmen kann, und Sicherheitsteams dabei unterstützt, betrügerische Aktivitäten auf Benutzerkonten zu verhindern“.

Weitere Informationen zum Thema:

imperva
2022 Imperva Bad Bot Report

imperva
Mitigating account takeover

Allied Market Research
Buy Now Pay Later Market / Buy Now Pay Later Market Outlook – 2030

The Guardian, Anna Tims, 20.02.2022
Online fraud: victim blaming and the emotional price of falling for a scam / Often dismissed as a low-priority crime, the impact can go much deeper than loss of money

[datensicherheit.de, 29.04.2010] Fast alle von uns kennen die ständigen und oftmals auch als lästig empfunden Anrufe von Menschen, die ihre Waren am Telefon verkaufen wollen oder uns weis machen möchten, dass man einen Preis gewonnen habe. Doch die berechtigte Frage ist in den meisten Fällen die, wie dieses möglich sein soll, ohne dass man an einer Verlosung teilgenommen hat. Doch was sind diese so genannten „Callcenter“ eigentlich? Deren Wurzeln gehen in die 1970er-Jahre zurück:
Ein Unternehmen oder eine Organisationseinheit, die die Marktkontakte per Telefon schafft, wird im Englischen als „Call Center“ oder auch als „Customer Care Center“ bezeichnet. Neben den Dienstleistungsangeboten setzt es häufig auch auf den Telefonverkauf als Form des Direktmarketings operativ ein.
Die Idee dazu, die Anfragen, die in einem Unternehmen eingehen, nicht mehr durch die Mitarbeiter der einzelnen Abteilungen bearbeiten zu lassen, sondern ganz zentral durch eine eigens dafür geschaffene Abteilung, war die Geburtsstunde der Call Center. Die telefonischen Bestellannahmen der Warenhäuser waren der Vorläufer zu den heutigen, modernen Callcentern. In den USA begann deren Entwicklung in den 1970er-Jahren. Die Tourismusindustrie war die erste Branche, die durch diese Form der Organisation die erweiterten Möglichkeiten des Kontakts zu Kunden nutzte. Hierbei wurde die Buchung von Flügen und Hotels über das Telefon angeboten. Die Callcenter setzten sich in Europa zunächst in Großbritannien und Irland, in Deutschland und in den Beneluxstaaten durch. Die Branche unterzog sich durch die rasch voranschreitende Entwicklung der Informationstechnik einem starken Wandel.
Das Aufgabengebiet der Callcenter ist vielfältig. Sie dienen als Kundendienst, zu Informationszwecken, Beschwerdemanagement, Meinungs- und Marktforschung, Bestell- und Auftragsannahme, Notfall-Dienst, Rufnummernauskunft und zum Verkauf mit Vertragsabschluss. Seit neustem werden die Center auch für hoch qualifizierte Bereiche wie zum Beispiel der Medizin genutzt. Hier dienen sie beispielsweise zur Beratung chronisch erkrankter Menschen. Der Gesetzgeber reguliert seit jüngster Zeit die Outbound-Marketingaktivitäten, da die Kaltaquise in Deutschland verboten ist. Damit soll der aktive Anruf ohne Aufforderung des Kunden im Privatbereich unterbunden werden. Weiterhin erlaubt ist jedoch ein beratender Anruf bei den Bestandskunden. Dennoch wird häufig, durch werbende Angebote, ein Rückruf forciert. Aufgrund der technischen Möglichkeiten ist diese Dienstleistungsbranche in den letzten Jahren stark gewachsen.
Es gibt verschiedene Arten von Callcentern – so zum einen die Inbound Call Center, die die Kundenanrufe entgegen nehmen. Hierbei handelt es sich um den traditionellen Kundendienst, bei dem der Kunde eine Störung melden möchte, Waren oder Dienstleistungen bestellen, Informationen erhalten, Beschwerden los werden oder vermittelt werden will. Zum anderen gibt es die sogenannten „Outbount Call Center“, die Bestandskunden und potenzielle Kunden gezielt anrufen. Hierbei kann es sich im Rahmen des Telefonmarketing um eine Aktion handeln und der Auftraggeber des Callcenters verfolgt das Ziel, seine Produkte zu verkaufen. Doch natürlich gibt es bei dieser Art auch weitere Einsatzgebiete, wie zum Beispiel einen Bedarf ermitteln oder eine Statistik erheben. Eine weitere Art ist das „Customer Service Center“. Hierbei wird der Bereich „Inbound“ mit der aktiven Tätigkeit des „Outbound“ verbunden.

Von unserem Gastautor Klaus Schmeh

[datensicherheit.de, 23.09.2009] Bereits in der Bibel wird ein Dokument erwähnt, das eine ausweisähnliche Funktion hatte. Es handelt sich dabei um einen Brief, den der persische König Artaxerxes schrieb und dem
Propheten Nehemia vor dessen Reise nach Judäa aushändigte (Nehemia 2,7-9). Das Schreiben bestätigte, dass Nehemias Reise rechtmäßig war, und bat gleichzeitig die Herrscher der benachbarten Länder, dem Propheten eine sichere Reise zu ermöglichen.

Geleitbriefe als Vorläufer des Reisepasses

Einen Brief mit einem solchen Zweck bezeichnen Historiker als Geleitbrief. Geleitbriefe gelten als Vorläufer des Reisepasses. Blickt man auf die weitere Geschichte von Ausweisdokumenten, dann ist dies gleichzeitig eine Reise durch die Technikgeschichte. Im 20. Jahrhundert kamen erst Passfotos auf, später wurde Kunststoff zum bevorzugten Material für die Passherstellung, und schließlich hielt auch die Computertechnik (in Form maschinenlesbarer Ausweise) ins Ausweiswesen Einzug.
Eine technische Vorreiterfunktion nahmen Ausweisdokumente allerdings nie ein. So war die Fotografie bereits über ein halbes Jahrhundert alt, als Passfotos in den 1920er Jahren zum Standard wurden. Auch Kunststoff gehörte längst zum Alltag, als uns die 1980er Jahre erstmals den in Plastik eingeschweißten Personalausweis brachten. Als Gegenstand, der millionenfach hergestellt wird, lange halten muss und nicht allzu empfindlich sein darf, ist ein Ausweis für technische Experimente offenbar nicht besonders geeignet.

© Klaus Schmeh

Im deutschsprachigen Raum gibt es über ein Dutzend E-Ausweis-Projekte, darunter den elektronischen Personalausweis (oben links), die elektronische Gesundheitskarte (oben rechts), die schweizerische Krankenversicherungskarte (unten links) und die österreichische e-Card

Ausweise mit Mikrochip

Seit einigen Jahren hat eine weitere, ebenfalls nicht mehr ganz neue Technik in die Welt der Ausweisdokumente Einzug gehalten: der Mikrochip. Ein Mikrochip ist – je nach Ausprägung – ein Datenspeicher oder gar ein Computer im Kleinformat, der auf einer Fläche von wenigen Quadratmillimetern untergebracht ist. Mikrochips lassen sich in so ziemlich jedes technische Gerät und in viele Alltagsgegenstände einbauen, wobei unterschiedlichste Anwendungen möglich sind.
Insbesondere lässt sich ein Mikrochip auch auf einen Ausweis aufbringen. In diesem Fall spricht man von einem „elektronischen Ausweis“ oder einem „E-Ausweis“. Unter diese Definition fallen sowohl Ausweise, die mit einem einfachen Speicherchip ausgestattet sind, als auch solche, auf denen ein Minicomputer angebracht ist.
Der Nutzen eines Mikrochips auf einem Ausweis ist offensichtlich. Ein solcher Chip kann persönliche Daten des Inhabers speichern, das Auslesen dieser Daten steuern (und gegebenenfalls verhindern) und die Fälschungssicherheit des Dokuments erhöhen. Außerdem sind elektronische Ausweise für Anwendungen geeignet, die ohne Mikrochip kaum umsetzbar waren, beispielsweise bargeldloses Bezahlen, das Abheben von Geld am Bankautomaten oder digitales Signieren. Nicht zuletzt lässt sich ein elektronischer Ausweis auch hervorragend online nutzen, was mit einem chiplosen Dokument sicherlich nicht funktioniert.
Angesichts dieser Vorteile verwundert es kaum, dass elektronische Ausweisdokumente seit einigen Jahren einen enormen Boom erleben. Dieser wird sich ohne Zweifel fortsetzen. „Wir stehen erst am Anfang einer gewaltigen Entwicklung“, berichtet Markus Hoffmeister, Geschäftsführer der Firma cryptovision, die als Zulieferer von Verschlüsselungstechnik im E-Ausweis-Geschäft aktiv ist. „Allein im deutschsprachigen Raum gibt es derzeit über zehn Großprojekte, die elektronische Ausweise zum Inhalt haben. Diese hoheitlichen Infrastrukturen ermöglichen eine Vielzahl von Anwendungen im privaten und kommerziellen Umfeld.“ Zu den neuen Ausweisen gehören beispielsweise der elektronische Personalausweis, der deutsche elektronische Reisepass, die deutsche elektronische Gesundheitskarte, die österreichische e-Card, die österreichische Bürgerkarte und die Schweizer Gesundheitskarte, um nur die wichtigsten Vorhaben zu nennen.
In den nächsten Jahren werden weitere Dokumente dieser Art dazukommen – man denke nur an den elektronischen Führerschein oder den elektronischen Schülerausweis. Davon abgesehen gibt es Ausweise, die nicht von hoheitlichen Stellen ausgestellt werden, aber dennoch eine wichtige Bedeutung haben (z. B. Rechtsanwaltsausweise oder Presseausweise). Auch hier ist die Elektronisierung in vollem Gange, was beispielsweise der elektronische Rechtsanwaltsausweis in Österreich zeigt, der bereits in praktischer Verwendung ist. Nicht zu vergessen sind Firmenausweise, die in vielen Fällen schon seit Jahren mit einem Mikrochip ausgestattet sind.
Durch die zusätzlichen Anwendungsmöglichkeiten, die ein Mikrochip bietet, sind elektronische Ausweise häufig Multifunktionsgegenstände. Der Inhaber kann sie nicht nur als Identitätsnachweis, sondern auch zum Signieren, zum Bezahlen, als Passwortersatz im Internet, für den Altersnachweis und für einiges mehr verwenden. Elektronische Ausweise können auf diese Weise sogar Technologien zum Durchbruch verhelfen, die bisher noch nicht allzu populär sind. Man denke etwa an das digitale Signieren oder das Bezahlen von Kleinbeträgen im Internet (Micropayment).
Elektronische Ausweise nützen jedoch nicht nur den Inhabern, sondern bieten auch Unternehmen und öffentlichen Verwaltungen interessante Anwendungsmöglichkeiten. So können die Betreiber von Bankautomaten, Online-Läden, Bürgerportalen und ähnlichen Einrichtungen ihre Passwörter und TAN-Listen durch die Abfrage des elektronischen Personalausweises ersetzen – das ist sicherer und benutzerfreundlicher. Fallen bei einer Transaktion Gebühren an, dann kann der Anwender diese online mit seiner Ausweiskarte bezahlen. Ist eine Unterschrift notwendig, dann kann der Anwender diese als digitale Signatur mit dem Ausweischip anfertigen. Durch diese Vielfalt können elektronische Ausweise bei konsequenter Nutzung erhebliche Vereinfachungen mit sich bringen. Unternehmen, die Client-Server-Systeme entwickeln, werden sich daher in den nächsten Jahren verstärkt mit elektronischen Ausweisen beschäftigen müssen.
Manche Online-Angebote sind sogar speziell auf elektronische Ausweise zugeschnitten. Dies ist vor allem im Gesundheitswesen der Fall. Ein Beispiel hierfür ist die digitale Krankenakte, die auf einem Server liegt und für den Patienten oder Arzt mit Hilfe des passenden elektronischen Ausweises zugänglich ist. Eng verwandt damit sind Konzepte wie das elektronische Rezept oder der elektronische Impfausweis. Dabei gibt es stets auch die Möglichkeit, Daten nicht auf einem Server, sondern direkt auf dem Ausweischip zu speichern. Notfalldaten (etwa die Blutgruppe oder die Unverträglichkeit bestimmter Medikamente) sind aus naheliegenden Gründen auf dem Chip besser aufgehoben als auf einem Server. Gerade diese medizinischen Anwendungen machen deutlich, dass ein elektronischer Ausweis in der Regel nur ein Puzzlestück in einer größeren Infrastruktur ist. Diese besteht meist aus Clients, Servern, Netzen und diversen Software-Paketen.

Elektronischer Personalausweis

Besonders gespannt ist die Branche derzeit auf den elektronischen Personalausweis, der im November 2010 in Deutschland eingeführt wird.
Andere Staaten sind in dieser Hinsicht schon weiter. Die ersten Länder, die ein vergleichbares Dokument (allgemein spricht man von einem elektronischen Identitätsausweis) einführten, waren im Jahr 1999 Finnland und Brunei. Belgien, Malaysia, Hongkong und einige andere folgten in den Jahren danach. Inzwischen haben etwa 25 Nationen einen elektronischen Identitätsausweis eingeführt. Derzeit sind drei Weltregionen erkennbar, in denen sich fast alle diesbezüglichen Projekte konzentrieren:

Europa: In Europa machte Finnland den Anfang. Inzwischen haben Belgien, Spanien, Estland und einige weitere Staaten mit elektronischen Identitätskarten nachgezogen.

Ostasien: Mit Malaysia, China (Volksrepublik), Hongkong, Brunei und einigen anderen Staaten bzw. Regionen ist der östliche Teil Asiens gut mit elektronischen Identitätskarten versorgt.

© Klaus Schmeh

Malaysia gehörte zu den ersten Ländern, die elektronische Identitätsausausweise einführten.

Arabien: Von Saudi-Arabien über Katar bis zum Oman haben alle reichen Ölstaaten Arabiens inzwischen einen elektronischen Identitätsausweis eingeführt oder stehen kurz davor.

Amerika: In Amerika gibt es dagegen bisher nur sehr wenige E-Identitätskarten-Projekte. Die USA haben bisher keine konkreten Pläne für einen nationalen elektronischen Identitätsausweis, und die meisten anderen Staaten des amerikanischen Kontinents halten sich ebenfalls zurück.

Für cryptovision-Geschäftsführer Markus Hoffmeister hat die gegenwärtige Entwicklung eine naheliegende Folge: „Seit dem Aufkommen elektronischer Ausweise interessieren sich immer mehr Menschen und Unternehmen für das Ausweiswesen. Wir haben momentan zahlreiche Anfragen von Software-Anbietern, Portal-Betreiber und Einzelhandelsunternehmen, die ihre Lösungen E-Ausweis-konform machen wollen. Viele davon sind bisher kaum mit der Smartcard-Technik in Berührung gekommen.“ Zum Glück sind die meisten Vorhaben im deutschsprachigen Raum gut dokumentiert. Dies ist keine Selbstverständlichkeit, denn in anderen Ländern lassen sich Ausweisbehörden oftmals buchstäblich nicht in die Karten schauen und geben daher nur sehr wenige Informationen über die Technik ihrer Ausweisdokumente preis. Vor allem außerhalb der westlichen Industrieländer ist diese Praxis üblich. Meist wollen sich die Verantwortlichen durch eine solche Geheimhaltung vor Fälschern schützen – auch wenn Experten immer wieder darauf hinweisen, dass zu viel Geheimniskrämerei der Sicherheit mehr schadet als nützt.

Vorbehalte bei bei Datenschützern und Bürgerrechtlern

Da elektronische Ausweise bei Datenschützern und Bürgerrechtlern nicht besonders beliebt sind, befürchtet zudem so mancher Staat, durch allzu viel Öffentlichkeitsarbeit schlafende Hunde zu wecken. Wie viel über ein elektronisches Ausweissystem bekannt ist, hängt nicht zuletzt auch davon ab, wie weit seine Umsetzung bereits fortgeschritten ist. Über Projekte, die sich noch im Planungsstadium befinden, gibt es oft nicht viel zu berichten, während die Quellenlage bei elektronischen Ausweisen, die bereits seit Jahren im Einsatz sind, besser ist. Solche Projekte liefern häufig wichtige Erfahrungen. Beispielsweise in Malaysia. Dort konzipierten die Behörden einen elektronischen Identitätsausweis, der unter anderem als Reisedokument, Bezahlkarte, Krankenversicherungskarte, Führerschein und Maut-Zahlungsmittel nutzbar ist. Die Begeisterung der Bevölkerung war zunächst einmal gering. Viele Bürger waren angesichts der zahlreichen Möglichkeiten mehr verwirrt als erfreut.

© Klaus Schmeh

Hält Java Card für eine interessante Technologie zur Realisierung elektronischer Ausweise: cryptovision-Geschäftsführer Markus Hoffmeister.

Laut Markus Hoffmeister hat man inzwischen aus diesen Erfahrungen gelernt: „Ein Staat, der heute einen Identitätsausweis ausgibt, beschränkt sich in der ersten Generation meist auf zwei oder drei Anwendungen. Alles andere gibt es später. Der nach und nach steigende Einsatz von Java-Card-Technologien wird ein Nachrüsten entsprechend weiter vereinfachen.“ Auch der deutsche elektronische Personalausweis gehört daher zunächst nicht zu den funktionsreichsten seiner Art. Zum Bezahlen und als Gesundheitskarte wird man den Personalausweis daher vorläufig nicht nutzen können.

© Klaus Schmeh

Klaus Schmeh ist Autor des Buchs „Elektronische Ausweisdokumente“ (Carl Hanser Verlag 2009).

Weitere Informationen zum Thema:

cv cryptovision GmbH
Secure Identification / Security solutions for electronic Electronic ID documents

Klaus Schmeh
Herzlich willkommen auf meiner Homepage!