Insbesondere das sogenannte «Social Engineering», also Betrugsmaschen, bei denen die Täter Menschen manipulieren, erfreut sich bei Kriminellen immer grösserer Beliebtheit. Allerdings richten weiterhin die Innentäter, also die eigenen Mitarbeitenden, weiterhin die meisten Schäden an, teilt Allianz Trade mit.
«Die unbequeme Wahrheit für Unternehmen bleibt: Die Schwachstelle ist der Mensch, und die eigenen Mitarbeitenden richten weiterhin die meisten und – zumindest bis 2023 – auch die grössten Schäden an. 2024 könnte sich dieses Blatt bei der Höhe der Schäden erstmals wenden», sagt Marie-Christine Kragh, Globale Leiterin der Vertrauensschadenversicherung bei Allianz Trade.
Mitarbeitende verursachen mehr die Hälfte der Schäden
2023 waren Innentäter für mehr als die Hälfte (55 %) aller bei Allianz Trade gemeldeten Schäden in Deutschland verantwortlich sowie – getrieben durch viele besonders grosse Schäden – für rund drei Viertel des gemeldeten Schadenvolumens (76 %). 2024 setzt sich bei den Fallzahlen dieser Trend bisher fort: Von Januar bis August 2024 begingen Innentäter rund 60 % der gemeldeten Fälle. Neu ist 2024 allerdings, dass die externen Täter bei der Höhe der Schäden im gleichen Zeitraum die Nase vorn hatten (61 %). Eine konkrete Schadensumme nannte Allianz Trade dabei nicht.
Social Engineering boomt
Zu den externen Tätern zählen auch die «Social Engineers» oder sogenannten «Menschen-Hacker»: Beim Zahlungs- und Bestellerbetrug leiten sie Zahlungs- und Warenströme um, und bei der Fake-President-Betrugsmasche geben sie sich als vermeintliche Chefs aus und weisen Mitarbeitende an, Geldsummen für vermeintliche Geschäftstransaktionen auf betrügerische Konten zu überweisen. Die Fallzahlen bei diesen Delikten stiegen 2023 um 17 Prozent gegenüber dem Vorjahr und das Schadenvolumen um 19 Prozent.
«Die Fake-President-Betrugsmasche ist nach dem überraschenden Revival vor zwei Jahren weiterhin in Mode», sagt Kragh. «Die Fallzahlen bei dieser Betrugsmasche sind 2023 nochmals um fast ein Drittel (+31 %) nach oben geschnellt.»
Die beiden Unternehmen verursachten Schäden pro Fall sind 2023 allerdings deutlich gesunken. Im vergangenen Jahr hat sich das Schadenvolumen halbiert (-55 %). In den meisten Fällen lagen die Schadenssummen bei niedrigen bis mittleren sechsstelligen Summen.
KI beschleunigt Trend
«Die falschen Chefs haben 2023 also deutlich öfter zugeschlagen, aber dabei weniger hohe Summen erbeutet», sagt Kragh. «In Sicherheit wiegen sollten sich Unternehmen allerdings nicht – im Gegenteil. In diesem Jahr rechnen wir mit einer weiterhin hohen, aber gleichbleibenden Anzahl an Fällen und vermehrt auch wieder Grossschäden. Wir gehen davon aus, dass sich das Schadenvolumen bei Unternehmen 2024 weit mehr als verdoppeln dürfte. Das deutet darauf hin, dass die Betrüger dank KI-Tools ihre Masche weiter professionalisieren mit einer noch zielgerichteteren Ansprache von Mitarbeitenden und Unternehmen.»
Die neue Technologie dürfte Wirtschaftskriminellen auch beim Zahlungsbetrug weiter in die Hände spielen. Die Höhe der Schäden durch Zahlungsbetrug hat sich 2023 im Vergleich zum Vorjahr mehr als verdoppelt (+59 %), vor allem getrieben durch Grossschäden. Die gefälschten Rechnungen sind in vielen Fällen praktisch nicht von den Originalen zu unterscheiden.
Für das Gesamtjahr 2024 zeichnet sich bei den Grossschäden beim Zahlungsbetrug nach Schätzungen von Allianz Trade auf Basis der Schadensstatistik von Januar bis August 2024 eine leichte Entspannung ab: Die Fallzahlen dürften zwar auf hohem Niveau bleiben, aber die durchschnittlichen Schäden dürften sich wieder etwas normalisieren und das Schadenvolumen 2024 insgesamt rückläufig sein (-25 %).
Voice Cloning per Knopfdruck
Mit der rasanten Entwicklung bei KI-Tools dürften Deepfakes in Zukunft vermehrt eine Gefahr für Unternehmen darstellen. «Vor ein paar Jahren war Voice Cloning noch etwas für absolute Spezialisten und die Qualität oft fraglich», sagt Tom Alby, Chief Digital Transformation Officer bei Allianz Trade in Deutschland, Österreich und der Schweiz. «Heute gibt es das dank KI-Tools quasi auf Knopfdruck ‚von der Stange‘. Das eröffnet auch Betrügern ganz neue Horizonte – die Hürden sind so niedrig wie noch nie, sie brauchen immer weniger Skills für wirklich gut gemachte Angriffe.»
Die Technologie ist bei Social Engineers allerdings nur Mittel zum Zweck: Sie soll die Echtheit des Chefs und des Auftrags unterstreichen. Die Manipulation durch Emotionen und Druck spielt eine ebenso grosse Rolle.
Sensibilisierung wichtiger denn je
«Das Ausnutzen von künstlich erzeugten Stimmen und Bildern für die Vertrauensbildung ist ein mächtiges Werkzeug»“, sagt Kragh. «Eine gut formulierte E-Mail ist eine Sache, aber wenn der falsche Chef plötzlich auch noch mit der echten Stimme spricht oder auch echt aussieht und im Zweifelsfall in ‚seinem‘ Büro zu sehen ist, dann ist das nochmals eine ganz neue Dimension, die in vielen Fällen alle Zweifel verschwinden lässt. Mitarbeitenden kann man nicht einfach einen Sicherheits-Patch aufspielen und alles wird automatisiert abgewehrt. Die Sensibilisierung wird deshalb wichtiger denn je.» (pd/hzi/bdw)