Betrüger gewinnen: € 41,3 ($ 47,8) Mrd. durch Betrug verloren, Anstieg um 15%

Mit der COVID-19-Pandemie hat die Betrugsindustrie weltweit einen Boom erlebt. In unserem dritten Global State of Scams Report wurden 42 Länder im Hinblick auf die Anzahl der betrogenen Personen, die Höhe der verlorenen Gelder und die Art und Weise, wie die nationalen Regierungen, Verbraucherschutzbehörden und Strafverfolgungsbehörden gegen Betrug vorgehen, analysiert.

Zahl der Betrügereien boomt

Die Zahl der gemeldeten Betrugsfälle stieg von 139 im Jahr 2019 auf 266 Millionen im Jahr 2020. Der massive Anstieg ist vor allem auf die COVID-Pandemie zurückzuführen, und zum Teil darauf, dass mehr Länder begonnen haben, Online-Betrug zu melden.

Während die von den verschiedenen Ländern verwendeten Definitionen und Meldemethoden für Betrug stark voneinander abweichen, haben fast alle Länder einen starken Anstieg der gemeldeten Betrugsfälle gemeldet. Ägypten (190 %) und Nigeria (186 %) meldeten den dramatischsten Anstieg der Zahl der Betrugsfälle. Andere Entwicklungsländer wie Iran, Indien und Pakistan meldeten ebenfalls einen starken Anstieg der Zahl der Betrugsfälle um etwa 90 %, da die Bevölkerung massiv auf das Internet umgestiegen ist. Nur einige wenige Länder meldeten einen geringfügigen Rückgang, darunter Belgien, Japan und Schweden.

Abbildung: Wachstum der gemeldeten Betrugsfälle pro Land

Der verlorene Betrag stieg von 36 € (41,7 $) auf 41 Milliarden € (47,8 $). Die Zahl der Betrugsfälle und der verlorenen Gelder dürfte nur einen kleinen Teil des tatsächlichen Ausmaßes des Online-Betrugs ausmachen. Je nach Land melden weniger als 3 % und bis zu 15 % der Verbraucher einen Betrug. Laut einer früheren Studie von ScamAdviser liegt die Ursache für diese Zahlen darin, dass 23 % der Verbraucher nicht wissen, wo sie einen Betrug melden können, und 11 % glauben, dass es keinen Unterschied machen wird.

Anlagebetrug ist auf dem Vormarsch

Die Höhe der Verluste pro Opfer und die Art der Betrügereien sind von Land zu Land sehr unterschiedlich. Die Spanne reicht von weniger als 10 € bei gefälschten Geschäften, Fälschern und Abofallen bis hin zu mehreren Hunderttausend € bei Ransomware, Business Email Compromise (BEC) und Investitions-/Kryptobetrug.

Phishing ist zwar nach wie vor die häufigste Betrugsart weltweit, doch hat die Pandemie neue Varianten alter Betrugsmethoden hervorgebracht. Im Jahr 2020 konzentrierten sich die Betrüger zunächst auf Masken, Atemschutzgeräte und Desinfektionsmittel. Im weiteren Verlauf wurden "COVID-19-Wohltätigkeitsorganisationen", "Impfstoffvorregistrierung" und "Holen Sie sich Ihren Corona-Zuschuss von der Regierung" eingeführt.

Auch neue Betrugsmaschen tauchten auf. Da Familien während des Lockdowns auf der Suche nach einem Haustier waren, gewannen Haustierbetrügereien, bei denen ein bestellter Welpe nie ankam, an Bedeutung. Die Betrüger wurden auch besser im "Up-Selling". Lieferbetrügereien, bei denen das Opfer zunächst ein Produkt kauft, das nie geliefert wird, und dann von demselben Betrüger mit "Zollgebühren" belastet wird, hatten Hochkonjunktur. Die Betrüger scheinen in der Lage zu sein, die neuesten Entwicklungen innerhalb von Stunden in Betrügereien umzusetzen. So nutzten sie beispielsweise die Buschbrände in Australien für Wohltätigkeitsbetrügereien und die Evergreen-Containerschiffskrise für Anlagebetrügereien.

Einige Betrügereien scheinen regionsspezifisch zu sein. Australien meldete einen Anstieg von 140 % bei den Drohungen, bei denen die Betrüger den Opfern mit Verhaftung, Abschiebung oder rechtlichen Schritten drohen, wenn kein Geld gezahlt wird. Ebenso meldete Malaysia einen Anstieg von 450 % bei "Macau"-Betrügereien, bei denen sich ein falscher Bank-, Regierungs- oder Polizeibeamter an das Opfer wendet und eine Gebühr verlangt, die innerhalb von Stunden bezahlt werden muss, da sonst Konsequenzen drohen. Die Schweiz hat sich als äußerst anfällig für Anlagebetrug erwiesen und meldete den höchsten gestohlenen Betrag pro Meldung von mehr als 25.000 €.

Es gibt auch einen eindeutigen Trend zur Personalisierung von Betrügereien auf der Grundlage von Daten, die durch Hacks und die Verwendung von Landessprachen gesammelt wurden. So meldete Finnland beispielsweise einen Anstieg des Online-Betrugs um 15 %, da Phishing-Betrügereien zunehmend ins Finnische übersetzt werden.

COVID-19 berichtete auch über eine scheinbar nicht damit zusammenhängende Zunahme von "Führerscheinbetrug" und "Erpressung beim Schreiben von Diplomarbeiten". Riesige Warteschlangen vor der Führerscheinprüfung in Deutschland und Irland haben die Bereitschaft erhöht, einen gefälschten Führerschein online zu bestellen. Das Gleiche gilt für Studenten weltweit, die Unterstützung beim Schreiben einer akademischen Arbeit oder Dissertation suchen. In beiden Fällen kommt das Dokument nie an, und es ist unwahrscheinlich, dass das Opfer den Betrug bei den Behörden meldet.

Angesichts der "Nullzins"-Wirtschaft und der Langeweile erweisen sich viele - vor allem männliche - Personen als willige Opfer von "Investitionsmöglichkeiten". Diese Betrügereien, auch "Schweineschlachten" genannt, können 3, 6 oder sogar 12 Monate lang laufen. Der Betrüger baut eine vertrauensvolle und manchmal romantische Beziehung zum Opfer auf, bevor er es einlädt, in eine "unglaubliche Gelegenheit" zu investieren.

Die Länder werden kreativ

Um Betrug zu bekämpfen, haben viele Länder zu aggressiveren jährlichen Aufklärungskampagnen gegriffen. Die Ergebnisse scheinen jedoch gemischt zu sein. Da sich die Themen der Betrügereien ändern (z. B. Haustierbetrug, COVID-Zuschüsse), scheinen die Bürger weltweit trotz früherer Warnungen immer noch auf sie hereinzufallen.

Eine von der irischen Polizei angewandte Strategie scheint eine billigere und wirksamere Strategie zu sein. Jede Woche wird eine neue Art von Betrug in den sozialen Medien veröffentlicht und sowohl an lokale als auch an nationale Medienagenturen weitergeleitet. Diese Strategie trägt dazu bei, die Cyberkriminalität im Bewusstsein der Verbraucher zu halten, die Opfer verschiedener Betrügereien werden könnten.

Einfache Änderungen können manchmal große Auswirkungen haben. So hat die iranische Regierung beispielsweise die Zwei-Faktor-Authentifizierung für Banking-Apps zur Pflicht gemacht. Infolgedessen ging die Zahl der Phishing-Betrügereien im Bankwesen innerhalb eines Jahres um 90 % zurück.

Das belgische Zentrum für Cybersicherheit (CCB) hat eine E-Mail-Adresse zur Meldung von Phishing-E-Mails eingerichtet. Sie hat sich als großer Erfolg erwiesen. Im Jahr 2020 erhielt das CCB 3,2 Millionen E-Mails. Die gesammelten Daten fließen in Internetfilter ein, die die belgischen Bürger vor bösartigen Domains schützen.

Auch die taiwanesische Regierung hat eine Open-Data-Initiative ins Leben gerufen, in deren Rahmen sie Daten zur Internetkriminalität sowohl mit Regierungsorganisationen als auch mit gemeinnützigen und kommerziellen Organisationen teilt, um Online-Betrug zu bekämpfen.

Einige Länder probieren neue Ansätze aus. So bildet Pakistan beispielsweise CyberScouts aus, die sowohl Polizeibeamte als auch Studenten und Jugendliche sein können. Ziel ist es, das Bewusstsein für Cyberkriminalität in den lokalen Gemeinschaften zu schärfen.

Das japanische Minami Revier startete die Operation "Pretend to Be Fooled". Dieses neue Programm zur Verbrechensbekämpfung bittet Personen, die von jemandem kontaktiert werden, der vorgibt, ein Familienmitglied oder ein Freund zu sein, der Bargeld benötigt, die Polizei zu benachrichtigen. Das potenzielle Opfer und die Polizei arbeiten dann zusammen, um den Betrüger zu fassen. Das Zielopfer erhält eine Belohnung von 10.000 Yen (€ 77,-).

Zu wenig; zu spät?

In den letzten Jahren lag das Hauptaugenmerk der Regierungen auf "größeren Cyberverbrechen", Hacks, DDOS-Angriffen, BEC und Ransomware. Dies ändert sich jedoch rasch, in einigen Fällen, weil ein (Premier-)Minister öffentlich auf einen Phishing-Betrug hereingefallen ist, wie in Pakistan und Südafrika geschehen.

Was den Geldverlust angeht, so machen Betrügereien inzwischen 5 % der gesamten Internetkriminalität aus, die von McAfee für 2020 auf 815 Milliarden Euro (945 Milliarden Dollar) geschätzt wird. Was das Volumen betrifft, so machen Online-Betrügereien einen viel größeren Teil der Cyberkriminalität aus. Nach Angaben der Group-IB machen Betrug und Phishing 73 % aller Cyberangriffe aus.

Aufgrund des starken Anstiegs der Betrugsfälle rüsten die Online-Sicherheitsunternehmen auf. Trend Micro zum Beispiel investiert stark in neue Anti-Betrugsdienste, wie das Echtzeit-Betrugserkennungs-Tool Trend Micro Check. Im Jahr 2021 wurden bereits mehr als 2,4 Milliarden Phishing-E-Mails und Besuche von Betrugsseiten blockiert.

Die Strategien der einzelnen Länder zur Betrugsbekämpfung sind sehr unterschiedlich. Englischsprachige Länder scheinen mit intensiven Aufklärungskampagnen, zentralisierten Online-Meldungen auf Websites wie Fraud UK und ScamWatch Australia und zentralisierten Spezialeinheiten für Cyberkriminalität wie dem FBI IC3 und dem kanadischen Anti-Fraud Center die Führung zu übernehmen.

In anderen Ländern ist die Meldung von Betrugsfällen auf gutwillige Regierungsinitiativen, öffentlich-private Partnerschaften und lokale Polizeieinheiten mit wenig bis gar keiner Erfahrung im Bereich der Cybersicherheit verteilt. In Entwicklungsländern wie Kenia und Pakistan müssen Opfer manchmal Hunderte von Kilometern zurücklegen, um einen Betrug bei einer örtlichen Polizeistation zu melden, nur um dann von einem Polizeibeamten mit der Begründung abgewiesen zu werden, dass das Opfer es "besser hätte wissen müssen".

Wie können wir das Blatt wenden?

In vielen Ländern ist Betrug inzwischen die am häufigsten gemeldete Form der Kriminalität. In Schweden machte Betrug im Jahr 2000 5 % aller gemeldeten Straftaten aus. Heute liegt dieser Wert bei 17 %. Im Vereinigten Königreich und in den USA sind Betrügereien im Jahr 2021 die am häufigsten vorkommende Form der Kriminalität. Singapur schließlich gibt an, dass 44 % aller gemeldeten Straftaten mit Online-Betrug zusammenhängen.

Das Weltwirtschaftsforum schätzt, dass 0,05 % aller Cyberkriminalität strafrechtlich verfolgt wird. Dies macht Betrügereien, über die noch weniger berichtet wird als über die "großen Internetverbrechen", zu einem sehr lukrativen Geschäft.

Während sich viele Entwicklungsländer auf die Sensibilisierung ihrer Bevölkerung für Cyberkriminalität konzentrieren, haben die Industrieländer gelernt, dass Aufklärung allein nicht ausreicht.

Spanien mit seiner 017-Initiative, die über Telefon, WhatsApp und Telegram zugänglich ist, und die Niederlande mit einer einfacheren Online-Meldung haben einen starken Anstieg der gemeldeten Internetkriminalität zu verzeichnen. Auch wenn dies in den Polizeistatistiken nicht gut aussieht, sind bessere Daten der erste Schritt zur Bekämpfung.

Der nächste Schritt ist ein verstärkter nationaler Austausch von Daten. In den USA übernimmt die Federal Trade Commission eine führende Rolle bei der Erfassung aller betrugsrelevanten Daten, indem sie Daten sammelt und mit 3.000 bundesstaatlichen, staatlichen und lokalen Strafverfolgungsbehörden im ganzen Land austauscht. In ähnlicher Weise intensiviert ScamWatch Australia die Zusammenarbeit mit den australischen Strafverfolgungsbehörden, der Finanzaufsichtsbehörde, Banken, Telekommunikationsbetreibern und Unternehmen der sozialen Medien.

In Europa und Australien werden die Banken durch neue Gesetze stärker für Phishing- und Anlagebetrug verantwortlich gemacht. Wenn der Betrug von der Bank hätte verhindert werden können, müssen die Opfer für ihren Verlust entschädigt werden. Dies hat die Bankenverbände dazu veranlasst, Anti-Phishing-Kampagnen zu finanzieren. Nach Ansicht mehrerer Länder sollten als nächstes die Tech-Giganten mehr Verantwortung übernehmen und ihre eigenen Daten nutzen, um Betrügereien besser zu erkennen und zu verhindern.

Während die USA, Kanada und Australien damit begonnen haben, Betrugsdaten untereinander auszutauschen, halten sich die meisten Länder noch zurück. Dabei ist der globale Austausch von Online-Betrugsdaten die einzige wirkliche Lösung, um der weltweiten Betrugsepidemie Einhalt zu gebieten, denn er ermöglicht eine schnellere Identifizierung, Prävention, Ermittlung und Strafverfolgung. Es bleibt noch eine Menge Arbeit zu tun.

Der vollständige Bericht wird auf dem Global Online Scam Summit vorgestellt.