Brand Safety: 4 gefährliche Varianten von Markenimitationen

Markenimitation – das ist im digitalen Zeitalter mehr als nur die billig erstandene „Louis-Vuitton“-Handtasche vom Nachtmarkt in Thailand. Wer sich per Website, Social Media, Kundenportal und E-Shop online bewegt, hat automatisch mit Fake Domains und Spoof-Kampagnen zu kämpfen.

Für Unternehmen wird es dann gefährlich, wenn Kunden das Vertrauen verlieren oder das Image der Brand gezielt beschädigt wird. Besonders verheerend wirken sich Verstöße gegen Datenschutzverordnungen aus. Doch auch Unternehmen die – verschuldet oder unverschuldet – Opfer von Cyberangriffen und Betrugskampagnen werden, spüren die Konsequenzen in Form von Reputationsschaden und Vertrauensverlust. Schätzungen gehen davon aus, dass ein gestörtes Verhältnis zum Kunden Unternehmen weltweit im Jahr bis zu 2,5 Billionen US-Dollar kostet. Der viel gefürchtete Shitstorm lässt nicht lange auf sich warten. So berichten 85 Prozent der von Datenleaks betroffenen Kunden Freunden und Bekannten über ihre negativen Erfahrung. Ein Drittel (33,5 Prozent) nutzt Social Media, um sich über die Versäumnisse in Sicherheitsfragen auszulassen.

Alles Fake, oder was?

Brand Safety und Online-Markenschutz werden in diesem Zusammenhang wichtiger denn je. Hier listen wir einige der am weitesten verbreiteten Fälle von Markenimitationen auf:

1. Falsche Web-Domains

Spoof oder Fake Domains zählen zu den bekanntesten Betrugsmaschen. Die unrechtmäßige Verwendung eines bekannten Markennamens verleiht den falschen Websites den Anschein von Seriosität. Sie kopieren den Online-Auftritt einer Marke, stellen ihn zum Verwechseln ähnlich nach und passen Logo, Font, Farbschema und Corporate-Identity-Vorgaben eines Unternehmens oft bis ins Detail an. Ziel dahinter ist in vielen Fällen Phishing und das Abgreifen von Kundendaten.

Vor Spoof Domains ist grundsätzlich niemand gefeit. Trotzdem gibt es natürlich Marken, die auf Grund ihrer Reichweite und Marktposition ein besonders vielversprechendes Ziel abgeben. Das Photon-Research-Team von Digital Shadows hat sich in diesem Zusammenhang das Angebot von Phishing Templates auf kriminellen Foren und Marktplätzen genauer angesehen. Das Ergebnis: Der Preis für geklonte Websites von Banken und Finanzdienstleistern liegt deutlich höher als in anderen Branchen. Laut einer Studie von 2019 ist der Bezahldienst Paypal zudem das am häufigsten von Phishing betroffene Unternehmen. Die Logik dahinter ist nachvollziehbar, denn die Marke ist nicht nur global bekannt, sondern verspricht auch eine höhere Gewinnspanne. Reichweite und Branche sind daher wichtige Faktoren, um das digitale Risiko von Markenimitationen einzuschätzen und zu managen.

2. Nachahmung von Social-Media-Profilen

Falsche Social Media Accounts sind eines von vielen Problemen, mit dem sich Facebook, Twitter und Co. herumschlagen müssen. Immer wieder versuchen Bedrohungsakteure mit Fake-Profilen, Gewinnspielen und „Sonderangeboten“ Nutzer anzulocken und auf Phishing-Seiten zu lotsen. Auch für falsche Social-Media-Profile wird ungeniert auf das Logo, den Slogan oder die Brand eines Unternehmens zurückgegriffen. Allerdings sind bei Social Media die Abstufungen feiner – je nachdem welche Taktik die Akteure verfolgen. Viele Accounts beziehen sich beispielsweise lediglich auf eine Marke, oder täuschen eine Partnerschaft oder Zusammenarbeit vor.

Social Media ist nicht nur als Zwischenschritt im Rahmen von ausgefeilten und mehrstufigen Phishing- oder Extortion-Kampagnen relevant. Sich den Zugang zu einem bestimmten Account in sozialen Netzwerken zu verschaffen, kann bereits das alleinige Ziel von Angreifern sein. So geschehen beim Hackerkollektiv OurMine, das den Twitter-Account des FC Barcelona mit Hilfe eines Social Media-Tools übernahm.

OurMine have hacked the official Barcelona and Olympic Twitter accounts and posted these tweets 😂😂 pic.twitter.com/1WEzLemTvl

— Paul 𝕏 Manc Bald and Bred (@MufcWonItAll2) February 15, 2020

3. CEO-Doppelgänger

CEO Fraud ist eine Betrugsmasche, bei der Kriminelle sich per E-Mail oder Telefon als Chef oder Führungskraft ausgeben, um Mitarbeiter dazu zu bewegen, Gelder oder sensible Dokumente freizugeben. Was nach einem schlechten Telefonstreich klingt, kann – wie der Fall Nikkei America zeigt -einen immensen Schaden verursachen. Betrüger gaben sich 2019 erfolgreich als Geschäftsführer des Medienkonzerns aus und konnten einen Mitarbeiter dazu bewegen, 29 Millionen US-Dollar auf ihre Konten zu überweisen.

Nikkei ist bei weitem kein Einzelfall. Das Spoofing von Führungskräften ist zwar vor allem im E-Mail-Verkehr von Unternehmen weit verbreitet, tritt jedoch verstärkt auch in sozialen Netzwerken auf. Angreifer und Betrüger registrieren sich unter dem Namen von CEOs, Aufsichtsräten und Abteilungsleitern und erstellen falsche Social-Media-Profile, um gezielt Mitarbeiter und Kunden anzusprechen.

4. Falsche Fünfziger im App Store

Mit dem Vormarsch von Smartphones und anderen mobilen Geräten, haben sich Apps als wichtiges Tool etabliert, um mit Kunden zu interagieren und Mitarbeitern neue Anwendungen zur Verfügung zu stellen. Diesen Trend machen sich auch Cyberkriminelle zu Nutze und erstellen falsche Apps – unter dem Namen bekannter und vertrauenswürdiger Brands, um Malware einschleusen oder sensible Daten von den mobilen Geräten abgreifen zu können.

Sicherheit und Markenschutz in wenigen Schritten

Egal ob Fake Account oder Fake Domain – Unternehmen müssen feste Prozesse etablieren, um Brand Safety sicherzustellen und im Ernstfall schnell reagieren zu können.

• Lege die wichtigsten Ansprechpartner fest: Wer ist für den Schutz der Marke im Unternehmen verantwortlich – Sicherheitsexperten in der IT oder die Marketingabteilung? Wird Brand Safety als Schutz des Unternehmens verstanden, fällt die Aufgabe, den Markennamen vor Missbrauch zu schützen, der Sicherheitsabteilung zu. Allerdings kann diese nicht isoliert arbeiten, sondern ist auf die Zusammenarbeit mit Marketing- und Produktverantwortlichen angewiesen. Die enge Absprache und Kooperation zwischen den einzelnen Abteilungen und über das ganze Unternehmen hinweg ist entscheidend, um eine Marke wirkungsvoll zu schützen. Das beginnt bereits bei der ersten Marketing-Kampagne, wenn das Produkt vorgestellt und in den Markt eingeführt wird. Klar definierte Eskalationspfade sind entscheidend, damit die verantwortlichen Teams bei Bedarf informiert und in Entscheidungen einbezogen werden können. Im Leitfaden für Sicherheit sollte zudem die Rollen- und Aufgabenverteilung dokumentiert werden.

• Bestimme und überwache Key Assets: In der Praxis heißt das, eine Vielzahl von Quellen im Open, Deep und Darknet zu monitoren und auf unternehmensrelevante Informationen hin zu überwachen. Die Suchkriterien können sich je nach Unternehmen und Branche unterscheiden. Die Namen einer Marke, eines Unternehmens oder eines neuen Produkts stehen bei der Online Brand Protection natürlich ganz oben auf der Liste. Jedoch sollten Unternehmen auch wissen, wenn auf Foren und in sozialen Netzwerken über prominente Schlüsselfiguren (etwa CEO oder CMO) gesprochen wird, ein Code oder ein Patent auf File-Sharing-Plattformen öffentlich zugänglich ist oder Cyberkriminelle im Darknet mit E-Mail-Adressen von Kunden und Mitarbeitern handeln. Steht die Liste, gilt es diese Key Assets kontinuierlich zu überprüfen und gegebenenfalls zu aktualisieren. Das Beobachten, Sammeln und Auswerten aller Daten (Threat Intelligence) ermöglicht es dem Marketing, gemeinsam mit der IT-Sicherheit, dem Produktmanagement und der Rechtsabteilung, relevante digitale Risiken frühzeitig zu identifizieren und Gegenmaßnahmen einzuleiten.

• Erstelle Playbooks und probe für den Ernstfall: Fehlt es am richtigen Training und regelmäßiger Übung, helfen auch alle vorab definierten Richtlinien nicht. CIOs und CSOs sollten daher in regelmäßigen Abständen Sicherheits-Szenarien durchspielen, die Reaktionsfähigkeit ihrer Teams auf die Probe stellen und dabei Verbesserungspotential ausloten. Aber Achtung: Auch hier heißt es, alle Verantwortlichen unternehmensübergreifend an einen Tisch zu holen.

• Schärfe das Bewusstsein für Markenschutz: Unabhängig von deiner Rolle im Unternehmen sollten alle Mitarbeiter wissen, wann sie sich mit welchen Aktionen auf dünnes Eis begeben. Die meisten Datenleaks geschehen ohne böse Absicht. Strenge Richtlinien zum Beispiel bei der Passwortvergabe und dem Umgang mit Social Media Accounts können viel dazu beitragen, Angriffe und Kontoübernahmen zu verhindern. Dabei sollten die Richtlinien nicht nur vorgesetzt, sondern in der Unternehmenskultur immer wieder von neuem verankert werden – durch regelmäßige Schulungen, Leitfäden und Informationskampagnen. Wer weiß, welche Folgen Markenschutzverletzung nach sich ziehen kann, ist auch dazu bereit, die Marke seines Unternehmens zu schützen.