Die Unterzeichner sind mit Betrug selbst nicht unvertraut. Levi’s erzwang 2024 nach einem Credential-Stuffing-Angriff, bei dem mehr als 70.000 Kundenkonten kompromittiert wurden, ein Zurücksetzen der Passwörter. Target erlitt 2013 eine Datenpanne, bei der Angreifer 40 Millionen Kredit- und Debitkartennummern erbeuteten.
Bedrohungsakteure nutzen Facebook und andere soziale Medien häufig für Betrug. Meta, der Mutterkonzern von Facebook, entfernte nach Unternehmensangaben 2025 mehr als “159 Millionen betrügerische Anzeigen”. Rapid7 veröffentlichte 2018 einen 2025 aktualisierten Blogbeitrag dazu, wie und warum Angreifer Pinterest missbrauchen, insbesondere für Finanzbetrug. Auch angesehene Marken wie Microsoft und Google werden für Phishing-Kampagnen instrumentalisiert. Da Romance-Scams eine weitere große Betrugsschiene bilden, unterzeichnete auch die Match Group, zu der Tinder, Hinge und Match.com gehören.
Der Pakt will die Bedrohungen über vier Leitprinzipien angehen: Prävention, Kooperation und gemeinsames Lernen, Resilienz sowie öffentliche Aufklärung. Dazu gehören Produktfunktionen zur Stärkung der Nutzersicherheit und die Durchsetzung von Richtlinien gegen Betrug. Im Bereich Kooperation und gemeinsames Lernen sollen die Unterzeichner ihr gemeinsames Verständnis von Maschen, Gegenmaßnahmen und sich wandelnden Bedrohungen verbessern. Zudem sagten die Unternehmen zu, rasch auf “gegnerische Verschiebungen sowie Betrugsvorfälle” zu reagieren und “klare und zugängliche” Meldewege bereitzustellen.
Begleitend zum Pakt kündigte Google an, über seinen 2024 gestarteten Global Signal Exchange “mehr Informationen zu teilen”. Der Konzern verwies zudem auf eine Partnerschaft für mehrere Leitfäden zu Datenaustausch, zu Hinweisen des privaten Sektors an die Strafverfolgung und zu Rahmenwerken der öffentlichen Politik; die Dokumentation zum Datenaustausch stützt sich auf sechs Prinzipien, darunter Transparenz und Rechenschaft.
Das Retail and Hospitality Information Sharing and Analysis Center (RH-ISAC) gehört nicht zu den Unterzeichnern, doch sein Leitgedanke, dass Isolation dem Angreifer nützt, präge die gesamte Arbeit, sagt Sicherheitschefin Pam Lindemoen. Online-Betrug sei zu groß und zu vernetzt, um von einem einzelnen Unternehmen oder Sektor allein gelöst zu werden. “Betrug respektiert keine Unternehmensgrenzen”, sagte Lindemoen gegenüber Dark Reading. Ein Geschenkkarten-Betrug, der diese Woche einen großen Händler treffe, werde fast sicher zeitgleich bei dessen Wettbewerbern versucht; je schneller diese Erkenntnisse durch die Branche wanderten, desto enger werde das Zeitfenster der Gefährdung.
Den Regierungen empfiehlt der Pakt eine Reihe “entschlossener Maßnahmen”: eigene Budgets für Anti-Betrugs-Initiativen, mehr Mittel und Schulungen für die Strafverfolgung sowie spezialisierte Werkzeuge zur besseren Nachverfolgung von Kryptowährungen, über die gestohlenes Geld geschleust wird. Außerdem sollen Datenfähigkeiten modernisiert und Meldewege gestrafft werden, “insbesondere durch Verbesserung bestehender Datenbanken”. Dark Reading bat die US-Behörde CISA um eine Stellungnahme, erhielt jedoch wegen der “Finanzierungspause” beim US-Heimatschutzministerium eine automatische Abwesenheitsantwort.
Der Pakt sei ein Schritt in die richtige Richtung, doch die Branche müsse mehr tun, als Regierungen nur um Priorisierung zu bitten, sagt Betsy Cooper, Direktorin der Aspen Policy Academy. Sie begrüße, dass Branchenführer Informationen teilten, doch staatliche Unterstützung erfordere mehr Handeln. Die Branche “wird direkt mit diesen Regierungen zusammenarbeiten müssen, um echte Mittel in die Betrugsprävention zu stecken, damit wir am Ende alle sicherer sind”.
