Nahezu jeder Onlineshop (94 %) in Deutschland wurde bereits Opfer von Betrügenden oder stellte Betrugsversuche fest. Das zeigt die im September 2023 veröffentlichte Umfrage „Betrug im E-Commerce“ des Münchener Informationsdienstleisters CRIF GmbH unter Online- und Versandhändlern. Betrachtet man die Entwicklung in den letzten zwölf Monaten, so haben für insgesamt 62 Prozent der E-Commerce-Unternehmen die Betrugsrisiken noch einmal zugenommen. Bei 35 Prozent der Shops sind diese auf hohem Niveau gleich geblieben; lediglich drei Prozent verzeichnen weniger Betrugsfälle als im Vorjahr.
Profis am Werk
Die häufigste betrügerische Praxis in Deutschland ist laut der CRIF-Umfrage der sogenannte Identitätsdiebstahl. So waren 92 Prozent der E-Commerce Unternehmen bereits damit konfrontiert, dass sich ein „Kunde“ als eine andere reale Person ausgegeben hatte. Darüber hinaus gaben 81 Prozent der Unternehmen an, bereits Erfahrungen mit Betrugsversuchen durch „Angabe gefälschter Namens- und/oder Adressdaten“ gemacht zu haben. 62 Prozent der Händler waren vom sogenannten Eingehungsbetrug betroffen: ein Bestellvorgang, bei dem der Käufer oder die Käuferin bereits vorab weiß, dass er oder sie die Rechnung nicht begleichen wird, die Ware aber dennoch vom Händler auf den Kunden oder die Kundin übergeht.
46 Prozent der Betrugsfälle sind das Resultat gestohlener Zahlungsdaten, zum Beispiel von Kreditkarten. „Die Methoden der Betrüger werden dabei immer professioneller”, fasst Dr. Frank Schlein, Geschäftsführer von CRIF Deutschland, zusammen. Und die Schäden werden immer größer: Mehr als jeder fünfte (21 %) der deutschen Onlineshops musste 2022 Gesamtschäden von über 100.000 Euro abschreiben. 43 Prozent meldeten einen Verlust zwischen 10.000 und 100.000 Euro in nur einem Jahr. Zwar lag der höchste Einzelverlustbetrag durch Betrug beim Großteil (65 %) der befragten Unternehmen bei unter 5.000 Euro, aber 13 Prozent der Shops erlitten in Einzelfällen auch Schäden von mehr als 25.000 Euro. Die Schadenssumme übersteigt in der Regel den direkten finanziellen Schaden der nicht bezahlten Lieferung aufgrund der zusätzlichen administrativen und juristischen Kosten.
E-Commerce-Software: Lücken im System
Persönliche Kontaktdaten, Bankverbindungen, Kreditkarten- und andere Zahlungsdaten: In jedem Onlineshop werden sensible Daten von Verbraucher:innen verarbeitet. Dabei sind vor allem die Offenlegung und das unbefugte Abgreifen von Verbraucherdaten durch Cyber-Kriminelle – sogenannte Datenleak-Vorfälle – ein Problem. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat deshalb die Sicherheitseigenschaften von Software-Produkten untersucht, mit denen Onlinehändler ihre Webshops erstellen. UP-TO-DATE BLEIBEN Die im März 2023 veröffentlichten Ergebnisse zeigen die Risiken. In den Programmen wurden insgesamt 78 Sicherheitslücken entdeckt. Fast alle der vom BSI untersuchten Produkte wiesen eine unzureichende Passwortrichtlinie auf.
In sieben von zehn Software-Produkten wurden verwundbare Javascript-Bibliotheken identifiziert. In der Hälfte der untersuchten Produkte wurde Software erkannt, die das End-of-Life-Datum überschritten hatte und folglich keine Sicherheits-Updates mehr erhält. Das BSI hat die Software-Hersteller dazu aufgerufen, Updates für identifizierte IT-Sicherheitslücken umgehend bereitzustellen und an die Shop-Betreiber appelliert, diese zeitnah zu implementieren oder auf sichere Produkte auszuweichen.
Automatisch vorgesorgt
Um sich vor Betrug zu schützen, setzen inzwischen 83 Prozent der deutschen Onlinehändler auf präventive Methoden zur Betrugserkennung, die sogenannte Fraud Prevention. Dabei variieren die Maßnahmen, wie die CRIF-Umfrage zeigt: 80 Prozent der Teilnehmer setzen eine Kombination aus manuellen und automatisierten Maßnahmen ein. Die automatisierten Prüfungen werden entweder vollständig an externe Dienstleister ausgelagert (10 %), intern durchgeführt (45 %) oder zumindest teilweise an externe Dienstleister vergeben (45 %). CRIF selbst bietet dem Handel die Risiko- und Betrugspräventionslösung „Hybright“ an. Diese kann Betrugsrisiken frühzeitig aufdecken und darüber hinaus auch „werthaltige Kunden identifizieren“.
Die Lösung bezieht nicht nur die physischen Daten einer Person, sondern auch digitale Informationen wie Geräte-, Nutzungs- und Verhaltensdaten in die Gesamtbetrachtung mit ein. Sie integriert bei der Risikobewertung auch Best-Practice-Regeln, Betrugsmustererkennung und Künstliche Intelligenz. Wichtig sei die laufende Aktualisierung der Programme auf Basis der sich stets ändernden Betrugsmuster in der Praxis, betont Schlein: „Die kontinuierliche Weiterentwicklung und Optimierung der Betrugspräventionsmaßnahmen sind entscheidend, um Kunden und Unternehmen dauerhaft in der Zukunft zu schützen.“
Das Schema aufbrechen
Künstliche Intelligenz und Maschinelles Lernen eröffnen neue Möglichkeiten für eine optimierte Betrugsprävention, ohne die Customer Journey zu beeinträchtigen
Foto: MrPanya/stock.adobe.com
Dass die Prävention eine komplexe Angelegenheit ist und ein dynamisches Vorgehen erfordert, betont auch Risk Ident, ein 2012 gegründetes Tochterunternehmen der Otto Group. Denn auch die Gegner seien dynamisch: „Betrüger verändern bei mangelndem Erfolg ihre Vorgehensweise. Datenquellen, Regeln oder Algorithmen, die heute trennscharf Betrug aufzeigen, können morgen wirkungslos sein. Methoden, die heute keine Treffer liefern, können morgen der Schlüssel zur Verhinderung einer großen Betrugsserie sein.“ Die Erfahrung zeigt laut Risk Ident typische Muster: Erfolgreiche Muster werden fortgeführt, solange keine Gegenmaßnahmen eingesetzt werden.
Erkannte Lücken werden von professionellen Tätern schnell und massiv ausgenutzt, bis sie geschlossen werden. Und einmal erkannte Schwachstellen werden immer wieder getestet. „Betrugserkennung muss Muster erkennen“, so die Hamburger Fraud-Prevention-Spezialisten. „Dies gelingt am besten, wenn man die richtigen Daten nutzt und die Expertise von Menschen mit den Stärken von Algorithmen kombiniert.“
Mit „Frida“ bietet Risk Ident dem Onlinehandel eine Komplettlösung im Kampf gegen Online- Betrug. „Frida“ liefert Ergebnisse in Echtzeit durch Machine-Learning-Algorithmen, welche Verbindungen zwischen Transaktionsdaten herstellen und Muster erkennen. Das Tool bietet die Möglichkeit, externe Datenquellen (z. B. Auskunfteien oder Device Fingerprinting) mit den unternehmenseigenen Daten zu verbinden und bei der Risikobewertung der Transaktionen zu berücksichtigen.
Die Balance halten
Bei der Optimierung ihrer Betrugsprävention stehen Onlinehändler vor dem Dilemma, dass „scharfe“ Kontrollmechanismen Kund:innen verprellen und Umsatz kosten können. Darauf weist Experian hin, ein Dienstleister für Risiko-, Fraud- und Identitäts-Management. 61 Prozent der deutschen Verbraucher:innen haben laut einer Experian-Umfrage im vergangenen Jahr einen Online- Antrag abgebrochen, weil zu viele Kontrollen durchgeführt wurden, zu viele Formulare ausgefüllt werden mussten oder der Prozess zu lange dauerte. Eine sorgfältige Fraud Prevention sei zwar ein „absolutes Muss“, stelle Onlinehändler aber vor den Balanceakt, ihrer Kundschaft eine bestmögliche Customer Experience zu bieten und gleichzeitig betrügerische Aktivitäten effizient herauszufiltern.
Aus Sicht des Serviceunternehmens eröffnen Künstliche Intelligenz (KI) und Maschinelles Lernen (ML) neue Möglichkeiten für eine optimierte Vorsorge, ohne die Customer Journey zu beeinträchtigen. Experian hat dafür mit „Aidrian“ eine ML-Betrugslösung auf den Markt gebracht. Malin Holmberg, CEO EMEA & APAC bei Experian, sagt: „ML ermöglicht es Unternehmen, Betrugsverluste zu reduzieren und das Kundenerlebnis zu verbessern.“
Gegen Fake-Shops und Domain-Missbrauch vorgehen
Das Geschäftsschild an der Eingangstür eines Ladens gilt als Symbol für Qualität und Integrität des Händlers. Als digitale Gegenstücke repräsentieren Domains die Integrität im Internet. Aber diese Entwicklung ist nicht ohne Herausforderungen, denn das Risiko der Täuschung, unter anderem durch Fake-Online-Shops, hat zugenommen. Wie können E-Commerce-Betreiber ihre Domains absichern?