Betrug im E-Commerce: Auswirkungen, Betrugsmuster und präventive Maßnahmen

E-Commerce Unternehmen werden immer häufiger Opfer von Betrügern. Laut einer Studie wurden bereits 84 Prozent der befragten Händler mit Betrug beziehungsweise Betrugsversuchen konfrontiert[1]. Eine im Jahr 2014 veröffentlichte Studie der bbw Hochschule schätzt den Anteil von Betrug im Onlinehandel auf circa fünf Prozent am Gesamtumsatz des digitalen Einzelhandels in Deutschland. 2014 wurde die Summe aller Betrugsschäden somit auf circa 1,855 Milliarden Euro geschätzt.[2] Aufgrund der hohen Schäden und des starken Einflusses auf den wirtschaftlichen Erfolg von Unternehmen, kommt der Kriminalität im Internet heutzutage ein hoher Stellenwert zu.

Auswirkungen auf Unternehmen

Die Auswirkungen dieser betrügerischen Aktivitäten können unterschiedliche Formen annehmen. Als wichtigste Auswirkungen von Betrug an Unternehmen gelten Reputationsschäden, juristische Kosten und der direkte finanzielle Schaden.[3]

Ein Unternehmen, das durch Internetkriminalität einen Reputationsschaden erlitten hat ist Ashley Madison. 2015 stahlen und veröffentlichten Hacker sensible Daten der über 30 Millionen Nutzer des Seitensprungportals.[4] Zusätzlich wurde der Einsatz von Fake Accounts und Chat-Bots öffentlich. Durch die Bots wurden den männlichen Nutzern das Interesse von Frauen vorgetäuscht, um zusätzliche Einnahmen zu generieren.[5] Juristische Kosten umfassen eine Vielzahl von Positionen – darunter Kosten für eine juristische Beratung und gegebenenfalls Verfahrenskosten.[6] Mögliche Folgekosten können einen multiplikatorischen Effekt auf den entstandenen finanziellen Schaden ausüben, da der Verlust von sensiblen Daten beispielsweise Schadensersatzforderungen hervorrufen kann. So ist es möglich, dass Angriffe auf Finanzdienstleister Wiederherstellungskosten von mehr als 100 Millionen US-Dollar verursachen.[7] Als signifikanteste Auswirkung wird von Online-Händlern allerdings der direkte finanzielle Verlust angesehen.[8] Als Beispiel dafür welche hohen Ausmaße der finanzielle Verlust annehmen kann, dient das Unternehmen Zalando, welches Opfer eines großen Rechnungsbetruges wurde. Im Zeitraum von Juni 2014 bis Juni 2015 gingen 962 Bestellungen per Rechnung aus Flüchtlingsheimen ein, von denen 627 nicht beglichen wurden, was einen Verlust von circa 120.000 Euro verursachte.[9] Insgesamt musste der börsennotierte Versandhändler aufgrund der steigenden Betrugsfälle in den ersten sechs Monaten des Geschäftsjahres 2015 18,5 Millionen Euro für Zahlungsausfälle zurücklegen.[10]

Neben den hier beschriebenen Betrugsfällen, existieren zahlreiche weitere Betrugsmuster im E-Commerce, die sich in Abhängigkeit verschiedener Zahlungsarten entwickelt haben.

Betrugsmuster im E-Commerce

Bei den aus Händlersicht unsicheren Zahlungsarten Rechnung und Lastschrift sind Online-Händler besonders häufig von Betrug betroffen. Beim Lastschriftverfahren nutzen Betrüger die Möglichkeit, trotz vollständiger Lieferung und einer somit rechtmäßigen Kontobelastung seitens des Online-Händlers, eine Rücklastschrift anzufordern. Dazu verwenden diese häufig auch gestohlene Kontodaten und involvieren damit unwissende Dritte in den Betrug.[11] Der Zahlung per Rechnung liegen aus Händlersicht besonders häufig Betrugsfälle zu Grunde. 63 Prozent der von der ibi research GmbH befragten und bereits mit Betrug konfrontierten Unternehmen verzeichneten Fälle des sogenannten Eingehungsbetrugs.[12] Eingehungsbetrug bezeichnet einen Bestellvorgang, bei dem der Käufer bereits vorab weiß, dass er die an die Transaktion gebundene Rechnung nicht begleichen kann oder begleichen wird, das Eigentum aber dennoch vom Händler zum nicht zahlenden Kunden übergeht.[13]

Allgemeine Vorgehensweise beim "Friendly Fraud" (eigene Darstellung)
Allgemeine Vorgehensweise beim „Friendly Fraud“ (eigene Darstellung)

Online-Händler und/oder Käufer sehen sich aber nicht nur im Kontext von unsicheren Zahlungsarten mit Betrug konfrontiert. Auch bei vermeintlich sicheren Varianten der Bezahlung haben Betrüger spezifische Betrugsmuster entwickelt.

Kreditkartenbetrug

Beispielsweise wird der “Friendly Fraud” bei Kreditkartenzahlungen verwendet. Bei diesem Betrugsmuster wird das Chargeback-Verfahren angewendet, also die Stornierung von Kreditkartenabbuchungen. Betrüger bestellen physische oder digitale Güter in einem Online-Shop und zahlen per Kreditkarte. Kurz vor Ablauf der Stornierungsfrist beantragt der Betrüger dann einen Chargeback mit der Begründung, dass die Ware nicht angekommen sei. Häufig kann dies nur schwer widerlegt werden und der Händler muss sich der Erstattungsforderung beugen. Damit verzeichnen die Händler nicht nur den Verlust des Warenwerts, sondern zahlen als Zahlungsempfänger auch noch die Prüfungskosten für das Chargeback-Verfahren.[14] Diese Prüfungskosten belaufen sich je nach individueller Gegebenheit zwischen 20,00 und 60,00 Euro.[15]

Allgemeine Vorgehensweise beim "PayPal Dreiecksbetrug" (eigene Darstellung)
Allgemeine Vorgehensweise beim „PayPal Dreiecksbetrug“ (eigene Darstellung)

 

Pay-Pal Dreicksbetrug

Ein weiteres Beispiel für ein Betrugsmuster bei sicheren Zahlungsarten ist der PayPal-Dreiecksbetrug, der bei privaten Transaktionen auf Auktionsplattformen wie “ebay” angewendet wird. Bei diesem Betrugsmuster bestellt der Betrüger einen Artikel einer Privatperson und verkauft das gleiche, beziehungsweise ein gleichpreisiges Produkt an eine zweite Privatperson, ohne im tatsächlichen Besitz des Produktes zu sein. Der Betrüger übermittelt anschließend die Zahlungsdaten der ersten Privatperson an den Käufer des nicht vorhandenen Artikels, welcher im Anschluss den entsprechenden Betrag überweist. Vorerst erhält der Verkäufer, der in diesem Prozess das Betrugsopfer darstellt, den Verkaufspreis für seinen Artikel, jedoch nicht vom eigentlichen Käufer, dem Betrüger, sondern einer unbeteiligten dritten Person. Der Betrüger fordert den Verkäufer anschließend auf, den Versand an eine von den Rechnungsinformationen abweichende Adresse zu senden. Währenddessen wartet der Käufer des imaginären Artikels vergeblich auf sein Produkt und zieht die Zahlung zurück. Bei PayPal steht ihm dies aufgrund des sogenannten PayPal-Käuferschutz zu, da er keine Ware erhalten hat.[16] Am Ende dieses Betrugsszenarios hat der Betrüger sein Produkt erhalten, der Käufer des imaginären Artikels hat sein Geld zurückerhalten und der Verkäufer sieht sich mit dem Verlust seiner Ware konfrontiert, ohne im Besitz des Geldes zu sein.[17] Zusätzlich greift bei ihm der PayPal-Verkäuferschutz nicht, da er die Ware an eine abweichende Adresse geschickt hat.

Betrugsprävention aus Unternehmenssicht

Die Beschreibung der Betrugsmuster und der dadurch entstehenden Schäden zeigt, dass es für E-Commerce Unternehmen unerlässlich ist, eine erfolgreiche Betrugsprävention zu etablieren.

Möglicher Kreislauf zur stetigen Optimierung der Betrugsprävention im E-Commerce (eigene Darstellung)
Möglicher Kreislauf zur stetigen Optimierung der Betrugsprävention im E-Commerce (eigene Darstellung)

Dabei sollten Unternehmen zunächst die Motive von Betrügern identifizieren und feststellen welche Werte und Daten des Unternehmens als attraktiv gelten könnten. Im nächsten Schritt sollte ermittelt werden, welche Vorgehensweisen Betrüger zum Diebstahl der jeweiligen Güter wählen könnten. Dabei sollten mögliche realistische Szenarien in Betracht gezogen und infolgedessen auf Sicherheitsschwachstellen analysiert werden. Im Anschluss an die Ermittlung der potenziellen Betrugsszenarien, sollte formuliert werden,  welche Schäden hierdurch entstehen könnten. In Abhängigkeit von der Wahrscheinlichkeit bestimmter Szenarien und der Höhe des Schadens, kann eine Priorisierung der einzuleitenden Maßnahmen erfolgen. Nachdem Kosten und Nutzen der einzelnen Maßnahmen abgewogen wurden, können diese durchgeführt werden. Bereits grundlegende und weit verbreitete Maßnahmen können eine große Wirkung erzielen. So nehmen 56 Prozent der Händler eine Beschränkung des Umfangs offener Posten pro Kunde vor. Jeweils 43 Prozent setzen 3-D Secure bei Kreditkartenzahlungen ein und passen die angebotenen Zahlungsarten in Abhängigkeit zum Warenkorb an. Zudem nehmen 16 Prozent der befragten Unternehmen keinen Versand an Packstationen vor und 14 Prozent beschränken den Versand gänzlich auf die Rechnungsadresse.[18] Die Einbeziehung von Daten in den Entscheidungsmechanismus führt zwar zu einem höheren Aufwand, aber gleichzeitig zu einer höheren Zahl von vermiedenen Transaktionen durch Betrüger. Am häufigsten setzen Händler dabei eine Adressprüfung und ein Bonitäts-Scoring ein.[19] Um die Anzahl von betrügerischen Transaktionen zu minimieren, kann es für Unternehmen empfehlenswert sein, einen externen Dienstleister in Anspruch zu nehmen. Es gibt eine Vielzahl von Lösungen, die interne und externe Daten einbeziehen, um ein automatisiertes transaktionsbasiertes Risiko Scoring zu realisieren. Sie dienen dazu, Händler dabei zu unterstützen, normales Kaufverhalten von risikobehafteten Transaktionen zu unterscheiden. Auf Basis verschiedener Daten wird ein Risiko Score ermittelt, auf dessen Basis mittels Kategorisierung und Entscheidungsfindung in Echtzeit automatisch Aktionen durchgeführt werden.[20] So können Transaktionen beispielsweise als akzeptiert, abgelehnt oder zur manuellen Überprüfung markiert werden. Der Prozess der Prävention sollte dabei kontinuierlich verbessert werden, um einen effektiven Schutz vor Betrügern zu gewährleisten. Die Weiterentwicklung der Betrugsmuster zwingt Unternehmen dazu, an der Weiterentwicklung zu partizipieren und sollte daher im alltäglichen Geschäft des Unternehmens verankert werden.

Zusammenfassung und Ausblick

Der technische Fortschritt und die Digitalisierung begünstigen die Entstehung neuartiger Betrugsmethoden und erhöhen durch die Übertragung persönlicher Daten das Ausmaß von Schäden, die infolge von betrügerischen Aktivitäten im Internet entstehen.

Insbesondere die Entwicklung vom einstigen Kommunikationsmedium zum “Internet of Things” stellt eine Entwicklung dar, die Kriminellen im Internet vielfältige neue Möglichkeiten eröffnen könnte. Das Internet der Dinge wird Nutzer und Unternehmen in Zukunft somit vor weitere Probleme im Kampf gegen Betrüger stellen. Durch zahlreiche neue Geschäftsmodelle und ein zunehmendes Interesse an persönlichen Nutzerdaten, werden Betrüger stets neue Möglichkeiten und Schwachpunkte finden, um sich finanziell oder in anderer Weise an Nutzern und Unternehmen zu bereichern. Passwortsicherheit und ein umsichtiger Umgang mit seinen persönlichen Daten sollten für Nutzer daher elementar werden und Unternehmen ist geraten, eine systematisierte Betrugsprävention in die Geschäftsprozesse zu integrieren.

Quellen:

[1] Vgl. Stahl, Dr. Ernst/ Weinfurther, Dr. Stefan/ Wittmann, Dr. Georg (2015, S.13) “Betrug und Betrugsprävention im Online-Handel. Status quo und Bewertung aus Händlersicht”,  Regensburg: ibi research an der Universität Regensburg GmbH

[2] Vgl. WIN-Verlag (2014): „Studie: 2,4 Milliarden Euro Schaden durch Betrug im Online-Handel

[3] Vgl. Innovation Process Technology AG (2016): “Betrug in der digitalen Welt

[4] Vgl. Szoldra, Paul (2016): Meet the guys trying to turn the infamous Ashley Madison site into more than a cheating hotspot

[5] Vgl. Bergert, Denise (2016): “Ashley Madison: Erpressung, Selbstmorde, Fake-Profile

[6] Vgl. Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V (2016): “Kosten eines Cyber-Schadensfalles

[7] Vgl. Center for Strategic and International Studies (2014, S.15): “) “Net Losses: Estimating the Global Cost of Cybercrime”

[8] siehe 3

[9] Vgl. Berger, Melanie (2015): Zalando: Hat nichts mit Flüchtlingen zu tun

[10] Vgl. Gassmann, Michael (2015): Moderne Diebe lassen sich Beute frei Haus liefern

[11] Vgl. Bachmann, Yvonne (2013):  “Die Lastschrift zwischen Kundenservice und Betrugsfalle

[12] Vgl. Stahl, Dr. Ernst/ Weinfurther, Dr. Stefan/ Wittmann, Dr. Georg (2015, S.14) “Betrug und Betrugsprävention im Online-Handel. Status quo und Bewertung aus Händlersicht”,  Regensburg: ibi research an der Universität Regensburg GmbH

[13] Vgl. Linkhorst Popken & Kollegen (2012): “Eingehungsbetrug: Was ist Eingehungsbetrug?

[14] Vgl. 2checkout.com (2016): What is Friendly Fraud?

[15] Vgl. Novalnet (2016): Chargeback

[16] Vgl. PayPal.de (2016b): PayPal-Käuferschutzrichtlinie

[17] Vgl. Achten, Nils (2015): PayPal Dreiecksbetrug: Was ist das und wie schützt man sich?

[18] Vgl. Stahl, Dr. Ernst / Weinfurther, Stefan /  Wittmann, Dr.Georg (2015, S.27): “Betrug und Betrugsprävention im Online-Handel. Status quo und Bewertung aus Händlersicht”,  Regensburg: ibi research an der Universität Regensburg GmbH

[19] Vgl. Stahl, Dr. Ernst/ Weinfurther, Dr. Stefan/ Wittmann, Dr. Georg (2015, S.29): “Betrug und Betrugsprävention im Online-Handel. Status quo und Bewertung aus Händlersicht”,  Regensburg: ibi research an der Universität Regensburg GmbH

[20] Vgl. Ward, Theresa (2010, S.4): Strategies for Reducing the Risk of eCommerce Fraud

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert