Status quo und aktuelle Trends beim Risikomanagement

Zunehmender Betrug ist das wichtigste Hemmnis für das Wachstum im Onlinehandel. Eine der größten Gefahren ist der Identitätsdiebstahl. Bei dieser am weitesten verbreitenden Methode wird die Identität eines autorisierten Anwenders vorgetäuscht, dessen Kommunikation zuvor von Hackern ausgelesen und abgefangen wurde. Im Distanzgeschäft haben sich daher verschiedene Maßnahmen zum Identitätsnachweis etabliert wie die 3D-Secure-Verfahren „MasterCard SecureCode“ und „Verified by Visa“.

Diese Prüfmethoden stellen sicher, dass der Käufer tatsächlich Inhaber der Kreditkarte ist, mit der eine Transaktion vorgenommen wird. Bietet ein Onlineshop das 3D-Secure-Verfahren an, haftet dann die kartenausgebende Bank für eventuelle Schäden durch missbräuchlich eingesetzte Kreditkarten. Diese Haftungsumkehr bietet dem Händler eine zusätzliche „Versicherung“ und bewahrt ihn vor Zahlungsausfall.

Die große Mehrheit der betrügerischen Transaktionen ist heute jedoch voll 3D-authentifiziert – ein wirksamer Schutz vor Betrug durch den alleinigen Einsatz dieses Prüfmechanismus ist nicht mehr sichergestellt.

Wesentliche Ursachen und Konsequenzen

Eine zentrale Ursache für den Anstieg betrügerischer Transaktionen bei 3D Secure ist die weit verbreitete Verwendung von statischen Passwörtern durch die kartenausgebenden Banken. Ist das Endgerät eines Nutzers mit einem Schadprogramm, einer sogenannten Malware, belastet, wird im schlimmsten Fall nicht nur die Kartennummer und der CVC-Code, sondern auch das statische 3D-Secure-Passwort „abgefischt“. Die von den Banken angebotenen Funktionen für die 3D-Secure-Passwortänderung sind oft ein weiteres Einfallstor für Betrüger. Im Spagat zwischen Benutzerfreundlichkeit und Sicherheit kommt die Sicherheit regelmäßig zu kurz. Die vom Kartenherausgeber abgefragten Daten wie Angaben zu Geburtsdatum oder Verrechnungskonto, die eigentlich als zusätzlicher Sicherheitsmechanismus eingesetzt werden, sind für Betrüger durch Identitätsdiebstahl nicht schwer zu beschaffen.

Eine wirksame Methode, um den Datenklau über einen Malware-infizierten PC zu bekämpfen, ist die Zwei-Faktor-Authentifizierung: Hier erfolgt die Abfrage und Kombination von zwei unterschiedlichen Kommunikationskanälen. So werden online beispielsweise nur Kartennummer und CVC-Code abgefragt. In einer zweiten Sicherheitsstufe erhält ein Kunde ein Einmal-3D-Passwort per SMS, mit dem er die Transaktion final bestätigt. Dieser einfache Medienbruch macht Angriffe durch Hacker deutlich schwerer und unwahrscheinlicher.

Die Konsequenzen dieser Entwicklung sind für Händler kurzfristig oft nicht sichtbar, obwohl ein erhebliches Schadenspotenzial bestehen kann: Durch die Haftungsumkehr bei 3D Secure macht sich der Anstieg betrügerischer Transaktionen finanziell zunächst nicht negativ bemerkbar. Das Gegenteil ist sogar der Fall: Höhere Umsätze durch steigende, betrügerische Kreditkartentransaktionen werden zunächst als positive Geschäftsentwicklung betrachtet. Diese Sichtweise wird noch verstärkt, wenn der Händler vom Acquirer nur Informationen zu den Kreditkarten-Rückbuchungen, also den Chargebacks, erhält und nicht zu allen als Betrug gemeldeten Transaktionen. Das böse Erwachen kommt, wenn die Betrugssumme bestimmte Grenzwerte überschreitet, die von den Kartengesellschaften definiert werden. Die Folge können Sanktionen wie Strafzahlungen, Entzug der Haftungsumkehr oder eine zwangsweise Kündigung des Akzeptanzvertrages durch den Acquirer sein. Händler sind daher gut beraten, bei Transaktionen nicht nur die Chargeback-Quote, sondern auch die Betrugsquote im Blick zu halten und rechtzeitig gegenzusteuern.

Transparenz ist das A & O

Moderne, transparente Risikomanagement- sowie Fraud-Prevention-Software mit ausgefeilten Business-Intelligence-Tools ist gefragter denn je. Händler, die spezialisierten Anbietern vertrauen, haben stets die volle Transparenz über die Entwicklung von Chargeback- und Betrugsquoten. Möglich machen dies übersichtliche Dashboards mit Funktionen wie „Fraud Prevention KPIs“, wie sie Wirecard anbietet.

Autor: Heiner Kallweit startete im Jahr 1994, nach einem Studium der Elektrotechnik an der Humboldt-Universität zu Berlin, seine berufliche Laufbahn bei Bioscientia, einem Verbund ärztlich geleiteter medizinischer Laboratorien. Zwischenzeitlich schloss er zusätzlich ein Studium an der FHTW Berlin zum Diplom-Wirtschaftsingenieur ab. Im Jahr 1999 wechselte Heiner Kallweit als Consultant zum Managementberatungs-, Technologie- und Outsourcing-Dienstleister Accenture, bevor er 2003 als Project Manager im Bereich Professional Services bei der Münchener Wirecard zu arbeiten begann. Seit 2009 zeichnet Kallweit bei Wirecard als Head of Product Line Risk & Fraud Prevention für Risikomanagementsysteme zur Betrugsvermeidung verantwortlich.

Dieser Beitrag erschien erstmals im Sonderheft Payment, e-commerce Magazin 04/2014

RSS Feed

Entdecken Sie die Printmagazine des WIN-Verlags