Zahlungsbetrug im E-Commerce vorbeugen
Im E-Commerce stehen Händler unter wachsendem Druck. Betrugsversuche werden immer ausgeklügelter, während Kunden gleichzeitig ein sicheres und reibungsloses Einkaufserlebnis erwarten. Wer erfolgreich bleiben will, muss beides unter einen Hut bringen – Schutz vor Betrug und eine nahtlose Customer Journey.
Die Herausforderung ist dabei keineswegs trivial: Laut einer YouGov-Umfrage im Auftrag der Initiative Sicher Handeln (ISH) geben 76 Prozent der Befragten an, Angst vor Online-Betrug zu haben – besonders vor Phishing und Kartenmissbrauch. Gleichzeitig haben 40 Prozent Zweifel an den Sicherheitsvorkehrungen von Online-Shops. Für Händler bedeutet das: Sie müssen nicht nur wirtschaftliche Schäden durch Betrugsfälle verhindern, sondern auch Vertrauen aufbauen und erhalten.
Wie groß die Schäden sein können, zeigen Zahlen des Bundeskriminalamts. 2024 wurden in Deutschland über 740.000 Betrugsdelikte registriert – dazu kommen über 500.000 weitere Fälle, die aus dem Ausland begangen wurden. Besonders häufig betroffen: der Waren- und Warenkreditbetrug. Allein hier wurden rund 234.000 Fälle gemeldet. Eine Umfrage des Informationsdienstleisters Crif ergab zudem, dass 73 Prozent der befragten Online-Händler ihre jährlichen Verluste durch Betrug auf Summen zwischen 10.000 und 50.000 Euro schätzen. Besonders relevant für den E-Commerce ist der Waren- und Warenkreditbetrug, der laut Statista im vergangenen Jahr rund 234.000 Mal angezeigt wurde.
Die größten Bedrohungen für Online-Händler
Carding-Attacken zählen zu den raffiniertesten und gefährlichsten Betrugsformen, mit denen Online-Händler konfrontiert werden. Cyberkriminelle verwenden gestohlene Kreditkartendaten, um Waren oder Dienstleistungen zu erwerben. Die Betrüger gehen dabei äußerst methodisch vor: Zunächst testen sie die gestohlenen Kartendaten mit kleinen Beträgen bei ausgewählten Online-Shops. Mit diesen „Test-Transaktionen“ wird die Gültigkeit der Kartendaten verifiziert – sobald eine Karte als funktionsfähig identifiziert wurde, wird sie für teure Bestellungen verwendet.
Besonders problematisch ist die zunehmende Automatisierung: Moderne Carding-Attacken verwenden Bot-Netzwerke, die tausende Kreditkartendaten in kurzer Zeit testen können. Diese Bots simulieren menschliches Verhalten beim Browsing und Checkout, was die Erkennung erheblich erschwert. Für die betroffenen Händler äußert sich dies oft als plötzlicher Anstieg von Transaktionen aus ungewöhnlichen Regionen oder zu untypischen Tageszeiten. Neben den unmittelbaren Warenverlusten fallen Rückbuchungsgebühren an, und bei wiederholten Vorfällen drohen höhere Transaktionskosten durch die Zahlungsdienstleister. Besonders kleine und mittlere Online-Händler sind oft als „weiche Ziele“ gefährdet, da ihre Sicherheitssysteme häufig weniger ausgereift sind als die großer E-Commerce-Plattformen.
Der freundschaftliche Betrug (auch Chargeback-Betrug oder Friendly Fraud) beginnt bei vermeintlich legitimen Kunden. Sie bestellen mit ihren eigenen Zahlungsdaten Waren oder Dienstleistungen online und leiten nach Erhalt eine Rückbuchung bei ihrer Bank ein – meistens mit der Behauptung, die Ware nie erhalten oder die Transaktion nicht autorisiert zu haben. Für Händler ist dieser Betrug besonders schwer zu erkennen, da sich hinter den Tätern keine Bots verstecken und keine gestohlenen Daten verwendet werden. Unternehmen sind nicht nur mit Umsatzeinbußen konfrontiert, sondern tragen auch die Rückbuchungsgebühren und den administrativen Aufwand.
Anders sieht die Situation beim Account Takeover aus: Kriminelle übernehmen durch Phishing, Datenlecks oder automatisiertes Credential Stuffing bestehende Kundenkonten und bestellen in ihrem Namen. Da sie mit legitimen Zugangsdaten agieren, werden sie von vielen klassischen Sicherheitssystemen nicht erkannt. Auch diese Betrugsmethode missbraucht bestehende Kundenidentitäten und unterscheidet sich kaum von herkömmlichen Transaktionen.
Die Grenzen traditioneller Fraud-Management-Systeme
Häufig beginnt die Erkennungsproblematik bei starren Richtlinien, denn klassische Betrugserkennungssysteme prüfen bestimmte Transaktionsmerkmale und schlagen bei Überschreitung definierter Schwellenwerte Alarm. Vor zehn Jahren war dies zwar noch ausreichend, heutzutage können traditionelle Systeme mit der aktuellen Betrugskomplexität nicht mehr Schritt halten. Ihre Reaktivität beschränkt ihre Wirkungsweise nur auf bereits bekannte Betrugsmaschen, nicht aber auf neue oder modifizierte Methoden. Während Betrüger ihre Methoden kontinuierlich anpassen und verfeinern, erhalten Fraud-Management-Lösungen deutlich seltener Updates. Es entsteht ein Zeitfenster, in dem neue Betrugsmaschen ungehindert funktionieren können.
Zusätzlich betrachten traditionelle Systeme Transaktionen in der Regel isoliert und ohne den gesamten Kaufkontext, was in sogenannten „False Positives“ resultiert, das heißt als betrügerisch eingestuften legitimen Transaktionen. Bei Ablehnungen erhalten Händler oft keine nachvollziehbaren Erklärungen, warum eine bestimmte Bestellung als verdächtig eingestuft wurde. Dies erschwert die kontinuierliche Optimierung der Systeme und verhindert, dass aus Fehlentscheidungen gelernt werden kann. Die wirtschaftlichen Folgen dieser systemischen Mängel sind erheblich.
Dynamisches Risikomanagement als Schlüssel
Anders als traditionelle Systeme nutzt dynamisches Risikomanagement Technologien wie künstliche Intelligenz und maschinelles Lernen, um aus jedem neuen Betrugsversuch und jeder erfolgreichen Transaktion zu lernen und die Erkennungsmechanismen kontinuierlich zu optimieren. Statt einzelne Faktoren isoliert zu betrachten, werden hunderte von Signalen gleichzeitig analysiert und in Korrelation zueinander gesetzt. Dazu gehören klassische Faktoren wie Bestellwert und Lieferadresse, aber auch subtilere Indikatoren wie Tippgeschwindigkeit oder Mausbewegungen. Selbst die Uhrzeit einer Bestellung oder kleine Abweichungen im Nutzerverhalten können in die Risikobewertung einfließen. Aber anstatt alle Kunden denselben Sicherheitsmaßnahmen zu unterwerfen, werden zusätzliche Verifizierungsschritte nur bei tatsächlich verdächtigen Transaktionen aktiviert.
Welche konkreten Maßnahmen Händler sofort umsetzen können
Strategien für eine erfolgreiche Betrugserkennung lassen sich in mehreren Bereichen durch gezielte technische Anpassungen unmittelbar umsetzen. Als besonders effektiv hat sich der selektive Einsatz von 3D Secure erwiesen. Hierbei ist essentiell, sich auf tatsächlich risikoreiche Transaktionen zu fokussieren, um die Conversion Rate zu schützen und Betrugsfälle gezielt zu verhindern. Device Fingerprinting erfasst eindeutige Merkmale des verwendeten Endgeräts wie Browsertyp, Betriebssystem, installierte Schriftarten und weitere technische Parameter. Moderne Device-Fingerprinting-Lösungen erkennen sogar Versuche, die wahre Identität des Geräts zu verschleiern, wie den Einsatz von VPNs oder Browser-Erweiterungen zur Anonymisierung.
Durch die Analyse der Übereinstimmung von geographischen Daten können verdächtige Transaktionen frühzeitig aufgedeckt werden. Liegt die Lieferadresse in Deutschland, die IP-Adresse stammt aber aus einem Hochrisikogebiet für Betrug, sollte dies zusätzliche Überprüfungen auslösen. Gleiches gilt für stark abweichende Liefer- und Rechnungsadressen oder unerwartete Änderungen der bekannten Lieferadresse bei Bestandskunden. Fortgeschrittene Systeme berücksichtigen auch die Entfernungen zwischen diesen geographischen Punkten, um Risiken genauer bewerten zu können.
Schulungen sollten zunehmend stattfinden
Neben technischen Maßnahmen sollten Unternehmen auch die systematische Schulung von Mitarbeitenden priorisieren. Schulungen sollten aktuelle Betrugsmaschen behandeln, typische Warnsignale vermitteln und klare Handlungsanweisungen für Verdachtsfälle festlegen. Händler sollten alle Betrugsversuche und -fälle detailliert dokumentieren, um Schwachstellen zu identifizieren. Klare Prozesse für Verdachtsfälle verhindern Verzögerungen in der Reaktion auf potentielle Betrugsversuche. Unternehmen sollten definieren, welche Prüfschritte durchzuführen sind und unter welchen Umständen eine Transaktion gestoppt werden sollte. Wichtig ist dabei eine regelmäßige Aktualisierung der Prozesse, um ihre Wirksamkeit zu gewährleisten und dazu neue Betrugsszenarien zu berücksichtigen.
Letztlich bietet eine enge Kooperation mit einem spezialisierten Payment-Dienstleister eine der effizientesten Möglichkeiten, die Betrugsprävention zu verbessern. Moderne Payment-Provider verfügen über umfassende Betrugserkennungssysteme, die kontinuierlich aktualisiert werden und auf Daten von tausenden von Händler basieren. Besonders wichtig ist die Optimierung der Datenübermittlung an den Payment-Dienstleister. Viele Händler nutzen die verfügbaren Konfigurationsmöglichkeiten ihrer Payment-Lösung nicht vollständig aus oder setzen Standardeinstellungen ein, die nicht optimal auf ihr spezifisches Geschäftsmodell abgestimmt sind.
Fazit: Sicherheitskonzept und Einkaufserlebnis im Einklang
Nicht nur die Betrugsmethoden unterliegen einer konstanten, engmaschigen Transformation und steigern die finanziellen Verluste der Händler. Auch die Sicherheitskonzepte im E-Commerce richten ihren Blick in Richtung dynamischer Risikomanagement-Systeme, um sich an die Geschwindigkeit der Bedrohungen anzupassen, mit denen Händler tagtäglich konfrontiert sind. Dynamische Systeme ermöglichen eine präzisere Differenzierung zwischen legitimen und betrügerischen Transaktionen und lassen sich dem individuellen Risikoprofil einer Transaktion anpassen. Implementiert man die Systeme Hand in Hand mit technischen und organisatorischen Maßnahmen, zeigt sich das Potential eines langfristigen Schutzes und reibungslosen Einkaufserlebnisses auf Seiten der Händler, sowie auf der der Kunden.
Literatur und Weblinks
- Bundeskriminalamt (BKA): Entwicklung der Betrugskriminalität. Bundeskriminalamt (BKA), 25.04.2025. Abgerufen am 19.05.2025.
- Betrugsdelikte in Deutschland nach Arten 2024. Statista, 07.04.2025. Abgerufen am 19.05.2025.
Bildnachweis: Depositphotos.com/tashatuvango
Kommentare