Identitätsdiebstahl ist im E-Commerce zum Massenphänomen geworden. Die Täter agieren immer professioneller, und auf dem Schaden bleibt in aller Regel der Händler sitzen. Umso wichtiger ist es, sich gegen die kriminellen Attacken zu schützen. Künstliche Intelligenz und maschinelles Lernen helfen dabei.

Es kann jeden treffen, jederzeit. Es beginnt mit Mahnungen im Briefkasten, für Waren, die man weder bestellt noch bekommen hat. Spätestens, wenn ein Inkassounternehmen auf der Matte steht, wird klar, dass man Opfer eines Identitätsdiebs geworden ist. Im allerschlimmsten Fall liegt dann bereits ein Haftbefehl gegen die eigene Person vor.

Wer sich im Internet glaubhaft als ein anderer ausgeben kann, kann auf dessen Kosten Verträge abschließen, kriminelle Handlungen begehen – und vor allem konsumieren.

Bis zu 2,9 Milliarden Euro Schaden

Betrug im Internet hat viele Gesichter. Nach Untersuchungen des Sicherheitsdienstleisters Lexis Nexis haben sich die direkten Verluste durch Betrug im E-Commerce in den vergangenen fünf Jahren verdreifacht – auf 1,8 % des Umsatzes im Jahr 2018.

Das summiert sich in Deutschland bei einem Volumen des Onlinehandels von 64 Milliarden Euro auf knapp 1,3 Milliarden Euro. Andere Schätzungen liegen noch deutlich höher und gehen bis 2,9 Milliarden Euro.
Oft erfahren Geschädigte erst spät, dass ihre digitale Identität missbraucht wird - etwa wenn das Kreditkartenkonto bis zum Limit ausgeschöpft wurde.
© Antonio Guillem / shutterstock
Oft erfahren Geschädigte erst spät, dass ihre digitale Identität missbraucht wird - etwa wenn das Kreditkartenkonto bis zum Limit ausgeschöpft wurde.

"Ein gängiges und lukratives Geschäftsmodell"

Das Betrugsrisiko steigt proportional zu dem Maß, in dem Prozesse für Kunden vereinfacht werden. Je mehr Dinge unseres Lebens wir online erledigen, je mehr Angelegenheiten sich über die digitale Identität abwickeln lassen, desto begehrenswerter werden die dazugehörigen Daten - und desto leichter fällt die Vorspiegelung einer falschen Identität.

Das Bundeskriminalamt nennt die missbräuchliche Nutzung personenbezogener Daten im aktuellen „Bundeslagebild Cybercrime“ ein „gängiges und lukratives Geschäftsmodell“. Dass dies von immer mehr organisierten Banden betrieben wird, erklärt die stark steigenden Fallzahlen.

Eine PwC-Studie stellte bereits 2016 fest, dass fast jeder dritte Deutsche schon einmal Opfer von Identitätsdiebstahl war. Besonders betroffen waren zunächst die Branchen Finanzdienstleistungen, Telekommunikation und Versicherungen.

Kleine Händler versprechen leichte Beute

Seitdem hat sich das Problem weiter verschärft - und der Onlinehandel ist zunehmend ins Visier der Cyberkriminellen gerückt. Kein Wunder, denn zum einen gibt es in der Branche viel zu holen – von Kundendaten bis hin zu Zahlungsinformationen wie Konto- oder Kreditkartennummern.

Zum anderen sind die Systeme von Händlern im Allgemeinen weniger gut geschützt als etwa bei Banken oder TK-Anbietern. Gerade kleinere Händler sind oft eine leichte Beute.

„Es gibt mittlerweile kaum noch Onlinehändler, die nicht schon finanzielle Einbußen durch organisierten Betrug hinnehmen mussten.“

Christian Bock, Geschäftsführer Crif Bürgel

Den Namen vom Nachbarn "geliehen"

Was für Konsumenten praktisch ist – die Sofortkultur im Internet – stellt die Anbieter vor große Herausforderungen: Sie möchten schließlich wissen, wer online ein Fahrzeug kauft, für zehntausend Euro Sportwetten abschließt oder eine Luxusuhr erwirbt. So ist die Schnelllebigkeit zwar zum einen die große Chance, aber auch ein Problem des Onlinehandels.

Manche Tricks sind unglaublich simpel: Ein Kunde eines Onlineshops ändert bei der Bestellung lediglich seine Hausnummer. Der Postbote legt das Paket trotzdem am vereinbarten Ablageort ab. Anschließend behauptet der Kunde, er habe das Paket nie erhalten und verweigert die Zahlung.

Seit Händler vermehrt mit Scoring-Unternehmen zusammenarbeiten, Betrüger also davon ausgehen müssen, dass ein Namens-/Adressabgleich stattfindet, wird stattdessen häufig der Name einer real existierenden dritten Person (z. B. aus dem gleichen Mietshaus) verwendet. Bei dieser Form des so genannten Warenkreditbetrugs überklebt der Täter kurzfristig sein eigenes Klingelschild mit dem Namen des Opfers oder fängt den Paketboten ab.

Drei klassische Tätergruppen

Die Polizei geht bei Identitätsbetrug von drei klassischen Tätergruppen aus. Da sind zum einen Menschen, die auf einfachem Weg, wie in den genannten Beispielen, versuchen andere zu betrügen. Beim Kauf wird meist die Identität von Nachbarn, Kollegen oder Bekannten angegeben, dann die Ware abgefangen. Diese Täter verfügen oft über einen geringen Bildungsstand, an Schadenersatz ist selbst bei Überführung meist nichts zu holen.

Die zweite Gruppe sind Kleinkriminelle, die sich die digitalen Identitäten von real existierenden Personen in Foren oder über Phishing beschaffen. Die Täter verfügen in der Regel über einfache Programmier-/Hackerkenntnisse und verschaffen sich z. B. Zugang zu einem fremden Ebay-Konto. Sie bestellen darüber Waren, die sie dann an eine unter falschem Namen gemietete Paketstation liefern lassen.

Immer neue Schlupflöcher

Die dritte Tätergruppe sind organisierte Kriminelle, für die hochkarätige Hacker arbeiten und die professionelle Methoden anwenden, um jeden ihrer Schritte zu anonymisieren.

Neben Nutzer- sind auch Händlerkonten für diese Hacker kein Problem: Sie verkaufen über gekaperte Marktplatzaccounts Waren, die gar nicht existieren oder richten Zugangskonten bei Onlinebezahldiensten wie PayPal im Namen Dritter ein, um bestellte Waren und Dienstleistungen zu bezahlen.


© Gratisography
Schufa

"Was früher der Ladendiebstahl, ist heute der Onlinebetrug"



Besonders ausgefeilt ist die Methode des so genannten „Social Engineerings“ (Soziale Beeinflussung). Dabei veranlassen Betrüger zum Beispiel eine dritte Person zu einem Kauf, indem sie eine Website für angebliche Produkttester ("Produkttester gesucht") bauen. Der Registrierungsprozess dort beinhaltet die Anforderung - in Wahrheit den Kauf - des zu testenden Produkts.

Der Zahlungseinzug läuft dann gegen den ahnungslosen Besteller, der seine Daten in der Annahme, eine kostenlose Produktprobe anzufordern, eingegeben hat.

Betrügerische Domains sind meist im Ausland registriert

Die Domains solcher Sites sind in aller Regel im Ausland registriert, die Inhaber kaum ermittelbar. Solche Maschen werden so lange benutzt, bis sie im Markt bekannt sind, dann wird eine neue ausprobiert und immer neue Schlupflöcher aufgetan.

„Gerade im Onlinehandel hat der Anteil von Identitätsdiebstahl zugenommen“, sagte Miriam Wohlfarth, Mitgründerin und Geschäftsführerin des Payment-Dienstleisters Ratepay, kürzlich dem Portal com-magazin.de.

„Ein solcher Betrug geht für den Identitätsinhaber mit viel Aufwand und teilweise auch psychischer Belastung einher, da dieser nicht weiß, wie oft er noch mit Mahnschreiben und Ähnlichem konfrontiert wird.“ Im schlimmsten Fall riskiert er seine Kreditwürdigkeit.

Wer nicht bestellt hat, muss nicht zahlen

Je später der Betrug entdeckt wird, desto höher sind die Folgekosten. Auf dem finanziellen Verlust bleibt aber in aller Regel der Händler sitzen – denn der Kunde muss die Ware, die er nicht bestellt hat, auch nicht bezahlen.

Im Zweifel entscheiden Händler zugunsten des Kunden – schließlich gilt es kulant zu sein und keinesfalls zu riskieren, dass ein Kunde für den Betrug anderer bezahlen muss.

Neben dem direkten finanziellen Schaden drohen dem Händler Reputationsschäden und juristische Kosten. Viele Onlinehändler bringen Betrug aber gar nicht erst zur Anzeige. Zu gering sind die Chancen, dass die Täter gefasst werden.

Dabei nimmt Betrug im E-Commerce erschreckend zu: Bei einer Befragung von 120 Online- und Versandhändlern im DACH-Raum durch die Wirtschaftsauskunftei Crif Bürgel beklagten im vergangenen Jahr 73 Prozent, dass das Ausmaß des Betrugs in ihrem Shop angestiegen oder stark angestiegen sei.

Fast jeder Onlinehändler ist betroffen

„Es gibt mittlerweile kaum noch Onlinehändler, die nicht schon finanzielle Einbußen durch organisierten Betrug hinnehmen mussten“, sagt Christian Bock, Geschäftsführer von Crif Bürgel.

Für den Großteil (70 %) der befragten deutschen Unternehmen lag der höchste Einzelverlustbetrag durch Betrug bei unter 5.000 Euro, aber bei immerhin fast jedem zehnten Unternehmen (9%) lag der Einzelschaden bei über 25.000 Euro.

In Deutschland wurden 97 Prozent der befragten Onlineshops schon einmal mit Betrug oder Betrugsversuchen konfrontiert, bei denen die Täter verfälschte Namens- oder Adressdaten nutzten. Bei 91 Prozent hatte sich ein Kunde schon als eine komplett andere reale Person ausgegeben.

Der Identitätsdiebstahl ist damit inzwischen verbreiteter als der so genannte Eingehungsbetrug, bei dem Bestellern bei Kaufabschluss schon bewusst ist, dass sie nicht zahlen können (84 Prozent).

Identitätsklau ist kein neues Phänomen

Die Aneignung der Identität eines anderen – meist in krimineller Absicht, zum Beispiel für betrügerische Zahlungsvorgänge, Geldwäsche und andere Verbrechen, oder sei es nur um andere im Namen eines Dritten zu beleidigen und zu diffamieren, ist kein Phänomen des Internets.

Auch früher, als bei Versandhändlern wie Otto vor allem telefonisch bestellt wurde, wurde schon betrogen. „Menschen versuchten, sich am Telefon als jemand anderes auszugeben. Die Callcenter-Mitarbeiter waren damals die erste Hürde und haben auch oft Betrugsversuche entlarvt“, sagt Hans Georg Spliethoff, Bereichsleiter Kreditmanagement bei Otto. 

Aber: „Die Anonymität war natürlich noch nicht in dem Umfang da, wie sie heute durch das Internet gegeben ist.“ Nicht nur die Anonymität des Internets, auch der geringe Aufwand für die Datenbeschaffung macht es Kriminellen heute leichter, Identitätsdiebstahl zu begehen.

Schwieriger ist dagegen die juristische Einordnung solcher Delikte. Denn – anders als zum Beispiel im US-amerikanischen Recht – findet sich im Strafgesetzbuch kein mit „Identitätsdiebstahl“ bezeichneter spezifischer Straftatbestand. Besser wäre es daher, von „Identitätsmissbrauch“ zu sprechen.

Was ist die digitale Identität?

Der Begriff "digitale Identität" bezeichnet die Summe aller Möglichkeiten und Rechte des einzelnen Nutzers sowie seiner personenbezogenen Daten und Aktivitäten innerhalb der Gesamtstruktur des Internets. Konkret beinhaltet dies auch alle Arten von Nutzerkonten, also Zugangsdaten in den Bereichen:

  • Kommunikation (E-Mail- und Messengerdienste)
  • E-Commerce (Onlinebanking, Online-Aktienhandel, internetgestützte Vertriebsportale aller Art)
  • berufsspezifische Informationen (z.B. für den Onlinezugriff auf firmeninterne technische Ressourcen)
  • E-Governmernt (z.B. elektronische Steuererklärung)
  • Cloud-Computing (Nutzung von als Dienstleistung angebotenem Speicherplatz, von Software oder Rechenleistung) 

                                                                 Quelle: BKA, "Bundeslagebild Cybercrime 2018"

Kein juristischer Begriff

„Identitätsdiebstahl beschreibt zunächst nur das Abgreifen der personenbezogenen Daten, die einen Identitätsmissbrauch ermöglichen“, erklärt der Mainzer Rechtsanwalt Matthias Prinz, der auf Internetrecht spezialisiert ist, auf seiner Homepage.

„Es ist kein Diebstahl im rechtlichen Sinn, da es an einer fremden beweglichen Sache fehlt. Meist erfolgt der Identitätsdiebstahl unter Verstoß gegen das Datenschutzgesetz. Ist dieses anwendbar, kann sich eine Strafbarkeit des „Identitätsdiebstahls“ nach §42 BDSG ergeben. Auch § 202 des StGB stellt das unberechtigte Ausspähen gesicherter Daten unter Strafe.“

Aber: Oft wissen Betroffene gar nicht, dass Bestandteile ihrer digitalen Identität entwendet wurden, deshalb gibt es im Bereich des Identitätsdiebstahls ein großes Dunkelfeld. Oft vergeht einige Zeit, bis der Geschädigte erfährt, dass jemand in seinem Namen Waren bestellt oder als Käufer bei Ebay auftritt, nämlich wenn die ersten Zahlungsaufforderungen eingehen oder das Kreditkartenkonto bis zum Limit ausgeschöpft wurde.

Worum geht es genau?

„On the internet nobody knows you`re dog”. Dieser berühmte Satz aus einem Cartoon im “New Yorker” trifft das zentrale Problem der Kommunikation im Internet und insbesondere des elektronischen Geschäftsverkehrs: die sichere Identifizierung der handelnden Person. Diese ist aber für den Geschäftsverkehr unerlässlich, wenn dem Handeln der Person Rechtsfolgen zugeordnet werden sollen.

Die Identität einer Person im Internet wird durch elektronisch übermittelte Identifizierungsdaten verifiziert. Dazu gehören personenbezogene, nichtgeheime Daten wie Name, Anschrift, Geburtsdatum, Sozialversicherungs- und Steuernummer etc. und geheime Identifizierungszeichen wie Passwörter, PIN, TAN und solche Daten, die aus bestimmten Speichermedien wie EC-Karte oder Signaturkarte entnommen werden.

In Hochsicherheitsbranchen kommen auch Daten, die aus biometrischen Merkmalen abgeleitet werden, wie die Iris- oder Gesichtserkennung und Fingerabdrücke, zum Einsatz.

Wie kommen die Täter an die Daten?

Weil viele Nutzer den Schutzbedarf mobiler Geräte unterschätzen, nehmen Angreifer diese vermehrt ins Visier, schreibt das BKA im „Bundeslagebild Cybercrime“.

Über manipulierte Apps, E-Mails, Chats oder Kurznachrichten versuchen die Täter Smartphonenutzer auf gefälschte Webseiten mit Eingabeaufforderung zu locken, um dort Passwörter, Banking-TANs oder Kreditkartennummern abzugreifen.

Aber klassisches Phishing ist nur eine von unzähligen Möglichkeiten, online wie offline Identitäten zu kapern. Die Liste der Tricks reicht von altmodischen Methoden wie dem Diebstahl der Geldbörse und Durchsuchen von Mülltonnen bis zu Datenkompromittierungen mit High-Tech-Methoden.  

Datendiebe hacken private oder Firmencomputer, infizieren sie mit Schadprogrammen wie Trojanern oder bauen gefälschte Onlineshops. 


Jeder erfolgreiche Amazon-Seller kann zur Zielscheibe von Betrügern werden.
© iStock/DNY59
Amazon

Schmutzige Tricks und Betrug

Identitätsdiebe wollen Zugangsdaten

Der millionenfache Diebstahl von Kundendaten im Netz liefert den Betrügern stetigen Nachschub für ihre dreisten Raubzüge. Über Sicherheitslücken kommt es zu Datenabflüssen und -abgriffen bei großen Dienstleistern wie Yahoo, Onlineshops und Webdiensten.

So kommen massenweise Informationen wie Adressen, Kreditkartennummern, vor allem aber Zugangsdaten für Nutzerkonten auf den Cybermarkt. Und auf diese - Kombinationen aus Benutzernamen und Passwörtern - haben es die digitalen Wegelagerer vor allem abgesehen.

Das Darknet zeigt, wie es geht

Seit es Betrügerforen im Darknet gibt, wird es immer leichter, praktisch ohne Vorkenntnisse zum semiprofessionellen Cyberkriminellen zu werden. Detaillierte Anleitungen ermöglichen einem breiten Nutzerkreis ohne tiefe IT-Kenntnisse das Begehen von Straftaten im Internet.

Gleichzeitig entwickeln gewiefte Hacker immer neue Spielarten des „Social Engineering“, bei dem sie durch Manipulation Dritter an deren Daten gelangen: Sie geben sich als Vermieter aus und verlangen von Wohnungssuchenden Identitätsnachweise per E-Mail - oder schalten auf Onlineplattformen Pseudo-Stellenangebote im Namen renommierter Unternehmen wie Tchibo oder Zalando. 

Stellenanzeigen als Köder

Auf echt wirkenden Websites durchlaufen die Arbeitssuchenden einen vermeintlichen Bewerbungsprozess, in dessen Verlauf sie aufgefordert werden, sich online mit ihrem Ausweis zu identifizieren. In Wahrheit eröffnen die leichtgläubigen Opfer ein Konto bei einer Onlinebank, auf das die Täter dann Zugriff haben.

Sylvia Edmands, Geschäftsführerin des Stellenportals Monster, berichtete erst vor wenigen Tagen in der FAZ, dass vor allem in den Weihnachtsferien beinahe täglich versucht werde, dort unseriöse Angebote hochzuladen.

Das BKA beschreibt im aktuellen "Bundeslagebild Cybercrime" außerdem den relativ neuen Modus Operandi des „Formjackings“. Hierbei werden bösartige Codes auf den Webseiten von Onlineshops integriert. Wenn der Kunde seine Zahlungsdaten im Onlineformular eingibt, um einen Kauf zu tätigen, werden z.B. Kreditkartendetails nicht nur an den Händler, sondern auch direkt an den Cyberkriminellen weitergeleitet.

Zeitliche Schwerpunkte dieser Aktivitäten hat das BKA im November/Dezember ausgemacht. Offenbar versuchen Datendiebe so gezielt, illegal an Verkaufshöhepunkten wie dem "Black Friday" und dem Weihnachtsgeschäft teilzuhaben.

Betrüger lauern überall - und viele Internetnutzer gehen zu sorglos mit ihren Daten um.
© Amir Kaljicovic / shutterstock
Betrüger lauern überall - und viele Internetnutzer gehen zu sorglos mit ihren Daten um.

Arglose Posts mit bösen Folgen

Nicht zuletzt macht die steigende Nutzung der Sozialen Netzwerke es für Kriminelle immer leichter, digitale Identitäten zu stehlen. Daten werden bei Facebook, Instagram  und Co. häufig unbedacht preisgegeben. Arglosen Nutzern fehlt oft die Fantasie sich vorzustellen, was böswillige Täter mit einigen wenigen privaten Informationen anstellen können.

Dabei reicht schon das Geburtsdatum in Verbindung mit dem Namen für einen einfachen Warenkreditbetrug. Kapert der Kriminelle gar ein Benutzerkonto in den Sozialen Medien, so kann er dies nutzen, um falsche Tatsachen vorzutäuschen oder sogar den Ruf des Opfers zu schädigen und andere in dessen Namen zu diffamieren.

Im Übrigen funktioniert auch der klassische "Enkeltrick" digital hervorragend: Wer bezweifelt schon die Echtheit einer E-Mail, wenn sie von der Adresse des Enkels kommt?

Wie können sich Onlinehändler schützen?

Was können nun Onlinehändler tun, um sich gegen die wachsende Gefahr von Zahlungsausfällen durch Identitätsbetrug zu schützen?  Die einfachste Maßnahme gegen Betrugsversuche - der Verzicht auf bestimmte Zahlungswege - ist für die meisten Händler keine Option.

Denn durch den Verzicht auf Kreditkartenzahlung oder den Versand gegen Rechnung werden zwar Zahlungsausfälle minimiert, gleichzeitig aber viele Kunden abgeschreckt. Zahllose Studien zeigen die hohe Zahl von Kaufabbrüchen, wenn dem Kunden die gewünschte Zahlungsart nicht angeboten wird.

Die Unternehmen investieren deshalb verstärkt in Betrugsabwehrsysteme. Laut der Crif-Bürgel-Studie tun dies 91 Prozent der Onlinehändler. Dabei ist die manuelle Überprüfung durch Mitarbeiter die häufigste Maßnahme (90 Prozent). 77 Prozent der Onlinehändler führen eine eigene Kundenliste, um Betrug vorzubeugen.

Große Händler haben eigene Abteilungen zur Betrugsabwehr

Ein Drittel der Onlineshops in Deutschland führt alle Maßnahmen zur Betrugsprävention selbst durch. Große Onlineshops haben mittlerweile eigene Abteilungen für die Betrugserkennung aufgebaut. 58 Prozent der deutschen Unternehmen greifen zusätzlich auf externe Dienstleister zurück.

Gerade für kleinere Onlinehändler wird es immer schwieriger, das Problem selbst zu lösen. Der technische Fortschritt begünstigt die Entstehung stetig neuer Betrugsmethoden. Kleinere und mittlere Unternehmen verfügen oft nicht über die Ressourcen, um die notwendigen Prüfungen selbst vorzunehmen.

Von einer systematischen Betrugsabwehr sind die meisten kleineren Onlinehändler weit entfernt. Je kleiner, desto geringer ist meist der Schutz. Und: Oft wird erst gehandelt, wenn der Schadensfall eintritt.

„Es gibt natürlich Maßnahmen, die der Händler selbst noch machen kann wie etwa eine Mustererkennung oder Plausibilitätsprüfung“, sagt Miriam Wohlfarth von Ratepay.

Schufa Fraud-Pool

Alarmsignale erkennen

Bei der Otto Group kümmert sich ein eigenes Team von mehr als dreißig Mitarbeitern um die Betrugsprävention. Zur Betrugserkennung nutzt Otto Informationen, die unter anderem von Partnern wie der Schufa bereitgestellt werden.

„Wir nutzen aber auch Daten über Endgeräte, die bei der Bestellung verwendet werden. Wird ein Endgerät erkannt, das bereits in der Vergangenheit im Zusammenhang mit einem Betrugsfall stand, haben wir hier natürlich ein Verdachtsmoment“, sagt Hans Georg Spliethoff, Bereichsleiter Kreditmanagement bei Otto. 

Was sind weitere Verdachtsmomente? „Zum Beispiel eine unplausible Häufung von Bestellungen, die in einer bestimmten Region auftritt. Wir haben Tools, mit denen wir eine Lieferkette durch Hermes nachverfolgen können“, sagt Spliethoff.

Plausibilitätsprüfung und Mustererkennung

In einem konkreten Fall konnte man dadurch erkennen, dass jemand entlang seines Weges von der Arbeit nach  Hause an verschiedenen Stellen Sendungen abgefangen hatte. „Es ist möglich, so etwas auch grafisch aufzubereiten.“

Daneben könne die Bestellung bestimmter Artikel als unplausibel eingestuft werden, wenn sie vom Regelfall abweiche.

„Angenommen, ein älterer Herr bestellt zehn Smartphones. Das kann in bestimmten Fällen auch als Geschenk für seine Enkelkinder gedacht sein. Dennoch ist die Wahrscheinlichkeit in diesem Fall höher, dass es sich dabei um Betrug handelt“, sagt Spliethoff.

So gibt es eine ganze Reihe von möglichen Hinweisen, die auf einen Betrugsversuch schließen lassen.
Hier sollten Onlinehändler hellhörig werden
  • Ungewöhnliche Lieferadressen wie Restaurants, Bahnhöfe und dergleichen
  • Neukunden, die ein besonders teures Produkt kaufen
  • Ein Kunde nutzt bei mehreren Bestellungen verschiedene Daten, die nicht plausibel erscheinen (abweichende Geburtsdaten, Telefonnummern, Adressen).
  • Es gibt mehrere Kunden mit übereinstimmenden Daten (zum Beispiel verschiedene Kunden mit der gleichen Kreditkarten- oder Handynummer).
  • Buchstabendreher bei der Angabe der Kundendaten: „Frakn“ statt „Frank“beim Namen etwa. Natürlich können solche Tippfehler passieren. Sie erschweren aber automatisierte Datenbankabfragen.
  • Teures Produkt, das zur Lieferung an eine Packstation bestellt wird
  • Viele Bestellungen nacheinander, gegebenenfalls sogar mit gleichen Waren
  • Auffällige E-Mail-Adressen, die nicht zu den übrigen Daten passen
  • Rechnungs- und Lieferadressen stammen aus unterschiedlichen Einzugsgebieten.
  • Die Bestellung erfolgt weit nach 22 Uhr.
Treffen mehrere dieser Faktoren zusammen, kann dies auf einen Betrugsversuch hindeuten. Da sich Betrugsmethoden aber ständig verändern, ist es wichtig, die Regeln zur Betrugsmustererkennung ständig anzupassen.

Kein Kunde soll sich zu Unrecht verdächtigt fühlen

Bei Otto filtert eine zusammen mit dem Tochterunternehmen Risk Ident entwickelte Softwarelösung Anomalien heraus, etwa gleiche Telefonnummern von unterschiedlichen Adressen oder auffallend viele Bestellungen von nur einem Gerät.

Ganz wichtig ist aber: Kein Kunde soll sich zu Unrecht verdächtigt fühlen. Deshalb schaut sich bei Auffälligkeiten zunächst ein Mitarbeiter den Fall genauer an. Das Ziel ist aber klar: Von Betrügern bestellte Pakete sollen gar nicht erst ausgeliefert werden.

Bei der Betrugsbekämpfung arbeitet Otto im Rahmen des "Schufa FraudPreChecks (FPC)" auch mit anderen Unternehmen zusammen. Die Schufa, die vor allem für Bonitätsauskünfte bekannt ist, hat das Projekt Ende 2018 angestoßen und gemeinsam mit vier namhaften Onlinehändlern und drei Telekommunikationsanbietern entwickelt.

Der FPC ermittelt schon während des Bestellvorgangs einen Auffälligkeitswert zwischen null (unauffällig) und eins (sehr wahrscheinlich Betrug) – für den Kunden unbemerkt und in Echtzeit.

Auskunfteien bieten Lösungen zur Betrugserkennung

Für die Einschätzung werden neben Informationen aus dem Datenbestand der Schufa auch die Anfragedaten der angeschlossenen Onlinehändler an das FraudPreCheck-System genutzt. So wurde das System mit den Daten Hunderttausender echter Betrugsfälle der Entwicklungspartner gefüttert.
etailment.de
Morning Briefing
Ihren News-Espresso für den Tag kostenlos bestellen
 
Von jeher ist es Geschäftsmodell der Schufa, Ausfallrisiken für Unternehmen bei zahlungsunfähigen Kunden zu minimieren. Dies geschieht heute bereits durch unauffällige Prüfung während einer Onlinebestellung durch Scores.

Mit dem Schufa-Identitätscheck können Onlinehändler außerdem Name, Vorname, Anschrift und Geburtsdatum von mehr als 67,7 Millionen natürlichen Personen in Deutschland abgleichen lassen.

Meldelisten für Opfer von Identitätsdiebstahl

Aber was nutzt das Wissen, dass eine natürliche Person unter der verwendeten Anschrift gemeldet ist, wenn ihre Identität von einem Betrüger zur Warenbestellung missbraucht wird? Seit September 2016 können Opfer von Identitätsdiebstahl sich deshalb bei der Schufa registrieren lassen. Die Information, dass sie Opfer eines Identitätsbetrugs geworden sind, wird im "Schufa-Fraud-Pool" sowie im regulären Datenbestand der Schufa hinterlegt.

Vertragspartner der Schufa erhalten dann bei einer Abfrage zu einer bestimmten Person den Hinweis, dass diese als Opfer von Identitätsmissbrauch registriert ist. In diesem Fall kann das anfragende Unternehmen eine gesonderte Prüfung anstoßen,  um sicherzustellen, dass die Person tatsächlich der Antragsteller/Käufer ist.

Jeder vierte Onlinehändler nutzt Betrugsfilter

Auch die Auskunftei Crif Bürgel hilft als Lösungsanbieter mit verschiedenen Risiko- und Betrugserkennungssystemen dabei, Betrug zu verhindern, darunter die automatisierte Überprüfung auf Betrugsmuster. Mit dem Deutsche Schutz Portal (DSPortal) bietet auch Crif Bürgel seit 2015 Opfern von Identitätsdiebstahl eine Möglichkeit, sich zentral zu melden und damit vor weiterem Missbrauch zu schützen.

Ein Viertel der E-Commerce-Unternehmen nutzt auf Namens- und Adressebene so genannte Fraud-Filter, um Betrug zu erkennen. Aber: Die Erkennung typischer Betrugsmuster ist nur ein Teil der Herausforderung. Das größte Problem ist heute die Verifizierung der Kundenidentität.

Traditionelles Risikomanagement reicht nicht mehr aus

„Das Hauptproblem ist heute nicht, dass jemand seine fehlende Bonität verschleiert“, sagt Frank Jorga, Gründer und Geschäftsführer der WebID Solutions GmbH, die auf digitale Identifizierungsverfahren und Online-Signaturen spezialisiert ist.

Auch Ratepay-Geschäftsführerin Miriam Wohlfarth sagt, dass "traditionelles Risikomanagement mit Fokus auf Bonität und statischen Regeln schon lange nicht mehr ausreicht.“

Onlinehändler müssen ihre Kunden kennen – und erkennen. Banken ist dieses Prozedere schon seit Langem unter dem Stichwort „Know Your Customer“ (KYC) bekannt. Sie müssen harte regulatorische Vorgaben erfüllen, unter anderem wegen des Geldwäschegesetzes.

„Dabei geht unter, dass auch andere Branchen wissen und im Zweifelsfall nachweisen müssen, mit wem sie Geschäfte machen: von Carsharing- über E-Commerce-Firmen bis hin zu TK-Anbietern, die die Bundesnetzagentur im Blick hat – und generell alle Unternehmen, die Altersprüfungen vornehmen müssen, um die Jugendschutzbestimmungen zu befolgen“, sagt WebID-Geschäftsführer Jorga.

"Schneller Konsum und Sicherheit müssen kein Widerspruch sein"

Gerade bei kleineren Händlern sei die Sicherheit aber noch nicht so richtig im Fokus, sie konzentrierten sich vor allem auf schnelle Kauf- und Payment-Prozesse, beobachtet Jorga. Dabei müssten Komfort und Sicherheit sich nicht ausschließen. "Die Kernfrage lautet: Wie kann man die Identität des Kunden prüfen, ohne den Kaufabschluss unangemessen in die Länge zu ziehen?"

Künstliche Intelligenz kann solche Prozesse beschleunigen - und aufgrund der starken Skalierungsmöglichkeit deren Kosten pro Kunde senken. Automatische Verfahren ermögliches es Unternehmen wie WebID, Identitätsprüfungen als sekundenschnellen Service anzubieten.

Frank Jorga, Geschäftsführer WebID: "Die Gefahr, dass ein potenzieller Kunde während der Verifizierung genervt abspringt, sinkt mit dem Einsatz von künstlicher Intelligenz drastisch."
© WebID Solutions
Frank Jorga, Geschäftsführer WebID: "Die Gefahr, dass ein potenzieller Kunde während der Verifizierung genervt abspringt, sinkt mit dem Einsatz von künstlicher Intelligenz drastisch."
Zu den Kunden zählen vor allem Banken und Finanzdienstleister wie Deutsche Bank, DKB, Postbank, ING, Klarna und Sofortüberweisung, aber auch TK-Anbieter wie Vodafone und Glücksspielunternehmen. Für sie gibt es drei Wege, potenzielle Kunden eindeutig zu identifizieren:

Videocall statt Postident

Das Video-Identifikationsverfahren ist für Hochsicherheitsbranchen gedacht. Hier wird während des Check-out-Prozesses der Ausweis des Nutzers in einem kurzen Videocall von einem WebID-Mitarbeiter geprüft. Genutzt wird das Verfahren vor allem von Banken, zum Beispiel bei einer Kontoeröffnung, oder von TK-Anbietern bei der Aktivierung einer Prepaidkarte.

Mehr als 400 Mitarbeiter sind bei WebID auf die Betrugsabwehr spezialisiert und werden regelmäßig mit Unterstützung von Kriminalbehörden geschult. Endkunden können mit jedem internetfähigen Gerät, das über Kamera und Mikrofon verfügt, teilnehmen, sofern ihr Ausweis noch mindestens drei Monate Gültigkeit besitzt.

Der Vorteil gegenüber dem klassischen Postident-Verfahren liegt auf der Hand: Verträge können online hürdenlos abgeschlossen werden, wenn Verbraucher sich rund um die Uhr von zu Hause aus legitimieren können und nicht erst eine Filiale aufsuchen müssen. Mittelfristig könne Video-Ident deshalb dieses Postident-Verfahren komplett ablösen, glaubt Jorga.

In der Finanzbranche bereits etabliert, kommt Video-Ident im Onlinehandel nur bei sehr teuren Luxusartikeln wie Uhren infrage - oder im online stark wachsenden Automobilbereich. Bei einer gewissen Kaufsumme akzeptieren Kunden, dass ihre Identität vom Händler überprüft wird.

Vollautomatische Ausweiskontrolle in Fast-Echtzeit

Für andere Fälle, wo es für Endkunden vor allem schnell gehen muss, hat WebID eine vollautomatische Personenidentifikation auf Basis künstlicher Intelligenz, kombiniert mit Biometriesystemen entwickelt. "WebID AI" eignet sich unter anderem für die Altersprüfung und umfassende KYC-Prozesse und richtet sich dadurch auch an Onlineanbieter, die Produkte/Medien mit Altersbeschränkung vertreiben oder ihre Sicherheit im Check-out erhöhen möchten.

Das System funktioniert so: Während des Check-out-Prozesses geht ein Fenster auf und der Kunde wird gebeten, seinen Ausweis in die Kamera zu halten. Ist seitens des Anbieters zusätzlich ein biometrischer Abgleich gewünscht, wird der Endkunde aufgefordert, in die Kamera zu schauen bzw. ein Portraitfoto von sich selbst zu machen - für potenzielle Betrüger ein großer Abschreckungsfaktor.

Die vollautomatische Verifizierung des Ausweisdokuments und der biometrische Abgleich dauern weniger als eine Minute und werden von den Endkunden gut angenommen, sagt Frank Jorga. Web ID kann Ausweispapiere aus 194 Ländern vollautomatisch prüfen.
"Die Gefahr, dass ein potenzieller Kunde während des Verifizierungsprozesses genervt abspringt, sinkt mit dem Einsatz künstlicher Intelligenz drastisch." Auch Wettbewerber IDNow wirbt damit, dass Video-Ident die Konversionsraten im Vergleich zu traditionellen Offline-Verfahren signifikant erhöhe.

WebID bietet Onlinehändlern auch eine weitere Variante der Identitätsprüfung an, die ebenfalls vollautomatisch, gleichzeitig aber fast komplett im Hintergrund abläuft. Hier wird auf die Prüfung von Ausweispapieren und Biometrie verzichtet.

Stattdessen gleicht das System die Anmeldedaten des Kunden mit einer Datenbank ab, in der WebID digitale Identitäten speichert, die das Unternehmen nach einer erfolgreichen Personenidentifikation auf Wunsch des Nutzers datenschutzkonform anlegt.

Konkret funktioniert das folgendermaßen: Eröffnet beispielsweise ein Bankkunde ein Konto, muss er sich ausweisen. Dabei wird er gefragt, ob er zustimmt, dass WebID seine Identitätsdaten speichert. Die Speicherung ist rechtskonform und die Daten sind rechtssicher und verschlüsselt, betont Geschäftsführer Jorga.

"Hochsichere Datenkonserve"

So baut WebID eine "hochsichere Datenkonserve" auf - die dann Basis für die Echtzeit-Identifikation, zum Beispiel bei Onlinehändlern, die Rechnungskauf anbieten wollen, ist.

Loggt sich ein Kunde bei einem der angeschlossenen Händler ein, kann dieser sich nach Freigabe des Kunden per TAN innerhalb von Sekunden über die Identität des Nutzers rückversichern und parallel z.B. auch sein Alter prüfen. Rund 120 Millionen Datenfelder von mehr als vier Millionen Endkunden sind laut WebID bereits geprüft und gespeichert.

Während Video-Ident mit etwa 6 bis 10 Euro pro erfolgter Prüfung zu Buche schlägt, kostet ein Prüfauftrag mit WebID AI je nach Auftragsvolumen zwischen 90 Cent und 4 Euro, die Verifizierung mittels der WebID-Datenbank liegt in ähnlicher Höhe.

Der Händler baut dafür lediglich eine Schnittstelle ein. Je mehr Prüfaufträge, desto schneller amortisiert sich die Identifizierungstechnik. Ab etwa 1.000 Transaktionen pro Monat ist sie wirtschaftlich sinnvoll, sagt Jorga.

Ein Account für alles

Der Vorteil für den Endnutzer: Er kann sich bei immer mehr Onlineangeboten einfach einloggen, registrieren und online ausweisen, d. h. er muss nicht für jeden registrierungspflichtigen Webdienst ein aufwendiges Identifikationsverfahren durchlaufen.

Kunde von WebID ist unter anderem der Single-Sign-on-Anbieter Verimi. Dem Konsortium gehören unter anderem Deutsche Bahn, Deutsche Telekom, VW, Lufthansa und der Axel-Springer-Verlag an. Gegründet wurde es im Mai 2017 als Gegenpol zu den amerikanischen „Datenkraken“ Facebook, Google und Twitter, die mit eigenen Login-Funktionen vorgeprescht waren.

Im Onlinehandel arbeitet WebID bislang zum Beispiel mit Media-Markt-Saturn und Notebooksbilliger zusammen. Dort ist die Identitätsverifizierung in die Prüfmechanismen eingebaut.

Kein Konsumkredit ohne Identitätsprüfung

Dass es sich dabei um Anbieter von Unterhaltungselektronik handelt, ist kein Zufall. Die Branche ist von Betrug überproportional betroffen, da sie einerseits mit Produkten von Wert handelt, die für Kriminelle leicht weiterveräußerbar sind – und Kunden außerdem mit Raten- und Kreditkauf lockt.

Für Onlinehändler, die ihren Kunden Kreditkauf ermöglichen, bietet WebID auch gleich einen digitalen Vertragsabschluss mit qualifizierter elektronischer Signatur – einen Service, der mit wachsendem Finanzierungsanteil im E-Commerce an Bedeutung gewinnen wird, ist Jorga sicher. WebID arbeitet dazu u.a. mit Consors Finanz und der Santander-Bank zusammen.

Das Finanzierungsvolumen steigt nicht nur bei Consors Finanz seit Jahren an. Die Warenkörbe werden größer, und auch hierzulande wird immer mehr auf Pump konsumiert, wenn auch noch nicht so stark wie in anderen europäischen Märkten.

„Absatzfinanzierung wird 2020 ein großes Thema werden, von dem auch kleine und mittlere Onlinehändler profitieren können“, ist Jorga überzeugt. Umso wichtiger ist es für Händler, genau zu wissen, wer bei Ihnen bestellt.

MEHR ZUM THEMA:


Nicht jeder Kunde ist kreditwürdig. Gut, wenn Einzelhändler das Risiko von Zahlungsausfällen minimieren können.
© fizkes / shutterstock
Schufa

Es lebe die Liste


© Gratisography
Technologie

Betrügerische Kunden - so wehren Shopbetreiber Gefahren ab


Durch den Einsatz digitaler Technologien in den Unternehmen bieten sich Cyberkriminellen neue Angriffsflächen.
© mpix-foto - fotolia.com
Datensicherheit

Verteidigung gegen Cyber-Attacken wird immer dringlicher