Unternehmen werden durch Kriminelle im Netz in Milliardenhöhe geschädigt. Sie sind bestens vernetzt und arbeiten professionell – dagegen muss sich der Handel wehren.

Es ist makaber, doch Betrug ist ein vielversprechendes Geschäftsmodell. Das Darknet versorgt alle Experimentierwilligen. Zum Einstieg ein „Fraud guide“ also Betrugsführer für zwei Dollar? Danach kann jeder Neuling starten, beispielsweise mit dem erfolgversprechenden Identitätsdiebstahl. Viel kriminelle Energie ist dafür nicht nötig.

„Im Darknet können für 10 Euro die Daten einer realen Person gekauft werden. Damit legt man bei einem Versandhändler ein Konto an und sammelt die Bestellung dann in einem Paketshop oder an einer Packstation ein. Alternativ werden Daten von Fußballspielern der dritten Liga oder die verstorbener Personen für Betrugsaktivitäten angeboten“, erklärt Piet Mahler, Geschäftsführer von Risk Ident, einer 100-prozentigen Tochter der Otto Group.

Manchmal seien auch Fahrer von Lieferdiensten involviert. Das heißt, Betrüger „buchen“ sich über das Darknet einen Fahrer, der das gewünschte Paket zu einer vorgegebenen Adresse umleitet.

Im Ranking ganz oben steht ebenfalls die Übernahme eines bestehenden Accounts. Da muss nur noch die Lieferadresse geändert werden und schon ist der Diebstahl fix.
Piet Mahler, Geschäftsführer von Risk Ident
© Riskident
Piet Mahler, Geschäftsführer von Risk Ident
Eine große Schwachstelle sind einfallslose Passwörter von E-Mail Accounts. Echte E-Mail Adressen gibt es wiederum im Darknet günstig zu kaufen. Betrüger lassen ein Script mit den beliebtesten Passwörtern durchlaufen und sind damit im Rennen. Das verlockende aus Sicht der Kriminellen: Die Methoden sind skalierbar.

Es lassen sich in kurzer Zeit viele Transaktionen anschieben und das Risiko zur Rechenschaft gezogen zu werden, ist erschreckend gering. Aktuell wird nur eine Minderheit zur Anzeige gebracht. Und mit diesem Volumen hat die Staatsanwaltschaft schon ihre Schwierigkeiten. Sie haben schlicht nicht die Kapazität und die technische Ausstattung, jeder Anzeige in angemessener Zeit nachzugehen, schätzt Piet Mahler.

Der wirtschaftliche Schaden ist immens – das ist erst der Anfang

Cybercrime ist nicht mehr die Spielwiese einzelner Nerds. Der Trend geht zum organisierten Verbrechen. Die Kriminellen sind gut vernetzt. „Es wird im Darknet offen darüber diskutiert, wer bei welchem Unternehmen mit welchem Muster gescheitert ist oder Erfolg hatte. Es werden mögliche Opfer sowie die notwendigen Tools besprochen“, so der Geschäftsführer von Risk Ident.
etailment.de
Morning Briefing
Ihren News-Espresso für den Tag kostenlos bestellen
 

Unternehmen dagegen tauschen sich zu wenig aus, noch teilen sie ihre Erfahrungen – ein Fehler, findet Piet Mahler, weshalb Risk Ident regelmäßig Round Table für Unternehmer veranstaltet. Es sei ein ständiger Wettlauf, technisch die Nase vorn zu haben. Um zu gewinnen, müsse man wie ein Hacker denken. Der monetäre Schaden ist immens.

Die Schufa geht im Online-Handel von jährlich rund 2,5 Milliarden Euro aus. Dabei wird es nicht bleiben. „Die Generation, die heute im Grundschulalter ist, wird mit einem ganz anderen technischen Selbstverständnis aufwachsen – und dies weltweit. Das heißt auch, dass die Zahl der Personen, die in der Lage sein werden, zu betrügen, in den nächsten 10 bis 15 Jahren massiv zunehmen wird. Wir stehen erst am Anfang des Entwicklungsprozesses“, erwartet Matthias Schweizer, Executive Director Product Management der Wirtschaftsauskunftei Crifbürgel.

Es trifft jeden – auch kleine Geschäfte sind bedroht

Es gibt keine Komfortzone. Es geht weder um bestimmte Betriebsgrößen, Branchen oder Regionen sondern um Betrugsoptionen. „Jeder Händler, der Waren anbietet, die sich gut weiterverkaufen lassen, ist besonders im Visier“, erklärt Schweizer. Da auch Profis im Betrugsgeschäft mit Künstlicher Intelligenz und Algorithmen arbeiten, durchkämmen sie in kürzester Zeit Shops auf der ganzen Welt nach Lücken, und damit ist auch der kleinste Shop bedroht“, zeigt sich Schweizer überzeugt. Es gibt Städte mit einer auffallenden Betrugsdichte, Berlin sei ein solcher Fall. „Hier gibt es ganze Straßen, die von manchem Versender nicht mehr gegen Rechnung beliefert werden“, weiß Mahler.

Kleine und mittelständische Unternehmen sind auch deshalb im Fokus, da anders als in großen Unternehmen die Betrugsabwehr schwächelt. Die Konsequenz? Händler müssen entweder eine bestimmte Betrugsquote und damit Umsatzverlust akzeptieren oder aber technisch hochrüsten. „97 Prozent der Händler haben damit zu kämpfen“, betont Risk Ident.

Wer sich im Internet glaubhaft als jemand anderes ausgibt, kann auf dessen Kosten andere diffamieren, Verträge abschließen - und hemmungslos konsumieren.
© Zephyr_p / shutterstock
Sicherheit

Identitätsklau: So schützen sich Händler gegen Betrüger im Netz

Der Handel ist durchaus für Betrug im Netz sensibilisiert, doch das Ausmaß vor allem der kriminellen Professionalität wird noch unterschätzt. Man versucht es mit eigenen Lösungen, checkt Neukunden, schränkt für sie bei Bedarf die Zahlungsoptionen ein oder legt beispielsweise eine Liste der schwarzen Schafe an. Das deckt einen Teil ab. Wer im Unternehmen die Betrugskompetenz nicht aufbauen will oder kann, entscheidet sich oftmals gegen risikobehaftete Zahlarten – und schneidet sich damit Umsatz ab.

Bereits 2015 gaben 19 Prozent der Unternehmen im Rahmen einer ibi Research Studie an, dass sie deshalb Zahlarten entfernt haben. Ab wann sich der Einsatz professioneller Systeme lohnt, bleibt schwierig zu beantworten.

Noch ist es für viele Händler ein Abwägen, wie viel Umsatzverlust durch Betrug sie akzeptieren. Riskident bietet seinen Kunden eine Testinstallation für drei bis sechs Monate an, die aufzeigt, wie viel und welche Art von Betrug ein Händler hat. Danach kann er bei Bedarf gemeinsam mit den Hamburgern ein passendes Paket installieren.

Echtzeitprüfung von Kontodaten, Identität, Account oder Geräten

Wer sich wappnen will, findet am Markt reichlich Angebote. Er kann sich je nach Schwerpunkt verschiedene Leistungen zusammenstellen, die je nach Anbieter variieren. Dazu gehören unter anderen Schufa, Risk Ident oder Crifbürgel.

Auch Payment Service Provider wie Computop bieten ihren Kunden Betrugsprävention. Computop zum Beispiel nutzt bei der Adress- und Bonitätsprüfung die Daten von Anbietern wie Schufa oder creditreform. Einige Beispiele wesentlicher Leistungen:

• Bonitäts-Auskünfte, wie sie auch fast jeder Verbraucher von der Schufa kennt.

• Identitätscheck prüft, ob Name (inklusive üblicher Tippfehler) und Adressdaten bekannt sind. Das Ganze gibt es bei der Schufa auch in der Variante ausweisgeprüft – das heißt, Personen- und Adressdaten wurden der Auskunftei zum Beispiel von einem Kreditinstitut gemeldet, bei dem sich der Verbraucher mit einem Ausweis identifiziert hat.

• Eine ergänzende Verstorbenen-Info der Schufa kann verhindern, dass auf die Identität eines Verstorbenen bestellt wird.

• Kontonummerncheck überprüft, ob Personendaten und Bankverbindung zusammenpassen.

Neben der Absicherung des eigenen Umsatzes zielt eine Identitätsüberprüfung auf ein weiteres Problem ab – das der Geldwäsche. Risk Ident und Crifbürgel bieten ergänzend noch einen anderen Ansatz. Sie bewerten unter den Namen Device Ident (Risk Ident) und Digital Identity Check (Crifbürgel) die Geräte, über die eine Bestellung eingeht. Dazu werden beispielsweise Gerätetyp, Standort oder auch Sprache der Tastatur gecheckt. Ein Blick in die Historie meldet zudem, ob über das Gerät schon mal ein Betrug vorgefallen ist und ob die gefundenen Daten zu einem Verhaltensmuster passen.
Matthias Schweizer, Crifbürgel
© Crifbürgel
Matthias Schweizer, Crifbürgel
Grundsätzlich entscheidet der Kunde, welche Aufträge er annimmt oder nur mit einem bestimmten Zahlungsmittel. Risk Ident bietet mit Frida ein Paket, das drei unterschiedliche Betrugstypen detektiert (Accountübernahme, Identitätsdiebstahl oder Affiliate-Betrug).

Alle Transaktionen kann ein Unternehmen direkt verfolgen und nachvollziehen, wie Ergebnisse und Bewertungen zustande gekommen sind und sich dann bei Bedarf individuell entscheiden. Allen Angeboten gemeinsam ist die Prüfung in Echtzeit im Laufe des Checkout oder auch im Rahmen eines Kreditantrags.

Das Ergebnis hängt von der Ausgangssituation ab, den zur Verfügung gestellten Daten und dem Einsparziel eines Unternehmens. „Wir senken die Betrugsquote um 80 bis 98 Prozent – die letzten zwei Prozent sind nicht realistisch, sie wären zu teuer erkauft“, verspricht Mahler.

MEHR ZUM THEMA:

Cyberkriminalität wird von KMUs sträflich unterschätzt.
© Fotolia.com/Rogatnev
Cyberkriminalität

Risiko Cyberattacke - Mit diesen Kosten muss man rechnen


Datendiebstahl: Besser vermeiden.
© Robert Kneschke/fotolia.com
Cyber Security

Datensicherheit: Das sind die häufigsten Fehler im Handel


Immer häufiger ein Fall für boomende digitale Versicherer - Investoren ziehen mit.
© fotolia-New Africa - stock.adobe
Start-ups Versicherungen

Insurtechs - Investoren in Goldgräberstimmung