PaylobbyGuidesFraud Management/ Betrugsprävention › Tools zur Betrugsprävention

Maßnamen der Betrugsprävention im E-Commerce

Was ist Betrugsprävention?

Unter den Begriffen Betrugsprävention und -aufdeckung wird die Antizipation und Aufdeckung von Betrug verstanden ebenso wie die entsprechende Reaktion auf betrügerische Aktivitäten. Mit anderen Worten werden bei der Betrugsprävention Lösungen entwickelt, die bestehende und unmittelbare Risiken von Betrug, Veruntreuung oder Vermögensverlust verhindern.

Ziel ist es, die Wahrscheinlichkeit solcher Fälle sowie die daraus resultierenden Folgeschäden durch vorbeugende Maßnahmen zu minimieren. Im E-Commerce werden häufig Echtzeitlösung eingesetzt, um Bedrohungen zu eliminieren bevor überhaupt Schaden angerichtet werden kann. Die richtige Kombination von Tools zur automatischen Betrugserkennung zu finden, ist erfolgsentscheidend für eine gute Betrugspräventionsstrategie.

Standard, Compliance and Technologie

Die Kreditkartenindustrie muss strenge Vorschriften und Standards einhalten. Dies sind wesentliche Komponenten, um Betrug zu minimieren, Händler zur Rechenschaft zu ziehen, Kunden zu schützen und Sicherheit zu vermitteln. Gleichzeitig soll so sichergestellt werden, dass Kartennetzwerke einen guten Ruf behalten.

Card Industry Security Standards Council (PCI SSC)

Der Card Industry Security Standards Council legt Sicherheitsstandards für die Kartenindustrie fest. Die Standards für das PCI DSS wurden von diesem Rat, der von allen führenden Kreditkartenunternehmen wie MasterCard, Visa, American Express und JCB gebildet wird, entwickelt und veröffentlicht. Diese Standards gelten für alle beteiligten Partner im Zahlungsprozess.

Die PCI-Standards spielen eine zentrale Rolle bei der Betrugsprävention, da sie eine starke Verschlüsselung sensibler Zahlungsdaten gewährleisten. Dies wird durch sechs Hauptziele herausgearbeitet. 1. Netzwerke müssen durch robuste Firewalls geschützt werden, damit Kunden bequem und häufig ihre Zahlungsdaten ändern können. 2. Zweitens müssen Karteninhaberinformationen durch digitale Verschlüsselung geschützt werden. Drittens müssen Systeme durch Antiviren-Software, Anti-Spyware-Programme und Anti-Malware-Lösungen geschützt werden. Diese sollten auf dem neuesten Stand gehalten werden. Viertens muss der Zugang zu Systeminformationen und -betrieb physisch und elektronisch eingeschränkt und kontrolliert werden, insbesondere durch die Verwendung eindeutiger und vertraulicher Identifikationen für Mitarbeiter und Aktenvernichter oder Schlösser und Ketten auf Müllcontainern. Fünftens müssen die Sicherheitsmerkmale der Netzwerke kontinuierlich überwacht und getestet werden. Sechstens muss eine formale Informationssicherheitspolitik definiert, aufrechterhalten und jederzeit und von allen beteiligten Stellen befolgt werden. Darüber hinaus wird die Verpflichtung zur Einhaltung dieser Standards durch die Verhängung von Geldbußen in Höhe von 5.000 bis 500.000 US-Dollar ergänzt.

Relevante PCI-Zertifizierungsinformationen für Unternehmen

Die PCI-Standards nach Kreditkartenorganisationen müssen von allen Unternehmen beachtet werden, die Kreditkarteninformationen von Kunden akzeptieren, verarbeiten, speichern und weiterleiten. Die Kreditkarteninformationen sind unabhängig von der Bearbeitungszeit und enthalten Informationen wie die Kartennummer und das Ablaufdatum.

Einzelhändler müssen je nach ihrem Konformitätsniveau bestimmte Standards erfüllen und regelmäßig nachweisen, dass sie den PCI-Standards entsprechen.

Weitere Informationen zur PCI-Konformität finden Sie in unserem Guide "Was bedeutet PCI für Ihr Payment?".

Payment Services Directive

Die Richtlinie über Zahlungsdienste, die von der Europäischen Kommission verwaltet wird, soll Zahlungsdienste und Zahlungsdienstleister in der Europäischen Union und im Europäischen Wirtschaftsraum regulieren. Diese EU-Richtlinie zielt darauf ab, die Sicherheit von Online-Zahlungsdiensten zu verbessern, die Online-Zahlungslandschaft für neue innovative Lösungen zu öffnen und Online-Betrug zu minimieren. Die überarbeitete Version (PSD2) trat im Januar 2016 in Kraft.

Starke Kundenauthentifizierung

Die starke Kundenauthentifizierung (SCA), die von der PSD2 vorgeschrieben wird, impliziert die Verwendung von zwei oder mehr unabhängigen Authentifizierungselementen. Sollte ein Element kompromittiert werden, wäre das andere Authentifizierungselement immer noch zuverlässig. Diese Elemente können wissensbasiert sein, wie z. B. eine PIN, Besitz-basiert, ein Pass zum Beispiel und inhärent-basiert, wie z.B. Fingerabdrücke. Indem dem Kunden eine aktive Rolle im Authentifizierungsverfahren eingeräumt wird, verstärkt sich der Schutz. Gleichzeitig besteht das Risiko einer sinkenden Conversion-Rate.

Validierungsdienste

Mit der Überprüfung der Identität des Käufers sind Validierungstools für Händler ein wichtiges Sicherheitsmerkmal. Die bekanntesten und meistgenutzten Validierungswerkzeuge sind die Adressvalidierung und die Kartenprüfnummer.

Adressüberprüfung

Das System prüft, ob die Adresse korrekt ist. Zu diesem Zweck wird eine Adressdatenbank aktiviert, um die Existenz der Adresse zu überprüfen. Diese Datenbanken sind nicht länderabhängig. Kreditkartenanbieter können die angegebene Adresse mit der registrierten Adresse überprüfen. Wenn der Kunde beispielsweise eine deutsche Lieferadresse angibt, deren IP aus einem anderen Land stammt, kann dies bereits ein Betrugszeichen sein. Auch die IP des Kunden kann möglicherweise durch einen Anonymisierungsdienst verdeckt sein.

Kartenprüfnummer

Der auch als Kartenprüfwert (CVV oder CVN) bekannte drei- oder vierstellige Sicherheitscode, der auf der Rückseite von Kreditkarten aufgedruckt ist, wird häufig als Sicherheitsstufe bei E-Commerce Transaktionen genutzt, bei denen der Karteninhaber nicht persönlich zugegen ist. Am POS wäre dies auch möglich, wird aber bisher selten eingesetzt.

3D Secure

Ein weiterer Schritt zur Vermeidung von Kreditkartenbetrug im E-Commerce ist die 3D-Secure-Methode. Die Identität des Karteninhabers wird überprüft, bevor der Kauf autorisiert wird. Während des Bezahlvorgangs sendet der Online-Shop eine Anfrage an die kartenausgebende Bank. Daraufhin öffnet sich wiederum ein Eingabefenster im Browser und der Kunde muss seinen persönlichen Sicherheitscode, auch SecureCode genannt, eingeben. Wenn die Bestätigung der Authentifizierungsprüfung erfolgreich ist, wird die Bestellung akzeptiert. Wenn sie fehlschlägt, wird der Zahlungsvorgang beendet und die Transaktion wird abgebrochen.

Weiterführende Informationen zum Thema finden Sie in einem anderen Guide: Zahlung per Kreditkarte.

Authentifizierung und Identitätskontrolle

Für die Prüfung der angegebenen Adresse werden kommerzielle Datenbankanbieter genutzt. Darüber hinaus verfügt der Personalausweis der meisten europäischen Länder über eine E-ID-Funktion, mit welcher der Benutzer seine Identität bestätigen kann. Diese Methode muss jedoch vom Karteninhaber manuell aktiviert werden.

Andere

Adressprüfung (AVS) und Kartenprüfnummer (CVN oder CVV) sind die beiden beliebtesten Tools zur Betrugserkennung. 2017 wurden diese von 88% bzw. 82% der Online-Händler in Nordamerika eingesetzt. Zudem stehen viele andere Validierungstools zur Verfügung. Alternativen zu AVS sind beispielsweise Postadressvalidierungsdienste oder die Google Maps-Suche. Darüber hinaus können Händler die Telefonnummer des Kunden überprüfen (auch Reverse-Lookup genannt). Weitere Validierungstools sind unter anderem Social-Networking-Websites, Bonitätsprüfungen, kostenpflichtige öffentliche Datensätze, die Zwei-Faktor-Telefonauthentifizierung und biometrische Indikatoren.

Sicherheitsschloss

Weitere Betrugspräventionsmaßnahmen

Datenhistorie für Kunden und Händler

Das gebräuchlichste Mittel, um Kundendaten zu sammeln, ist die Kundenbestellhistorie. Wenn sich ein Kunde bereits in der Datenbank eines Händlers befindet, kann der Händler schnell überprüfen, ob die vorherige Bestellung problematisch war. Andere Kundendaten-Historie-Tools umfassen die Auftragsgeschwindigkeitsüberwachung, das Betrugsbewertungsmodell (firmenspezifisch), die Kunden-Website-Verhaltensanalyse und Positivlisten.

Händler können ebenfalls Datenbanken nutzen, die von mehreren Händlerdatenbanken gespeist werden. Diese beinhalten beispielsweise Negativlisten oder mit Listen mit verdächtigen Geräten. Diese händlerübergreifenden Datenbanken werden noch relativ selten genutzt – 2017 von weniger als 30% der Online-Händler in Nordamerika.

Device Tracking

Bei geografisch verstärkt feststellbaren Betrugstendenzen können Kunden identifiziert werden, die aus einer Region mit hohem Risiko kommen. Diese Regionen sind nicht auf Länder beschränkt, es können auch kleinere Gebiete abgebildet werden. Im Jahr 2017 nutzten mehr als die Hälfte der nordamerikanischen Online-Händler IP-Geolokalisierungsinformationen in ihrer Strategie zur Betrugsprävention.

Das Device "Fingerprinting" sammelt per Fernzugriff Informationen über den Käufer durch das verwendete Gerät. Dies kann effektiv dabei helfen, Betrug aufzudecken und zu verhindern, indem Geräte identifiziert werden, die zuvor schon für Betrug verwendet wurden.

Betrugsanalysten & Manager

Während fortschrittliche Technologien für eine optimale Betrugserkennungs- und Präventionsstrategie erforderlich sind, sind menschliche Intelligenz und Expertenanalyse gleichermaßen wichtig. Betrugslösungen müssen von Betrugsexperten maßgeschneidert, umgesetzt, überwacht und angepasst werden.

Kostenloses Angebot anfordern?

AGBs

  • Ich akzeptiere die AGBs und Datenschutzerklärung

Fraud im Mobile Payment

Welche Betrugsarten und welche Präventionsmaßnahmen gibt es? Alle Infos zum Fraud im Mobile Payment. Jetzt hier nachlesen!

2017-11-20