Inhaltsverzeichnis
Black- & Whitelisting im Payment – wie funktioniert es und worauf kommt es an?
Hinter den Begriffen Black- und Whitelists verstecken sich gängige Mechanismen im Betrugsmanagement für E-Commerce Unternehmen. Auf der Blacklist - auf Deutsch „Schwarze Liste“ - werden im Allgemeinen Kunden erfasst, die als unsicher eingestuft werden. Die Whitelist- oder weiße Liste – beinhaltet alle dementsprechend alle Kunden, die als „sicher“ bezeichnet werden.
Was bedeutet Blacklisting im E-Payment?
Im Payment versteht man unter „Blacklisting“ eine Methode, die unter das Fraud-Management fällt und vor Zahlungsbetrug schützen soll. Neben den Blacklists gibt es es viele Möglichkeiten, um Daten im Online Payment zu schützen. Blacklisting gehört zu den effizientesten. Das Ziel einer Blacklist ist es, Betrüger und risikobehaftete Kunden zu erkennen, zu kennzeichnen und damit sicherzustellen, dass keine Zahlungsverluste oder Chargebacks auftreten.
Wie funktioniert Blacklisting?
Blacklisting wird vornehmlich durch sogenannte Betrugs-Screening-Softwares durchgeführt. Diese sind mit verschiedenen Filtern ausgestattet, die Kundendaten wie unter anderem Region, IP-Adresse, Kreditkartennummer und E-Mailadresse überwachen, Kunden automatisch auf die Blacklist setzen oder blockieren und eingreifen, bevor die Transaktion abgeschlossen ist. Um „ehrliche“ Kunden zu schützen, vergleicht das System die eben genannten Kriterien mit den Daten eines Blacklist-Kunden. Ist der Vergleich positiv, wird die Transaktion abgelehnt und weitere Programme senden die Betrüger-Details an die betreffenden Cyber-Sicherheitsbehörden.
Interne Blacklist
Eine Blacklist kann von einem Unternehmen wie z.B. einem Zahlungsanbieter intern verwaltet werden. Dies hat den Vorteil, dass genau die Kunden aufgelistet werden, die bei dem Unternehmen negativ auffällig geworden sind und ein guter Überblick bewahrt werden kann.
Externe Blacklist
Kreditkartengesellschaften wie Visa und Mastercard nutzen ebenfalls eine Blacklist, über die sie diejenigen Käufer aufführen, die gegen die Regeln der Gesellschaft verstoßen haben. In der sogenannte Member Alert to Control High-Risk (MATCH) finden sich Kunden wieder, die durch Betrug oder Geldwäsche aufgefallen sind. Es werden aber auch Kunden geführt, die durch eine auffällig hohe Anzahl an Chargebacks haben oder Insolvenz anmelden mussten. Wer auf die Liste kommt, wird nicht von den Kreditkartengesellschaften bestimmt, sondern von den jeweiligen Acquiring Banken.
Wie entsteht die sogenannte Blacklist?
Für eine ausgefeilte Betrugsprävention, an dessen Ende unter anderem die Blacklist steht, werden eine Reihe von Informationen über die Quelle der Bestellung und die Bestellung selbst benötigt. Die IP-Adresse des Kunden sowie Device Fingerprinting und Velocity Check (Transaktionskontrolle pro Endkunde auf dessen Kontodaten oder Kreditkartennummer) sind Kriterien an denen verschiedene Bestellmuster analysiert werden können. Wichtig sind hier vor allem: Wo wurde die Bestellung ausgelöst? Machen die Daten Sinn, auch in Verbindung zum Kauf? Beinhaltet eine Quelle mehrere Identitäten bzw. Zahlungsinformationen? Was wurde bestellt und welche Lieferungsadresse ist angegeben? Wurden innerhalb kurzer Zeit womöglich extrem viele Bestellungen aufgegeben? Da mehr als 85% der gestohlenen Identitätsdaten in den ersten 24 Stunden eingesetzt werden, ist es ratsam eine Echtzeitanalyse einzusetzen.
In kürzester Zeit müssen dabei geeignete Entscheidungen getroffen werden, um dem Betrug entgegenzuwirken. Zusätzlich können Kundenhistorien und Erfahrungswerte aus internen Datensammlungen zur Analyse hinzugezogen werden.
Wie sollten Unternehmen Blacklists benutzen?
Existiert nun eine Blacklist bzw. der sog. Blacklist-Mechanismus, können Händler diese teils individuell steuern und verschiedene Konsequenzen daraus ziehen. So werden beispielsweise Kunden, die öfter negativ aufgefallen sind bzw. noch offene Rechnungen haben, nur noch gegen Vorkasse beliefert.
Händler können diese Regeln flexibel anpassen. Geht es beispielsweise um die Neueinführung oder Promotion eines Produktes, kann es durchaus Sinn machen, die Blacklist nicht zu streng zu sehen, um potenzielle Käufer nicht fälschlicherweise zu verlieren und somit die Marktpenetrations-Rate des Produktes nicht zu dämpfen.