Fraud Management im E-Commerce - So schützen Sie Ihren Onlineshop vor Betrug
Fraud Management ist ein wichtiger Bestandteil der Sicherheitsstrategie eines jeden Onlineshops. Dabei geht es darum, betrügerische Aktivitäten präventiv zu erkennen und zu verhindern.
Gerade durch den Boom des Onlinehandels während der Corona-Pandemie und den Einsatz von künstlicher Intelligenz wird Betrug zu einer zunehmenden Gefahr für Onlineshops. Mit raffinierten und dreisten Methoden gelingt es Cyberkriminellen immer wieder, sich Dienstleistungen und Produkte zu erschleichen und damit materiellen und immateriellen Schaden anzurichten.
Die Zahlen einer Studie der Wirtschaftsauskunftei CRIF aus dem Jahr 2021 sprechen für sich:
91% der Onlineshops im DACH-Raum wurden seit Beginn der Pandemie Opfer von Betrug oder Betrugsversuchen (Anstieg um 41%).
65% der befragten E-Commerce-Unternehmen bezeichnen die Zunahme von Online-Betrug als “stark” oder “sehr stark”.
ca. 2-3% des Umsatzes von Online-Shops gehen jährlich durch Betrug verloren
der finanzielle Schaden beläuft sich auf mehrere Milliarden Euro pro Jahr
Die Dunkelziffer dürfte noch höher liegen. Neben dem kurzfristigen finanziellen Schaden durch ausbleibende Zahlungen und Materialverbrauch entsteht ein Reputationsschaden, der das Vertrauen der Kunden gefährdet und sich negativ auf das Image des Unternehmens auswirkt. Somit ist auch mit langfristigen Folgen zu rechnen.
Welche Betrugsmaschen es gibt und wie Sie Ihren Onlineshop davor schützen können, erfahren Sie in diesem Artikel.
Welche Betrugsmaschen gibt es?
Manche Betrugsmaschen sind einfach, aber effektiv, andere besonders verheerend, weil neben dem Betrug weitere Straftaten begangen oder unschuldige Dritte mit hineingezogen werden.
Welches sind die häufigsten Betrugsmaschen und wie häufig (in %) waren Onlineshops im DACH-Raum davon betroffen?
Angabe falscher Namens- und Adressdaten (76%)
Angabe der Daten einer anderen realen Person (75%)
Bestellungen werden mit dem Wissen aufgegeben, diese nicht bezahlen zu können oder zu wollen (71%)
die Zustellung der Ware wird bestritten (52%)
Angabe einer komplett erfundenen Identität (50%)
Bestellung wird abgestritten (35%)
Angabe gestohlener Zahlungsdaten (34%)
Angabe erfundener Zahlungsdaten (21%)
Wie schützen Sie Ihren Onlineshop vor Betrug?
Um die Sicherheit des Onlineshops zu gewährleisten, empfiehlt sich die Implementierung von Anti-Fraud-Systemen, um betrügerische Aktivitäten zu erkennen und im besten Fall so früh wie möglich abzufangen.
Hier gibt es eine große Auswahl an Lösungen und Anbietern, die verschiedene Bereiche der Betrugsprävention anbieten. Im Folgenden werden einige davon vorgestellt:
1. Überprüfung der Personendaten/Adressvalidierung
Durch den Vergleich der angegebenen Personendaten können Betrüger:innen häufig frühzeitig enttarnt werden. Stimmt beispielsweise der Name nicht mit der E-Mail-Adresse überein, kann dies ein Hinweis auf Betrug sein.
Auch die IP-Adresse kann einen Betrüger entlarven. Häufig werden bei betrügerischen Bestellungen deutsche Adressen angegeben, die IP-Adresse deutet jedoch auf eine Bestellung aus dem Ausland hin. Mit Hilfe der Adressvalidierung kann auch festgestellt werden, ob die angegebene Adresse überhaupt existiert.
Diese Methode ist geeignet, um verdächtige Aktivitäten aufzudecken. Sie kann aber auch schnell zu voreiligen Fehleinschätzungen führen, wenn nur wenige Daten abgeglichen werden, da z.B. nicht jede Person ihren eigenen Namen in der E-Mail-Adresse angibt.
Anbieter dieser Lösung:
Maxmind
Maxmind bietet mit dem Produkt minFraud unter anderem IP-Verifizierung, E-Mail-Check, Überprüfung von Kreditkarteninformationen sowie Adressvalidierung für Magento 2 an.
Mehr erfahren: https://www.maxmind.com/en/solutions/minfraud-services
Experian
Der CyberAgent von Experian erkennt insbesondere Identitätsdiebstahl durch Überprüfung verschiedener persönlicher Daten wie E-Mail-Adresse, Telefonnummer, Bankverbindung und Kreditkartennummer. Der CyberAgent kann sowohl in Magento 2 als auch in Shopware 6 implementiert werden.
Mehr erfahren:
https://www.experian.de/business/identity-and-fraud/stolen-identity-protection
2. Device Fingerprinting
Wie in der echten Welt hinterlassen Verbrecher:innen auch im Internet immer Spuren. Mit Device Fingerprinting wird ein digitaler Fingerabdruck der User:innen erzeugt, der Auskunft über sämtliche Hard- und Softwaredaten gibt, z.B. das Gerät, den Browser und die IP-Adresse.
Für die Sicherheit von Onlineshops kann dies genutzt werden, indem die Aktivitäten eines Kontos analysiert, in Echtzeit mit Millionen von Daten verglichen und verdächtige Muster erkannt werden.
So können Device Fingerprinting-Systeme insbesondere nicht-menschliches Verhalten erkennen, wenn Bots versuchen, auf den Shop zuzugreifen und falsche oder gestohlene Identitäten verwendet werden.
Device Fingerprinting kann effektiv sein, sollte aber nicht als einziges Sicherheitssystem eingesetzt werden, da es bereits Anti-Device-Fingerprinting-Systeme gibt, die das Tracking der Daten umgehen.
Anbieter dieser Lösung:
Risk Ident
Device Ident von Risk Ident gleicht Daten mit einer globalen Datenbank von über einer Million Geräten ab.
Mehr erfahren: https://riskident.com/device-ident
Experian
Experian bietet ebenfalls einen Device Fingerprinting Service an, mit dem Geräte und Aktivitäten überprüft werden können, um sichere von verdächtigen Konten zu unterscheiden.
Mehr erfahren: https://www.experian.de/business/identity-and-fraud/fraud-management/device-fingerprinting
3. Datenabgleich mit Social Media
Heutzutage sind die meisten Menschen auf mindestens einer Social-Media-Plattform registriert. Dort müssen persönliche Daten angegeben werden.
Mit speziellen Tools können diese Daten wie Name, E-Mail oder Telefonnummer mit verschiedenen Plattformen abgeglichen werden. Werden Profile mit übereinstimmenden Daten gefunden, kann beurteilt werden, ob es sich um ein echtes, harmloses Profil handelt oder nicht. Gibt es keine Übereinstimmung, kann dies ein Hinweis auf eine gefälschte Identität sein.
Die Sache hat allerdings mehrere Haken. Zum einen sind zwar viele, aber längst nicht alle Menschen in sozialen Medien vertreten. Zum anderen muss man bei der Anmeldung nicht seine echten Daten angeben. Man kann auch eine zweite oder dritte E-Mail-Adresse verwenden, die nicht mit der im Onlineshop angegebenen übereinstimmt.
Ein solches System kann also eher echte Nutzer:innen verifizieren als falsche aufdecken. Es kann also nur Hinweise liefern, aber keine Entscheidungen treffen.
Anbieter dieser Lösung:
SEON
SEON bietet eine Komplettlösung für Fraud Management an, die den Social Media Check beinhaltet. Dabei werden Daten von über 50 Plattformen verglichen und ein Score erstellt, der das Risiko eines Accounts bewertet.
Mehr erfahren: https://seon.io/fraud-detection-services/
Mirasvit
Der Fraud Detector von Mirasvit ist ebenfalls eine Komplettlösung, speziell für Magento 2, mit der ein Social Media Check möglich ist.
Mehr erfahren: https://mirasvit.com/magento-2-extensions/fraud-detection-prevent-chargeback.html
4. Bonitätsprüfung
Eine der häufigsten Betrugsmaschen ist der Bonitätsbetrug, bei dem die Zahlungsfähigkeit bewusst vorgetäuscht wird.
Insbesondere bei der Zahlung auf Rechnung, z.B. per SEPA-Lastschrift, ist die Gefahr für Onlineshops groß. Vor allem, weil sich die bewusste Zahlungsunfähigkeit im Nachhinein nur schwer nachweisen lässt.
Deshalb ist es wichtig, vor dem Kaufabschluss eine Bonitätsprüfung durchzuführen. Diese erfolgt automatisch, wenn bei der Auswahl der Zahlungsart “Kauf auf Rechnung” angeklickt wird und gleicht in Echtzeit die Daten einer Auskunftei ab. Dabei wird mit einem mathematisch-statistischen Verfahren ein Score ermittelt, der die Wahrscheinlichkeit der Zahlungsfähigkeit berechnet. Dies geschieht vollständig im Hintergrund, so dass die Nutzerinnen und Nutzer nichts davon mitbekommen.
Rechtlich ist beim Bonitätscheck Vorsicht geboten. Grundsätzlich bedarf es der Information und Einwilligung der Nutzenden, bevor personenbezogene Daten an eine Auskunftei übermittelt werden dürfen.
Eine Ausnahme besteht dann, wenn das Interesse des Onlineshops an der Auskunft das Interesse des Kunden an der Nicht-Weitergabe der persönlichen Daten überwiegt. Dies ist der Fall, wenn der Onlineshop eine Vorleistung erbringt, also z. B. die Ware versendet, bevor sie bezahlt wird.
Beim Kauf auf Rechnung ist dies der Fall, da die Zahlung erst später erfolgt. Daher darf der Onlineshop hier auch ohne Einwilligung eine Bonitätsprüfung durchführen.
Anbieter dieser Lösung:
CRIF und Creditreform
CRIF und Creditreform gehören zu den größten deutschen Wirtschaftsauskunfteien und bieten Bonitätsauskünfte sowohl für Magento 2 als auch für Shopware 6 an.
Mehr erfahren:
http://www.creditreform-münchen.com
5. Velocity Check
Ein Velocity Check ist eine Transaktionskontrolle, mit der die Kaufaktivitäten eines Kontos überwacht werden können.
Viele Transaktionen in kurzer Zeit oder auffällig hohe Mengen, insbesondere bei Produkten, die normalerweise nur einmal gekauft werden, können Hinweise auf ein betrügerisches Vorhaben sein. Neben den Kontodaten können auch die Aktivitäten von IP-Adressen und Kreditkarten überwacht werden.
Auch dabei können Fehler auftreten, die echte Interessent:innen vom Kauf abhalten. Mehrere Bestellungen hintereinander bedeuten nicht sofort, dass es sich um einen Betrugsversuch handelt.
Es können auch mehrere Personen mit identischen Namen oder Adressen gleichzeitig aktiv sein. Die Wahrscheinlichkeit ist gering, aber nicht gleich null. Daher sollten die Parameter, ab wie vielen Bestellungen in welchem Zeitraum ein Verdacht besteht, sorgfältig gewählt und immer wieder angepasst werden.
Anbieter dieser Lösung:
Fraud Labs Pro
Fraud Labs Pro bietet mit dem Velocity Check eine Transaktionsprüfung der letzten 24 Stunden an und kann unter anderem in Magento 2 integriert werden.
Mehr erfahren: https://www.fraudlabspro.com
Fazit
E-Commerce boomt. Doch wo viel Geld fließt, sind auch Kriminelle nicht weit. Verschiedene Betrugsmaschen kosten Onlineshops jedes Jahr viel Geld und schaden ihrem Image. Deshalb sollten Sie sich der Betrugsmaschen bewusst sein und die Sicherheit Ihres Shops und Ihrer Kunden mit individuell angepassten Lösungen optimieren.