Zahlungsbetrugserkennung und Zahlungsbetrugsprävention: Ein Leitfaden für Unternehmen

Radar
Radar

Fight fraud with the strength of the Stripe network.

Mehr erfahren 
  1. Einführung
  2. Was ist Zahlungsbetrug?
  3. Arten von Zahlungsbetrug
  4. Zahlungsbetrugserkennung und Zahlungsbetrugsprävention
    1. Phishing
    2. Skimming
    3. Identitätsdiebstahl
    4. Rückbuchungsbetrug
    5. Kompromittierung der geschäftlichen E-Mail-Adresse
    6. Card-Not-Present-Betrug
  5. Anleitung zum Erstellen eines individuellen Plans gegen Zahlungsbetrug für Unternehmen

Die digitale Revolution sorgt für ständige Änderungen bei den Möglichkeiten, die Unternehmen für Transaktionen nutzen können, und eröffnet neue Gelegenheiten für Wachstum und globale Reichweite. Durch diesen Wandel ist jedoch auch die Anfälligkeit von Organisationen gegenüber Zahlungsbetrug gestiegen. Kürzlich veröffentlichte Daten von der Federal Trade Commission zeigen, dass Kundinnen und Kunden im Jahr 2022 einen Verlust von fast 8,8 Mrd. US-Dollar durch Betrug meldeten. Im Vergleich zum Jahr 2021 bedeutet dies einen Anstieg von mehr als 30 %.

Aber nicht nur Kundinnen und Kunden verlieren Geld infolge von Betrug. Schätzungen gehen davon aus, dass die globalen E-Commerce-Verluste aufgrund von Online-Zahlungsbetrug im Jahr 2022 41 Mrd. US-Dollar erreichten. Dies bedeutet einen Anstieg um 105 % im Vergleich zum Vorjahr. Diese Zahl wird bis Ende 2023 wohl auf 48 Mrd. US-Dollar ansteigen. Für Unternehmen ist es wichtig, sich hinsichtlich Zahlungsbetrugsprävention und -erkennung grundlegend zu informieren und ihre Mitarbeitenden entsprechend zu schulen, um so die finanziellen Ressourcen zu schützen, das Vertrauen der Kundinnen und Kunden zu gewährleisten und aufkommende Bedrohungen frühzeitig zu erkennen.

Zahlungsbetrugserkennung und Zahlungsbetrugsprävention sind komplexe Herausforderungen, die eine Reihe dynamischer, miteinander verzahnter Lösungen erfordern. In diesem Artikel beschäftigen wir uns mit den wichtigsten Konzepten, Best Practices und Strategien, die Unternehmen nutzen können, um Zahlungsbetrug effektiv zu bekämpfen und damit die Sicherheit und Integrität ihrer Transaktionen in einer zunehmend vernetzten Welt sicherzustellen. Hier erfahren Sie, was Sie zu bestimmten Taktiken für die Reaktion auf verschiedene Arten des Zahlungsbetrugs wissen müssen und wie Sie eine umfassende Zahlungsbetrugsstrategie für die individuellen Anforderungen und Risiken Ihres Unternehmens aufbauen.

Worum geht es in diesem Artikel?

  • Was ist Zahlungsbetrug?
  • Arten von Zahlungsbetrug
  • Zahlungsbetrugserkennung und Zahlungsbetrugsprävention
  • Anleitung zum Erstellen eines individuellen Plans gegen Zahlungsbetrug für Unternehmen

Was ist Zahlungsbetrug?

Zahlungsbetrug ist jede unlautere oder illegale Aktivität, bei der Zahlungssysteme ausgenutzt werden, um unberechtigten Zugang zu Geldern oder Finanzdaten zu erhalten. Dazu kann auch die illegitime Übernahme der Identität einer anderen Person gehören, um damit unberechtigte Käufe zu tätigen. Auch werden Unternehmen getäuscht, um nicht berechtigte Rückerstattungen von Geld auszulösen.

Zahlungsbetrug hat schwerwiegende Folgen für Einzelpersonen, Unternehmen und die Wirtschaft als Ganzes. Die primären Auswirkungen von Zahlungsbetrug sind:

  • Finanzielle Schäden: Betrügerische Transaktionen können zu signifikanten Geldverlusten für Einzelpersonen, Unternehmen und Finanzinstitute führen und deren Vertrauen in Zahlungssysteme nachhaltig zerstören.

  • Identitätsdiebstahl: Zahlungsbetrug ist häufig verbunden mit Diebstahl und Missbrauch persönlicher und finanzieller Informationen, mit der Folge lang anhaltender Schäden auf Seiten der Opfer, die es ihnen erschweren, ihre Identität und Glaubwürdigkeit wiederherzustellen.

  • Reputation von Unternehmen: Unternehmen, die Opfer von Zahlungsbetrug werden, können Schädigungen ihres Rufs und des Vertrauens ihrer Kundinnen und Kunden erleiden. Dies führt in der Folge potenziell zu zurückgehenden Verkäufen, einer geringeren Attraktivität für Kundinnen und Kunden und zu höheren Betriebskosten.

  • Rechtliche und aufsichtsrechtliche Konsequenzen: Organisationen, die die Antibetrugsbestimmungen nicht einhalten oder die Daten ihrer Kundinnen und Kunden nicht ordnungsgemäß schützen, riskieren gerichtliche Sanktionen, Strafzahlungen und eine engmaschigere Überprüfung durch Behörden.

  • Erhöhte Betriebskosten: Um Zahlungsbetrug vorbeugen, erkennen oder mindern zu können, sind signifikante Investitionen in Technologie, Personal und Ressourcen erforderlich, die den Finanzrahmen und die operative Effizienz eines Unternehmens stark belasten können.

Mit dem Kampf gegen Zahlungsbetrug können Unternehmen und Finanzinstitute die Risiken und negativen Folgen minimieren, die mit betrügerischen Aktivitäten verbunden sind, sie können die Integrität und Sicherheit von Zahlungssystemen sicherstellen und das Vertrauen in das größere finanzielle Ökosystem erhalten.

Arten von Zahlungsbetrug

Da betrügerische Akteurinnen und Akteure diverse Methoden nutzen, um Schwachstellen in Zahlungssystemen auszunutzen, tritt Zahlungsbetrug in vielen Formen auf. Zu den gängigsten Methoden gehören:

  • Phishing
    Phishing ist eine Art Zahlungsbetrug, bei der Angreiferinnen und Angreifer betrügerische E-Mails, Textnachrichten oder Websites nutzen, um Einzelpersonen dazu zu bringen, vertrauliche Informationen preiszugeben, z. B. Anmeldeinformationen, Kreditkartennummern und persönliche Daten. Die betrügerischen Akteurinnen und Akteure nutzen diese Informationen in der Folge für unberechtigte Transaktionen oder andere Formen von Finanzbetrug.

  • Skimming
    Skimming ist eine Technik, die Kriminelle nutzen, um in den Besitz von Kredit- oder Debitkartendaten zu gelangen. Sie montieren kleine Geräte, „Skimmer“ genannt, auf Kartenlesegeräten an Geldautomaten oder Point-of-Sale(POS)-Terminals. Wenn eine Person ihre Karte in den Geldautomaten einführt, erfasst der Skimmer die Kartendaten, anhand derer betrügerische Akteurinnen und Akteure gefälschte Karten erstellen oder unberechtigte Transaktionen durchführen können.

  • Identitätsdiebstahl
    Identitätsdiebstahl tritt auf, wenn betrügerische Akteurinnen oder Akteure sich die persönlichen Daten einer Person, z. B. die Sozialversicherungsnummer, die Bankkontodaten oder die Kreditkartennummer, beschaffen und diese nutzen, um sich als diese Person auszugeben und unberechtigte Käufe zu tätigen, neue Konten zu eröffnen oder sonstige Formen von Betrug zu begehen.

  • Rückbuchungsbetrug
    Rückbuchungsbetrug, auch bekannt als „Friendly Fraud“, liegt vor, wenn Kundinnen und Kunden einen Kauf über ihre Kreditkarte tätigen, im Anschluss die Zahlung beim Kartenaussteller anfechten und dabei behaupten, das bezahlte Produkt nicht erhalten zu haben oder dass die Transaktion unberechtigt gewesen sei. Damit verfolgen betrügerische Akteurinnen und Akteure das Ziel, eine Rückerstattung zu erhalten, die Waren oder Dienstleistungen jedoch zu behalten.

  • Kompromittierung der geschäftlichen E-Mail-Adresse
    Eine Kompromittierung der geschäftlichen E-Mail-Adresse (Business Email Compromise, BEC) ist eine Art Zahlungsbetrug, bei der Kriminelle sich als Führungskräfte eines Unternehmens oder Lieferanten ausgeben, um Beschäftigte dazu zu bringen, Geld zu überweisen oder vertrauliche Informationen preiszugeben. In der Regel geschieht dies durch das Hacken oder Manipulieren von E-Mail-Konten und die Nutzung von Social-Engineering-Taktiken, um so die entsprechende Mitarbeiterin bzw. den entsprechenden Mitarbeiter zu manipulieren.

  • Card-Not-Present-Betrug
    Card-Not-Present(CNP)-Betrug bezieht sich auf betrügerische Transaktionen, die getätigt werden, wenn die physische Karte nicht vorhanden ist, z. B. bei Online- oder telefonischen Käufen. Betrügerische Akteurinnen und Akteure nutzen gestohlene Kreditkartendaten für unberechtigte Käufe, die mitunter schwierig zu entdecken und zu verhindern sind, da die Prüfung der physischen Karte entfällt.

Detaillierte Informationen zu den verschiedenen Arten von Zahlungsbetrug und dazu, welche Unternehmen davon am meisten betroffen sind, finden Sie hier.

Zahlungsbetrugserkennung und Zahlungsbetrugsprävention

Um Zahlungsbetrug effektiv zu bekämpfen, müssen Unternehmen einen umfassenden und proaktiven Ansatz verfolgen, der ein Verständnis der verschiedenen Arten von Betrug, mit denen sie konfrontiert sein können, die Bewertung der eigenen individuellen Risiken und Schwachstellen und die Implementierung weitreichender Präventions- und Erkennungsmaßnahmen erfordert. Durch das Priorisieren der Zahlungssicherheit und das konstante Weiterentwickeln der eigenen Strategien und Taktiken können Unternehmen ihre finanzielle Integrität sichern, die Daten ihrer Kundinnen und Kunden schützen und das Vertrauen in die Marke aufrechterhalten.

Im Folgenden finden Sie eine Übersicht darüber, wie Unternehmen den gängigsten Arten von Zahlungsbetrug vorbeugen, diese erkennen und auf sie reagieren können:

Phishing

  • Schulen Sie Ihre Mitarbeiterinnen und Mitarbeiter, damit sie Phishing-E-Mails erkennen, die Identität eines E-Mail-Absenders überprüfen und sich ein sicheres Browserverhalten aneignen.
  • Implementieren Sie Filter- und Scanning-Technologien, um verdächtige E-Mails zu blockieren oder zu markieren, und nutzen Sie DMARC (siehe Abschnitt „Kompromittierung der geschäftlichen E-Mail-Adresse (Business Email Compromise BEC)“ unten) für die Absenderauthentifizierung.
  • Implementieren Sie Firewalls, Einbruchsmeldesysteme und Netzwerksegmentierung, um interne Systeme zu schützen und die Software und Systeme auf dem aktuellen Stand zu halten.
  • Richten Sie eine verpflichtende Multifaktorauthentifizierung für wichtige Systeme und Anwendungen ein, um das Risiko eines unberechtigten Zugriffs mit gestohlenen Anmeldeinformationen zu verhindern.
  • Analysieren Sie Protokolle, den Netzwerk-Traffic und Systemdaten, um potenzielle Phishing-Angriffe oder andere verdächtige Aktivitäten zu erkennen und darauf zu reagieren.
  • Entwickeln Sie einen eindeutigen Plan, in dem die Schritte aufgeführt sind, die bei einem erfolgreichen Phishing-Angriff ausgeführt werden sollen, darunter Eindämmung, Berichterstattung und Kommunikationsverfahren.
  • Bewerten Sie die Sicherheitsmaßnahmen von externen Anbietern, um sicherzustellen, dass sie die Standards ihrer Organisation erfüllen und Ihr Unternehmen keinen Phishing-Angriffen aussetzen.

Skimming

  • Prüfen Sie POS-Terminals und Geldautomaten regelmäßig auf Anzeichen von Fälschung oder illegale Geräte.
  • Implementieren Sie vor Angriffen geschützte Sicherheitsmaßnahmen, darunter Sicherheitssiegel oder Schlösser.
  • Stellen Sie eine sichere und verschlüsselte Datenübertragung bei Kartentransaktionen sicher.
  • Aktualisieren Sie auf eine Chip-and-PIN- oder eine kontaktlose Zahlungstechnologie, die weniger Angriffsfläche für Skimming bietet.
  • Schulen Sie Ihre Mitarbeiterinnen und Mitarbeiter, damit sie Skimming-Geräte erkennen und verdächtige Aktivitäten melden.
  • Arbeiten Sie mit Strafverfolgungsbehörden und Branchenpartnern zusammen, um Informationen und Best Practices auszutauschen.

Identitätsdiebstahl

  • Implementieren Sie widerstandsfähige Datensicherungsmaßnahmen, wie z. B. Verschlüsselung, sicheren Speicher und Zugriffskontrollen.
  • Überwachen Sie Transaktionen und Kontoaktivitäten auf ungewöhnliches oder verdächtiges Verhalten.
  • Verwenden Sie die Multifaktorauthentifizierung für Online-Konten und -Transaktionen.
  • Führen Sie Kundinnen und Kundenidentitätsprüfungen durch, insbesondere bei Transaktionen mit einem hohen Wert oder bei Kontoänderungen.
  • Schulen Sie Ihre Kundinnen und Kunden, damit sie ihre persönlichen Daten schützen und Identitätsdiebstahl erkennen.

Rückbuchungsbetrug

Weitere Informationen zur Prävention gegen Rückbuchungen finden Sie in unserem Leitfaden. Unten werden die Schritte aufgeführt, die Sie ausführen können, um Rückbuchungsbetrug vorzubeugen oder einem solchen Ereignis zu begegnen:

  • Überprüfen Sie im Rahmen von Transaktionen die Kundinnen und Kundenidentität und die Abrechnungsinformationen.
  • Stellen Sie eindeutige und genaue Produktbeschreibungen, Lieferinformationen und Rückgaberichtlinien bereit.
  • Implementieren Sie Betrugserkennungstools, um verdächtige Transaktionen zur Überprüfung zu kennzeichnen.
  • Zeichnen Sie Datensätze zu Transaktionen auf, z. B. die Kundinnen und Kundenkommunikation und den Liefernachweis.
  • Pflegen Sie eine offene Kommunikation mit Ihren Kundinnen und Kunden, um Bedenken zu adressieren und Anfechtungen zu minimieren.
  • Überwachen Sie Rückbuchungstrends und passen Sie Ihre Strategien entsprechend an.

Kompromittierung der geschäftlichen E-Mail-Adresse

  • Schulen Sie Mitarbeiterinnen und Mitarbeiter, damit sie verdächtige E-Mails erkennen und melden.
  • Implementieren Sie E-Mail-Sicherheitsmaßnahmen, um die Identität eines E-Mail-Absenders zu überprüfen und Manipulationen zu vermeiden. Beispiele für solche Maßnahmen:
    • DMARC: Domain-Based Message Authentication, Reporting, and Conformance ist ein System, mit dem Sie sicherstellen können, dass E-Mails echt sind, und verhindern, dass gefälschte E-Mails den Anschein erwecken, von Ihrer Domain zu stammen.
    • DKIM: DomainKeys Identified Mail ist eine Technik, bei der eine digitale Signatur an E-Mails angehängt wird, um zu bestätigen, dass sie aus einer legitimen Quelle stammen und nicht manipuliert wurden.
    • SPF: Sender Policy Framework ist ein Verfahren, mit dem bestätigt werden kann, dass eine E-Mail von einem genehmigten Server für eine bestimmte Domain versendet wird, sodass unberechtigte Absender blockiert werden.
  • Bauen Sie mehrstufige Genehmigungsprozesse für Finanztransaktionen und das Austauschen vertraulicher Informationen auf.
  • Fördern Sie sichere Kommunikationskanäle und telefonische oder persönliche Überprüfungsanfragen, wenn Sie Zweifel hegen.
  • Aktualisieren und patchen Sie Ihre Software, Betriebssysteme und Sicherheitstools regelmäßig.

Card-Not-Present-Betrug

  • Nutzen Sie die Prüfungen über den Adressbestätigungs-Service (AVS) und die Kartenprüfnummer (CVV) für Online-Transaktionen.
  • Implementieren Sie die Multifaktorauthentifizierung für Kundinnen und Kundenkonten.
  • Nutzen Sie Betrugserkennungstools, z. B. Algorithmen für maschinelles Lernen, um verdächtige Transaktionen in Echtzeit zu identifizieren und zu markieren.
  • Überwachen Sie Transaktionen auf ungewöhnliche Muster und Geschwindigkeitsprüfungen.
  • Ermutigen Sie Ihre Kundinnen und Kunden, Services wie Digitale Wallets und Tokenisierung für zusätzliche Sicherheit zu verwenden.
  • Halten Sie den Standard „Payment Card Industry Data Security Standard“ (PCI DSS) ein, um vertrauliche Karteninhaber/innendaten zu schützen.

Anleitung zum Erstellen eines individuellen Plans gegen Zahlungsbetrug für Unternehmen

Um einen Plan gegen Zahlungsbetrug zu erstellen, der auf die individuellen Anforderungen und Risiken der einzelnen Unternehmen zugeschnitten ist, müssen Unternehmen einem systematischen Ansatz folgen, der Bewertung, Priorisierung, Implementierung und kontinuierliche Verbesserungen umfasst.

Im Folgenden finden Sie eine schrittweise Anleitung, die Unternehmen nutzen können, um eine Strategie gegen Zahlungsbetrug zu entwickeln und zu mobilisieren:

  • Risikobewertung
    Führen Sie eine umfassende Risikobewertung durch, um die Arten von Zahlungsbetrug zu identifizieren, die für das Unternehmen die größte Relevanz haben. Dabei spielen Faktoren wie Branche, Größe, Kundinnen und Kundenbasis und Transaktionsmethoden eine Rolle. Bewerten Sie die bestehenden Systeme, Prozesse und Kontrollen, um Schwachstellen und potenzielle Bereiche für Verbesserungen zu identifizieren.

  • Priorisierung
    Priorisieren Sie auf Basis der Risikobewertung die signifikantesten Bedrohungen und Schwachstellen und berücksichtigen Sie dabei die möglichen finanziellen Auswirkungen, die mögliche Rufschädigung und die Wahrscheinlichkeit des Auftretens. Auf diese Weise können Sie bestimmen, welche Betrugspräventionsmaßnahmen zuerst implementiert werden sollten.

  • Strategieentwicklung
    Definieren Sie eine klare Strategie, die die priorisierten Risiken und Schwachstellen adressiert, und berücksichtigen Sie dabei einen Mix aus Maßnahmen zur Prävention, Erkennung und Reaktion. Passen Sie die Strategie an die individuellen Anforderungen und Risiken Ihres Unternehmens an und nehmen Sie dabei auch kurzfristige und langfristige Ziele in den Blick.

  • Ressourcenzuweisung
    Weisen Sie die erforderlichen Ressourcen zu, darunter Personal, Budget und Technologie, um die gewählten Taktiken und Best Practices zu implementieren. Weisen Sie Teammitgliedern klare Rollen und Zuständigkeiten zu und bauen Sie eine starke Führungsstruktur auf, um die Implementierung und das laufende Management der Strategie zu überwachen.

  • Implementierung
    Implementieren Sie die gewählten Taktiken und Best Practices, um sicherzustellen, dass sie in die vorhandenen Systeme und Prozesse integriert werden. Diese umfassen das Aktualisieren von Richtlinien und Verfahren, das Investieren in neue Technologien oder das Durchführen von Schulungen und Programmen zur Bewusstseinsbildung für Mitarbeiterinnen und Mitarbeiter.

  • Überwachung und Bewertung
    Überwachen Sie kontinuierlich die Wirksamkeit der implementierten Maßnahmen anhand von Leistungskennzahlen (KPIs) und Metriken zur Fortschrittsverfolgung. Führen Sie regelmäßige Prüfungen durch, um Bereiche mit Verbesserungspotenzial zu identifizieren und die Compliance mit Branchenstandards und -bestimmungen zu gewährleisten.

  • Anpassung und Verbesserung
    Verfeinern oder passen Sie auf Basis der Überwachungs- und Bewertungsergebnisse die Strategie nach Bedarf an, indem Sie neue Taktiken verfolgen, um aufkommende Bedrohungen oder sich ändernde Unternehmensanforderungen zu adressieren. Folgen Sie einem proaktiven Ansatz bei der Zahlungsbetrugsprävention und bleiben Sie hinsichtlich aktueller Trends, Technologien und Best Practices in Ihrer Branche stets auf dem aktuellen Stand.

Wenn Sie mit einem Dienstleister für Betrugsprävention und -minimierung zusammenarbeiten, können Sie Ihre Bemühungen bei der Bekämpfung von Betrug verstärken. Und abhängig von den Lösungen, die Sie für den Betrieb Ihrer Zahlungsinfrastruktur und für die Zahlungsabwicklung nutzen, sind Sie möglicherweise bereits mit Mitteln zur Betrugsvorbeugung ausgerüstet.

So bietet Stripe beispielsweise eine Reihe von Tools und Funktionen, um Unternehmen dabei zu unterstützen, Zahlungsbetrug zu verhindern, zu erkennen und darauf zu reagieren. Außerdem bietet Stripe umfassende Zahlungsfunktionen für diverse Unternehmensmodelle und Use Cases. Mit Stripe Radar und anderen integrierten Funktionen zur Betrugsminderung in den Stripe-Zahlungslösungen, darunter Terminal und Checkout, können Unternehmen Transaktionen in Echtzeit überwachen, verdächtige Aktivitäten markieren und Betrugsversuche blockieren. Weitere Informationen finden Sie hier.

Startklar?

Erstellen Sie direkt ein Konto und beginnen Sie mit dem Akzeptieren von Zahlungen. Unser Sales-Team berät Sie gerne und gestaltet für Sie ein individuelles Angebot, das ganz auf Ihr Unternehmen abgestimmt ist.