Zahlungsbetrug kann die Unternehmensfinanzen und den Schutz der Privatsphäre von Kundinnen und Kunden bedrohen. Seine Bekämpfung erfordert Lösungen zur Abwehr, die genauso ausgereift und flexibel sein müssen wie die Taktiken betrügerischer Akteurinnen und Akteure.
Zahlungsbetrug gibt es in vielen verschiedenen Varianten, vom Diebstahl von Kreditkartennummern über ein ungeschütztes Kartenlesegerät bis hin zu bösartigen Fake-E-Mails. Beispielsweise hat eine Untersuchung von Tessian aus dem Jahr 2021 gezeigt, dass Mitarbeiter/innen in den USA durchschnittlich 14 E-Mails pro Jahr erhalten, in denen sie aufgefordert werden, finanziell betrügerische Aktionen auszuführen. In einigen Branchen ist diese Zahl deutlich höher, wobei Mitarbeiter/innen im Einzelhandel jährlich im Durchschnitt 49 betrügerische E-Mails erhalten.
Phishing ist eine der häufigsten Arten von Zahlungsbetrug und machte 2020 44 % aller Datenschutzverletzungen aus. Skimming, bei dem betrügerische Akteurinnen oder Akteure Karteninformationen an Geldautomaten erfassen, kosten Unternehmen geschätzte 1 Milliarde US-Dollar pro Jahr. Identitätsdiebstahl, bei dem persönliche Daten gestohlen und verwendet werden, um betrügerische Käufe zu tätigen, machten 2021 laut der FTC 24 % von nahezu 6 Millionen Betrugsmeldungen aus. Und das sind nur einige Arten von Zahlungsbetrug, die Unternehmen bekämpfen müssen.
Zahlungsbetrug ist eine große Bedrohung, doch Unternehmen können sie durch effektive Verteidigungsmechanismen mindern. Hier lesen Sie, was Sie über häufige Arten von Zahlungsbetrug wissen müssen, wie sie funktionieren und was Sie tun können, um sich, Ihr Unternehmen und Ihre Kundschaft zu schützen.
Worum geht es in diesem Artikel?
- Was ist Zahlungsbetrug?
- Arten von Zahlungsbetrug
- Vorteile von Betrugsvorbeugung
Was ist Zahlungsbetrug?
Zahlungsbetrug ist eine Art von finanziellem Betrug, der die Nutzung gefälschter oder gestohlener Zahlungsinformationen zur Erlangung von Geld oder Waren umfasst. Zahlungsbetrug kann auf verschiedene Weise vonstattengehen, häufig jedoch in der Form, dass betrügerische Akteurinnen und Akteure Kreditkarten- oder Bankkontoinformationen stehlen, Schecks fälschen oder gestohlene Identitätsangaben verwenden, um nicht autorisierte Transaktionen vorzunehmen.
Verschiedene Formen von Zahlungsbetrug
Es gibt verschiedene Methoden, mit denen betrügerische Akteure Zahlungsbetrug begehen. Hier sind einige der häufigsten Taktiken:

Phishing
Was es ist:
Phishing ist ein Social-Engineering-Angriff – eine Betrugsmasche, um Menschen durch psychologische Manipulation zu täuschen –, bei dem Personen mit betrügerischen E-Mails, Textnachrichten oder Websites dazu gebracht werden sollen, sensible Daten wie Anmeldedaten oder Kreditkarteninformationen preiszugeben.
Phishing-Angriffe finden meist über E-Mails statt, die so aussehen, als kämen sie von einer vertrauenswürdigen Quelle, wie z. B. einer Bank oder einem seriösen Online-Händler. In der E-Mail wird der Empfänger oft aufgefordert, auf einen Link zu klicken, um seine Kontoinformationen zu aktualisieren, eine kürzliche Transaktion zu bestätigen oder eine Belohnung abzuholen. Wenn der Empfänger auf den Link klickt, wird er auf eine gefälschte Website weitergeleitet, auf der er aufgefordert wird, seine Anmeldedaten, Kreditkarteninformationen oder andere sensible Daten einzugeben.
Phishing-Angriffe können auch über Textnachrichten durchgeführt werden, was häufig als „Smishing“ bezeichnet wird, oder über Social-Media-Plattformen („Pharming“). In diesen Fällen sendet der Angreifer eine Nachricht oder einen Link zu einer betrügerischen Website, die legitim erscheint, um so persönliche Informationen zu stehlen oder das Empfängergerät mit Schadsoftware zu infizieren.
Was Sie dagegen tun können:
Seien Sie vorsichtig, wenn Sie auf Links klicken oder Anhänge aus unbekannten oder verdächtigen Quellen öffnen. Achten Sie auf dringende oder drohende Formulierungen, Rechtschreib- und Grammatikfehler und verdächtige Links. Die Verwendung von Antivirensoftware kann auch zum Schutz vor Phishing-Angriffen beitragen.
Wie andere Arten von Zahlungsbetrug entwickeln sich auch Phishing-Betrug im Laufe der Zeit immer weiter und sehen immer raffinierter aus. Einzelpersonen und Unternehmen sollten sich selbst und ihre Mitarbeiter über Phishing aufklären und darüber, wie sie diese Art von Angriffen erkennen und vermeiden können.
Skimming
Was es ist:
Beim Skimming versucht ein betrügerischer Akteur, mit einem ein als Skimmer bezeichneten Gerät Kredit- oder Debitkarteninformationen zu stehlen. Der Skimmer wird am Kartenlesegerät an Geldautomaten oder an den POS-Terminals von Zapfsäulen, Selbstbedienungskassen und anderen Zahlungsterminals angebracht. Er liest die Magnetstreifendaten der Karte aus und die erworbenen Daten können dann zur Herstellung gefälschter Karten oder für betrügerische Einkäufe verwendet werden.
Um die Kunden-PINs zu erfassen, kommen gelegentlich auch noch kleine Kameras oder spezielle Folien zum Einsatz, die über die Tastatur des Geldautomaten oder Zahlungsterminals gelegt werden. Diese Informationen werden dann zusammen mit den gestohlenen Kartendaten verwendet, um unbefugte Abhebungen oder Einkäufe vorzunehmen.
Was Sie dagegen tun können:
Skimming kann schwer zu erkennen sein, da die Skimming-Geräte oft klein und unauffällig sind – aber es ist nicht unmöglich. Es gibt Anzeichen, die auf das Vorhandensein eines Skimming-Geräts hinweisen können, wie z. B. lose oder beschädigte Kartenlesegeräte, ungewöhnliche oder zusätzliche Geräte, die am Zahlungsterminal angebracht sind, oder Geräte, die anders aussehen als andere Zahlungsterminals in der Umgebung.
Seien Sie stets vorsichtig, wenn Sie Zahlungsterminals und Geldautomaten verwenden, und überprüfen Sie das Gerät auf Anzeichen von Manipulationen. Das Abdecken der Tastatur mit der Hand bei der PIN-Eingabe kann vor Kameras schützen.
Kontrollieren Sie regelmäßig Ihre Kontoauszüge und Kreditkartenabrechnungen und melden Sie jeden Skimming-Verdacht so schnell wie möglich Ihrer Bank oder Ihrem Kartenaussteller.
Elektronische Geldbörsen (Wallets) und Karten mit EMV-Chip können vor Skimming schützen, da diese Technologien sicherer sind als Magnetstreifenkarten. Wenn Ihr Unternehmen diese sicheren Zahlungsmethoden akzeptieren kann, ist dies ein wirksamer Schutz vor Skimming.
Identitätsdiebstahl
Was es ist:
Identitätsdiebstahl ist eine Form des Zahlungsbetrugs, bei der ein betrügerischer Akteur die persönlichen Daten einer Person – Namen, Sozialversicherungsnummer oder Kreditkartennummer – stiehlt und für nicht autorisierte Einkäufe oder die Eröffnung von Konten im Namen des Opfers verwendet. Identitätsdiebstahl kann schwerwiegende finanzielle und rechtliche Folgen für das Opfer haben und erheblichen Stress und Ängste verursachen.
Identitätsdiebstahl ist ein Überbegriff für eine Reihe unterschiedlicher Betrugstaktiken. Phishing-Angriffe sind beispielsweise eine Art von Identitätsdiebstahl. Datenschutzverletzungen, bei denen sich ein Hacker Zugriff auf die Datenbank eines Unternehmens verschafft und in großem Umfang personenbezogene Daten stiehlt, sind ebenfalls Identitätsdiebstahl. Andere Mittel zum Stehlen fremder Identitäten sind etwa der Diebstahl von Postsendungen, das Durchsuchen von Müllcontainern oder der Diebstahl von Brieftaschen oder Geldbörsen. Sobald ein betrügerischer Akteur die persönlichen Daten einer Person erhalten hat, kann er diese verwenden, um neue Kreditkartenkonten zu eröffnen, Kredite zu beantragen oder sogar falsche Steuererklärungen einzureichen.
Was Sie dagegen tun können:
Um Identitätsdiebstahl zu verhindern, können Unternehmen eine Reihe von Schritten ergreifen. Stellen Sie zunächst sicher, dass Ihre Kundendaten sicher gespeichert sind, indem Sie durch Verschlüsselung und andere Sicherheitsmaßnahmen unbefugten Zugriff verhindern. Unternehmen sollten den Zugriff auf Kundendaten nur auf diejenigen Mitarbeiter beschränken, die sie für ihre Arbeit benötigen, und starke Passwörter und Multi-Faktor-Authentifizierung für alle Konten und Systeme verlangen, die Kundendaten enthalten.
Mitarbeiterschulungen sind wichtig, um Identitätsdiebstahl zu verhindern, und sie sollten Best Practices für die Sicherheit enthalten, z. B. wie man Phishing-E-Mails erkennt und sichere Passwörter erstellt.
Die Überwachung von Kundenkonten auf verdächtige Aktivitäten, wie unbefugte Anmeldungen oder Änderungen von Kontoinformationen, kann Unternehmen dabei helfen, Identitätsdiebstahl frühzeitig zu erkennen und den Schaden zu verringern. Geeignete Technologielösungen für Zahlungen können verhindern, dass die Erkennung und Prävention von Betrugsversuchen zu viel Zeit und Ressourcen in Anspruch nimmt. Stripe Radar ist eine solche hochentwickelte Technologie, die in allen Zahlungsprodukten von Stripe, einschließlich Terminal, integriert ist.
Unternehmen sollten auch einen Plan erarbeitet haben, wie sie auf Datenschutzverletzungen reagieren, etwa bei der Benachrichtigung betroffener Kunden oder durch das Angebot von Diensten zum Schutz vor Identitätsdiebstahl.
Rückbuchungsbetrug
Was es ist:
Beim Rückbuchungsbetrug ficht ein Kunde eine rechtmäßige Transaktion an und behauptet, entweder den Kauf nicht selbst getätigt oder das Produkt bzw. die Dienstleistung zwar bezahlt, aber nicht erhalten zu haben. So kann es gelingen, sowohl eine Rückerstattung als auch das Produkt oder die Dienstleistung zu erhalten und dem Verkäufer damit einen finanziellen Verlust zuzufügen. Rückbuchungsbetrug kann für Unternehmen erhebliche finanzielle Folgen haben: Sie verlieren Einnahmen aus dem Verkauf und müssen eventuell sogar Gebühren und Strafen für Rückbuchungen zahlen.
Es gibt verschiedene Möglichkeiten, wie Rückbuchungsbetrug stattfinden kann. Am häufigsten tritt der Fall ein, dass Kunden einen rechtmäßigen Kauf tätigen, die Abbuchung aber später bei ihrem Kreditkartenunternehmen anfechten und behaupten, dass der Artikel nicht der Beschreibung entsprochen habe oder nie geliefert worden sei. Eine andere Methode ist, wenn ein Kunde bewusst eine gestohlene Kreditkarte verwendet, um einen Kauf zu tätigen, und die Zahlung dann als nicht autorisiert anficht.
Was Sie dagegen tun können:
Zum Schutz vor Rückbuchungsbetrug sollten Unternehmen die Identität der Kunden verifizieren und sicherstellen, dass sie die rechtmäßigen Inhaber der für den Kauf verwendeten Kreditkarte sind. Dies kann eine Unterschrift oder ein CVV-Code für Transaktionen ohne Karte (Card not present) sein oder die Implementierung von Tools zur Betrugserkennung wie die Adressverifizierung oder die IP-Geolokalisierung. Unternehmen sollten auch eine klare Erstattungs- und Rückgaberichtlinie sowie ein Verfahren für den Umgang mit Rückbuchungsanforderungen erarbeitet haben. Sie sollten klare Aufzeichnungen über alle Transaktionen führen, mit Quittungen, Versandinformationen und Kundenkommunikation, damit sie bei einer Anfechtung Gegenbeweise vorlegen können.
Kompromittierung geschäftlicher E-Mails
Was es ist:
Die Kompromittierung geschäftlicher E-Mails (Business Email Compromise, BEC) ist eine Art von Zahlungsbetrug, bei dem Mitarbeiter per E-Mail dazu verleitet werden, Geld auf die Konten von Betrügern zu überweisen. Bei einem BEC-Betrug verschaffen sich betrügerische Akteure (häufig durch Phishing oder anderen Social-Engineering-Taktiken) Zugang zu einem geschäftlichen E-Mail-Konto und verwenden es, um E-Mails an Mitarbeiter oder Lieferanten zu senden, in denen sie um Überweisungen oder andere Formen der Zahlung bitten.
BEC-Betrug kann viele Formen annehmen. Häufig geben sich die Betrüger als hochrangige Führungskraft oder wichtiger Lieferant aus und fordern eine dringende Zahlung an. Die E-Mail kann legitim aussehen, samt Logo, Briefkopf und vertrauter E-Mail-Adresse. Wenn der Mitarbeiter jedoch die Anweisungen in der E-Mail befolgt, überweist er das Geld auf ein Bankkonto, das von den betrügerischen Akteuren kontrolliert wird.
BEC-Betrügereien können schwer zu erkennen sein, da sie oft mit Social-Engineering-Tricks arbeiten und die Autoritätsgläubigkeit der Menschen ausnutzen. Es gibt jedoch immer einige Anzeichen, die auf Betrug hindeuten, darunter:
- Dringende Aufforderung zur Zahlung
- Ungewöhnliche Zahlungsanweisungen
- Ungewohnte Grammatik- oder Rechtschreibfehler
Was Sie dagegen tun können:
Zum Schutz vor BEC-Angriffen wirken die gleichen Taktiken und Best Practices, die Unternehmen bereits zur Bekämpfung anderer Arten von Betrug anwenden sollten. Informieren Sie Ihre Mitarbeiter, wie sie verdächtige E-Mails erkennen und melden können, und implementieren Sie starke E-Mail-Sicherheitsprotokolle wie Zwei-Faktor-Authentifizierung und -Verschlüsselung.
Unternehmen sollten unbedingt auch über klare Verfahren für die Zahlungsgenehmigung verfügen, einschließlich der Rückbestätigung per Telefonanruf oder im persönlichen Gespräch. Unmissverständliche Anweisungen bezüglich interner Anfragen, insbesondere wenn es um Zahlungen, haben sich sehr bewährt.
Schließlich ist es wie bei allen Betrugsfällen wichtig, Bankkonten regelmäßig auf verdächtige Aktivitäten zu überwachen und einen Plan für die Reaktion auf einen BEC-Betrug zu haben, einschließlich der Kontaktaufnahme mit den Strafverfolgungsbehörden und der Benachrichtigung von Kunden oder Partnern, die möglicherweise betroffen sind.
Betrug bei Card-Not-Present-Zahlungen
Was es ist:
Betrug bei Zahlungen ohne Karte (Card not present, CNP) tritt auf, wenn ein betrügerischer Akteur mithilfe gestohlener Kreditkartendaten Einkäufe tätigt, ohne die Karte physisch vorzulegen (in der Regel online oder per Telefon). Mit wachsendem Online-Handel kommt diese Form von Betrug immer häufiger vor. Er kann erhebliche finanzielle Folgen für Unternehmen haben, im Form von Rückbuchungen oder Zahlungsausfällen.
In den meisten Fällen sind die Betrüger im Vorfeld durch Datenschutzverletzungen oder auf andere Weise an gestohlene Kreditkartendaten gelangt und verwenden diese Informationen anschließend für nicht autorisierte Online-Käufe. Eine andere Methode ist, wenn ein betrügerischer Akteur Social-Engineering-Taktiken wie Phishing einsetzt, um die Kartendaten direkt vom Opfer zu erhalten.
Was Sie dagegen tun können:
Um sich zu schützen, können Unternehmen verschiedene Maßnahmen setzen, darunter:
- Tools zur Betrugserkennung, wie z. B. Adressverifizierung oder IP-Geolokalisierung, um Kundenidentitäten zu prüfen und verdächtige Aktivitäten leichter zu erkennen
- Starke Authentifizierungsprotokolle, einschließlich Zwei-Faktor-Authentifizierung und Tokenisierung, zum Schutz von Kartendaten
- Klare, zugängliche Aufzeichnungen über alle Transaktionen, einschließlich Versandinformationen und Kundenkommunikation, im Falle von Rückbuchungsanforderungen
- Ausführliche Rückgabe- und Erstattungsbestimmungen, die den Kunden klar kommuniziert wird, sowie ein Verfahren für den Umgang mit Rückbuchungen und betrügerischen Transaktionen
Vorteile von Betrugsvorbeugung
Maßnahmen zur Betrugsvorbeugung können Unternehmen Sicherheit geben, ihr Finanzvermögen und ihre Kundendaten schützen, ihren Ruf bei der Kundschaft verbessern und die Compliance im Hinblick auf Bestimmungen erhöhen. Doch das sind noch längst nicht alle Vorteile. Nachstehend finden Sie einen Überblick über die wichtigsten Vorteile, die Unternehmen durch die Implementierung von Betrugsvorbeugungsmaßnahmen genießen können:
Schutz des Finanzvermögens
Betrugsvorbeugung hilft dabei, das Finanzvermögen eines Unternehmens zu schützen. Zahlungsbetrug kann schon bei isolierten Fällen teuer werden, doch bei größeren Unternehmen kann das Risiko von Betrug in großem Umfang eine noch größere Bedrohung darstellen. Durch die Implementierung von Betrugsvorbeugungsmaßnahmen können Unternehmen das Risiko eines finanziellen Verlusts senken und zuverlässiger für die Zukunft vorsorgen.Schutz von Kundendaten
Unternehmen schützen nicht nur sich selbst, wenn sie in starke Maßnahmen der Betrugserkennung und -prävention investieren – sie schützen auch ihre Kundinnen und Kunden. Zahlungsbetrug umfasst häufig den Diebstahl von Kundendaten, etwa Kreditkartennummern und persönliche Daten. Durch die Implementierung von Maßnahmen zur Betrugsvorbeugung können Unternehmen die Daten ihrer Kundschaft schützen und Vertrauen und Loyalität seitens der Kundinnen und Kunden aufbauen.Minderung von Rückbuchungen
Rückbuchungen können für Unternehmen nicht nur Umsatz- und Warenverluste bedeuten, sondern auch zusätzliche Gebühren und Strafen nach sich ziehen, abgesehen von der Zeit und der Energie, die sie zur Klärung des Falls aufwenden müssen. Maßnahmen zur Betrugsvorbeugung können Rückbuchungen verhindern, indem betrügerische Transaktionen erkannt und verhindert sowie Rückbuchungstrends und Schwachstellen ermittelt werden.Pflege von Ruf und Kundenloyalität
Wenn Unternehmen jeden möglichen Schritt tun, um Betrug zu minimieren, erhöht dies das Vertrauen der Kundschaft in das Unternehmen. Selbst isolierte Fälle von Zahlungsbetrug können den Ruf eines Unternehmens schädigen, und zwar manchmal auf irreparable Weise. Durch die Implementierung von Betrugsvorbeugungsmaßnahmen zeigen Unternehmen ihren Einsatz für Sicherheit. Das trifft insbesondere auf Plattformen und Marktplätze zu, da für die Kundschaft deren eigene Kundinnen und Kunden sowie deren und der eigene Ruf auf dem Spiel stehen.Compliance mit Bestimmungen
Viele Branchen unterliegen aufsichtsrechtlichen Bestimmungen für Datensicherheit und Datenschutz. Durch die Implementierung von Betrugsvorbeugungsmaßnahmen können Unternehmen diese Bestimmungen erfüllen und Geldbußen vermeiden.
Glücklicherweise sind die meisten modernen Hardware- und Softwareprodukte standardmäßig mit starken Betrugsvorbeugungsfunktionen für die Annahme und Verarbeitung von Zahlungen, die Nachverfolgung von Kundenaufträgen und die Verwaltung der Finanzdaten eines Unternehmens ausgestattet – darunter die von Stripe angebotenen Produkte. In der Regel ist es günstiger, diese Maßnahmen zu implementieren, als die potenziellen Kosten von Zahlungsbetrug zu zahlen.
Weitere Informationen dazu, wie Stripe Radar Stripe-Produkte schützt, indem Daten von Millionen weltweiter Unternehmen genutzt werden, um Betrug intelligent auf jedem Kanal zu bekämpfen, finden Sie hier.
Der Inhalt dieses Artikels dient nur zu allgemeinen Informations- und Bildungszwecken und sollte nicht als Rechts- oder Steuerberatung interpretiert werden. Stripe übernimmt keine Gewähr oder Garantie für die Richtigkeit, Vollständigkeit, Angemessenheit oder Aktualität der Informationen in diesem Artikel. Sie sollten den Rat eines in Ihrem steuerlichen Zuständigkeitsbereich zugelassenen kompetenten Rechtsbeistands oder von einer Steuerberatungsstelle einholen und sich hinsichtlich Ihrer speziellen Situation beraten lassen.