Card-Present-Betrug, auch als In-Person-Betrug bekannt, ist eine Art von Betrug beim Zahlen mit Karte. Dabei nutzen Kriminelle eine gestohlene oder gefälschte Kredit- oder Debitkarte, um in einem Geschäft oder an einem anderen physischen Standort einen Kauf zu tätigen. Für den Card-Present-Betrug werden Karten gestohlen oder gefälschte Karten angefertigt. Die Kriminellen machen sich dabei gestohlene Karteninformationen zunutze, die auf dem Magnetstreifen oder Chip kodiert sind. Durch die Chiptechnologie wurde der Missbrauch mit gestohlenen Kartendaten zwar erschwert, doch Betrüger/innen entwickeln neue Methoden. 60 % der Amerikaner/innen, die eine Kredit- oder Debitkarte besitzen, haben bereits Erfahrung mit dieser Art von Betrug gemacht.
Im Folgenden erfahren Sie, was Unternehmen über Card-Present-Betrug wissen sollten: was darunter zu verstehen ist, wie er sich erkennen und wie er sich verhindern lässt.
Worum geht es in diesem Artikel?
- Wie funktioniert Card-Present-Betrug?
- Card-Present- vs. Card-Not-Present-Betrug
- Wie wirkt sich Card-Present-Betrug auf Unternehmen und Kundschaft aus?
- Wie lässt sich Card-Present-Betrug erkennen und verhindern?
Wie funktioniert Card-Present-Betrug?
Es gibt zwei Arten von Card-Present-Betrug: Betrug mit gestohlenen Karten und Betrug mit gefälschten Karten.
Gestohlene Karten: Ein/e Dieb/in stiehlt eine physische Kredit- oder Debitkarte und setzt diese an einem Point-of-Sale(POS)-Terminal, einem Geldautomaten oder an einem Einzelhandelsstandort ein.
Gefälschte Karten: Ein/e Dieb/in fertigt gefälschte Kredit- oder Debitkarten mit gestohlenen Kartendaten an und nutzt diese Karten für persönliche Einkäufe.
Beim Stehlen von Kartendaten oder Anfertigen gefälschter Karten werden häufig die folgenden Methoden angewendet:
Skimming: Ein kleines Gerät (Skimmer) wird an Kartenlesegeräten (etwa an Geldautomaten oder Zapfsäulen) installiert, um Kartendaten vom Magnetstreifen zu erfassen, wenn eine Person ihre Karte durchzieht.
Shimming: Ein kleines Gerät wird in ein Kartenlesegerät eingeführt, um während einer Transaktion Kartendaten von EMV-Chipkarten abzugreifen.
Manipulation von POS-Systemen: POS-Systeme werden mithilfe von Malware, Insiderbedrohungen oder anderen Methoden kompromittiert, um unbefugten Zugriff auf Kartendaten zu erlangen.
Geisterterminals: Gefälschte POS-Terminals werden mit dem Ziel eingerichtet, Kartendaten zu erfassen.
Card-Present- vs. Card-Not-Present-Betrug
Card-Present-Betrug (CP-Betrug)
Diese Art von Betrug liegt vor, wenn die betreffende Kredit- oder Debitkarte während der Transaktion physisch am Point-of-Sale eingesetzt wird. Dies kann anhand einer gestohlenen physischen Karte oder einer gefälschten Karte mit gestohlenen Kartendaten erfolgen.
Sicherheitsfunktionen: Die Kundin oder der Kunde wird möglicherweise aufgefordert, zum Abschließen der Transaktion eine Unterschrift zu leisten oder eine persönliche Identifikationsnummer (PIN) einzugeben.
Risikoniveau: Aufgrund der zusätzlichen Sicherheitsebenen bei einer physischen Karte gilt CP-Betrug im Vergleich zum Card-Not-Present-Betrug als weniger riskant.
Bearbeitungsgebühren: Diese Gebühren fallen bei CP-Transaktionen üblicherweise niedriger aus, da das Betrugsrisiko geringer ist als bei Card-Not-Present-Transaktionen.
Haftung: Bei der nicht autorisierten Nutzung einer Chipkarte über ein Chip-fähiges Terminal verlagert sich die Haftung häufig vom Unternehmen auf den Kartenaussteller (die Bank). Allerdings kann das Unternehmen haftbar gemacht werden, wenn kein EMV-fähiges Kartenlesegerät eingesetzt wird.
Card-Not-Present-Betrug (CNP-Betrug)
Diese Art von Betrug liegt vor, wenn die physische Karte nicht während der Transaktion vor Ort genutzt wird. Dies trifft auf Online-, Telefon- oder Versandhandelskäufe zu, die mit gestohlenen Kartendaten getätigt werden, wobei der Diebstahl oftmals durch Datenschutzverletzungen oder Phishing erfolgt.
Sicherheitsfunktionen: Die Kundin oder der Kunde wird möglicherweise aufgefordert, zum Abschließen der Transaktion eine Kartenprüfnummer einzugeben, die eigene Adresse zu verifizieren oder sich mit 3D Secure zu authentifizieren.
Risikoniveau: CNP-Betrug tritt im Vergleich zum CP-Betrug eher auf, da es weniger Möglichkeiten gibt, die Identität der Karteninhaberin oder des Karteninhabers physisch zu überprüfen.
Bearbeitungsgebühren: Diese Gebühren fallen bei CNP-Transaktionen aufgrund des erhöhten Betrugsrisikos üblicherweise höher aus.
Haftung: In den meisten Fällen von CNP-Betrug haftet das Unternehmen.
Wie wirkt sich Card-Present-Betrug auf Unternehmen und Kundschaft aus?
Auswirkungen auf das Unternehmen
Finanzieller Verlust: Unternehmen erleiden einen unmittelbaren finanziellen Verlust, wenn sie von betrügerischen Transaktionen betroffen sind. Unternehmen müssen Rückbuchungen einleiten, wenn Kundinnen und Kunden einen Fall von Betrug melden. Das kostet die Unternehmen Geld, da sie den Transaktionsbetrag nicht erhalten, Waren verlieren und Rückbuchungsgebühren zahlen müssen.
Rufschädigung: Betrügerische Transaktionen können dem Ruf und Ansehen eines Unternehmens schaden. Kundinnen und Kunden zweifeln womöglich an der Sicherheit des Unternehmens, was sich negativ auf das Vertrauen und die Loyalität der Kundschaft auswirkt.
Gestiegene Kosten: Unternehmen, die regelmäßig von Betrugsfällen betroffen sind, müssen eventuell stärkere Sicherheitsmaßnahmen ergreifen, z. B. ein Upgrade ihrer POS-Systeme, die Einführung zusätzlicher Überwachungslösungen sowie Mitarbeiterschulungen zum Thema Betrugsprävention. Diese Schritte sind in der Regel mit zusätzlichen Kosten verbunden.
Betriebsstörungen: Ermittlungen, Prüfungen oder Gerichtsverfahren im Zusammenhang mit Betrugsfällen können den Geschäftsbetrieb und die Mitarbeiterproduktivität beeinträchtigen.
Compliance und Haftung: Unternehmen, die von Card-Present-Betrug betroffen sind, müssen sich unter Umständen Complianceprüfungen stellen. Sie können für Schäden haftbar gemacht werden, wenn ihnen Fahrlässigkeit nachgewiesen wird.
Auswirkungen auf die Kundschaft
Finanzielle Probleme: Kunden müssen mit finanziellen Problemen rechnen, wenn ihre Karte für betrügerische Zwecke genutzt wird. Zwar haben viele Banken und Kartenaussteller „Null-Haftung“-Richtlinien, die ihre Kundschaft vor der Haftung schützen, dennoch kann die Problemlösung einen gewissen Zeit- und Arbeitsaufwand erfordern.
Unannehmlichkeit: Der Umgang mit Card-Present-Betrug verursacht bei vielen Kundinnen und Kunden Stress und Unbehagen. Gegebenenfalls müssen sie Konten schließen, neue Karten anfordern, automatische Zahlungen aktualisieren und Störungen bei Finanzabläufen beseitigen.
Risiko des Identitätsdiebstahls: In einigen Fällen kann der Card-Present-Betrug mit einem umfangreicheren Identitätsdiebstahl einhergehen, wenn zusätzliche persönliche Daten entwendet werden. Dies kann Langzeitauswirkungen auf die finanzielle Sicherheit der Kundschaft haben.
Verzögerte Transaktionen: Kundinnen und Kunden müssen sich auf Verzögerungen oder Komplikationen einstellen, wenn ihre Karten als betrügerisch gemeldet werden. Möglicherweise können sie vorerst keine Einkäufe tätigen und kein Bargeld abheben.
Wie lässt sich Card-Present-Betrug erkennen und verhindern?
Unternehmen, die Card-Present-Betrug erkennen und verhindern möchten, benötigen eine Kombination aus moderner Technologie, Datenanalyse, Kundenschulung und wachsamem Personal. Zur Erkennung und Verhinderung von Card-Present-Betrug eignen sich die folgenden Strategien:
Transaktionsprozess
Sicherheitsprotokolle: Führen Sie klare Sicherheitsprotokolle für die Abwicklung von Kartentransaktionen fest. Diese Protokolle sollten Maßnahmen zur Überprüfung der Karteninhaberidentität sowie Verfahren zur Meldung von mutmaßlichen Betrugsfällen vorsehen.
Kundenverifizierung: Authentifizieren Sie Karteninhaber/innen anhand von biometrischen Überprüfungen (Fingerabdrücke, Gesichtserkennung) oder Methoden der Multi-Faktor-Authentifizierung, z. B. PIN-Codes, biometrische Daten oder Einmalpasswörter, während der Transaktion. Nutzen Sie dynamische Sicherheitsfragen oder Kundenprofile, um Karteninhaber/innen bei verdächtigen Transaktionen zu verifizieren.
Sicherheit von POS-Terminals: Installieren Sie manipulationssichere POS-Geräte mit integrierten Sicherheitsfunktionen, darunter verschlüsselte Tastaturen und sichere Kartenlesegeräte. Achten Sie stets auf Anzeichen von Manipulation, z. B. nicht fest sitzende Komponenten oder ungewöhnliche Zusatzteile.
Authentifizierung von Geräten: Authentifizieren Sie die Geräte, damit Transaktionen nur über autorisierte Terminals abgewickelt werden. So hindern Sie Kriminelle an der Nutzung von „Geisterterminals“ oder nicht autorisierten POS-Systemen.
Sofortwarnungen: Sorgen Sie dafür, dass in Echtzeit vor verdächtigen Transaktionen gewarnt wird. Die Warnungen können an die Karteninhaberin oder den Karteninhaber und an die für Betrugsprävention zuständigen Teams gesendet werden.
Betrugsbewertungssysteme: Weisen Sie den Transaktionen eine Risikobewertung auf Basis mehrerer Faktoren zu, darunter Standort, Transaktionsart, Häufigkeit und Karteninhaberhistorie. Bei Transaktionen mit hoher Bewertung wird eine zusätzliche Verifizierung veranlasst.
Transaktionsüberwachung
Kundenprofile: Erstellen Sie detaillierte Profile des Ausgabeverhaltens der Stammkundschaft, einschließlich bevorzugter Standorte und typischer Transaktionsbeträge, sodass Sie ungewöhnliche Aktivitäten erkennen. Mögliche Warnsignale sind unerwartet große Einkäufe, mehrere Transaktionen kurz hintereinander oder Einkäufe an verschiedenen Orten innerhalb eines kurzen Zeitraums.
Maschinelles Lernen: Mit Machine-Learning-Algorithmen lassen sich Transaktionsmuster in Echtzeit analysieren. So können Sie Anomalien schnell feststellen und Maßnahmen gegen betrügerische Transaktionen unternehmen.
Standortbasierte Überwachung: Integrieren Sie die Nachverfolgung per Geolokalisierung in Ihr POS-System, um verdächtige Kartennutzung anhand geografischer Muster aufzudecken. Auf diese Weise werden Unternehmen vor einem möglichen Card-Present-Betrug gewarnt.
Prognosemodelle: Wenden Sie Prognosemodelle an, bei denen potenzieller Betrug mithilfe von Daten aus früheren Vorfällen vorzeitig erkannt wird. Stellen Sie Muster und Korrelationen fest, die als Grundlage für Präventivmaßnahmen infrage kommen.
Kanalübergreifende Daten: Integrieren Sie Ihr POS-System in E-Commerce-Kanäle, um sich einen umfassenden Überblick über das Kundenverhalten zu verschaffen. Auf diese Weise können Sie kanalübergreifende Betrugsmuster aufdecken.
Technologie
EMV-Chiptechnologie: Implementieren Sie EMV-Chip-fähige Kartenlesegeräte. Die Chiptechnologie ist sicherer als Magnetstreifen und reduziert somit das Risiko des Einsatzes gefälschter Karten.
Kontaktlose Zahlungen: Fördern Sie kontaktlose Zahlungsmethoden, um das Skimmingrisiko zu minimieren.
End-to-End-Verschlüsselung: Verschlüsseln Sie Kartendaten von der Erfassung bis zur Abwicklung, damit sie nicht durch Skimming oder Shimming abgegriffen werden.
Sichere Zahlungs-Gateways: Nutzen Sie sichere Zahlungs-Gateways mit starker Verschlüsselung und Einhaltung von Branchenstandards wie dem Payment Card Industry Data Security Standard (PCI DSS).
Sichere Netzwerke: Richten Sie sichere Netzwerke und Firewalls zum Schutz vor unerlaubtem Zugriff auf Zahlungssysteme ein.
Schulung und Bewusstseinsbildung
Schulungen zur Betrugserkennung: Vermitteln Sie Mitarbeiterinnen und Mitarbeitern, wie sie Anzeichen für Card-Present-Betrug erkennen, etwa verdächtiges Verhalten, Manipulation oder vom Muster abweichende Einkäufe. Zeigen Sie ihnen, wie sie angemessen reagieren können.
Kundeninteraktion und -feedback: Ermuntern Sie die Mitarbeiter/innen, während der Transaktion mit der Kundin oder dem Kunden zu kommunizieren. Dadurch entsteht eine persönlichere Interaktion, die zur Erkennung ungewöhnlicher Verhaltensweisen beitragen kann. Richten Sie Feedbackmechanismen ein, mithilfe derer die Kundschaft mögliche Bedenken oder verdächtige Aktivitäten melden kann.
Schulung für Karteninhaber/innen: Vermitteln Sie den Kundinnen und Kunden ein Bewusstsein für die Risiken des Card-Present-Betrugs. Ermuntern Sie sie dazu, ihre Transaktionen regelmäßig auf unerlaubte Aktivitäten zu überprüfen.
Compliance und Kooperation
Zusammenarbeit im Netzwerk: Schließen Sie sich Netzwerken zur Betrugserkennung und -prävention oder Branchenverbänden an, um Informationen auszutauschen und in Zusammenarbeit neue Betrugstrends aufzuspüren.
Partnerschaft mit Strafverfolgungsbehörden: Gehen Sie Partnerschaften mit örtlichen Strafverfolgungsbehörden ein, um mutmaßliche Betrugsfälle umgehend zu melden und zu untersuchen.
Einhaltung von Branchenstandards: Halten Sie Branchenregelungen und -standards konsequent ein, um ein hohes Maß an Sicherheit aufrechtzuerhalten und das Risiko betrugsbedingter Verbindlichkeiten zu reduzieren.
Der Inhalt dieses Artikels dient nur zu allgemeinen Informations- und Bildungszwecken und sollte nicht als Rechts- oder Steuerberatung interpretiert werden. Stripe übernimmt keine Gewähr oder Garantie für die Richtigkeit, Vollständigkeit, Angemessenheit oder Aktualität der Informationen in diesem Artikel. Sie sollten den Rat eines in Ihrem steuerlichen Zuständigkeitsbereich zugelassenen kompetenten Rechtsbeistands oder von einer Steuerberatungsstelle einholen und sich hinsichtlich Ihrer speziellen Situation beraten lassen.