Grundlagen des Betrugs und der Betrugsprävention
Was ist Betrug?
Beschäftigt man sich mit dem Thema Betrugsprävention, so ist zunächst zu klären, was mit Betrug gemeint ist, um die Rahmenbedingungen abzustecken. Einen ersten Anhaltspunkt zu dem Thema bieten wie so oft die einschlägigen Gesetze. In Deutschland ist der Tatbestand des Betrugs im Strafgesetzbuch geregelt. Nach dem Gesetzestext liegt Betrug immer dann vor, wenn ein Täter durch die Vorspiegelung falscher Tatsachen oder die Manipulation von Informationen eine Täuschung eines anderen bewirkt, um sich selbst einen Vorteil zu verschaffen.
In Zeiten der Digitalisierung betreffen Betrugsfälle zunehmend Sachverhalte, die sich auf den Einsatz von modernen Informations- und Kommunikationstechniken stützen. Im engeren Sinne sprechen Fachleute in diesem Zusammenhang nicht mehr nur allgemein über Betrug, sondern vielmehr über Cybercrime. Cybercrime fasst die Arten des Betrugs zusammen, die sich gegen das Internet oder informationstechnische Systeme richten oder mittels dieser Medien begangen werden. Bekannte Beispiele des Cybercrime sind Phishing, Ransomware, Social Engineering oder Botnetze.
Im Rahmen der Betrugsprävention im E-Commerce ist vor allem eine Form des Betrugs von besonderer Bedeutung: Der sogenannte Computerbetrug und dabei vor allem der Warenkreditbetrug ist die häufigste Form von Fällen, gegen die sich Onlinehändler wehren müssen.
Warenkreditbetrug umfasst diejenigen Fälle, in denen ein Onlinehändler Waren verkauft, dem vermeintlichen Kunden ausliefert und die Zahlung der Waren noch aussteht. Diese Lieferung vor Zahlung lässt ein Kreditverhältnis entstehen und die Lieferung der Waren erfolgt allein deshalb, weil der Betrüger eine Zahlungsfähigkeit vortäuscht. Man spricht in diesem Zusammenhang auch von Eingehungsbetrug.
Ein weiterer Sonderfall ist der Identitätsbetrug, bei dem die Zahlungsfähigkeit durch Nutzung einer falschen Identität vorgetäuscht wird. Dies kann zum einen eine erfundene Identität sein, die realistische Merkmale einer echten Person nutzt oder aber die vollständige Verwendung von Personendaten eines fremden Dritten.
Was ist Betrugsprävention?
Mit Betrugsprävention sind sämtliche Maßnahmen, Prüfungen oder Verfahren umschrieben, die zur Abwehr von Betrugsfällen eingesetzt werden können und mögliche Vermögensschäden vermeiden sollen.
Im E-Commerce-Kontext spricht man insbesondere von technischen Maßnahmen, die Onlinehändler einsetzen, um Transaktionen in Onlineshops zu bewerten. Die Maßnahmen im E-Commerce sind überwiegend Prüfungen, die in Echtzeit (Realtime) abgewickelt werden müssen, um Entscheidungen zur Akzeptanz eines Kunden in dem Moment treffen zu können, in dem der Kaufprozess durchlaufen wird. Oftmals beeinflussen die Prüfungsverfahren dabei direkt den Ablauf eines Online-Checkouts, indem zum Beispiel die risikobehafteten Zahlungsverfahren wie der Rechnungskauf direkt ausgeblendet werden, sobald ein Betrugsrisiko erkannt wird.
Aufgrund von historischen Transaktionsdaten wird im Wege einer Analyse ermittelt, welche Merkmale Betrugsfälle aufweisen. Diese Merkmale werden zu typisierten Betrugsmustern zusammengefasst, die bei erneutem Auftreten zu einem Warnhinweis führen können. Je mehr trennscharfe Merkmale und Betrugsmuster identifiziert werden, desto wirkungsvoller kann die Betrugsprävention erfolgen.
Vermeidung von Betrugsrisiken in der Praxis
Methoden der Betrugsprävention
Moderne Risikomanagementsysteme nutzen eine Vielzahl von Methoden zur Identifizierung von Risiken. Man kann die unterschiedlichen Vorgehensweisen dabei in verschiedene Kategorien einteilen. Zum einen gibt es Plausibilitätsprüfungen, die zunächst nur einen Hinweis darauf geben, ob bestimmte Datenmerkmale als realistisch eingeschätzt werden. Darüber hinaus kommen unter anderem auch Häufigkeitsprüfungen (sog. Velocity-Checks) oder Grenzwertprüfungen (sog. Limit-Checks) zum Einsatz. Erweitern kann man diese Prüfungen auch um Produkt- oder Warenkorbprüfungen, bei denen je nach verkauftem Artikel unterschiedliche Risikoeinstellungen abgeprüft werden. Auch technische oder logische Prüfungen werden eingesetzt, um zu ermitteln, ob vorliegende Daten überhaupt verarbeitet werden können.
Große Herausforderung der Betrugsprävention ist es, die Vielzahl der vorliegenden Informationen in Echtzeit zu prüfen, miteinander in Zusammenhang zu setzen und nach einem hochspezialisierten Scoringsystem zu einer Gesamtbewertung und Entscheidung zusammenzuführen.
Beispiele für wirkungsvolle Maßnahmen in der Betrugsprävention
-
- Plausibilitätsprüfungen:
Überprüfung von Schreibweisen bei Adressdaten, Abgleich von Namensbestandteilen, Prüfung von Sonderzeichen in Namensfeldern
- Plausibilitätsprüfungen:
-
- Häufigkeitsprüfungen:
Anzahl der Bestellungen eines Kunden innerhalb eines bestimmten Zeitfensters, Häufigkeiten von Lieferadressen
- Häufigkeitsprüfungen:
-
- Grenzwertprüfungen:
Prüfung von Warenkorblimits bei Bestellung, Begrenzung von Lieferungen bei Überschreitung von Bestellwerten
- Grenzwertprüfungen:
-
- Warenkorbprüfungen:
Identifizierung von risikobehafteten Produkten, die häufiger von Betrugsversuchen betroffen sind
- Warenkorbprüfungen:
Sofern ein Händler derartige Prüfungen in Echtzeit ermöglichen kann, werden die Risiken des Handels im E-Commerce deutlich reduziert.
Einsatz künstlicher Intelligenz für die Betrugsprävention
Eine Erweiterung der Betrugspräventionsmaßnahmen besteht zunehmend auch darin, künstliche Intelligenz für die Erkennung von Betrugsmustern einzusetzen. Dabei werden moderne Technologien eingesetzt, um große Datenmengen zu analysieren und aus einer Vielzahl von Einflussfaktoren Zusammenhänge herauszufiltern. Der Vorteil dieser Vorgehensweise ist, dass die Kapazität der Technologie weit über die einer rein menschlichen Analyse hinausgeht. Es werden schnellere und bessere Ergebnisse erzielt, die dann ebenfalls in den Risikomanagementsystemen genutzt werden können.
Umsetzung von Betrugspräventionsmaßnahmen in der Praxis
Entscheidungssysteme
Die Bewertung von Risiken erfolgt im E-Commerce-Kontext zum Zeitpunkt des eigentlichen Kaufvorgangs. Alle Informationen müssen analysiert und bewertet werden. Die vorliegenden Daten müssen anhand von festgelegten Kriterien, wie zum Beispiel einem maximal zulässigen Warenkorbwert oder einer maximalen Zahlungsausfallwahrscheinlichkeit (probability of default (PD)) eingeordnet werden. Die Ergebnisse dieser Prüfungen führen zu unterschiedlichen Abläufen im Checkout-Prozess. Da Entscheidungen für oder gegen ein Geschäft sowie zu den Zahlungsbedingungen getroffen werden, spricht man im Allgemeinen auch von Entscheidungssystemen. Diese Entscheidungssysteme verarbeiten die vorliegenden Daten, ordnen diese nach vorgegebenen Kriterien und führen diese in finale Entscheidungen über.
Systematik von Entscheidungsprozessen im Fraud Management
Anforderungen an Entscheidungssysteme
Die hier beschriebenen Entscheidungssysteme müssen eine Reihe von Anforderungen erfüllen, damit sie in der Praxis volle Wirkung entfalten und wirksam gegen Betrugsversuche eingesetzt werden können.
-
- Echtzeit-Entscheidung (Real Time)
Da Kaufprozesse im E-Commerce auf eine direkte Abwicklung ausgelegt sind, müssen sämtliche Risikoinformationen in Echtzeit verarbeitet und einer Entscheidung zugeführt werden.
- Echtzeit-Entscheidung (Real Time)
-
- Hohe Verfügbarkeit
Die Entscheidungssysteme müssen zuverlässig und zu jeder Zeit einsatzbereit sein, um sämtliche Transaktionen im elektronischen Handel abbilden zu können.
- Hohe Verfügbarkeit
-
- Flexibilität
Betrugsmuster entwickeln sich ständig weiter. Auf Grundlage der getroffenen Entscheidungen und laufender Auswertungen erfolgen in der Praxis regelmäßige Anpassungen der Risikoparameter. Die Entscheidungssysteme müssen die neuesten Erkenntnisse jederzeit aufgreifen und umsetzen können.
- Flexibilität
-
- Offenheit
Zur stetigen Verbesserung des Risikomanagementprozesses ist ein Austausch von Daten mit verschiedenen Datenbanken von hoher Bedeutung. Entscheidungssysteme müssen externe Datenquellen in vielfältiger und auch wechselnder Ausprägung anbinden können.
- Offenheit