Betrugsprävention in der Payment-Branche

Wie ist der aktuelle Stand der Betrugsbekämpfung in der Payment-Branche? Was sind vorherrschende Bedrohungen und wie entwickeln sie sich?

Markus: Die größte Bedrohung geht heute von Social-Engineering-Betrug aus. Dieser hat in Europa nach der Einführung der PSD2-Richtlinie über einheitliche Sicherheitsstandards für elektronische Zahlungen im Jahr 2019 merklich zugenommen. Denn da technische Angriffe immer schwieriger durchzuführen sind, ist Social Engineering als unmittelbare Reaktion darauf entstanden. 

Es gibt verschiedene Arten von Social-Engineering-Betrug. Am weitesten verbreitet und zugleich am gefährlichsten sind Betrugsmaschen, bei denen Kundinnen und Kunden gezielt manipuliert werden. Ganz ohne technischen Angriff überzeugen Betrüger ihre Opfer, eine Transaktion auszulösen und Geld zu überweisen. 

In diesem Bereich sind die Schutzvorkehrungen noch relativ gering, die Angriffe sind komplex und die Verluste hoch, weil die Betrüger oft mehrere Angriffskanäle nutzen. Sobald sie beispielsweise ein Online-Banking-Konto übernommen haben, können sie die Karten für Google Pay oder Apple Pay oder einen E-Commerce-Kanal bereitstellen, um den Ertrag aus einem einzigen Angriff zu maximieren. 

Gibt es Technologien, die häufiger bei Betrugsangriffen eingesetzt werden?

Markus: Das klassische Szenario bleibt Phishing – heute allerdings auch über Sprache (Voice Phishing), SMS oder QR-Codes. Das Muster ist immer gleich: Der Angreifer versucht, an sensible Daten zu gelangen. Mit der Einführung der Zwei-Faktor-Authentifizierung kommt nun eine weitere Hürde hinzu: Betrüger müssen diese Authentifizierung entweder selbst auslösen oder das Opfer dazu bringen, sie zu bestätigen. Das Grundprinzip bleibt eine Form von Social Engineering – früher meist per E-Mail, heute zunehmend über soziale Medien, Messenger-Dienste oder Online-Marktplätze, je nach erfolgversprechendstem Einstiegspunkt.

Augusto: Social-Engineering-Betrug betrifft auch physische Karten. In einigen Ländern rufen Betrügerinnen und Betrüger den Karteninhaber oder die Karteninhaberin an und geben sich als Mitarbeitende ihrer Bank aus. Auf dem Display erscheint tatsächlich der Name der Bank, was das Vertrauen der Opfer stärkt. Sie werden dann aufgefordert, ihre Karte zu zerschneiden und einem angeblichen Boten zu übergeben, der sie abholt. Sobald die Betrüger die Karte besitzen, überreden sie den Kunden oder die Kundin, die PIN preiszugeben. Damit verfügen sie über Karte und PIN und können jede physische Transaktion durchführen. Dieser Trend nimmt in Europa zu – insbesondere in den Niederlanden, wo vor allem ältere Kundinnen und Kunden betroffen sind, die ihrer Bank stark vertrauen. Diese Art von Betrug breitet sich aus, weil es immer schwieriger wird, ein Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit zu wahren. Senkt man die Sicherheitsstandards zugunsten von Komfort, entstehen neue Angriffsflächen.

Warum ist es für Banken, Zahlungsdienstleister und den Handel so wichtig, ihre Sicherheitsstrategien zu überdenken, um auf diese Bedrohungen zu reagieren?

Augusto: Im Wesentlichen aus zwei Gründen: Markenimage und Reputation. Heute können Kundinnen und Kunden sehr leicht die Bank wechseln. Sie haben zahlreiche Alternativen und negative Erfahrungen verbreiten sich in sozialen Medien rasend schnell. Daher investieren Banken zunehmend in Betrugsprävention – nicht nur, um finanzielle Verluste zu verhindern, sondern auch, um Reputationsschäden zu vermeiden, die heute schwerer wiegen als früher.

Markus: Expertinnen und Experten für Betrugsprävention berichten, dass Angriffe in den letzten Jahren deutlich raffinierter geworden sind. Neue Trends entstehen ständig und Betrug passt sich kontinuierlich an – heute allerdings mit wesentlich höherer Geschwindigkeit. Die Betrüger passen sich sehr viel effizienter an die Präventionsmechanismen an. Ein neues Phänomen ist „Fraud-as-a-Service“, bei dem sich organisierte Gruppen auf verschiedene Aspekte des Betrugsprozesses spezialisieren. Darüber hinaus wird generative KI eingesetzt, um Angriffe noch raffinierter zu gestalten. So lassen sich heute Phishing-E-Mails fehlerfrei verfassen, Videos mit großer Tiefe fälschen und Stimmen realistisch imitieren. Früher brauchten Kriminelle Sprachkenntnisse und den richtigen Tonfall – heute erledigt das KI. Das beschleunigt die Anpassungsfähigkeit enorm.

Sind die Auswirkungen auf Marke und Reputation für Händler ebenso bedeutend wie für Banken und Zahlungsdienstleister?

Markus: Für Finanzinstitute ist Betrug eindeutig ein Reputationsproblem. Im E-Commerce-Handel bin ich mir da nicht so sicher. Verbraucherinnen und Verbraucher sehen das Betrugsproblem in der Regel eher bei den Finanzinstituten als beim Handel, selbst dann, wenn der Händler oder die Händlerin über unzureichende Sicherheitsmaßnahmen verfügt. Entstehen die Verluste auf der Karte oder dem Konto, wendet sich der Kunde oder die Kundin zuerst an die Bank – und sucht dort die Verantwortung.

Welche Punkte entlang der Payment Journey sind für Betrug besonders anfällig?

Markus: Besonders gefährdet sind Online-Kanäle. Sofortüberweisungen von Konto zu Konto sind in Europa ein wachsendes Problem – global allerdings noch nicht flächendeckend etabliert. Im E-Commerce spielt es kaum eine Rolle, ob über Karten, digitale Wallets oder App-basierte Dienste bezahlt wird – jeder Kanal kann Ziel eines Angriffs werden. Ein großes Risiko besteht in der Integration von Karten in digitale Wallets wie Apple Pay oder Google Pay. Einige Banken geben gar keine physischen Karten mehr aus, sondern nur virtuelle. Diese können Betrüger direkt in Wallets hinterlegen und anschließend frei entscheiden, wie sie das Geld abziehen – etwa durch Käufe neuer Geräte oder über Online-Plattformen.

Das Aufkommen digitaler Geldbörsen als Zahlungsmethode macht Verbraucherinnen und Verbraucher also anfälliger für Betrug?

Markus: In gewisser Weise ja. Im E-Commerce braucht man keine physische Karte, um eine Transaktion auszulösen – die Kartennummer genügt. Sobald man die hat, ist es egal, ob man sie in einer elektronischen Geldbörse speichert oder direkt eingibt. Elektronische Wallets stellen also eine zusätzliche potenzielle Schwachstelle dar.

Augusto: Bei physischen Karten ist die Situation heute deutlich sicherer. Fast alle Transaktionen laufen über Chips, Magnetstreifen werden zunehmend abgeschafft – Mastercard plant sogar, diese ganz zu eliminieren, da sie leicht zu kopieren sind. Das beseitigt eine wesentliche Schwachstelle. Chip-Transaktionen sind sowohl durch symmetrische als auch durch asymmetrische Kryptografieverfahren sehr sicher.

In welchem Umfeld steigt der Betrug im Zahlungsverkehr am schnellsten – digital, physisch oder phygital?

Augusto: Betrug entwickelt sich in allen Bereichen weiter, insbesondere beim Social Engineering. Zunehmend beobachten wir auch das Abfangen physischer Karten, bevor sie beim Kunden oder bei der Kundin ankommen – die Betrüger ersetzen den Chip, sodass die Karte manipuliert ist, wenn der Empfänger oder die Empfängerin sie erhält. Der Fokus liegt aber weiterhin auf digitalen Kanälen, da sie für Betrüger einfacher und lukrativer sind als physische Angriffe.

Markus: Ob digital oder physisch – es gibt Bedrohungen auf allen Ebenen. Selbst Geldautomaten werden noch angegriffen. Doch das größte Risiko liegt klar im digitalen Raum, da sich dort Angriffe massiv skalieren lassen. Eine der alarmierendsten Entwicklungen der letzten Zeit war im Vereinigten Königreich mit der Einführung von sofortigen Konto-zu-Konto-Zahlungen zu beobachten: Die Zahl der Betrugsangriffe explodierte förmlich, sodass die Regulierungsbehörden handeln mussten. Für Betrügerinnen und Betrüger sind diese Zahlungen attraktiv, weil sie keine Karten, Händler und Händlerinnen oder komplexe Infrastruktur benötigen, sondern nur einen Angriffsvektor und dazu entweder eine Person, die sie zu einer Sofortüberweisung veranlassen können, oder einen Weg, dies selbst zu tun. Sobald das Geld überwiesen ist, lässt es sich über viele Konten weiterleiten – mit minimalem Entdeckungsrisiko. Ähnliche Entwicklungen sieht man auch in Australien und künftig wohl in Europa, wenn die neuen EU-Regeln für Instant Payments greifen.

Warum gelten Sofortüberweisungen als so unsicher? Ist das nicht überraschend, wenn man bedenkt, dass es sich um eine innovative neue Zahlungsmethode handelt?

Augusto: Ganz und gar nicht, denn die Vorteile für Betrügerinnen und Betrüger liegen auf der Hand. Bei Konto-zu-Konto-Zahlungen geschieht alles unmittelbar und relativ anonym, eine vergleichbare Infrastruktur wie bei Zahlungskarten ist nicht erforderlich. Die üblichen Schutzmechanismen bei Konto-zu-Konto-Verfahren gehen davon aus, dass Zeit bleibt, um zu klären, ob Transaktionen ausgeführt werden oder nicht. Wenn diese Zeitspanne entfällt, sind außerordentlich leistungsfähige Systeme notwendig. Für Bezahlkarten gibt es diese Systeme bereits. Sie könnten auch für digitale Konten existieren, aber sie müssen sehr schnell arbeiten. Sie dürfen sich zudem keine Fehler erlauben.

Welche häufigen Fehler machen Unternehmen im Bereich des Zahlungsverkehrs, wenn sie versuchen, Betrug zu verhindern? Welche sind die größten Fehltritte?

Markus: Ein Fehler besteht darin, dass Finanzinstitute ihre Betrugsprävention nur in Teilbereichen verbessern, ohne sie ganzheitlich über alle Kanäle hinweg zu harmonisieren. Oft existieren bereits ausgereifte Transaktions-Scoring-Systeme, während in anderen Prozessen – etwa bei der Registrierung – unerkannte Schwachstellen verbleiben. Selbst das beste Scoring-System ist nutzlos, wenn Betrüger leicht die Authentifizierungsmethode eines Kunden oder einer Kundin übernehmen und so das gesamte Konto leer räumen können. Das ist ein systemischer Mangel, der immer wieder vorkommt. Dass dies geschieht, ist nachvollziehbar: Große Organisationen mit vielfältigen Finanzdienstleistungen arbeiten mit komplexen Prozessen. Wird ein neuer Ablauf entwickelt – beispielsweise ein Onboarding-Prozess oder eine neue Zahlungsmethode –, müssen Betrugsexpertinnen und -experten frühzeitig eingebunden werden, um Risiken umfassend zu bewerten. In der Praxis geschieht dies jedoch oft zu spät oder gar nicht.

Augusto: Banken stehen zunehmend im Wettbewerb mit FinTechs, insbesondere im Hinblick auf Benutzerfreundlichkeit. Der Wunsch, den Komfort für Kundinnen und Kunden zu erhöhen, war vor dem Aufkommen der FinTechs kaum relevant. Früher war eine physische Transaktion erforderlich, um eine Karte zu aktivieren – heute ist dies bequem per Smartphone möglich. Diese Bequemlichkeit eröffnet jedoch neue Angriffsflächen, etwa bei Postdiebstählen. Kundinnen und Kunden aktivieren Karten über ihr Mobiltelefon, ohne zu wissen, dass der Chip manipuliert wurde. Solche Fälle waren früher kaum denkbar, als Karten ausschließlich physisch aktiviert werden konnten.

Wie werden neue Technologien wie KI, Biometrie und Tokenisierung zur Betrugsbekämpfung eingesetzt?

Augusto: Bei Bezahlkarten werden derzeit innovative Technologien eingeführt – beispielsweise integrierte Fingerabdrucksensoren. Hier ersetzt die biometrische Authentifizierung die PIN-Eingabe, wodurch physische Transaktionen sicherer und zugleich komfortabler werden. Auch Karten mit dynamischem CVV (Card Verification Value, ein Sicherheitscode auf der Karte) gewinnen an Popularität. Sie generieren fortlaufend neue Sicherheitscodes, die sich besonders für Online-Transaktionen eignen – und das ganz ohne integrierte Batterie. Zunehmend suchen Banken zudem nach sicheren Authentifizierungsmechanismen für physische Zahlungen. Es wird etwa an Lösungen gearbeitet, bei denen die Bezahlkarte zur Bestätigung an das Smartphone gehalten wird, um die Transaktion sicher zu autorisieren.

Markus: Das mag auf den ersten Blick nach einer Retro-Lösung wie vor zwanzig Jahren klingen, ist aus Sicherheitsperspektive jedoch äußerst robust. Eine physische Karte lässt sich nicht „phishen“ – sie muss tatsächlich in Besitz gebracht werden. Im Gegensatz dazu bleiben digitale Onboarding-Prozesse grundsätzlich anfällig für Angriffe. Im digitalen Bereich gelten künstliche Intelligenz (KI) und Machine Learning als leistungsfähige Instrumente im Kampf gegen technische und soziale Betrugsformen, da sie umfangreiche Daten – etwa Verhaltens- oder Gerätedaten – auswerten können. Allerdings wird ein zentrales Problem häufig übersehen: Diese Technologien sind nur so gut wie die Daten, mit denen sie trainiert werden. Sie funktionieren ausschließlich mit hochwertigen, korrekt klassifizierten Datensätzen und basieren auf historischen Mustern. Neue Betrugsformen erkennt ein Algorithmus daher oft zu spät. Wenn die Datenqualität oder Fallbewertung mangelhaft ist, verlieren solche Modelle ihre Wirksamkeit. Deshalb werden klassische, regelbasierte Ansätze erfahrener Betrugsspezialistinnen und -spezialisten auch in Zukunft unverzichtbar bleiben. Zur Klärung von Transaktionen ist zudem nach wie vor der direkte Kontakt mit dem Kunden oder der Kundin erforderlich – also menschliches Eingreifen.

Wie sollte die Zahlungsverkehrsbranche bei der Betrugsbekämpfung ein Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit herstellen?

Augusto: Das Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit ist eine ständige Herausforderung. Ein gutes Beispiel ist der sogenannte Caesarean Fraud, bei dem Betrüger Chips in Zahlungskarten austauschen, um Sicherheitsmaßnahmen zu umgehen. Diese Betrugsform breitet sich insbesondere in Lateinamerika stark aus und profitiert von vereinfachten Kartenaktivierungsverfahren. Unternehmen sollten daher mehrere Aktivierungsmöglichkeiten anbieten, statt ausschließlich auf die bequeme Ein-Klick-Aktivierung per Mobilgerät zu setzen. In den USA führen einige Banken bereits Verfahren ein, bei denen die Karte zunächst an das Smartphone gehalten werden muss, um sie über die Banking-App zu aktivieren.

Markus: Die Zwei-Faktor-Authentifizierung ist das Paradebeispiel für den Spagat zwischen Sicherheit und Nutzerfreundlichkeit. Methoden wie Einmalpasswörter oder Sicherheitsfragen sind dagegen weder besonders sicher noch benutzerfreundlich. Eine Kombination aus biometrischer Authentifizierung – etwa durch Gesichtserkennung oder Fingerabdruck – und Besitznachweis über das Mobilgerät bietet einen sehr guten Kompromiss. Dennoch sollten Banken, insbesondere beim Onboarding, keine übermäßigen Abstriche bei der Sicherheit machen. Viele erwarten eine sofortige Aktivierung, sobald sie ihre Karte oder virtuelle Kartennummer erhalten. Das birgt erhebliche Risiken, wenn der Aktivierungscode auf demselben Gerät ausgelesen werden kann. Eine kleine Prozessanpassung – beispielsweise ein längerer Aktivierungslink, der nicht direkt auf dem Mobilgerät geöffnet werden kann – erhöht die Sicherheit erheblich, ohne den Komfort wesentlich zu beeinträchtigen. Insgesamt sollte das Gleichgewicht heute immer leicht zugunsten der Sicherheit ausfallen. Zwei-Faktor-Authentifizierung ist unerlässlich und biometrische Verfahren sind inzwischen vertraut, reibungslos und hochsicher.

Wie können Unternehmen den Verbraucherinnen und Verbrauchern helfen, sich beim Bezahlen sicherer zu fühlen, ohne sie zu überfordern?

Augusto: Sicherheit sollte durch vertraute und intuitive Mechanismen eingeführt werden. Dynamische CVV-Codes sind ein gutes Beispiel – sie bauen auf einem bekannten Konzept auf und werden von Kundinnen und Kunden leicht verstanden. Auch biometrische Zahlungskarten sind intuitiv, da Nutzerinnen und Nutzer bereits daran gewöhnt sind, ihr Smartphone mit dem Fingerabdruck zu entsperren. So lässt sich die Sicherheit erhöhen, ohne zusätzlichen Erklärungsbedarf.

Markus: Ich stimme zu. Reibungslose, datenbasierte Authentifizierung sollte heute Standard sein. Dennoch ist Aufklärung entscheidend – insbesondere im Zusammenhang mit Social-Engineering-Angriffen. Viele Banken erklären zwar, dass sie niemals nach der PIN am Telefon fragen, erläutern aber nicht das „Warum“. Kundinnen und Kunden verstehen die Bedrohung besser, wenn sie in einfachen Worten erklärt wird. Selbst kleine Hinweise, etwa dass Standortdaten zur Betrugsprävention und nicht zur Überwachung genutzt werden, schaffen Vertrauen.

Haben die Technologien von G+D direkt dazu beigetragen, Betrug zu verringern und Vertrauen bei den Kundinnen und Kunden aufzubauen?

Augusto: Auf der Kartenseite ist die Entwicklung klar: Nahezu alle physischen Transaktionen basieren heute auf Chips, die von Natur aus sicher sind. Dieser Standard ist weltweit etabliert und wir arbeiten bereits an seiner Weiterentwicklung.

Markus: Im digitalen Bereich war die Einführung von EMV^® 3-D Secure ein entscheidender Fortschritt. Vor der verpflichtenden Zwei-Faktor-Authentifizierung gemäß PSD2 war Card-not-present-Betrug im Online-Handel weit verbreitet. 3-D Secure hat diesen deutlich reduziert – nicht vollständig beseitigt, aber stark eingedämmt. Es bleibt die wichtigste Schutzmaßnahme gegen unautorisierte Online-Zahlungen, insbesondere außerhalb Europas, wo PSD2 nicht gilt.

Welche Rolle spielt G+D bei der Unterstützung von Kundinnen und Kunden in der Betrugsbekämpfung über alle Kanäle hinweg?

Augusto: Wir sind in einer einzigartigen Position, da wir sowohl mit globalen Playern wie Visa und Mastercard als auch mit lokalen Zahlungssystemen zusammenarbeiten. Wir entwickeln und testen Technologien, die erst in drei bis fünf Jahren marktreif sein werden – darunter asymmetrische und elliptische Kurvenkryptografie, AES-basierte Verschlüsselung und Post-Quanten-Kryptografie. Unser Ziel ist es, die Sicherheitsarchitektur dauerhaft zukunftssicher zu gestalten.

Markus: Unsere Stärke liegt im digitalen Bereich vor allem in Vertrauen und Compliance. Wenn Finanzinstitute sichere Partner für den Austausch von Betrugsdaten unter strengen Datenschutzvorgaben suchen, ist G+D ein verlässlicher Akteur. Banken und Regulierer wissen, dass wir Daten nicht verkaufen oder missbrauchen – dadurch fungieren wir als Brücke zwischen Innovation und Regeltreue. Auch G+D Netcetera genießt einen hervorragenden Ruf. Ihre Innovationskraft und Agilität sind im Marktvergleich außergewöhnlich. In den kommenden Jahren werden wir zentrale Betrugsthemen adressieren – mit den richtigen Expertinnen und Experten zur richtigen Zeit.

Hält die Regulierung mit der Entwicklung des Betrugs Schritt?

Augusto: Bei physischen Karten ist die Regulierung auf einem hohen Stand – der Chip ist sicher und flexibel konfigurierbar. Diese Standards werden durch Regulierung aufrechterhalten. Bei neueren Betrugsformen, insbesondere Social Engineering, besteht jedoch Nachholbedarf. Regulierungsbehörden müssen zudem kryptografische Übergänge aktiv unterstützen, damit Betrügerinnen und Betrüger keine Zeit haben, auf das Auslaufen alter Standards zu warten.

Markus: Europa ist wahrscheinlich der am stärksten regulierte Zahlungsmarkt weltweit – allerdings oft zu träge. PSD3 und neue Haftungsregeln für Betrugsfälle lassen noch Jahre auf sich warten, während Gerichtsverfahren bereits anlaufen. Regulierung kann Innovation fördern, aber nur, wenn sie rechtzeitig erfolgt. Zudem herrscht noch immer ein Spannungsverhältnis zwischen Betrugsprävention und Datenschutz gemäß DSGVO. Diese Unsicherheit sollte dringend beseitigt werden, um den Austausch von Betrugsdaten nicht auszubremsen.

Welchen Rat würden Sie Ihren Kunden – Banken, PSPs oder Händlern – heute geben?

Augusto: Nutzen Sie Zahlungskarten stärker als multifunktionale Sicherheitstoken. Sie sind bereits in den Händen Ihrer Kundinnen und Kunden – setzen Sie sie also gezielt für Authentifizierung, Zusatzdienste oder kanalübergreifende Betrugsprävention ein.

Markus: Kooperation ist entscheidend. Banken und Zahlungsdienstleister profitieren mehr durch Zusammenarbeit als durch Wettbewerb im Bereich Betrugsprävention. Betrüger tauschen Informationen längst aus – die Branche sollte dasselbe tun.