Betrugsprävention: Zahlungsausfälle vermeiden, Geschäft ermöglichen

Die Digitalisierung und der rasante technische Fortschritt erleichtern und beschleunigen nicht nur Prozesse für Unternehmen und Kunden – auch für Kriminelle ergeben sich neue Möglichkeiten: Wenn es darum geht, immer neue Betrugsmethoden zu entwickeln und erfolgreich anzuwenden, kennt die Phantasie kaum Grenzen: Identitäten werden gestohlen oder gefälscht, Kundenkonten manipuliert oder falsche Lieferadressen angegeben. Eine systematische Betrugsprävention sollte daher auch bei kleinen und mittelständischen Unternehmen als fester Bestandteil in die Geschäftsprozesse integriert werden.

Betrug gehört zu den am schnellsten wachsenden Delikten im Internet. Laut der aktuellen Polizeilichen Kriminalstatistik waren 2017 über 74 Prozent aller Straftaten, die mit dem Tatmittel Internet begangen wurden, Fälle von Betrug (z.B. Warenbetrug, Warenkreditbetrug oder Leistungskreditbetrug). Die Dunkelziffer dürfte um einiges höher liegen. Die Tatsache, dass eine Zahlung ausbleibt oder der Kunde nicht auf Zahlungsaufforderungen reagiert, ist allein noch kein Verdachtsmoment, daher wird Betrug oft erst mit erheblicher Zeitverzögerung erkannt – etwa im Rahmen eines Inkassoprozesses, wenn festgestellt wird, dass der vermeintlich säumige Kunde gar nicht oder zumindest nicht unter der angegebenen Anschrift existiert.

Bei der Bekämpfung von Betrug nimmt Deutschland aufgrund seiner wirtschaftlichen und datenschutzrechtlichen Bedingungen eine Sonderrolle ein. Betrugsmuster im Ausland ähneln zwar den hiesigen, jedoch bietet Deutschland aufgrund der hohen Kaufkraft und der verlässlichen Infrastruktur Betrügern besonders günstige Bedingungen für kriminelle Transaktionen. Auch die hierzulande übliche und von Käufern erwartete Möglichkeit des Rechnungskaufs ist in anderen Ländern nicht selbstverständlich. Allerdings: Unternehmen, die ihren Kunden diese kundenfreundliche Bezahloption nicht anbieten, haben es schwer, sich im Wettbewerb zu behaupten und büßen Umsatz ein.

Durch die Digitalisierung haben sich die Betrugsfälle hierzulande verlagert und professionalisiert. Gab es früher viel mehr bewaffnete Überfälle, brauchen Kriminelle heute keine Strumpfmaske mehr, sondern lediglich die entsprechende technische Ausstattung und technologisches Können. Grob lassen sich Betrugsarten in drei Kategorien einteilen:

1. Beim First Party Fraud oder Eingehungsbetrug täuscht der Betrüger vorsätzlich die Absicht vor, die vertraglich vereinbarten Zahlungen zum Zeitpunkt der Fälligkeit zu erfüllen, ohne dies jedoch zu wollen oder zu können.

2. Beim Identitätsbetrug, auch Third Party Fraud genannt, werden fiktive Identitäten oder personenbezogene Daten einer natürlichen Person von Betrügern missbräuchlich genutzt. Von dieser Betrugsart sind vor allem Unternehmen betroffen, die Waren oder Dienstleistungen über das Internet vertreiben. Die Betrüger geben bei der Bestellung fiktive Personendaten an oder verwenden die Daten einer anderen, real existierenden Person, um ihre eigene Identität zu verschleiern. Die bestellten Waren oder Leistungen werden nicht bezahlt und die Unternehmen bleiben auf den Verlusten sitzen, da der Betrüger nicht zu identifizieren ist. Opfer sind beim Identitätsbetrug sowohl das Unternehmen, das durch betrügerische Bestellungen Zahlungsausfälle zu verbuchen hat, aber auch die real existierende Person, deren Identität missbraucht wird und die zum Beispiel fälschlicherweise Mahnschreiben erhält. Werden durch das Unternehmen selbst oder ein beauftragtes Inkasso-Unternehmen zu der betroffenen Person auch noch negative Eintragungen in ein Schuldnerverzeichnis vorgenommen, bedeutet dies für Verbraucher zumindest kurzzeitig Einschränkungen im Geschäftsleben. Dem Unternehmen wiederum, das den falschen Eintrag veranlasst hat, droht ein Imageverlust.

3. Beim so genannten Account-Take-Over („Konto-Übernahme“) verschaffen sich Betrüger Zugriff auf ein bestehendes Kundenkonto und bestellen im Namen des bekannten Kunden Waren an eine abweichende Lieferanschrift bzw. führen Transaktionen aus. Im Visier von Kundenkontobetrügern sind vor allem Online-Versender im B2C- und B2B-Handel, Payment- oder auch Shipping-Service-Provider.

Kunde oder Betrüger? Verdachtsmomente

Jedes Unternehmen sollte grundsätzlich wachsam sein und nicht der fälschlichen Annahme erliegen, Betrug betreffe stets die anderen. Oft genügt es schon, einige Indizien im Auge zu behalten, um mögliche betrügerische Vorgänge zu erkennen und sich vor Zahlungsausfällen zu schützen. Auch kleine und mittelständische Unternehmen können mit vergleichsweise wenig Aufwand auf ein paar entscheidende Faktoren achten, um sich vor Betrugsversuchen zu schützen:

• Der Warenkorb

Beim Online-Vertrieb bieten der Warenkorb und seine Zusammensetzung bereits einige Indikatoren für eine Betrugsabsicht. Werden vor allem besonders teure Waren oder zahlreiche ähnliche Waren mit hohem Wiederverkaufswert innerhalb kurzer Zeit bestellt, sollten sich Online-Händler den potenziellen Kunden hinter der Bestellung genauer anschauen.

• Namen und Schreibweisen

Naturgemäß zeichnen sich Betrüger durch eine geringe Bereitschaft zur Angabe von persönlichen Daten aus. Oder sie bauen hierbei vorsätzlich „Tippfehler“ ein oder vertauschen Buchstaben/Ziffern. Oft werden auch Mehrfach-Bestellungen innerhalb kurzer Zeit durchgeführt. Zahlungsausfälle oder sonstige Auffälligkeiten werden hierbei geschickt verschleiert, da die Angaben nicht (automatisch) beim betroffenen Händler derselben Person zugeordnet werden können.

• Lieferadresse

Grundsätzlich ist es zwar kein verdächtiger Vorgang, wenn sich Kunden Waren an eine von der Rechnungsadresse abweichende Lieferadresse, z.B. ins Büro oder die Wohnung eines Freundes liefern lassen. Doch bei Erstbestellern, oder wenn der Warenkorb wie oben erwähnt teure Waren mit hohem Wiederverkaufswert enthält, ist Vorsicht geboten.

Wie können sich Unternehmen schützen?

Zur Prävention von Identitäts- und Rechnungsbetrug sollten sich Unternehmen grundsätzlich überlegen, wie sie (Neu-)Kunden behandeln wollen. Welche Bezahlarten sollen angeboten werden und sollten diese gegebenenfalls je nach Höhe des Warenwerts angepasst werden? Welches Risiko ist vertretbar? Will man den Kunden ermöglichen, an von der Rechnungsadresse abweichende Lieferadressen zu bestellen? Im Spannungsfeld zwischen der Vermeidung von Betrug einerseits und dem einfachen Ermöglichen von Geschäft kommt dem Risikomanagement eine entscheidende Rolle zu – denn idealerweise sollte ein funktionierendes Risikomanagement die Annahmequote steigern und nicht senken. Die Auswertung von selbst erhobenen Kundendaten ist bei Bestandskunden ein erster wichtiger Schritt zur Vermeidung von Zahlungsausfällen und Betrugsprävention. Doch vor allem bei Neukunden ist eine Einschätzung meist schwierig, da außer den Angaben, die der Kunde selbst macht, keine weiteren Informationen oder Erfahrungen vorliegen. Bonitäts- und Identitätsauskünfte von entsprechenden Dienstleistern sind daher ein wichtiges Mittel zur effektiven Betrugsprävention.

Die SCHUFA kann zum Beispiel zu 6 Millionen Unternehmen und rund 67,7 Millionen Privatpersonen, und damit zu praktisch jedem in Deutschland wirtschaftlich aktivem Verbraucher, valide Informationen zu Bonität und Identität liefern. So kann beispielweise festgestellt werden, ob ein (Neu-)Kunde bereits bei anderen Unternehmen Zahlungsausfälle verursacht hat, oder ob evtl. sogar Schuldnerverzeichnis- oder Insolvenzinformationen vorliegen. Auf Basis dieser Informationen kann dann festgelegt werden, ob eine Geschäftsbeziehung eingegangen wird und wenn ja, welche (für den Händler) sicheren Zahlarten angeboten werden sollen. Eingehungsbetrug kann so verhindert werden, Geschäft wird dennoch ermöglicht. Neben der Prüfung von Neukunden ist auch ein regelmäßiges Monitoring der Bestandskunden Teil eines effektiven Risikomanagements, denn auch bei bereits bekannten Kunden können sich entscheidende Informationen, zum Beispiel in Bezug auf die Bonität, ändern, über die man als Unternehmen informiert sein muss.

Auch für das B2B-Geschäft kann die Auskunftei fundierte, valide Wirtschaftsauskünfte erteilen. Ein besonderer Vorteil hierbei: Die Auskünfte liefern nicht nur Informationen über das Unternehmen selbst, sondern auch über die Personen die hinter dem Unternehmen stehen. Das ist besonders bei den kleinen und mittleren Unternehmen wichtig, die einen Großteil des B2B-Geschäfts in Deutschland ausmachen. Eine neu gegründete GmbH etwa ist in der Regel ohne Negativmerkmale, das gilt aber nicht immer für die Personen, die das Unternehmen führen. Hat es hier z.B. Insolvenzen gegeben, sollte man dies als Kreditgeber wissen.

Auch die Identität eines Kunden kann durch Informationen der SCHUFA verifiziert werden. Durch das so genannte Gegenseitigkeitsprinzip melden Unternehmen neben negativen Informationen zu Zahlungsausfällen vor allem positive Informationen zu bestehenden Geschäftsbeziehungen an die SCHUFA. Wird ein Kunde unter den Angaben zu seiner Person, die er gegenüber dem Händler macht, nicht im Datenbestand der Auskunftei gefunden, sollte dies beim Unternehmen zum Anlass genommen werden, die Identität des Kunden genauer zu prüfen. Auch aktuelle Adressinformationen können so abgeglichen und verifiziert werden.

Außerdem können Verbraucher, deren Daten bereits für Identitätsbetrug missbraucht wurden, im Datenbestand der SCHUFA zu ihrer Person einen entsprechenden Hinweis setzen lassen. Fragt nun ein Unternehmen zu dieser Person eine Auskunft an, erhält es eine entsprechende Information von der Auskunftei, dass diese Personendaten bereits für Identitätsbetrug verwendet wurden. Das anfragende Unternehmen kann nun die Identität des Kunden genauer prüfen. Dies hilft, Verbraucher vor weiterem Missbrauch ihrer Daten zu schützen und bewahrt Unternehmen davor, Geschäftsbeziehungen mit Betrügern einzugehen und auf offenen Forderungen sitzen zu bleiben.

Bei Betrugsmustern wie dem Account-Take-Over greifen die oben genannten Maßnahmen alleine allerdings nicht. Im E-Commerce kann die „klassische“ Prüfung der Bonität und Identität des Kunden für ein ganzheitliches Risikomanagement daher durch eine so genannte Device-ID-Lösung zur Betrugsprävention mittels Endgeräteidentifizierung ergänzt werden: Personenunabhängig wird das internetfähige Endgerät bewertet, mit dem eine Online-Transaktion durchgeführt wird. Auf Basis der Gerätedaten und eventuell vorliegender negativen Informationen zu dem Gerät erfolgt eine Risikobewertung, die an das anfragende Unternehmen übermittelt wird. Diese kann dann in Echtzeit in die Risikomanagement-Prozesse integriert werden, um sich noch besser vor Betrug und Zahlungsausfällen zu schützen.

Der wirksamste Schutz: Gemeinsam stark sein!

Im Vergleich mit anderen Ländern ist das Prinzip der Public Private Partnerships, also die Zusammenarbeit von Unternehmen aus der Privatwirtschaft und öffentlicher Hand, hierzulande noch ausbaufähig. Allerdings wurde der Handlungsbedarf erkannt und Sicherheitsbehörden, Bundes- und Landesverfassungsschutz befassen sich verstärkt mit Cyberkriminalität und Identitätsmissbrauch – auch in Kooperation mit privaten Wirtschaftsunternehmen. Dies ist entscheidend, da bei den von Cybercrime betroffenen Unternehmen Betrugsarten und -muster zuerst auffallen und entsprechende Lösungsansätze entwickelt werden. So kooperiert z.B. das German Competence Centre against Cyber Crime e.V., in dem sich auch die SCHUFA engagiert, eng mit dem Bundeskriminalamt (BKA) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Das G4C fördert den Austausch der Mitglieder und Kooperationspartner aus öffentlicher Hand und Privatwirtschaft über ihre Erkenntnisse zu aktuellen Entwicklungen im Bereich Internetkriminalität und Betrugsprävention.

Durch das bewährte Gegenseitigkeitsprinzip ermöglicht die SCHUFA Unternehmen, sich gegenseitig zu informieren und zu warnen, zum Beispiel mit Informationen zur Bonität und Identität ihrer Kunden, aber auch zu betrugsrelevanten Vorgängen. So werden Schäden von der Wirtschaft abgewendet und eine schnelle und sichere Kreditvergabe ermöglicht. Hiervon profitieren Unternehmen und Verbraucher gleichermaßen. Der SCHUFA-FraudPool (SFP) für die Kreditwirtschaft zeigt deutlich, wie wirksam die Zusammenarbeit gegen Betrüger sein kann; es konnte bereits tausendfach Betrug rechtzeitig erkannt und vermieden werden. Neben Kreditinstituten melden auch zwei Landeskriminalämter Informationen zu Betrugsfällen ein. Indem die FraudPool-Partner Informationen zu Betrug und Betrugsverdachtsfällen in den SFP einmelden und untereinander austauschen, unterstützen sie sich gegenseitig effektiv und datenschutzkonform bei der Betrugsprävention. Ebenfalls für andere Branchen, wie z.B. den E-Commerce, wären solche Lösungen denkbar, die das Gegenseitigkeitsprinzip mit den Möglichkeiten digitaler Betrugsprävention vereinen. Betrugsmuster können so erkannt und Betrug verhindert werden. Mit den entsprechenden Risikomanagement-Systemen, Informationen von Auskunfteien oder je nach Unternehmensgröße auch händisch, können aber auch kleine und mittelständische Unternehmen Auffälligkeiten in Namen oder Adressen abgleichen und Warenkörbe prüfen, um sich vor Betrug zu schützen.

Veröffentlicht am 05.04.2018, aktualisiert am 01.08.2019

Der Autorenbeitrag von Stefan R. Peters, Leiter Geschäftsfeld Identität & Betrugsprävention bei der SCHUFA Holding AG, erschien zuerst in der „Zeitschrift für Forderungsmanagement“, Ausgabe 6/2017.