Mit der zunehmenden Verlagerung der Geschäftstätigkeiten ins Internet steigt auch das Betrugsrisiko. Häufigstes Mittel zum Zweck ist der Identitätsmissbrauch. Datensicherheit gewinnt in diesem Zusammenhang immer mehr an Bedeutung. Für Österreich entwickelt derzeit der Transaktionsdienstleister Payment Services Austria eine datenschutzkonforme Lösung für eine elektronische Identität made in Austria, die zur Betrugsprävention beiträgt und den Aufwand für hohe Datenqualität minimiert.
Hatte der Onlinehandel schon vor der Coronakrise geboomt, so erreichte er im Jahr eins der Pandemie neue Horizonte. 2020 stiegen die Ausgaben laut der bundesweiten „eCommerce Studie Österreich“ des Handelsverbandes und der Plattform „Versandhandel, eCommerce & Marktplätze“ auf das Allzeit-Rekordniveau von rund acht Milliarden Euro. 1,2 Milliarden gehen auf den Mobile Commerce zurück. Die Umsätze beim Handyshopping haben sich seit 2014 verfünffacht. Bereits ein Drittel der Österreicher kauft im Internet via Smartphone ein. Rund zwölf Prozent der gesamten Einzelhandelsausgaben der österreichischen Privathaushalte fließen somit laut Rainer Will, Geschäftsführer des Handelsverbandes, in den Distanzhandel ein, mehr als 90 Prozent davon werden online getätigt. Dass mit wachsendem Onlineumsatz das Risiko für Betrug im Netz steigt, verweist gemäß Studie auf eine Schattenseite des Booms.
„Betrugsprävention ist möglich“
Um das Ausmaß der Onlinebetrugsfälle in Österreich zu erfassen, hat der Handelsverband in der „Sicherheitsstudie 2020“ eine Umfrage unter Webshop-Betreibern durchgeführt. Das Ergebnis: Fast die Hälfte (46 Prozent) aller Händler wurden 2019 Opfer von Onlinebetrug, 13 Prozent davon sogar mehrmals. Von den Unternehmen mit mehr als zehn Mitarbeitern gaben sogar 60 Prozent an, in Verbindung mit ihrem Webshop bereits mit Onlinebetrug in Berührung gekommen zu sein. Trotzdem sehen sich noch immer vor allem viele kleinere Betriebe nicht als potenzielles Betrugsopfer und treffen deshalb diesbezüglich auch keine bzw. zu geringe Schutzmaßnahmen. Ein Viertel aller Befragten hat sich bislang noch kaum mit dem Thema Betrugsprävention beschäftigt.
„Onlineshops schießen – nicht zuletzt durch die Pandemie angefeuert – wie Pilze aus dem Boden. Das Angebot wird immer größer und online shoppen immer einfacher. Das haben leider auch die Täter erkannt. Es ist daher aus Sicht der Polizei unumgänglich, ein besonderes Augenmerk auf den Faktor Sicherheit im Onlinehandel zu werfen“, merkt Claus-Peter Kahn, Leiter des Büros für Betrug, Fälschung und Wirtschaftskriminalität, im Rahmen der genannten Sicherheitsstudie an. Die Polizei forciere in diesem Sinne neben der Verfolgung der Täter verstärkt auch den präventiven Aspekt. Mit dem Programm „Gemeinsam sicher im Onlinehandel“ wurde eine Plattform geschaffen, die es den Händlern ermöglicht, die Sicherheitsaspekte von der Etablierung ihrer „digitalen Filiale“ bis hin zum laufenden Betrieb stets mitzubedenken. „Die gute Nachricht ist: Prävention ist möglich. Wir raten daher zu einem Bündel an Sicherheitsmaßnahmen“, so Kahn. Es sollten ausschließlich Services und Dienste genutzt werden, die die technische Sicherheit des Webshops sicherstellen. Die Identifizierung eines Kunden, die Sicherung einer Zahlung und eine sichere Übergabe der bestellten Ware an den richtigen Kunden müssen gewährleistet sein.
Schaden durch Identitätsmissbrauch
Die Arten von Betrug, mit denen Onlinehändler konfrontiert sind, sind mannigfaltig. Man unterscheidet zwischen Identitätsbetrug, Zahlungsunfähigkeit, Zahlungsmittelbetrug, Bestellbetrug, Betrug im Zusammenhang mit der Lieferung bzw. mit Retouren sowie Cyberattacken. Die Statistik der Sicherheitsstudie 2020 zeigt, dass Betrüger am häufigsten falsche Namens- oder Adressdaten angeben. In vier von zehn Betrugsfällen ist dem Besteller schon beim Bestellvorgang bewusst, dass er die Rechnung nicht begleichen können wird bzw. will. Laut Experten des Büros für Betrug, Fälschung und Wirtschaftskriminalität sollte man sich unter Betrügern nicht zwangsläufig Computernerds und Hackerfreaks vorstellen. In der Regel handle es sich einfach um Menschen, die eine falsche Identität angeben und mit falschen Kreditkartendaten operieren – mit dem Ziel, an die Ware zu kommen, ohne dafür zu bezahlen. Rund 75 Prozent aller in der Studie befragten Unternehmen bieten übrigens in ihrem Webshop die Zahlung per Kreditkarte an – bei den größeren Onlinehändlern (mehr als zehn Mitarbeiter) sind es sogar mehr als 90 Prozent. Im Gesamtranking der gängigsten Zahlungsmethoden liegt die Kreditkarte damit auf Platz eins, gefolgt von PayPal, der Sofort-Überweisung und der Bezahlung per Vorkasse.
„Nahezu jede betrügerische Onlinezahlung basiert eigentlich auf einem Diebstahl der Kundenidentität“, bestätigt Thomas Von der Gathen, General Counsel des Transaktionsdienstleisters Payment Services Austria, die Problematik. Beim Identitätsdiebstahl täuschen Dritte eine existierende falsche Identität vor. Sie verwenden dazu öffentlich zugängliche Informationen (zum Beispiel Social-Media-Daten) oder durch Social-Engineering-Angriffe erschlichene Daten. Betrüger verschaffen sich so die Möglichkeit, auf fremde Kosten Einkäufe zu tätigen oder Accounts bei Dienstleistern in fremdem Namen zu eröffnen. Mögliche Folgen umfassen für die Betroffenen neben finanziellen Schäden auch umfangreiche Reputationsschäden. Die Fraud-Kosten für Unternehmen sind enorm. Laut Studie belief sich die Schadenssumme bei größeren Unternehmen in 27 Prozent der Fälle zwischen 10.000 und einer Million Euro.
Sicherheit mit Umsetzungsdefizit
Was die im Kampf gegen den Zahlungsbetrug so bedeutende Sicherheit bei Zahlungskarten betrifft, gilt Österreich grundsätzlich als Vorreiter. „Bereits 1995 war man eines der ersten Länder, in dem die Banken ihre Zahlungskarten flächendeckend mit sicherem Chip ausgestattet haben. Mit der neuen Debit-Karte – in Österreich besser bekannt als die ‚neue‘ Bankomatkarte – wird bald jeder österreichische Bankkunde die Möglichkeit haben, so einfach und sicher im Internet zu bezahlen, wie man es seit Jahren von der Kreditkarte kennt“, betont Von der Gathen. Für ein Mehr an Sicherheit sorgt dabei der seit 31. 12. 2020 aufgrund gesetzlicher Vorgaben verpflichtende EU-weite Standard der starken Kundenauthentifizierung (Strong Customer Authentication SCA) bei Kartenzahlungen. Mittels der 2-Faktor-Authentifizierung soll betrügerischem Missbrauch von Zahlungsdaten noch stärker ein Riegel vorgeschoben werden. Dabei muss ein Anwender den Nachweis seiner Identität mittels der Kombination zweier unterschiedlicher, unabhängiger Merkmale (Faktoren) erbringen. Die Faktoren können aus drei Bereichen kommen: Wissen (zum Beispiel ein Passwort), Besitz (z. B. Karte mit Chip) und Sein (typischerweise ein biometrisches Merkmal wie etwa ein Fingerabdruck).
Lösung für eine sichere Online-Identität
„Das Thema der Sicherstellung, dass ein Internetnutzer tatsächlich die Person ist, die er vorgibt zu sein, gewinnt in Anbetracht all dieser Zahlen zunehmend an Bedeutung“, sagt Von der Gathen und fügt an: „Dabei geht es nicht ausschließlich um den Onlinehandel. Schließlich identifizieren wir uns alle täglich bei unserem gesamten Nutzerverhalten im Internet: Beim Einloggen, bei Abos, beim Ticketkauf, beim Lesen von Onlinemedien etc. Eine geprüfte Identität wird im digitalen Leben immer wertvoller.
„Bei der PSA sei man aus diesem Grund gerade dabei, eine sichere digitale Identität mit dem Namen ich.app für Onlinenutzer zu entwickeln, die auf den Daten basiert, die der Bankkunde ohnehin bei seiner Bank hinterlegt hat. „Banken sind die idealen Unternehmen, um Daten von Personen zu bestätigen, da sie in Europa ohnehin gesetzlich dazu verpflichtet sind, die Identität ihrer Kunden zweifelsfrei festzustellen. Zudem haben Kunden in Österreich berechtigtes Vertrauen in ihre Banken“, erklärt Von der Gathen: „Aufwändige Pass-Upload- oder Video-Identverfahren entfallen somit.“ Die Vision lautet, mit der ich.app eine universelle Lösung der einfachen und sicheren Online-Identifikation anzubieten, um in der Folge digitale Services aller Art nutzen und Geschäfte abschließen zu können. „Die Bank des Nutzers der ich.app bestätigt bei jeder Abfrage die Echtheit und Aktualität der Nutzerdaten. Da Banken besonders hohe Sicherheitsstandards erfüllen müssen und auch regelmäßig geprüft werden, basiert die ich.app auf State-of-the-Art-Sicherheitstechnologien. Man kann also davon ausgehen, dass diese Lösung einen wesentlichen Beitrag leistet, um Missbrauchsfälle mit Identitäten im Netz erheblich zu reduzieren. Davon profitieren der Onlinehandel und die Kunden im gleichen Maße.“
Zum Schutz der Daten
Ein weiterer Vorteil der ich.app liegt laut von der Gathen darin, dass bei Onlinehändlern und -Serviceanbietern der Aufwand und die Kosten für Datenkontrolle klein gehalten wird und die eID das datenschutzkonforme Arbeiten – Stichwort DSGVO (Datenschutz-Grundverordnung) – mit personenbezogenen Daten deutlich erleichtert: „Die persönlichen Daten der Nutzer werden nirgendwo zusätzlich zwischengespeichert. Nur nach einer expliziten Freigabe des Kunden werden sie von seiner Bank an den anfragenden Serviceanbieter oder Händler weitergegeben.“ Niemand müsse sich also Gedanken darüber machen, welche Daten wo gespeichert sind oder wozu internationale Multiplayer diese Daten verwenden könnten. Von der Gathen: „Neben dem Sicherheitsaspekt zur Betrugsprävention tragen wir mit unserer eID-Lösung, der ich.app, somit auch dem wachsenden Bedürfnis von Konsumenten nach Datenhoheit und -transparenz Rechnung.“
> > > Mehr Information: www.psa.at und www.ich.app
