Für Handelsunternehmen haben solche betrügerischen Transaktionen mit den erschlichenen Daten unangenehme Folgen: Die Rückabwicklungen dieser Käufe sorgen für Gewinneinbußen – auch durch den zusätzlichen Verwaltungsaufwand. Zudem bedeutet es nicht zuletzt einen mitunter beträchtlichen Imageschaden und einen Vertrauensverlust bei den Kunden. Gerade Banken, Kreditkarten-prozessoren und Einzelhändler sind deshalb in der Pflicht, sich selbst – und damit ihre Kunden – bestmöglich zu schützen.
Schutz-Standards folgen
Nach dem Motto „Gemeinsam sind wir stark“ gibt es unternehmensübergreifende Initiativen und Standards, um erfolgreich gegen Kreditkartenbetrug vorzugehen. Ein Standard ist der Payment Card Industry Data Security Standard (PCI DSS). Dieser standardisiert das Sicherheitsniveau aller Einrichtungen, die Karteninformationen verarbeiten, speichern oder übermitteln.
Die Wirksamkeit eines solchen Standards zeigt eine Analyse: Alle bisher verzeichneten Fälle von Datenpannen betrafen Firmen, die sich dem PCI DSS nicht angeschlossen hatten. Der große Vorteil dieses Systems: Es ist von Haus aus als Gemeinschaftsprojekt konzipiert und basiert auf dem Prinzip, dass das Gesamtkonstrukt nur so stark wie das schwächste Glied in der Kette sein kann. Ein Unternehmen, das sich dem PCI DSS verschrieben hat, muss daher bei jeder Änderung an der Infrastruktur, an Systemen und Software darauf achten, die darin vorgesehenen Standards einzuhalten. Deshalb nehmen die beteiligten Unternehmen und Institutionen ihre Verantwortung sehr ernst und evaluieren kontinuierlich die Einhaltung des PCI DSS bei allen Firmen, die mit Kartendaten umgehen. Bislang verspricht dieses Vorgehen Erfolg.
Denn die Risiken lauern an unterschiedlicher Stelle: Risikobehaftet sind insbesondere Daten, die sich – verschlüsselt oder unverschlüsselt – in einem nicht-sicheren Speicherstadium befinden. Ein Risiko stellen Kreditkartennummern und PINs dar, die auch ohne die Verwendung der Karte für Transaktionen nutzbar sind. Aber auch der Zugriff auf sogenannte Track-Daten von Kreditkarten kann ausreichend sein, um eine gefälschte Karte herzustellen und damit auch Transaktionen durchzuführen, die die physische Präsenz der Karte erfordern. Durch den EMV (Europay, Visa und MasterCard) Chip-Standard wird die Nutzung von Track-Daten für Kreditkartenbetrug zumindest deutlich erschwert. Die Zahlen für „card not present“-(CNP)-Betrugsfälle sind beispielsweise in Großbritannien zwischen den Jahren 2006 und 2012 dennoch um 15 Prozent gestiegen.
Ungeachtet aller Präventivmaßnahmen wie einheitliche Sicherheitsstandards müssen die Zahlungssysteme bei jeder einzelnen Transaktion aufs Neue entscheiden, ob die Zahlung zugelassen oder wegen des Betrugsrisikos verweigert werden soll. Für eine solche Analyse führt beispielsweise die Betrugserkennungslösung „Fico Falcon Fraud Manager“ bis zu 15.000 Berechnungen durch – in etwa 40 bis 60 Millisekunden. Zum Vergleich: Für einen Wimpernschlag benötigt der Mensch 300 Millisekunden, also rund fünfmal so lange. Im Verbund mit Monitoring-Systemen sowie neuronalen Netzwerken sind solche Lösungen die derzeit beste Vorbereitung. Monitoring-Systeme erkennen ein Datenleck frühzeitig und neuronale Netzwerke sind imstande, die Informationen über Auffälligkeiten in Echtzeit und über mehrere Kommunikationskanäle weiterzugeben.
Transparente Informationspolitik betreiben
Zudem ist es wichtig, sich dem Thema nicht erst im Moment des ersten großen Datendiebstahls zu stellen, sondern im Vorfeld eine klare Strategie für den Fall der Fälle zu haben. Diese sollte Faktoren wie Risikogruppen, Datentyp der gefährdeten Daten, die Geschäftsstrategie und Auswirkungen auf das operative Geschäft mit einbeziehen.
Sollte es Kriminellen trotz aller vorbeugenden Maßnahmen gelingen, betrügerische Transaktionen durchzuführen und damit ehrliche Kunde zu schädigen, müssen betroffene Banken oder Handelsunternehmen ihre Kunden aktiv und transparent informieren. Betroffene Kunden sollten unter Einbeziehung verschiedener Kommunikationskanäle (SMS, Telefon, E-Mail, Mobile App) frühzeitig über die Situation sowie die durch das Unternehmen eingeleiteten Schritte informiert werden. So setzen die Anbieter das Kundenvertrauen nicht unnötig aufs Spiel und können dieses sogar – durch eine auf Offenheit ausgerichtete Kommunikationsstrategie – langfristig stärken.
Foto: Fico/ istockphoto / fpm
Autor Jens Dauner arbeitet als Regional Manager Central Europe Client Services Partner bei Fico.
Weitere Informationen: www.fico.com/de/