Forum E-Commerce 2017: Betrug im Online-Handel - Trends und Lösungen

Am 3. und 4. 5. 2017 fand zum ersten Mal das E-Commerce Fraud Forum an der Universität Salzburg statt, das sich aus interdisziplinärer Sicht mit den Risiken im E-Commerce für Online-Händler beschäftigte.

Betrug beim Online-Handel ist nicht nur für Verbraucher ein Thema mit steigender Bedeutung, sondern vor allem auch für Unternehmer, die im elektronischen Geschäftsverkehr tätig sind. Fast alle Händler waren mit ihrem Online-Shop bereits mit Betrug oder Betrugsversuchen konfrontiert. Dies ergibt sich aus einer Studie von ibis research aus 2015, in der 201 deutsche Online-Unternehmer befragt wurden und die von Eustachius Kreimer (Blue Tomato GmbH) im Rahmen seiner Keynote "eCommerce: Herausforderungen durch Internationalisierung, Mobile Devices und Zahlungsoptionen (insbesondere Fraud)" präsentiert wurde. Eine aktuelle Studie aus März 2017, die Sepp Puwein-Borkowski von der CRIF GmbH, einer Wirtschaftsauskunftei, vorstellte, ergab sogar, dass alle (zwanzig) befragten österreichischen Versandhändler schon einmal Betrugsopfer waren. In dessen Keynote "Betrug im Online-Handel in der DACH Region: Ergebnisse einer aktuellen Studie und Möglichkeiten zur Betrugsvermeidung" wurde auch aufgezeigt, dass in Österreich die Verluste meist unter € 5.000 liegen, während diese in Deutschland und der Schweiz eher höher sind.

Aus den beiden Keynotes geht hervor, dass einer der häufigsten Betrugsformen im E-Commerce der "Identitätsdiebstahl" ist: Für die Rechnungsadresse wird der Name einer realen Person (oder aber auch einer erfundenen Person) angegeben, die genannte abweichende Lieferadresse ist indes jene des Betrügers. Zuweilen wird von professionellen Banden für die Entgegennahme der Lieferungen für ein paar Wochen eine Wohnung bei einem Kurzzeitvermieter unter falschem Namen angemietet. Vermehrt kommt es auch zu Betrug bei den Retouren der Waren. Es wird bspw ein teurer Markenanzug bestellt und nach Ausübung des Verbrauchern bei Fernabsatzgeschäften zustehenden Rücktrittsrechts eine billige Kopie des Anzugs zurückgeschickt. Versandhändler sehen sich zunehmend dazu gezwungen, Experten für die entsprechende Abteilung einzustellen. Eine weitere relativ neue Betrugsmethode stellt der Missbrauch von Packstationen dar. Dabei richten sich die Betrüger mit dem Namen einer realen Person einen Zugang für eine Packstation online ein und geben eine E-Mail-Adresse an, auf die sie zugreifen können. Anschließend müssen sie nur noch - was in der Vergangenheit bspw über Sicherheitslücken in Apps und mithilfe von Karten-Klonen bewerkstelligt wurde - an die Zugangsdaten und Kundenkarten für die Packstation kommen, um ein Paket abholen zu können. Zunehmend werden auch Paketsendungen an Packstationen umgeleitet. Manche Online-Händler sind daher bereits dazu übergegangen, nicht mehr an Packstationen zu liefern.

Während die Problematik von sog Finanzagenten, also Personen, die via E-Mail angeworben werden, um ihre Bankkonten für Geldtransfers zur Verfügung zu stellen und die eingehenden Beträge (die idR aus Straftaten stammen) - unter Einbehaltung einer Provision - etwa über Western Union weiterzuleiten, wohl mittlerweile hinlänglich bekannt und bereits Gegenstand höchstgerichtlicher Rsp ist, scheinen sog Paketagenten ein eher neues Phänomen zu sein. Über diese Variante des Bestellbetrugs berichtete - neben anderen aktuellen Betrugsformen wie dem sog CEO-Betrug, bei dem der Täter die Identität des Direktors oder Vorstands eines Unternehmens annimmt und in dieser Rolle Finanzverantwortliche des Unternehmens kontaktiert und diese zu Geldüberweisungen verleitet - insb Patrick Schreiner vom Bundeskriminalamt (Abteilung 7 Wirtschaftskriminalität) in seinem Vortrag "Fraud im Online - Geschäft: wie gehen Cyberkriminelle vor? Was tun?". Bei den Paketagenten handelt es sich um ahnungslose Personen (oft Studierende), die per E-Mail oder Spam einen lukrativen Nebenjob angeboten bekommen, bei dem sie lediglich Pakete von Zustellern übernehmen und an eine andere Adresse weiterleiten müssen. Da regelmäßig mehrere Paketagenten in unterschiedlichen Ländern hintereinander tätig werden, stellt sich eine Verfolgung der oft aus Osteuropa stammenden Täter als schwierig dar.

Besonders problematisch ist es für Versandhändler, wenn sie eine Bezahlmöglichkeit auf Rechnung anbieten. Bei den Kunden ist dieses Zahlungsverfahren allerdings mit Abstand das beliebteste, was auch aus einer jüngeren Studie hervorgeht, die Peter Klingenbrunner (Wirecard Central Eastern Europe GmbH) in seiner Keynote "Fraud & Payment - Lösungen der Zukunft - was will der Kunde?" präsentierte. Er betonte die Gratwanderung für Online-Händler, denen bei eher betrugssicheren, aber von Kunden nicht akzeptierten Zahlungsverfahren und starken Regelsets Umsatz entgeht, während bei von Kunden angenommenen, aber unsicheren Bezahlungsformen und schwachen Regelsets Zahlungsausfälle entstehen.

Auch bei der im E-Commerce weit verbreiteten und beliebten Kreditkartenzahlung, zumindest bei der Variante des "unterschriftslosen Verfahrens", das ohne PIN-Absicherung nur mit Angabe der Kartendaten erfolgt, hat das Drittmissbrauchsrisiko idR der Online-Händler zu tragen. Dies erläuterte Peter Mader (Fachbereich Privatrecht der Universität Salzburg), der sich in seinem Vortrag "Zahlen im Online-Geschäft" mit den rechtlichen Regelungen der gängigen Internet-Zahlungssysteme und den daraus resultierenden Vor- und Nachteilen für die Händler beschäftigte. Der Betrug mit gestohlenen Zahlungsdaten gehört, wie sich die Experten einig waren, zu den häufigsten Betrugsformen.

Kommt es aufgrund von Fraud zu Zahlungsausfällen, entstehen für die Händler mitunter hohe Kosten. Als weltweite Schadenssumme wurde von den Referenten ein Betrag von € 450 Mrd genannt. Insofern ist es nicht überraschend, dass der Betrugsprävention und Maßnahmen zur Betrugserkennung eine große Bedeutung zugemessen wird. Die Experten stimmten darüber ein, dass Online-Händler Betrugsversuchen nicht machtlos gegenüberstehen. So stellt etwa die Wirtschaftsauskunftei CRIF Lösungen für E-Commerce-Händler bereit, um Fraud Fälle rechtzeitig erkennen zu können, worauf Puwein-Borkowski hinwies. Anwendung findet dabei etwa Device Fingerprinting, ein Vorgang, bei dem auf PCs, Smartphones, Tablets oder anderen Endgeräten gespeicherte Informationen (zB installierte Schriften, Plug-ins, IP-Adressen) ausgelesen werden, anhand deren ein Fingerabdruck errechnet wird, über den das Endgerät eindeutig wiedererkannt wird. Damit können verdächtige Geräte, über die zB Bestellungen mit unterschiedlichen Identitäten erfolgen, erkannt werden. Um das Bonitätsrisiko zu minimieren, werden etwa Bonitätsinformationen ausgewertet und die Kreditwürdigkeit von Kunden über deren konkrete Wohnsituation durch Geoscoring ermittelt. Dabei wird zB geprüft, ob es sich um eine gute oder schlechte Wohngegend handelt und - ausgehend von der Prämisse, dass die Bewohner einer Wohngegend oft eine ähnliche wirtschaftliche Leistungsfähigkeit besitzen - ob Nachbarn ihre Kredite bezahlen. Die Online-Händler können so ihre elektronischen Bestellsysteme an einen bestimmten Kundenkreis anpassen oder entsprechend des ermittelten Score dem jeweiligen Kunden etwa die Möglichkeit zur Bezahlung von Waren per Rechnung oder mittels Kreditkarte ohne PIN-Absicherung nicht zur Verfügung stellen und stattdessen nur die Variante der Vorauszahlung anbieten.

Externe und interne Schwachstellen sowie reale Bedrohungen zeigte Martin Schober (MSc-martinschober.com) in seinem Vortrag "IT-Sicherheitsrisiken im eCommerce: Tipps und Tricks für Ihre Praxis" auf, der zugleich auf bestehende IT-Security-Lösungen hinwies. Er betonte, dass diese aber nur eine Unterstützung und Hilfe darstellen sollen, für die es eine solide Basis, insb gut geschulte Mitarbeiter, benötigt.

Ein Vortrag über "Tägliche Herausforderungen im eCommerce: Dos and Don’ts im digitalen Handel" von Roland Fink (niceshops GmbH) sowie weitere juristische Vorträge rundeten das vielseitige Programm ab. Arthur Stadler (Stadler Völkel Rechtsanwälte) sprach zum einen über "Verbraucher-Vertragsrecht: Neuerungen im Online-Handel", wobei er etwa auf die Problematik der anwendbaren Rechtsordnung bei grenzüberschreitenden Sachverhalten, das Fernabsatzrücktrittsrecht von Verbrauchern und die sog Button-Lösung einging, sowie zum anderen über "Digitale Währungen, Bitcoin & Co - Rechtliche Aspekte". Judith Leschanz (A1 Telekom Austria AG) berichtete in ihrem Beitrag "Was bedeutet die neue Datenschutz-Grundverordnung für eCommerce? Ein Bericht aus der Praxis" über die Herausforderungen für Unternehmen durch die neue Datenschutz-Grundverordnung (zB die neuen Anforderungen an Einwilligungserklärungen und den Aufbau eines Datenschutz-Managementsystems) und wie sich das Unternehmen A1 bereits darauf vorbereitet. Sonja Janisch (Fachbereich Privatrecht der Universität Salzburg) - die Autorin dieses Tagungsberichts - wies in ihrem Vortrag "Alternative Streitbeilegung beim Verbrauchergeschäft" auf die relativ jungen Maßnahmen des Unionsgesetzgebers zur Förderung der alternativen Streitbeilegung zwischen Verbrauchern und Unternehmern hin und zeigte die daraus resultierenden Pflichten (insb Informationspflichten), aber auch Vorteile für Unternehmer auf. Das Schlusswort am zweiten Tag übernahm Árpád Geréd (Maybach Görg Lenneis Geréd Rechtsanwälte GmbH), der die interessante Konferenz zusammenfasste.

Die Behandlung der Thematik Fraud beim E-Commerce aus wirtschaftlicher, technischer und juristischer Sicht erwies sich als äußerst spannender und fruchtbringender Ansatz. Zum Gelingen der Tagung trugen aber entscheidend auch Helmut Malleck (Leiter Themenpanel IT Security, Vorstand CMG-AE), der die beiden Halbtage moderierte und ein besonders angenehmes und informelles Klima schuf, sowie die perfekte Organisation, insb durch Irmgard Kollmann, bei. Für einen perfekten Rahmen sorgte auch der Tagungsort selbst, der Europasaal der Edmundsburg mit Blick auf die Salzburger Altstadt, sowie das gemeinsame Abendessen im Gasthof Sternbräu. Aufgrund des Erfolgs der Tagung beschlossen die Veranstalter, die CMG-AE (Computer Measurement Group Austria & Eastern Europe) sowie die Universität Salzburg (Peter Mader vom Fachbereich Privatrecht), eine Fortsetzung. Das Forum E-Commerce 2018 soll am 25. und 26. 4. 2018 in Salzburg stattfinden.