Wenn Kunden im Internet mit Kreditkarte zahlen, nennt man das eine Distanzzahlung oder CNP-Transaktion – wie gefährlich diese Zahlungsart ist, wissen die wenigsten. Händler sollten Sicherheitsmaßnahmen vornehmen, um das Risiko von CNP-Betrug und Rückbuchungen zu minimieren.

Wie funktionieren CNP-Transaktionen?

Anders als im Ladengeschäft muss bei CNP-Transaktionen (CNP=Card Not Present, zu deutsch: Karte nicht präsent) keine physische Kreditkarte vorgelegt werden. Der Magnetstreifen oder die in der Karte verbauten Chips werden bei dieser Distanzzahlung im Internet also nicht mit einem Kartenterminal ausgelesen. Lediglich die Kreditkartendaten müssen bei CNP-Zahlungen eingegeben werden.

Umso gefährlicher ist der Missbrauch dieser Zahlungsmethode durch den sogenannten CNP-Betrug. Auch bei Telefon-, Fax-, Post- oder E-Mail-Bestellungen werden von einigen Händlern CNP-Transaktionen angeboten. Bei all diesen Distanzzahlungen können gestohlene Zahlungskartendaten großen Schaden anrichten.

Das höhere Betrugsrisiko bei CNP-Transaktionen lassen sich die Zahlungsanbieter mitunter durch zusätzliche Gebühren ausgleichen. Teilweise können Online-Händler das Zahlungs-Ausfall-Risiko durch bestimmte Sicherheitsstrategien minimieren.

Da die Debitkarte in Deutschland viel weiter verbreitet ist als die Kreditkarte und selbst Inhaber einer Kreditkarte nur selten mit dieser zahlen, sollten Unternehmen ernsthaft überlegen, ob sie die Kreditkartenzahlung überhaupt anbieten.

Eventuell lohnt sich in bestimmten Unternehmen auch die Auslagerung der Kreditkartenzahlung an einen Dritt-Anbieter, um das Risiko des Zahlungs-Ausfalls zu reduzieren.

Distanzzahlungen (CNP-Transaktionen)

  • Zahlungen über ein virtuelles Terminal (Online, Telefon, Fax, E-Mail oder Post)
  • Zahlungen mit mobiler Geldbörse auf Webseiten oder in Apps

Präsenzzahlungen

  • Zahlungen mit Chip und PIN beziehungsweise Signatur
  • Kontaktlose Zahlungen (NFC-Chip)
  • Zahlungen mit Hilfe des Magnetstreifens und Signatur/ PIN
  • Zahlungen mit mobiler Geldbörse (kontaktlos, mit PIN oder mit Signatur)

CNP-Betrug: Steigende Fallzahlen

Nach Angaben der Deutschen Bundesbank waren im Jahr 2016 insgesamt 33,7 Millionen Kreditkarten in Deutschland im Umlauf. Mit der wachsenden Beliebtheit des Online-Handels steigt auch die Gefahr des Betrugs über den unerlaubten Einsatz von Zahlungskartendaten (im Englischen auch card-not-present-fraud genannt ). Konkret geht es um die Verwendung von gestohlenen Kreditkartendaten insbesondere in Online-Shops.

Das deutsche Bundeskriminalamt erklärt, dass die Straftäter die Daten entweder vom Karteninhaber erlangen, indem dieser zum Beispiel durch gefälschte Mails (Phishing) zur Herausgabe verleitet wird. Auch manipulierte Webseiten erfüllen diesen Zweck. Eine andere Strategie zur Erlangung der Kreditkartendaten ist das Einhacken in Unternehmen, die am Zahlungsverkehr beteiligt sind.

Die Täter nutzen leichtgläubige Menschen, an die die Waren unter Verwendung der gestohlenen Kreditkarten geliefert werden. Im Anschluss verschicken diese Mittelsmänner die Waren ins Ausland.

Der sogenannten CNP-Betrug hatte laut Europäischer Zentralbank im Jahr 2013 einen Anteil von 71 Prozent an allen betrügerischen Karten-Transaktionen im SEPA-Raum, zu dem die EU, EFTA sowie Monaco und San Marino gehören. Die restlichen 29 Prozent entfallen auf Kartenbetrügereien direkt in den Verkaufsstellen und an Geldautomaten.

Im Jahr 2009 lag der Anteil des CNP-Betrugs mit 52 Prozent fast gleich auf mit dem Anteil des Karten-Betrugs an Verkaufsstellen und Geldautomaten, der 48 Prozent ausmachte. In absoluten Fallzahlen zeigt der Vergleich zwischen 2009 und 2013 einen Anstieg von circa 25 Prozent beim Kartenbetrug.

Interessant ist eine weitere Statistik: Nach Angaben des Bundeskriminalamtes sind die Fälle des EC-Kartenbetrugs im Rahmen des Lastschriftverfahrens von 28936 erfassten Fällen im Jahr 2008 auf 18092 Fälle im Jahr 2017 gesunken, wobei es zwischenzeitlich auch Anstiege gab. Leider fallen seit 2016 auch Kreditkarten-Transaktionen ohne PIN in diese Fall-Kategorie, weshalb eine genaue Trennung von EC-Kartenbetrug und Kreditkartenbetrug polizei-statistisch nicht mehr möglich ist.

Sowohl der EC-Kartenbetrug als auch der Kreditkartenbetrug – in beiden Fällen mit und ohne PIN – ist seit 2016 leicht rückläufig. Da die Dunkelziffer – also die nichtangezeigten Taten – hoch ist, haben die Tendenzen in den Polizei-Statistiken eine geringe Aussagekraft.

Jan Olsson, Ermittler der schwedischen Polizei, schätzt, dass CNP-Betrug mittlerweile das häufigste Verbrechen der Welt ist – der E-Commerce befürchte bei zu großen Sicherheits-Anforderungen den Verlust von Kunden.

Nicht alle Zahlungsdienstleister bieten die Möglichkeit von CNP-Transaktionen an. Im Online-Handel werden diese Zahlungen häufig über sogenannte virtuelle Terminals abgewickelt – zum Beispiel von Concardis, Elavon, Telecash (First Data), SumUp und PayPal. Einige Anbieter verlangen dafür eine Zusatzgebühr andere nicht.

LESEN SIE AUCH: Online-Zahlungen beliebter als Rechnungskauf?

Zahlungskartenbetrug verhindern

Um Kartenbetrug zu verhindern, bieten die Kartenaussteller verschiedene Sicherheitsmaßnahmen an. Diese sind auch im Interesse des Händlers, da er immer der Gefahr ausgesetzt ist, dass es zu Rückbuchungen durch den Zahlungsdienstleister kommt, wenn ein Kartenbetrug entdeckt wird.

3-D-Secure – moderne Sicherheitstechnologie

Unter anderen setzen die Kartenaussteller Visa, Mastercard, JCB und American Express das 3-D-Secure-Verfahren ein, um bei Distanzzahlungen sicherzugehen, dass der Kreditkartennutzer auch der tatsächliche Inhaber der Karte ist.

Je nach Kreditkartenherausgeber – also Kreditinstitut – werden unterschiedliche Authentifizierungs-Codes dazu eingesetzt: entweder statische oder dynamische.

Visa nennt sein 3-D-Secure-Verfahren Verified by Visa. Nach Eingabe der Kreditkartendaten – zum Beispiel bei einer Online-Bestellung – wird ein Code verlangt. Das kann eine mobile Tan-Nummer sein, wenn man die Karte von seiner Hausbank hat und ohnehin das mTan-Verfahren nutzt. In diesem Fall wird der einzugebende Sicherheitscode per SMS versendet.

Bei Mastercard heißt das 3-D-Secure-Verfahren SecureCode, American Express nennt es SafeKey und die Kreditkartenfirma JCB spricht von J/Secure.

3-D-Secure-Verfahren von Visa. Grafik: Visa.

Der Vorteil für den Händler bei der Nutzung dieser Verfahren ist, dass der Zahlungseingang in der Regel garantiert wird. Sollte es also trotz dieser erhöhten Authentifizierungs-Anforderungen im Rahmen von 3-D-Secure zum Kreditkartenbetrug kommen, muss der Händler grundsätzlich nicht mit einer Rückbuchung rechnen.

Kreditkartenprüfnummer

Die Kreditkartenprüfnummer ist eine zusätzliche Sicherheitsanforderung. Hierbei handelt es sich um einen drei- oder vierstelligen Zahlencode, der bei der Abwicklung einer Bestellung angegeben werden muss. Die Kartenprüfnummer befindet sich in der Regel auf der Rückseite der Karte in der Nähe des Unterschriftenfeldes.

Die Kartenaussteller verwenden unterschiedliche Bezeichnungen für die Kartenprüfnummer:

  • Visa: Hier heißt die Prüfnummer Card Verification Value 2 (CVV2). Es handelt sich um eine dreistellige Ziffer, die sich auf der Rückseite der Kreditkarte befindet.
  • Mastercard: Auch hier ist die auf der Kartenrückseite aufgedruckte Prüfziffer dreistellig und wird Card Validation Code (CVC2) genannt.
  • American Express: Die Prüfnummer – Card Identification Number (CID) – ist vierstellig und auf der Vorderseite der Karte platziert.

Rückbuchungen vorbeugen

Wenn ein Händler Opfer eines Kreditkartenbetruges geworden ist, stellt sich die Schuldfrage. Unter Umständen wird eine Rückbuchung vorgenommen und der Händler muss sehen, wie er seine Ware zurück erhält.

Es gibt einige Präventivmaßnahmen, die man zur Minimierung des Betrugsrisikos vornehmen sollte; zum Beispiel die Dokumentation persönlicher Daten wie den Namen, der auf der Kreditkarte aufgedruckt ist, das Kartenablaufdatum, die Telefonnummer und E-Mail-Adresse, die Abfrage der Rechnungsadresse und der Kartenprüfnummer.

Auch Informationen rund um die Bestellung sollte man aufbewahren; sowohl Details der Bestellung selbst wie Datum, Uhrzeit und Ware als auch die Korrespondenz im Vorfeld und Nachgang der Bestellung. Dazu gehören auch Bestellformulare und Sendungszustellungs-Bestätigungen.