Betrugsszenarien: Fehlende EMV-Umsetzung in den USA lockt Kriminelle und fördert Betrug im Internet

In Zusammenarbeit mit Euromonitor International veröffentlichte FICO zuletzt die European Fraud Map. Die Studie untersuchte die Entwicklung der Betrugsverluste in 19 europäischen Ländern. IT Finanzmagazin hat sich mit dem FICO-Betrugsexperten Martin Warwick über die Ergebnisse der Studie und ihren Zusammenhang mit der EMV-Einführung in den USA unterhalten.

Herr Warwick, Fraud ist ja immer ein heißes Eisen – deshalb falle ich gleich mal mit der Tür ins Haus: Beim Kartenbetrug – was war in letzter Zeit besonders auffällig?

Zunächst einmal ist ein neuer Höchstwert bei den Verlusten durch Kartenbetrug in Europa zu verzeichnen: Sie sind um fünf Prozent auf rund 1,7 Milliarden Euro gestiegen. Frankreich, Griechenland und Großbritannien belegen die Spitzenplätze. In Deutschland wurden Verluste in Höhe von 132 Millionen Euro verbucht – ein relativ geringer Anstieg von 0,4 Prozent im Vergleich zum Vorjahr.

Das heißt, dass sich in Deutschland nur wenig verändert hat?

Keineswegs! Die Verluste sind zwar relativ stabil geblieben. Aber die Methoden der Betrüger haben sich stark verändert. Der Betrug mit gefälschten Karten – sogenannten Counterfeit Cards – ist zwar leicht zurückgegangen. Das Problem sind aber die Betrugsfälle, bei denen die Karte physisch nicht vorliegt, also der Card-not-Present- oder CNP-Betrug. Sie machen immerhin 70 Prozent der Betrugsverluste aus – Tendenz steigend.

Das ist enorm. Und warum ist das so?

Ein Faktor ist sicherlich das Internet, denn es bietet unzählige Möglichkeiten – leider auch für Kriminelle. Betrüger gelangen immer öfter an sensible Daten und plündern Bankkonten. E-Commerce wächst stetig, also verlagert sich auch die Kriminalität immer mehr ins Netz. Hinzu kommt: Die meisten westeuropäischen Länder setzen auf moderne Technologien, die Skimming – also das Abgreifen von Kartendaten und Kopieren auf gefälschte Karten – nahezu unmöglich machen. Die Kriminalität wandert daher zunehmend ins Internet oder ins Ausland ab. Das belegen auch die Zahlen der European Fraud Map: Grenzüberschreitender Betrug dominierte zuletzt deutlich. 80 Prozent der Fälle, die in Deutschland registriert wurden, fanden im Ausland statt.

Im Ausland? Wie passt das zusammen?

In Europa gilt bereits seit 2005 der EMV-Standard. Dabei werden Zahlungskarten mit einem Prozessorchip ausgestattet, der an Geldautomaten und POS-Terminals ausgelesen wird. Dank EMV gehört Counterfeit-Betrug in Westeuropa zum größten Teil der Vergangenheit an. Das heißt aber nicht, dass Europäer nicht länger davon betroffen sind. Der in Europa registrierte Counterfeit-Betrug findet in Ländern statt, in denen Magnetstreifen-Terminals noch existieren – also vor allem in den USA.

Doch der EMV-Standard soll doch auch in den USA eingeführt werden. ..

Das ist richtig, allerdings besteht ein großer Unterschied zu Europa. Denn hierzulande ist neben dem EMV-Chip auch die PIN-Nummer Standard. Das schützt nicht nur vor Fälschung, sondern auch bei Verlust oder Diebstahl der Karte. Selbst wenn Diebe an eine Karte gelangen, können sie ohne die PIN-Nummer wenig Schaden anrichten. Damit sinkt auch der Diebstahl über den Postweg: Die Karte und die PIN-Nummer werden separat verschickt. In den USA wird zwar auch der EMV-Chip eingeführt, allerdings nur in Kombination mit der Unterschrift – eine recht schwache Authentifizierungsmethode.

Welche Entwicklung erwarten Sie für den US-Markt – und wie wirkt sich das auf Europa aus?

In den USA wird man voraussichtlich die gleichen Erfahrungen machen wie in Europa. Betrugsszenarien werden sich ändern und mehr und mehr ins Internet abwandern, CNP-Betrug wird zunehmen. Sicherlich wird auch in den USA der Counterfeit-Betrug zurückgehen.

Trotzdem ist die mangelnde PIN-Nummer eine Sicherheitslücke. Das birgt nicht nur für US-Banken und ihre Kunden Risiken, sondern auch für Europäer. Wenn in den USA die Handtasche gestohlen wird, ist das weitaus gefährlicher als hierzulande, weil am Point-of-Sale nur die Unterschrift verlangt wird.

Wir hatten ja gerade den Fall, das Kreditkartendaten über einen PSP abgeflossen sind. Welche Technologien werden in Zukunft helfen, in so einem Fall den Kartenbetrug zu verhindern?

Mit der Abwanderung der Kriminalität ins Internet werden analytische Technologien immer wichtiger, die ungewöhnliche Verhaltensmuster erkennen. Solche selbst-kalibrierenden Technologien basieren nicht auf historischen Daten, sondern passen sich spontan an neue Betrugsmuster an. Auch die Tokenisierung – die Verschlüsselung von Kartendaten – wird immer wichtiger, um den Verlust oder Diebstahl von Daten zu minimieren. In Zukunft wird zudem die biometrische Authentifizierung auf mobilen Geräten im Kampf gegen Betrug bedeutender und zum allgemein akzeptierten Standard werden. Solche biometrischen Daten können Aufschluss über die wahre Identität des Karteninhabers geben und so Betrug verhindern.

Können Sie da konkreter werden? Wie könnte eine zukunftsfähige Technologie aussehen?

Die Technologie TrustInsight von 41st Parameter, Anbieter von Anti-Betrugs-Lösungen, ist ein gutes Beispiel dafür, wie Kooperationen dazu beitragen können, Kartenbetrug unter Kontrolle zu bekommen. TrustInsight verbindet das System eines Händlers mit dem des Kartenausstellers. Über diese Verbindung kann der Händler den Kartenaussteller – basierend auf der Historie des Geräts, über das die Transaktion getätigt wurde – über die Vertrauenswürdigkeit der Transaktion informieren.

Vielen Dank für die interessanten Einblicke, Herr Warwickaj