Mittel gegen Fakebestellungen?

Nicht nur wir selbst haben immer wieder mit Betrugsfällen und „Fake-Bestellungen“ zu kämpfen (z.B. hier oder hier), sondern auch unsere Reseller. Dabei werden wir auch nach möglichen Schutzvorkehrungen und Maßnahmen gefragt, um die Anzahl solcher Vorfälle eindämmen zu können.

Grundsätzlich gibt es natürlich Mittel und Wege, um in betrügerischer Absicht erteilte Aufträge mit einer höheren Wahrscheinlichkeit erkennen und zurückweisen zu können. Erster Ansatz dafür ist eine Überprüfung der angegebenen Kundendaten auf offensichtliche Unstimmigkeiten. Denn die Richtigkeit der Bestellung einer Domain „spamversand.tld“ eines Dagobert Duck aus Entenhausen darf durchaus angezweifelt werden. Nun sind aber natürlich die wenigsten Fälle so eindeutig und es gibt ja duchaus auch ungewöhnliche Namen und Adressen, die zwar seltsam anmuten aber tatsächlich richtig sind. Gleichzeitig darf man sich keiner falschen Illusion hingeben: Wer betrügen will, nutzt halt gegebenenfalls einfach „echte“ Firmen- oder Personendaten, z.B. aus dem Internet oder Branchenbuch. Was auch der Grund ist, weshalb wir nicht mehr automatisch einen Abgleich von Anmeldedaten mit Datenbanken vornehmen, um die Gültigkeit der Adresse zu verifizieren. Denn wenn die Onlinebestellung eine Meldung „Entschuldidgung: Die Straße ‚Dasisteinfakehaha 1‘ ist nicht bekannt“ ausgibt, wird geschwind ein echter Straßenname eingetragen. Am Ende schadet eine solche Überprüfung nur mehr, als sie nutzt, da in jedem Fall unbeteiligte Dritte ins Visier möglicher Ermittlungen geraten.

Was man ansonsten tun kann (und tun sollte), hängt vom Einzelfall und der aktuellen Lage ab. Im Normalfall ist ja z.B. bei uns eine Bestellung mittels SMS-Freischaltung ohne menschliche K0ntrolle möglich, um Wartezeiten für Neukunden zu vermeiden. Bei Vertragszusendung erfolgt statt dessen eine Sichtkontrolle der Bestellung. Bei Auffälligkeiten sind eine individuelle Kontaktaufnahme zum Kunden oder zusätzliche Überprüfungen im Einzelfall möglich. Bei grundsätzlichen Auffälligkeiten (unüblich viele festgestellte Anmeldeversuche mit falschen Daten usw.) sind zusätzliche Maßnahmen wie eine Einschränkung der SMS-Freischaltung, eine Überprüfung der IP-Nummer und Domainnamen der Bestellung („Max Muster aus München ordert mit einer IP aus Afrika die Domain EineDeutscheBank-Onlineservices.tld“) oder insgesamt intensivere Vorabrücksprachen bei Bestellern weitere mögliche Maßnahmen.

Was aber kann man tun, wenn ein betrügerisch erteilter Auftrag freigeschaltet wurde? Hilft die erste Rücklastschrift, um dem Täter auf die Schliche zu kommen? – Leider nicht. Denn auch „echte“ Kunden geben mal aus Versehen falsche Kontodaten an (die wir in der Regel ausfiltern vorab, was jedoch nicht bei allen Banken zu 100% funktioniert), lassen die Lastschrift zurückgehen oder haben schlichtweg keine Deckung auf dem Konto. Hier bei einem neuen Kunden von vorne herein etwas „Böses“ anzunehmen und darauf z.B. mit einer Kündigung, Sperrung oder Konteneinschränkung zu reagieren, wäre nicht sehr kundenfreundlich und würde vielen seriösen, neuen Partnern schaden. Spätestens nach weiteren zwei Wochen wird sich die Problematik jedoch zumindest teilweise erledigen, weil bei anhaltenden offenen Posten der Account temporär deaktiviert wird. Zudem melden sich in der Regel auch Inhaber von missbräuchlich genutzten Konten, was dann natürlich eine entsprechende Überprüfung der Sachlage ermöglicht.

Wirklich viel ist das alles nicht, denn es bleiben natürlich weitere Lücken, durch die Straftäter unsere Dienste missbräuchlich verwenden können. Eine 100%ige Sicherheit ist eben nicht möglich und jede zusätzliche Überprüfung schadet primär real existierenden Personen/Firmen weil es zu Umgehungsmaßnahmen bei Betrügern kommt. Auch schärfere Reaktionen nach Rückbuchungen von Lastschriften führen primär dazu, dass echte Kunden getroffen werden. Die Täter eröffnen hingegen zur Not einfach ein neues Konto.

Nur mit einer teuren sowie kaum praktikablen Vollidentifizierung von Bestellern wäre das Missbrauchsrisiko von Onlinediensten durch Fakeaufträge wirksam einzudämmen. Aber welcher Kunde wäre schon bereit, die damit verbundenen Mehrkosten zu tragen und ein paar Tage zu warten, bis sein Account freigeschaltet ist? Also verbleibt nur, mit dem hier besprochenen Problem zu leben und so gut es eben möglich ist dagegen vor zu gehen. Ohne, dadurch echte Kunden spürbar zu beeinträchtigen oder sich auf datenschutzrechtliches Glatteis zu begeben. Manchmal ist das zwar frustrierend, aber der einzige vernünftige Weg.

Last but not least noch ein Hinweis: Wenn sich Betrugsbestellungen von verschiedenen Personen häufen, könnte dies ein Indiz dafür sein, dass in der Vergangenheit Freischaltungen zu schnell und ohne ausreichende „Hürde“ (SMS -> Nummer wird bekannt / Faxzusendung) vorgenommen worden sind und nun in einschlägigen Kreisen der entsprechende Dienst als „Tipp“ kursiert.

End of article

Sara Marburg

Über den Autor

Sara Marburg

Geschäftsführung (bis 11/13)

1 Kommentar

Bitte füllen Sie das Captcha aus : *

Reload Image

Die von Ihnen hier erhobenen Daten werden von der domainfactory GmbH zur Veröffentlichung Ihres Beitrags in diesem Blog verarbeitet. Weitere Informationen entnehmen Sie bitte folgendem Link: www.df.eu/datenschutz


  • Ronny H. Richter
    Ronny H. Richter - 29. März 2010 um 11:59 Uhr

    Leider gibt es keine SMS-Freischaltung für das RP2. Dies würde auch uns helfen, aber DF bietet es ja nur für sein eigenes System an.

    VG Ronny H.