4. E-Commerce Fraud Forum

am 09. & 10.06.2022

in Salzburg und Online

Eine Bestandsaufnahme zu E-Commerce Fraud 

Die COVID-19 Pandemie wurde zum Gamechanger

Das vierte E-Commerce Fraud Forum wurde vom 09. bis 10. Juni 2022 an der Universität Salzburg wieder erfolgreich abgewickelt. Das von Computer Measurement Group (CMG) und der Universität Salzburg veranstaltete Forum stellte für Onlineshop-Betreiber Aktuelles zu Missbrauch und Betrug im Onlinegeschäft dar. Insbesondere für KMUs wurden adäquate Gegenmaßnahmen sachkundig abgehandelt und die Anpassung bestehender Rechtsregeln für die digitale Welt des E-Commerce erörtert. Mit dem Blick nach vorne gerichtet wurde an die Themen der Foren aus 2017 bis 2019 angeknüpft. Der Pandemie geschuldet hat sich der Umgang mit dem Online-Bestellen in den letzten beiden Jahren grundlegend gewandelt, hat eine stürmische Entwicklung genommen. Die Umsätze im Onlinehandel sind in Österreich mit mehr ca. 10 Milliarden EURO auf einem Allzeithoch. Damit einhergehend stiegen Cybercrime-Delikte im Onlinehandel – und das deutlich stärker als im stationären Business. Mit der Digitalisierung hat der Onlinehandel weltweit alle Bereiche von Wirtschaft und alle Schichten der Gesellschaft erreicht. Voranschreitende Vernetzung von Personen, Maschinen und Dingen lösten im Onlinehandel einen Innovationsschub aus und brachten neue Fraud-Formen und Risiken mit sich.

Mehr als 50 Teilnehmerinnen und Teilnehmer des hybrid abgehaltenen E-Commerce Fraud Forums folgten interessiert den zwanzig Fachvorträgen und beteiligten sich angeregt an den Diskussionen. Das Event wurde von Andrew M. Gallacher moderiert, der souverän durch beide Halbtage führte. Wesentlichen Anteil am Zustandekommen des vierten E-Commerce Fraud Forums hatten die Partner des Forums durch ihre finanzielle Unterstützung:

  • AIT Austrian Institute of Technology GmbH
  • CERT.at GmbH
  • Credify Informationsdienstleistungen GmbH
  • CRIF GmbH
  • Experian Ltd.
  • KSV1870 Nimbusec GmbH
  • WebID Austria GmbH
  • Wirtschaftskammer Österreich – Fachverband Unternehmensberatung, Buchhaltung und Informationstechnologie
  • Rundfunk und Telekom Regulierungs-GmbH (RTR)
  • T-Mobile Austria GmbH

Einleitungsreferate:

  • Digitalisierung: Strategische Schlussfolgerungen aus der Pandemie

Die Pandemie hat die Bedeutung der Digitalisierung noch einmal hervorgehoben und verstärkt. Auf Basis der Erkenntnisse aus den Monaten des Umbruchs des täglichen Lebens wurden von Ferdinand Scheidbach vom Bundesministerium für Digitalisierung und Wirtschaftsstandort (künftig: Bundesministerium für Finanzen) die strategischen Schlussfolgerungen entsprechend dem „Digitalen Aktionsplan“ der Bundesregierung erläutert. Um aus digitaler Sicht besser auf Krisen vorbereitet zu sein und diese zu meistern wurde die Website oesterreich.gv.at und die mobile App „Digitales Amt“ bereitgestellt. Die bestens eingeführte Handy-Signatur, als digitale Identität im Internet, wird als ID Austria (ID-A) weiterentwickelt. Eine „Ausweisplattform“ wird Bürgerinnen und Bürgern und Unternehmen die Verwendung von digitalen Ausweisen am Smartphone ermöglichen. 2022 soll der digitale Führerschein verfügbar sein.

  • Cybercrime unter Einfluss der Pandemie

Das Kriminalitätsfeld Cybercrime verzeichnete auch letztes Jahr wieder einen massiven Anstieg. Maßgeblich für den Anstieg ist dabei auch die Pandemie. Viele Wirtschaftstreibende wurden dabei gezwungen, ihre Geschäftsmodelle neu zu überdenken und damit in das Internet zu ziehen. Erhard Friessnik vom Bundesministerium für Inneres stellte anschaulich dar, wie durch Sicherheitslücken in den unterschiedlichen Diensten viele zu Opfern von Cybercrime wurden – nicht nur auf Seiten der Unternehmen.

  • Plattformverantwortung: EU-Stellschrauben gegen Fakeshops, Identitäts-diebstahl & Co

Das Risiko, Opfer von Onlinebetrug zu werden, ist nach dem Befund der EU-Kommission erschreckend hoch: 56% der EU-Bürgerinnen und Bürger (51% der Österreicherinnen und Österreicher) haben demnach zwischen 2019 und 2020 mindestens einen Betrugsversuch erlebt. Finanzanlagebetrug führt die Statistik an (39%), gefolgt von “Identitätsdiebstahl” (33%) und “Kaufbetrug” (23%). Der individuelle Schaden bewegt sich zwischen 0 und 500 Euro, der Gesamtschaden wird auf 24 Milliarden Euro geschätzt. Daniela Zimmer, AK Wien, merkte in ihren Ausführungen dazu einschränkend an, dass sich nur jede/r fünfte Betroffene bei einer offiziellen Stelle meldete. – Wie Verbesserungen der derzeitigen Rechtsvorschriften durch ein einheitliches, EU-weit gültiges Regelwerk für digitale Dienste (Digital Services Act, DSA) die Macht digitaler Plattformen einschränken wurde an Hand wesentlicher Artikel des DSA erörtert.

Block 1: Einfluss von E-Commerce-Fraud auf E-Shop-Betreiber

  • News aus dem Bereich der Cyberangriffe

Der Vortrag von Dr. Wolfgang Schwabl, A1 Telekom Austria AG, behandelte die wichtigsten Trends bei den Cyberangriffen aus Sicht von A1. Der Online-Betrug hat immer Saison. Es werden nicht nur Server und PCs angegriffen, neu sind Angriffsmethoden auf das Handy. Konkrete Beispiele von Angriffen wurden vorgestellt und wie man sich dagegen schützen kann.

  • Risiko- und Betrugsmanagement entlang der Customer Journey – Wie man aus dem Vielfalt-Dilemma einen Kundenvorteil macht

Christoph Mammerler, CRIF GmbH, stellte die Frage, wie wir uns künftig im Internet ausweisen können und stellte darüber hinaus die Nutzerzahlen von allen am Markt gängigen durch CRIF angebotenen Identmethoden gegenüber. Überraschender Weise werden Identmethoden die eher den Digital Natives zugeordnet werden von dem Kundensegment 50+ genutzt. Erfreulich war die Nutzung von der Generation > 90 Jahre. Die Vielfalt muss, im Gegensatz zum weit verbreitenden Slogan „Paradoxon of Choice“, nicht einschränkend sein, sondern kann – wie die Nutzerzahlen gezeigt haben – sehr Konversion freundlich sein. Das Innovations-Portal Trending Topics geht mit Experten und Vertretern aus Politik und Wirtschaft diesen Themen auf den Grund: “Egal in welchen Welten wir uns bewegen, die Identität der Person muss eindeutig, sicher und vor allem einfach feststellbar sein“, so unser Anspruch als Identification Service Provider

  • Wer ist Wer im e-Commerce? Was starke Kundenauthentifizierung und eID zum Fraud-Management beitragen

Thomas Von der Gathen von PSA Payment Services Austria GmbH berichtete, dass mehr als 80% aller österreichischen Bankomat®Karten auf Debit Mastercard/Visa Debit umgestellt wurden. Damit sind sie im Online-Shopping voll einsatzfähig wie eine Kreditkarte.. Insgesamt steigt damit die Anzahl Fraud-stabilerer Transaktionen, ein entscheidender Vorteil bei insgesamt einer Verdopplung der Transaktionen von 2020 auf 2021 im E-Commerce. Als tokenisierte Variante wird die Bankomat®Karte bereits mehr als 1,5 mio mal als Pendant zur Plastikkarte bei Online-Services hinterlegt. Bei Kartenzahlung werden durch starke Kundenauthentifizierung (Strong Customer Authentication, SCA) sowohl Identität als auch Bonität geprüft. Darüberhinaus stellte Von der Gathen die Pilotierung einer eigenen e-ID Lösung von PSA vor, der Markteintritt ist für das erste Quartal 2023 geplant. Damit wird diese E-ID zur österreichischen Bankenlösung, siehe auch www.ich.app

  • Biometrische Identifikation zur Fraud Prävention im E-Commerce

Die Anzahl der Betrugsfälle im E-Commerce nimmt zu. Eine häufige Variante dabei ist der Identitätsbetrug. Wie können E-Commerce-Unternehmer also in einer anonymen Internet-Welt erkennen, mit wem sie es tatsächlich zu tun haben? In diesem Vortrag gab Fritz Tupy von WebID Austria GmbH einen Einblick wie Identitätsbetrug im Online-Handel mittels KI, Biometrie und dem Einsatz von digitalen Identitäten verhindert werden kann – konversionsstark, sicher und benutzerfreundlich.

  • Schnell, schön, sicher: Technische Konzeption und Betrieb sicherer E-Commerce Systeme

Ein Online-Shop muss eine Vielzahl an Anforderungen erfüllen. Händler wollen möglichst viele Kunden gewinnen und Umsatz generieren. Oft stehen Business-Anforderungen über den sicherheitstechnischen Anforderungen, Security-Updates bleiben dann auf der Strecke oder werden erst sehr verzögert integriert.

Während der technischen Entwicklung eines E-Commerce Systems gibt es eine Vielzahl an Maßnahmen und Aktionen die dazu dienen, die gesamte Sicherheit eines E-Commerce Systeme zu verbessern. Dazu gehört ein sicherer Software-Entwicklungszyklus der unter anderem ein Security Code-Review von eigenen und externen Modulen, ein sicheres Konfigurationsmanagement und die Durchführung von Security-Testing und Security-Scannern umfasst.

Anna Völkl von der Agentur E-CONOMIX zeigte, wie man als Agentur nicht nur ein funktionierendes und performantes, sondern auch ein aktuelles und sicheres Shop-System bereitstellen kann.

  • Einführung in das Themenfeld Krypto-Assets und NFTs

Dr. Ross King, AIT Austrian Institute of Technology GmbH, definierte in seinem Vortrag Kryptoassets und die technologische Grundlage einer bestimmten Klasse von Kryptoassets, Non-Fungible Tokens (NFTs), mit einer Erklärung von Ethereum und Smart Contracts. Darauf aufbauend stellte er einige der zahlreichen Arten von Betrug vor, die im NFT-Ökosystem üblich sind.

  • Betrugsprävention aus Kundensicht: Was macht einen Online-Shop vertrauensvoll?

Bevor Konsumentinnen und Konsumenten in einem Online-Shop einkaufen, müssen sie dem Shop vertrauen. Welche Aspekte für österreichische Konsumentinnen und Konsumenten wichtig sind, und was sie gar nicht mögen, hat das Österreichische E-Commerce-Gütezeichen in einer repräsentativen Studie erfragt. Thorsten Behrens vom Österreichischen Institut für angewandte Telekommunikation (ÖIAT) präsentierte die wichtigsten Ergebnisse der Studie und kombinierte diese mit seinen Erfahrungen aus der täglichen Präventionsarbeit der Watchlist Internet.

Block 2: Multichannel-Anbieter: stationäre Betriebe als E-Shop-Betreiber / mit Webshops

  • e-Shop und stationärer Hand: niceshops als Erfolgsmodell

Der Vortrag von Roland Fink, niceshops GmbH, handelte um Praxisinfos und Side Stories rund um (Cyber)Sicherheit bei niceshops. Bei einem jährliche Umsatzwachstum von 40 bis 94% liegt bei niceshops – in Zeiten hoch wechselbereiter sowie preis- und servicesensitiver Kunden – der Stammkundenumsatz seit Jahren bei konstant über 52%. Ein Schlüssel dafür ist, dass das Unternehmen nicht Menschen, sondern Arbeit organisiert: autonom bei der Erledigung der Arbeit, Entscheidungen sind dort wo die meisten Informationen und die Entscheidungskompetenz vorhanden ist, evolutionäre Entwicklung der Organisation aus sich selbst heraus und Transparenz für jedermann wer wofür zuständig ist. Das Tun steht also bei niceshops im Vordergrund, sichert den Unternehmenserfolg.

  • eCommerce-Kaufmann/-frau – Ausbildung für die digitale Zukunft im Handel

Der Lehrberuf eCommerce-Kaufmann/-frau soll die heute schon notwendigen Bedarfe des Kaufmanns/der Kauffrau abdecken und Österreich im E-Commerce zukunftsfitter machen.

Hans Peter Helminger, Funktionär der Wirtschaftskammer Salzburg, Versand-, Internet- und allgemeiner Handel, zeigte die wichtigsten Inhalte des Lehrberufes auf und wies auf die Vielfalt dieser Ausbildung hin. Ergänzend zu Theorie und Praxis beeindruckten erfolgreich ausgebildete Lehrlinge, Ida Lindner und Simon Mundt, mit ihren Werdegängen und ihren Zukunftsplänen.

Block 3: Was online-Anbieter bei Eröffnung/Betrieb ihres E-Shops wissen sollten – Juristen informieren

  • Das neue Gewährleistungsrecht für digitale Leistungen

Mit dem Gewährleistungsrichtlinien-Umsetzungsgesetz 2021 wurde – für den Bereich der Verbraucherverträge erstmals eine Regelung für Gewährleistungsansprüche bei Verträgen über die Bereitstellung digitaler Leistungen (digitale Inhalte und digitale Dienstleistungen) getroffen, in Kraft ist diese Regelung seit 01.01.2022. Erstmals geregelt wurde hier auch eine Updatepflicht für solche Leistungen eingeführt. Der Vortrag von Univ.-Prof. Dr. Peter Mader, Universität Salzburg, stellte die Neuregelung im Überblick dar und ging besonders auf die Unterschiede zum “klassischen” Gewährleistungsrecht ein.

  • Aktuelle Vorgaben und Judikatur zum Online-Handel

Online-Händler müssen eine Vielzahl unterschiedlicher rechtlicher Vorschriften beachten, um ihren Onlineshop rechtskonform zu betreiben und damit keine teuren Unterlassungsaufforderungen oder Unterlassungsklagen durch Mitbewerber oder dazu befugte Vereinigungen zu riskieren. Erschwerend kommt noch dazu, dass der Unionsgesetzgeber regelmäßig neue Rechtsvorschriften erlässt, die Online-Händler zu ständigen Anpassungen ihres Webauftritts zwingen. Ebensolches gilt für die erforderliche Berücksichtigung der in diesem Bereich laufend ergehenden Rechtsprechung.

Der Vortrag von Prof. Dr. Sonja Janisch der Universität Salzburg zeigte zum einen Neuerungen und erforderliche Anpassungen für den Online-Handel durch das geplante Modernisierungsrichtlinie-Umsetzungsgesetz I bzw. II auf, das zu Änderungen des Fern- und Auswärtsgeschäfte-Gesetzes (FAGG) sowie des Konsumentenschutzgesetzes (KSchG) ​bzw des Bundesgesetzes gegen den unlauteren Wettbewerb (UWG) sowie des Bundesgesetzes über die Auszeichung von Preisen (PrAG) führen soll. Die Neuregelung bringt insbesondere Änderungen bei den Informationspflichten der Online-Händler mit sich. Zum anderen wurden aktuelle Urteile des österreichischen und des europäischen Höchstgerichts präsentiert, die für den Online-Handel besonders bedeutsam sind.

Block 4: Risiken bei E-Commerce durch Fraudster

  • Erfahrungen und Erkenntnisse aus der Meldestelle Rufnummernmissbrauch

Der steigende Missbrauch von Telefonnummern ist eine unerfreuliche Begleiterscheinung der Digitalisierung und der immer günstiger werdenden Entgelte für Kommunikationsdienste. Von massenhaftem Spammen per SMS und Anruf bis hin zu betrügerischen Kontaktaufnahmen reicht das Spektrum. Gregor Goldbacher von RTR berichtete, dass RTR das Thema mit der Etablierung der Meldestelle Rufnummernmissbrauch frühzeitig aufgegriffen hat und im November 2021 formale Agenden in diesem Zusammenhang übertragen bekam. Die Erfahrungen aus vier Jahren Meldestelle zeigen, dass es keine Patentrezepte gegen diese Entwicklung gibt und Maßnahmen auf verschiedenen Ebenen verfolgt werden müssen. Das im November 2021 in Kraft getretenen Telekommunikationsgesetz 2021 ermöglicht erstmals gezielte Maßnahme gegen eine Form des Rufnummernmissbrauchs, den Pinganrufen. Verpflichtende Sperre, Warnansage aber auch Inkassoverbote sollen die Auswirkungen von „Pinganrufwellen“ minimieren.

  • Aktuelle Bedrohungen und Vorfälle aus der CERT Perspektive

CERT.at dient als nationales Computernotfallsteam und Meldestelle für Meldungen nach dem Netz- und Informationssystemsicherheitsgesetz (NISG) als Informationsdrehscheibe für sicherheitsrelevante Informationen rund um Schwachstellen, Bedrohungen und konkrete Vorfälle. Eine wesentliche Kernaufgabe ist dabei neben der unmittelbaren Information konkret betroffener Organisationen, auch das Anonymisieren, Verdichten und Abstrahieren von Beobachtungen und Erfahrungen zum Zweck der Frühwarnung. Gerade diese „Lessons Learned“ aus erster Hand leisten einen wesentlichen Beitrag zur Hebung des Sicherheitsniveaus – bedingen aber eine neutrale Stelle mit hohem Vertrauensniveau. Dazu hielt Robert Schischka von CERT.at fest, dass sich das Modell eines nationalen CERTs bzw. eine sektorspezifischen CERTs welches keine behördliche Aufsichtsfunktion hat, sehr bewährt.

  • Strukturelles Fingerprinting von Fake-Shops und Echtzeitschutz im Onlinehandel durch Machine Learning

Der Einsatz von Künstlicher Intelligenz (KI) zum Schutz für Konsumentinnen und Konsumenten ist nicht nur vielversprechend, sondern zu einer Notwendigkeit geworden. Andrew Lindley vom AIT stellte in seinem Beitrag dar, dass der Fake-Shop Detector zu einer raschen und effektiven Exponierung von betrügerischen Onlinehändlern beiträgt.

Die Umsätze im Onlinehandel sind mit 9,6 Milliarden in Österreich (+20%) auf einem Allzeithoch, dem gegenüber steht die rapide Zunahme an Cybercrime-Delikten (2020: +26,3%). Fake-Shops verursachen hierbei großen, volkswirtschaftlichen Schaden, eine Dunkelfeldstudie geht von 320.000 direkt betroffenen Konsumentinnen und Konsumenten in Österreich aus und beziffert die Schadenhöhe auf 16 Millionen Euro. Risikogruppen wie Personen mit höherem formalem Bildungsniveau und Risikoverhalten beim Surfen, machen den Großteil der Opfer von Fake Shops aus, Männer im Alter von 18 bis 29 Jahren bilden die sorgloseste Risikogruppe. Umso wichtiger ist, dass diese Gruppen vermehrt technische Sicherheitsmaßnahmen einsetzen und ihre Wachsamkeit erhöhen.

Das KIRAS-Projekt SINBAD hat erfolgreich einen auf KI-basierenden Fake-Shop-Detector entwickelt, der für Konsumentinnen und Konsumenten kostenlos als Browser-Plugin für Edge, Firefox und Chrome zum Download bereitsteht.

  • Multi-Channel Risk Management in Zeiten der Pandemie – welchen Einfluss hat die COVID19 Krise auf das Risk Management?

In welchem Ausmaß hat die Pandemie das Verhalten der Konsumenten und damit das Risk Management im E-Commerce sowie stationären Handel verändert? Reicht das bekannte Rüstzeug in den Unternehmen aus, um den neuen Herausforderungen gerecht zu werden? In seinem Vortrag beleuchtete Sepp Puwein-Borkowski, Credify Informationsdienstleistungen GmbH diese Fragen und zeigte Lösungen anhand von praktischen Beispielen auf. Anschließend ging Dalibor Davidovic von MTEL auf ein Phasen-bezogenes Anreizsystem zur Bereitstellung von Mobiltelefonen an Konsumenten, trotz Covid-Lockdowns, ein.

  • Wie kann sich ein Onlineshop gegen Hacker wehren und damit das eigene CyberRisk Rating by KSV1870 verbessern?

Die EU-DSGVO und die EU-NIS Richtlinie verlangen von allen Organisationen, insbesondere von den Betreibern wesentlicher Dienste, ein professionelles Cyber-Risikomanagement für Dienstleister, Lieferanten und Dritte. Seit Anfang 2020 erarbeitete das Kompetenzzentrum Sicheres Österreich (KSÖ) gemeinsam mit Sicherheitsverantwortlichen aus Industrie, Verwaltung und kritischer Infrastruktur einen Standard zur Evaluierung von Cyberrisiken. Das Cyber Risk Schema des KSÖ ist die Basis des „CyberRisk Ratings by KSV1870“ und ist ein standardisierter Prozess damit Cyberrisiken in globalen Lieferketten transparent werden und so zielgerichtet verringert werden können. Alexander Mitter, KSV1870 Nimbusec GmbH führte aus, dass die im Rating gestellten Anforderungen insbesondere dem Online-Handel helfen können, sich selbst besser abzusichern. Neben dem eigenen Sicherheitsgewinn verbessert sich dadurch auch das CyberRisk Rating des KSV1870. Details dazu finden Sie unter https://cyberrisk-rating.at/.

  • Vom Türsteher zum Umsatzbringer: Cybercrime und die Notwendigkeit zur Nutzung von Machine Learning

Durch hohe Ablehnungsquoten, unflexible Regeln und Prozesse verlieren Unternehmen Milliarden Euro Umsatz. Annabelle Hense und Özgür Ekici von Experian Ltd erklärten in ihrem Beitrag, warum Machine Learning den entscheidenden Vorteil in der Betrugsbekämpfung bringt. Kreditkartenbetrug, Identitätsdiebstahl, Account-Take-Over – Onlinebetrugsmaschen sind vielfältig und wandeln sich heutzutage schnell. Umsatzeinbußen durch Online-Betrug sind erheblich, machen aber nur einen Bruchteil verglichen mit False Positives aus. False Positives sind diejenigen Transaktionen von Kunden, die eigentlich nur etwas kaufen oder einen Vertrag abschließen wollen, vom System aber als verdächtig eingestuft oder direkt abgelehnt werden. Dadurch gehen allein dem europäischen Online-Handel jährlich Milliarden Euro verloren. Mit dem richtigen Daten- und Technologie-Einsatz können Umsatz generiert und die False-Positive-Rate auf ein ganz neues Level gebracht werden.

Betrug und Missbrauch im E-Commerce haben in der Pandemie heftig zugenommen und werden immer raffinierter. Das vierte E-Commerce Fraud Forum gab in zwanzig Vorträgen den Betreibern von Onlineshops Denkanstöße für ein präventives Risikomanagement und zur Abwehr signifikanter Fraudrisiken. Teilnehmerinnen und Teilnehmern hatten ausreichend Zeit für Erfahrungsaustausch und Networking. Wir würden uns freuen auch im kommenden Jahr wieder ein interessantes E-Commerce Fraud Forum anbieten zu können.

Autoren: Susanne Szabo, EXACON-IT Informationstechnologie Beratungsges.m.b.H. und Dr. Helmut Malleck, Computer Measurement Group (CMG)