Ein Schutzschild aus Software verhindert Missbrauch

Kreditkartenfirmen wissen oft schon vor dem Kunden, dass seine Karte missbraucht wird. Denn jede Transaktion wird mit seinem Verhaltensmuster abgeglichen.

Kreditkartenfirmen erhöhen den Einsatz, um im Spiel zu bleiben: Karikatur.

Kreditkartenfirmen erhöhen den Einsatz, um im Spiel zu bleiben: Karikatur. Bild: Felix Schaad, Tagesanzeiger

Feedback

Tragen Sie mit Hinweisen zu diesem Artikel bei oder melden Sie uns Fehler.

Es ist ein Spiel, das niemals zu Ende geht. Seine wichtigste Regel lautet: Die Kreditkartenfirmen müssen ihren Einsatz stets erhöhen, um im Spiel zu bleiben. Adrian Kläy und Christoph Mathys kümmern sich bei der Aduno-Gruppe um die «Missbrauchsrisiken», um den Kreditkartenbetrug. Ihre Teams, zusammen 16 Mitarbeiter, machen den Betrügern das Spiel so schwierig wie möglich.

Die Arbeit der Missbrauchsabteilungen rückt mit dem Fall Chilli’s – Beamte der Zürcher Sittenpolizei sollen mit Sex und Essen bestochen worden sein – in den Fokus. Samir Y., der Besitzer des Etablissements im Kreis 4, sitzt in Untersuchungshaft. Ein Vorwurf lautet: Kreditkartenbetrug. Angestellte sollen die Karten von Kunden systematisch zu hoch belastet haben.

Betrug verschiebt sich ins Netz

Häufen sich Klagen von Kreditkartenkunden gegen einen Händler, fällt das in der Abteilung von Adrian Kläy und Christoph Mathys mit Sicherheit auf: Alle Betrugsfälle und Meldungen über Unregelmässigkeiten werden von den Kreditkartenfirmen erfasst und analysiert. Damit sie Abklärungen in Milieufällen überhaupt aufnehmen, braucht es eine Anzeige bei der Polizei. «Das ist die Hürde», sagt Kläy, der die Abteilung leitet. Die Versuchung wäre sonst gross, einen Betrag, «den allenfalls die Ehefrau auf der Abrechnung entdeckt hat», als Betrug anzugeben.

Die Kartenherausgeberin Viseca Card Services, Teil der Aduno-Gruppe, ist eine der grossen Anbieterinnen von Zahlungsmitteln in der Schweiz. Sie hat hierzulande gut 1,3 Millionen Kreditkarten im Umlauf. Ihre Kunden tätigten damit im vergangenen Jahr knapp 50 Millionen Transaktionen. Der Anteil von betrügerischen Kartentransaktionen bewegt sich im Promillebereich. Die technischen Entwicklungen – Chip statt Magnetstreifen, PIN statt Unterschrift – schlagen sich auf die Art des Betrugs nieder: Fälle, wie jener im Chilli’s, werden in der Missbrauchsstatistik der Gruppe «Diverses» zugeordnet, die von den jährlich gemeldeten Betrugsfällen nur gerade 2 Prozent ausmachen.

Rückgang der Betrugsfälle

Die Verteilung der verschiedenen Kartenbetrugsarten hat sich in den letzten zehn Jahren deutlich verschoben. Sahen sich die Betrugsabteilungen damals vor allem mit Kartenfälschungen konfrontiert, betreffen heute mehr als zwei Drittel der Fälle Betrügereien im Internet.

Die Europäische Zentralbank (EZB) stellt einen Rückgang der Betrugsfälle mit Kreditkarten fest. Die neusten Zahlen der EZB stammen aus dem Jahr 2011: Während die Zahl der Kreditkarten stetig steigt, nimmt die Schadenssumme durch Betrug jährlich ab – im Vergleich zu 2010 um 5,8 Prozent. Die kriminellen Schäden durch Kreditkartenbetrug im Euroraum plus Island, Liechtenstein, Monaco, Norwegen und die Schweiz betrug 1,16 Milliarden Euro (1,43 Milliarden Franken). Im Schnitt ist eine von 4000 Transaktionen betrügerisch.

Kartenfirma ist oft schneller

Oftmals merken die Kartenherausgeber den Betrug noch vor dem Kunden. Das zeigt der aktuelle Fall eines Kunden der Postfinance, der Opfer eines sogenannten Skimmings wurde: An einem Geldautomaten wurde seine Karte kopiert und sein PIN-Code ausspioniert. Er wurde von der Betrugsabteilung kontaktiert, der merkwürdige Transaktionen aufgefallen waren. Am 6. November wurden in Bali folgende Beträge von seinem Konto abgebucht: zehnmal 162.45 Franken, je zweimal 97.45 und 40.60. Insgesamt 23'400'000 indonesische Rupiah oder 1900.60 Franken.

Offenbar war bei einem Urlaub des Kunden im Sommer in Kroatien an einem Bancomaten der Magnetstreifen der Postfinance-Card kopiert worden. Damit die Postfinance den entstandenen Schaden übernahm, musste der Kunde bei der Kantonspolizei Zürich Anzeige erstatten.

Um solche Betrugsfälle zu verhindern, bietet Postfinance ein Geoblocking an. Kunden haben die Möglichkeit, das Einsatzgebiet ihrer Karte zu beschränken – etwa auf die Schweiz, auf die sicheren Chiptransaktionen oder für Länder Europas. Ähnliche Systeme gibt es auch für Kreditkarten.

Zwei parallele Sicherheitsnetze

Um Betrugsfälle zu erkennen und zu verhindern, setzt die Aduno-Gruppe auf zwei unterschiedliche Systeme. Das eine beruht auf einem regelbasierten Ansatz: Um risikobehaftete Transaktionen herauszufiltern, werden verschiedene Regeln und Bedingungen definiert. Das zweite System läuft automatisch im Hintergrund: Jede Transaktion wird mit dem bisherigen Verhaltensmuster des Kunden abgeglichen. Unregelmässigkeiten werden automatisch gemeldet.

So etwa bei einer Kundin, die in Barcelona mit ihrer Kreditkarte Tickets für ein Spiel des FC Barcelona bezahlen wollte. Die Betrugsabteilung der Kreditkartenfirma nahm mit ihr Kontakt auf. Als Begründung gab die Kundenberaterin am Telefon an: Eine Sportveranstaltung passt nicht in das Verhaltensprofil, welches aufgrund vergangener Transaktionen generiert wurde.

Die meisten Kunden würden positiv auf solche Nachfragen reagieren, sagen die Kreditkartenfirmen. Die Kunden fühlen sich nicht überwacht, vielmehr geben solche Anrufe ihnen ein Gefühl von Sicherheit. Die Akzeptanz dafür habe in den letzten Jahren zugenommen, heisst es zum Beispiel bei der Sicherheitsabteilung von Cornércard. Damals hätten sich die Kunden in ihrer Privatsphäre gestört gefühlt, heute sei das Verständnis dafür sehr gross.

Risiko automatisch berechnen

Die Corner Bank mit Sitz in Lugano hat in der Schweiz rund 1 Million Kreditkartenkunden. Ihr Sicherheitssystem ist ebenfalls mehrschichtig ausgelegt. Es basiert einerseits auf der Grundlage von Strategien und statistischen Modellen. Andererseits gleicht es die Transaktionen mit den Verhaltensprofilen ab. Für die Transaktionen errechnen die Computersysteme in Echtzeit einen Risikoscore: Überschreitet dieser einen gewissen Wert, wird die Transaktion überprüft oder automatisch blockiert.

Laut einem Insider der Branche bewegt sich der Sicherheitsstandard der Schweizer Kreditkartenherausgeber auf einem vergleichbaren Niveau. Jede Firma habe zwar ihre eigenen Systeme, die sich im Grundsatz aber ähnlich seien. In Zukunft dürften die «neuronalen Systeme» an Gewicht gewinnen. Sie lernen und passen sich anhand der bekannten Betrugsmuster laufend selber an.

Die Aduno-Gruppe legt das Hauptaugenmerk auf das System mit dem regelbasierten Ansatz: Sämtliche Betrugsfälle durchlaufen eine systematische Analyse, bei der Betrugsmuster isoliert werden. Das Team von Christoph Mathys definiert aufgrund dieser Analysen Regeln für die Autorisierung von Transaktionen. Diese sind sehr spezifisch: Sie können je nach Häufung oder Anzeichen auf Betrug Regionen, Branchen oder ein Kundensegment betreffen.

Ein Problem der Kartenindustrie

Auf diese Weise kann in Situationen, in denen Kreditkartendaten entwendet werden, ein wirkungsvoller Schutz aufgebaut werden. So geschehen in den Fällen von Sony oder Adobe, bei denen Millionen von Kundendaten gestohlen wurden. Da konnten die Risiken tief gehalten werden: Für die betroffenen Kunden wurden die Sicherheitsanforderungen für Transaktionen in einem gewissen Zeitraum erhöht, ohne dass diese etwas davon gemerkt hätten.

Das sei das höchste Ziel, sagt Mathys, Sicherheit zu bieten und Betrug zu verhindern, ohne die Kunden unnötigerweise damit zu behelligen. Die Betrugsabteilung greift jedoch auch bemerkbar in Transaktionen ein, wenn Zweifel bestehen, und nimmt Kontakt mit dem Kunden auf. «Betrug ist in erster Linie das Problem der Kartenindustrie, nicht des Kunden», sagt Kläy. Auch finanziell: Um das Sicherheitsnetz möglichst dicht zu weben, braucht es regelmässige Investitionen in die Sicherheit.

Ihre Spezialisten brächten zudem regelmässig Betrugsfälle bei der Polizei zur Anzeige, heisst es bei Aduno. Gemeinsam mit anderen Kreditkartenfirmen sei es so vor kurzem gelungen, einen Ring sogenannter Handelsmanager auszuheben. Die Betrüger hatten mit gestohlenen Kartendaten bei Elektronikhändlern Artikel gekauft und die Waren bei der Lieferung abgefangen. Anhand der Informationen der Kartenanbieter gelang es, die Täter zu verhaften. (Tages-Anzeiger)

Erstellt: 23.11.2013, 09:26 Uhr

Sicherheitstipps

Das raten die Betrugsexperten
Die Kreditkartenfirmen raten, folgende Punkte zu beachten, um nicht Opfer von Betrug zu werden.
– Karte sorgfältig aufbewahren und den PIN-Code geheim halten.
– Kartendaten ausser für die Abwicklung effektiver Transaktionen nicht herausgeben: Kein Kartenanbieter, keine Bank verlangt per Mail oder SMS Kartendaten.
– Jeden Monatsauszug (insbesondere bei E-Banking) sorgfältig prüfen.
– Beim Kartenanbieter die aktuelle Telefonnummer hinterlegen, damit die Firma bei auffälligen Transaktionen Rücksprache nehmen kann.
– Die Karten bei Verlust oder Diebstahl sofort sperren.
– Bei Diebstahl und Betrugsfällen (sowohl im Inland als auch im Ausland) Anzeige bei der Polizei erstatten. (bra)

Artikel zum Thema

Grenzwächter spüren gefälschte Kreditkarten auf

Im Zug von Lugano nach Zürich haben Grenzwächter 17 gefälschte Kreditkarten entdeckt. Der Täter hatte aber noch mehr Diebesgut dabei. Mehr...

Die richtige Kreditkarte

1000 Franken Unterschied bei den Jahresgebühren liegen zwischen der teuersten und der günstigsten Kreditkarte. Tagesanzeiger.ch/Newsnet zeigt die besten Varianten für jeden Nutzertyp – auch für Ferienreisende. Mehr...

Griff nach dem virtuellen Portemonnaie

Kreditkarten werden durch digitales Geld bedrängt. Alle Onlinekonzerne wollen den Wandel mitbestimmen, doch eine erst drei Jahre alte Firma gibt den Ton an. Mehr...

Die Redaktion auf Twitter

Stets informiert und aktuell. Folgen Sie uns auf dem Kurznachrichtendienst.

Paid Post

«Sie mussten tun, was ich ihnen befahl!»

Eine Single-Frau berichtet über ihre erotischen Erlebnisse auf dem Datingportal TheCasualLounge.

Kommentare

Die Welt in Bildern

Sie kann gar nicht gross genug sein: Beobachtet von Schaulustigen, reitet ein Surfer vor der Küste von Nazaré, Portugal, auf einer Monsterwelle. (18. Januar 2018)
(Bild: Armando Franca/AP) Mehr...