Glaubt man den Warnungen von Verbraucher­schützern und der Polizei, dann ist das Einkaufen im Internet ­eine höchst unsichere Sache. An ­Ratschlägen, wie sich Verbraucherinnen und Verbraucher ­davor schützen können, von kriminellen Anbietern im Netz abgezockt zu werden, herrscht kein Mangel. Dabei wird allerdings eines oft übersehen: Auch die Onlinehändler werden Tag für Tag Opfer von Betrügereien. Die Spannbreite reicht dabei von «Scherzbestellungen» bis hin zu professionellen Raubzügen, ausgeführt von straff organisierten kriminellen Banden.

Eine aktuelle Umfrage der Kreditauskunftei CRIF (ehemals CRIF Bürgel) von 2021 unter 100 Händlern aus dem DACH-Raum ergab, dass rund 90 Prozent aller Händler schon Opfer von Betrugsversuchen geworden sind. Und mehr als die Hälfte der Befragten (61 %) gab an, dass im Zuge der Corona-Pandemie die Zahl der Betrugsversuche ­zugenommen habe.

Der Schaden, den die Betrüger verursachen, ist erheblich: ­Jeder vierte befragte Shop-Betreiber gab an, Verluste ­zwischen 5000 und 10 000 Franken erlitten zu haben, 11 Prozent aller Umfrageteilnehmer hatten einen Schaden von mehr als 100 000 Franken zu beklagen – in einem Jahr. Tendenz steigend.

Eine Analyse der verschiedenen Tatabläufe zeigt, dass sich die meisten Betrugsfälle in nur wenige Kategorien ein­ordnen lassen. Für Onlinehändler bedeutet das, dass sie sich gegen diese speziellen Tatmuster wappnen müssen und damit bereits einen grossen Teil der Gefahr gebannt haben. Dazu kommen allerdings in letzter Zeit vermehrt Delikte, bei denen ein monetärer Schaden gar nicht so einfach zu beziffern ist. Wenn etwa Verbraucher Phishing-E-Mails im Look & Feel eines Unternehmens zugesandt ­bekommen, dann fällt dies auch auf das Unternehmen zurück – und wirkt sich beispielsweise auf die Öffnungsrate von legalen Werbe-E-Mails aus.

Die meisten Betrugsfälle, mit denen Onlinehändler heute konfrontiert sind, haben indes eins gemein: Die ­Betrügerinnen und Betrüger verschleiern gegenüber dem Onlineshop ihre wahre Identität – oder sie lügen bewusst, wenn es um den Erhalt der Ware geht.

Auf Platz 1 im Ranking der «erfolgreichsten» Betrugs­maschen steht die absichtliche Nennung verfälschter ­Namen und Adressen bei der Bestellung. Das Repertoire reicht von der «Scherzbestellung» im Namen einer anderen Person bis hin zur bewussten Unterschlagung von Waren. Das Wort «Scherz» ist hier oft fehl am Platz, denn immer wieder terrorisieren beispielsweise Stalker ihr ­Opfer mit massenweise Fake-Onlinebestellungen. Ein anderer Trick ist ein absichtlicher Fehler bei der Lieferanschrift, etwa «Bahnhofstrasse 18» statt «Bahnhofstrasse 13».

Die Betrüger spekulieren ­darauf, dass die Paketzusteller ihr Gebiet oft gut kennen und ein Paket auch dann dem ­richtigen Empfänger zustellen, wenn an der Adresse ein Detail nicht stimmt. Der Betrüger behauptet dann, die Sendung nicht erhalten zu haben – denn offensichtlich sei sie an die falsche Adresse gegangen.

Ein mögliches Einfallstor für fehlerhafte Bestellungen sind auch sogenannte Affiliate-Links. Es sind bereits Fälle aktenkundig, in denen Teilnehmer an Affiliate-Programmen über ihre eigenen Websites ­Fake-Bestellungen bei ihren Werbepartnern ausgelöst haben, um anschliessend die damit verbundenen Provisionen einzustreichen. Das Perfide an solchen Tricks ist der verhältnismässig grosse Schaden, der dem Händler entsteht. Denn er zahlt nicht nur Provisionen für gefälschte Verkäufe, sondern bleibt auf den Kosten für Versand und Rückabwicklung sitzen, die viel höher sind.

Treten solche Betrugsfälle vereinzelt auf, sind sie kaum zu erkennen. Aber wenn beispielsweise bei den Sales, die ein bestimmter Affiliate vermittelt, die Zahl der Remis­sionen stark über dem Durchschnitt ist, dann liegt der Schluss nahe, dass dort etwas nicht stimmt. Und gegen arglos daherkommende «Tippfehler» in der Adresse hilft eine sorgfältige Adressverifikation.

Gravierender ist das Problem des Identitätsdiebstahls. Über vielerlei Quellen können Verbrecherinnen und Verbrecher an die Daten real existierender Personen kommen und in deren Namen bestellen. Die Ware wird dann ab­gefangen, bevor sie bei der ahnungslosen Empfängerin oder beim ahnungslosen Empfänger landet. Hin und wieder beteiligen sich sogar Paketboten an dem Betrug. Der Schwindel fliegt erst auf, wenn sich beim ­angeblichen ­Besteller die Mahnungen häufen – für Dinge, die er nie ­bestellt hat. Kriminelle Banden beschaffen sich zum Teil auch ­gestohlene Kreditkartendaten und bestellen damit Waren, die sie an eine Deckadresse liefern lassen. Dort sitzen leichtgläubige Menschen, die als «Versand-Manager» angeworben wurden und einfach nur die Pakete einsammeln und weiterleiten. Sie kommen durch ihre Mitwirkung bei dem Betrug in Teufels Küche, während die wahren ­Täter – oft aus dem Bereich der organisierten Kriminalität – im Dunkeln bleiben.

Gegen Identitätsdiebstahl können sich Onlinehändler schützen, indem sie auf ausgeklügelte Mechanismen zur Identitätsfeststellung setzen, etwa auf eine Zwei-Faktor-Authentifizierung bei der Anmeldung zum Shop oder beim Bezahlvorgang. Das Problem dabei: Solche Sicherheits­abfragen wirken sich als Usability-Hürden beim Check-out unbarmherzig auf die Konversions­rate aus. Zu straffe Security-Massnahmen halten eben nicht nur die Be­trüger draussen, sondern auch rechtschaffene Kunden, ­denen das alles zu stressig ist.

Inzwischen nahezu an der Tagesordnung ist ein Delikt, das Juristen als «Eingehungsbetrug» bezeichnen: Kun­dinnen und Kunden bestellen Waren, ­obwohl sie bereits bei der Bestellung wissen, dass sie diese nicht bezahlen ­können – oder nicht bezahlen wollen. Bereits 2019 hatte bei ­einer CRIF-Befragung die Mehrheit aller teilnehmenden Händler davon berichtet, von diesem Pro­blem gehört zu haben. Aktuelle Umfrageergebnisse lassen den Schluss zu, dass inzwischen nahezu jeder Händler Ziel zumindest eines Versuchs für ­einen Eingehungs­betrug geworden ist.

Die Spannbreite ist gross. Sie reicht von der Bestellerin, die ein Abendkleid nur für einen Ball tragen will und am Morgen nach der durchfeierten Nacht den Kaufvertrag ­widerruft, bis hin zu Menschen, die den Überblick über ihre finanzielle Situation verloren haben. Ein automatisches Scoring im Vorfeld ist eine Möglichkeit, um finanziell problematische Kunden entweder gleich auszusortieren oder ihnen zumindest keinen Kauf gegen Rechnung mehr anzubieten. Bei Bestellerinnen und Bestellern, die den Sinn der 14-Tage-Rückgabefrist falsch verstanden ­haben, können die Händler gegebenenfalls auf einen Wert­ersatz pochen, wenn die Ware nicht picobello wieder zurückkommt.

Auch die Kulanz aus Gründen der Vereinfachung betrieblicher Prozesse wird bisweilen gnadenlos ausgenutzt. Ein Schuhhändler hatte sich entschlossen, bei Waren ­unter 50 Euro pauschal auf ­eine Rücksendung zu verzichten, um interne Retourenkosten zu senken und die Kundschaft gnädig zu stimmen. Das sprach sich in einschlägigen Internetforen schnell herum. In der Folge gingen ­vermehrt Bestellungen ein, die unter dieser Grenze lagen – und dann widerrufen wurden.

Nur bestimmte Sortimente betrifft ein relativ neues ­Phänomen, das sogenannte «Scalping». Gemeint ist damit das maschinelle Bestellen grosser Mengen eines Produkts, das am Markt knapp und begehrt ist. Die ersten «Scalper» waren auf limitierte Sneaker-Sondermodelle aus, die bei Sammlerinnen und Sammlern heiss begehrt sind. Sie schrieben entsprechende Programme, mit denen sie in Sekundenschnelle massenhaft gezielte Bestellungen bei verschiedenen Shops auslösen konnten. Die so beschaffte, begehrte Ware wurde anschliessend über eBay oder ­andere Sammlerbörsen mit saftigem Aufpreis weiter­verkauft. Inzwischen kann man solche Tools im Darknet mieten, ähnlich, wie das bei Bot-Netzen möglich ist. Das Ziel der Scalper ist alles, was knapp ist: beispielsweise die neuste Sony PlayStation, Grafikkarten, die sich auch zum Mining von Bitcoins eignen – oder auch Corona-Schutzausrüstung.

Das Unrechtsbewusstsein der Täter ist gering, schliesslich kaufen und bezahlen sie die Ware ja. Auch der Händler könnte theoretisch froh über den raschen Warenumschlag sein. Doch ein Shop, der bei Trendprodukten ­regelmässig nicht lieferfähig ist, erleidet einen Image­schaden. Zudem kauft jemand, der eine PlayStation ganz regulär für den Eigenbedarf bestellt, vielleicht noch ein Spiel dazu. Jemand, der gleich den gesamten Lagerbestand an Konsolen auf einen Schlag ordert, tut dies eher nicht.

Es gibt auch eine weitere Variante des Scalpings, die den Boden der Legalität eindeutig verlässt: Manche Tools erlauben es, die ­begehrten Artikel nicht gleich zu bestellen, sondern erst einmal in den frisch generierten Warenkorb zu legen. Dort liegen sie dann, sind im Warenwirtschaftssystem als reserviert geblockt – und verhindern so womöglich tagelang den Verkauf an einen ernsthaften Interessenten. Auf den massiven Technikeinsatz der ­Scalper ­haben Fraud-Prevention-Systeme eine technische Antwort, die sogenannte Velocity Control. Steigt plötzlich die Zahl von Bestellungen mit auffälligen Gemeinsam­keiten im Shop, dann zieht die Geschwindigkeitskontrolle die Notbremse und sperrt weitere ­Orders für dieses Produkt.

Der Markt bietet vielfältige Lösungen für die aktive ­Betrugsprävention. Viele Anbieter sprechen davon, auf KI oder Machine Learning zu setzen. In der Tat ist die regelbasierte Beobachtung von Bestellvorgängen eine Erfolg versprechende Methode zur Verhinderung betrügerischer Bestellungen. Setzt ein Tool-Anbieter dabei auf Machine Learning, hat er gegenüber dem einzelnen Shop-Anbieter einen Vorteil: Er kann auf eine viel grössere Zahl von Transaktionen zurückgreifen und den verwendeten ­Algorithmus besser trainieren.

Ein Fall für Mustererkennung ist es etwa, wenn ein Kunde an einem Freitagnachmittag um 15 Uhr ein Notebook mit ­Zubehör bestellt. Daran ist nichts verdächtig, nach einer Standardüberprüfung von Adressdaten und Bonität kann die Ware gegen Rechnung rausgehen. Bestellt dagegen ein Kunde morgens um 3 Uhr fünf Notebooks, dann sollten die Alarm­glocken klingeln – und zusätzliche Sicherungs­mechanismen greifen. Die können oft bereits darin be­stehen, dass statt auf Rechnung nur noch gegen Vorkasse bezahlt werden kann. Eine Kredit­karte sollte der Kunde dann schon haben – und sie sollte auch ihm gehören.