CNP-Transaktionen sicher abwickeln

VonHubert Hell

CNP-Transaktionen sicher abwickeln

So vermeiden Sie als Händler Betrug bei Kartentransaktionen über Internet oder Telefon

Zahlungsvorgänge, bei denen dem Verkäufer Kreditkarte oder Debitkarte nicht physisch vorliegen, werden als CNP-Transaktionen bezeichnet (CNP, card not present). Also immer dann, wenn der Bezahlvorgang nicht direkt vor Ort stattfindet.

Unter CNP-Transaktionen fallen mit Kreditkarte oder Debitkarte getätigte Einkäufe in Online-Shops und Online-Buchungen. Ebenfalls dazu zählen Zahlungen über das Telefon (ja, auch das gibt es noch z.B. beim Teleshopping oder Buchen einer Reise), Bestellungen per Mail, Fax oder postalisch wie bei Katalogen.

Kreditkarten sind hierbei das bevorzugte Zahlungsmittel. Sie ermöglichen es weltweit unkompliziert Zahlungen auszuführen.

Die Vorteile liegen klar auf der Hand. Sie können als Händler deutlich mehr (internationale) Kunden erreichen, bei vergleichsweise geringen Kosten. Die Kunden profitieren von einem großen Angebot und der Einfachheit, Einkäufe jederzeit bequem weltweit tätigen zu können.

Risiken bei CNP-Transaktionen

Aber CNP-Transaktionen bergen auch größere Risiken als Zahlungen vor Ort. Während Sie bei Letzteren die Identität des Käufers leicht überprüfen und damit Betrug vermeiden können, ist das im Bereich CNP schwieriger – aber nicht unmöglich.

Dieser Artikel zeigt Ihnen als Händler die Best Practices, um

  • die Sicherheit bei CNP-Transaktionen zu maximieren
  • Betrugsversuche zu erkennen und
  • Betrug zu minimieren.

PCI DSS-Zertifizierung bei Kartenzahlungen

Sie als Händler stehen als Akzeptanzstelle von Kreditkarten in der Verantwortung, eine sichere Zahlungsumgebung für Ihre Kunden und deren Daten bereitzustellen.

Seitens der Schemes (Visa, MasterCard & Co.) müssen Sie als Händler, sobald Sie Kreditkarten akzeptieren, gemäß PCI DSS zertifiziert sein. Hierdurch weisen Sie nach, dass Sie Vorkehrungen getroffen haben, um einen Betrug mit Kreditkartendaten zu vermeiden.

Sind Sie nicht PCI DSS-zertifiziert und kommt es zu einem Schadensfall (Kreditkartendatenmissbrauch), so kann das sehr teuer für Sie werden.

Dieser Artikel behandelt jedoch nicht das große Thema PCI DSS, sondern lediglich den Teilbereich der CNP-Transaktionen. Nun aber: los geht’s.

Sind alle notwendigen Daten und Informationen bekannt?

Bei CNP-Transaktionen können Sie weder die Identität des Bestellers direkt überprüfen, noch ob die Person wirklich in Besitz der Karte ist. Deshalb stellen Sie in einem ersten Schritt sicher, dass diverse Informationen über die Karte und den Karteninhaber bekannt sind.

Fehlen Informationen bzw. sind diese inkonsistent, so führen Sie die Transaktion besser nicht durch. Damit reduzieren Sie das Risiko von Betrug bereits ein gutes Stück.

Es geht um diese Daten:

  • Kartennummer der Kreditkarte
  • Ablaufdatum der Karte
  • Name des Karteninhabers (mit Käufer übereinstimmend?)
  • Rechnungsadresse des Karteninhabers
  • bei Versendung physischer Produkte: Lieferadresse (identisch mit Rechnungsadresse?)
  • Prüfnummer der Kreditkarte (CVV, CVC, CID) *
  • Kontaktinformationen des Karteninhabers (E-Mail-Adresse und / oder Telefonnummer)
  • Uhrzeit und Datum der Bestellung
  • bei telefonischen Bestellungen: Details des Gesprächs, am besten durch Aufzeichnung (inkl. vorheriger Zustimmung zur Aufzeichnung)
  • bei schriftlichen Bestellungen: händische Unterschrift auf dem Bestellformular

* Damit ist eine Nummer gemeint, die sich auf allen gängigen Kreditkarten meistens auf der Rückseite befindet (drei- oder vierstellig, je nach Scheme).

Bewahren Sie diese Informationen und auch Versandbestätigungen für den Zweifelsfall immer auf. Natürlich in einer geschützten Umgebung.

Autorisierung der Kreditkarte

Die Autorisierung (= Genehmigung, Zulassung, Ermächtigung) ist ein Prozess, der beim Bestellvorgang ausgelöst wird. Dabei wird eine Anfrage an das kartenausgebende Kreditinstitut generiert. Ist die Rückmeldung erfolgreich, so hat die kartenausgebende Stelle bestätigt, dass die Karte

  • aktiv ist,
  • nicht abgelaufen ist,
  • nicht als verloren oder gestohlen gemeldet wurde und
  • das Kartenlimit oder Guthaben auf der Karte für den Warenwert zum Zeitpunkt der Bestellung ausreichend ist.

Ob ein Händler verpflichtend eine Autorisierung durchführen muss, hängt von zwei Faktoren ab:

  1. Transaktionstyp: Einige Transaktionstypen müssen immer autorisiert sein, dazu zählt der Onlinehandel und wiederkehrende Zahlungen wie bei Abos (letztere meist mit einer Autorisierung vor der ersten Zahlung, die wiederkehrenden Zahlungen gehen dann direkt durch).
  2. Floor Limit: Bezeichnet den Höchstbetrag, bis zu dem keine Autorisierung notwendig ist. Wird das Floor Limit überschritten, ist eine Autorisierung obligatorisch. Die Höhe des Floor Limits variiert je nach Branche und wird für jeden Händler bzw. von jeder Kreditkartengesellschaft individuell festgelegt.

Unabhängig vom Floor Limit ist es bei CNP-Transaktionen sehr empfehlenswert, immer eine Autorisierung durchzuführen. Also auch dann, wenn es nicht obligatorisch ist. Hierdurch sichern Sie sich als Händler im Zweifelsfall ab. Eine fehlende Autorisierung birgt die Gefahr, letztendlich nicht bezahlt zu werden.

Aus dem gleichen Grund sollten Sie dafür sorgen, dass Transaktionen bei abgelehnten, fehlgeschlagen Autorisierungsanfragen automatisch abgebrochen werden.

Zusätzlich ist es von Vorteil, den Ursachen einer abgelehnten Autorisierung auf den Grund zu gehen. Kontaktieren Sie den Karteninhaber. Vielleicht hat er versehentlich eine falsche Nummer eingegeben, vielleicht wurden aber auch seine Daten gestohlen und jemand versucht auf seine Kosten einzukaufen.

Authentifizierung & Verifizierung des Karteninhabers

Hierbei geht es darum, die Identität des Käufers zu verifizieren und zu überprüfen, ob er mit dem Karteninhaber übereinstimmt und im Besitz der Karte ist. Folgende Prozesse kommen dabei zum Einsatz:

  • Kartennummer plus die drei- bzw. vierstellige Kartenprüfnummer
  • ein Address Verification Service (AVS)
  • die Strong Customer Authentication (SCA), die im Rahmen der PSD2 eingeführt wurde und seit Anfang 2021 verpflichtend ist.

Kartennummer plus Prüfnummer

Dies kennen Sie mit Sicherheit, ist es doch seit Jahren im Einsatz. Zusätzlich zur Kartennummer und der Fälligkeit Ihrer Karte geben Sie einen auf der Vorder- oder Rückseite der Karte aufgedruckten Code ein.

Dieser CVV, CVC bzw. CID (wird unterschiedlich genannt je nach Scheme) ist nicht im Chip bzw. Magnetstreifen vorhanden, sondern wird lediglich auf die Karte aufgedruckt.

Address Verification Service

Beim Address Verification Service wird die Rechnungsadresse mit der hinterlegten Adresse des Karteninhabers beim Kartenherausgeber verglichen. Abweichungen werden gezielt abgefragt und müssen bestätigt werden.

Der Händler entscheidet (meist in hinterlegten Regeln zur Automatisierung), welche Art von Abweichungen erlaubt sind und welche nicht.

Momentan bieten die Schemes diesen Service nur für einige Länder an. In Europa momentan nur in Großbritannien.

Strong Customer Authentication (SCA)

Die sogenannte starke Kundenauthentifizierung ist seit Anfang 2021 nunmehr verpflichtend (bzw. in Abstufungen und final ab Q2/2021). Hierbei sind zwei von drei Verifizierungselementen zwingend zu erfüllen:

  • Wissen (z.B. Passwörter, PINs, Sicherheitsfragen, etc.)
  • Besitz (z.B. Karte, Smartphone oder bestätigte App, Wearables, etc.)
  • Inhärenz (z.B. Fingerabdruckscan, Iris-Scan, Gesichtserkennung, etc.)

Oder anders formuliert:

  • etwas, das ich weiß
  • etwas, das ich habe
  • etwas, das ich bin.

Bitte unterschätzen Sie nicht die Wichtigkeit, Authentifizierung und Verifizierung richtig durchzuführen und somit Transaktionsprozesse abzusichern. Betrug kann damit um bis zu 60 % reduziert werden – weil er erkannt wird, bevor eine Transaktion überhaupt getätigt werden kann.

Risikomanagement: potenziell verdächtige Bestellungen erkennen

Risiken minimieren, indem ich sie kenne. So sollte Ihre Devise lauten in Bezug auf CNP-Transaktionen.

Wenn Sie die vorherigen Punkte berücksichtigen, haben Sie das potentielle Risiko eines Betrugs bereits deutlich verringert.

Mindern Sie Ihr Risiko eines Zahlungsausfalls oder Betrugs noch weiter, indem Sie sich mit zusätzlichen Risikofaktoren beschäftigen.

Vorweg sei gesagt: Wenn ein solcher Verdachtsfall bei Ihnen auftritt, heißt das nicht automatisch, dass es sich um einen Betrugsversuch handelt. Es kann sich trotzdem um einen rechtmäßigen Kauf bzw. Umsatz handeln. Je mehr Faktoren jedoch zusammenkommen, desto höher ist die Wahrscheinlichkeit eines Betrugs.

Für Sie bedeutet das: Sichern Sie sich zunächst ab, bevor Sie eine Bestellung bestätigen oder gar Waren versenden.

Beim Thema Kunden achten Sie bitte auf:

  • Neukunde oder Bestandskunde: Bei Neukunden ist das Betrugsrisiko potenziell höher
  • ein Kunde drängt auf eine schnellstmögliche Lieferung
  • eine Person tätigt überdurchschnittlich viele Bestellungen in kurzer Zeit, mit immer bzw. häufig unterschiedlichen Kartendaten; und/oder soll an unterschiedliche Lieferadressen versendet werden
  • Ein Kunde gibt unvollständige oder falsche Daten an und/oder ist zögerlich bei der Herausgabe notwendiger Daten.

Bei Art und Umfang der Bestellung beachten Sie bitte:

  • der Warenwert ist deutlich über dem Durchschnitt der meisten Bestellungen
  • ein Artikel / Produkt wird in großer, ungewöhnlicher Stückzahl bestellt
  • die Lieferadresse stimmt nicht mit der Rechnungsadresse bzw. Adresse des Karteninhabers überein
  • ein Kunde erfasst verschiedene Lieferadressen in unterschiedlichen Ländern innerhalb kurzer Zeit
  • das Land, in dem die Karte herausgegeben wurde, stimmt nicht mit dem Land Lieferadresse überein
  • Lieferadressen mit erhöhtem Betrugsrisiko sind z.B. Postfächer, Packstationen oder Warenlager.

Jetzt wissen Sie, welche Arten von Bestellungen und Transaktionen Sie als verdächtig einstufen sollten bzw. könnten. Aber wie können Sie dies in der Praxis nachverfolgen?

Jede Transaktion manuell zu überprüfen wäre viel zu aufwendig, vor allem wenn Sie ein Händler mit einem hohen Durchsatz sind.

Setzen Sie auf automatisierte Prozesse und Screening Tools

Implementieren Sie ein Screening Tool

Dieses überwacht automatisiert im Hintergrund Ihre Transaktionen und erkennt potenziell gefährliche und betrügerische Aktivitäten. Diese automatisierte Hilfe ist ideal für Sie, wenn Sie ein hohes Volumen an Transaktionen abwickeln.

Legen Sie Höchstsummen pro Bestellung und Kunde fest

Die Summe orientiert sich an den von Ihnen verkauften Produkten und durchschnittlichen Einkaufssummen. Sie können z.B. zwei Grenzen festlegen, bei denen Sie informiert werden:

  • Grenze 1 nur als Warnung, die Transaktion wird dennoch verarbeitet
  • Grenze 2 als „harter Stopp“, die Transaktion wird abgelehnt.

Senden Sie eine separate Bestellbestätigung an die Rechnungsadresse

Nicht immer mag dies sinnvoll erscheinen, vor allem bei der Geschwindigkeit, die heutzutage im Bereich des Online-Shoppings erwartet wird.

Da CNP-Transaktionen jedoch auch z.B. Reisebuchung per Telefon beinhalten, kann das separate Versenden einer Bestätigung an die Rechnungsadresse eine gute Möglichkeit zum Verhindern eines Betrugs sein.

Führen Sie eine Liste mit allen Bestandskunden inkl. getätigter Bestellungen

Ähnlich wie bei den Beträgen können Sie mit Hilfe Ihres Warenwirtschaftssystems feststellen, ob Kunden deutlich anders bestellen als früher. Abweichungen müssen nicht, können aber auf einen Betrug hinweisen.

Dokumentieren Sie die Lieferadresse eines Kunden

Ein Kunde hat fünf verschiedene Lieferadressen? Vielleicht sogar in unterschiedlichen Ländern? Und die Lieferadressen ändern sich ständig?

Das ist ein deutlicher Hinweis und sie sollten mit dem Kunden Kontakt aufnehmen.

Führen Sie eine Liste mit Rückbuchungen oder unstimmigen Lieferadressen

Von sieben Bestellungen kamen sechs zurück? Ggf. mit „Empfänger unbekannt“? Wo es bereits zu Problemen kam, besteht ein erhöhtes Wiederholungsrisiko.

Wählen Sie für den Warenversand einen sicheren Paketdienst

Auch wenn dies evtl. mit Mehrkosten verbunden ist: wählen Sie einen zuverlässigen und bewährten Versanddienstleister. Dies bedeutet inklusive Versicherung und Sendungsverfolgung, insbesondere für hochpreisige Produkte.

Umgang mit verdächtigen Transaktionsversuchen und Konfliktvermeidung

Brechen Sie die Transaktion ab, wenn

  • Autorisierung, Verifizierung oder Authentifizierung fehlschlagen
  • Sie aufgrund einer der oben aufgeführten Prüfkriterien nicht sicher sind, ob alles mit rechten Dingen zugeht.

Es kann sich trotzdem um eine rechtmäßige Bestellung handeln. Kontaktieren Sie deshalb den Kunden per Mail oder telefonisch. Fragen Sie nach weiteren Informationen zur Verifizierung der Identität, zum Beispiel:

  • welche Bank hat die Karte ausgestellt
  • persönliche Daten wie Name, Adresse, Telefonnummer, etc.

Sollte tatsächlich jemand versuchen, die Kartendaten missbräuchlich zu verwenden, werden Sie es hoffentlich durch diese Schritte herausfinden.

CNP-Transaktionen genau überprüfen – Ihre Vorteile

Nicht zuletzt kommen erfolgreich aufgedeckte Betrugsversuche Ihnen und Ihrem Unternehmen zugute. Sie vermeiden Rückbuchungen (Chargebacks) von unrechtmäßigen Zahlungen.

Als Händler haben Sie das Problem, dass Sie in der Beweispflicht stehen. Gelingt Ihnen das nicht, tragen Sie die Gebühren für den Chargeback (z.B. EUR 25,00 pro Chargeback), die Zahlung wird Ihnen durch den Chargeback wieder belastet plus Sie haben ggf. Verluste durch bereits versendete Ware.

Etwas drastischer ausgedrückt: Ware weg, kein Geld da, plus Strafgebühr fällig.

Übrigens: Seitens der Schemes wird kontrolliert, wie hoch Ihre Chargeback-Rate ist. Steigt die über einen bestimmten Wert (%-Anteil bei Stückzahl und/oder Volumen) kann dies zu einer Abmahnung bis hin zur Sperrung führen.

Bei CNP-Transaktionen professionell abgesichert sein

Zugegeben, dieses Thema ist nicht ganz unkompliziert. Dennoch ist es enorm wichtig. Der Onlinehandel wird weiter wachsen und Ihnen viele Chancen bieten.

Begegnen Sie den Risiken offen und lernen Sie sie kennen. So können Sie bereits vorab die passenden Lösungen angehen.

Ergänzende Themen: Bieten Sie Ihren Kunden die Möglichkeit zur Zahlung mit Kreditkarte oder Debitkarte an, so sind unsere Artikel zum Thema PCI (Payment Card Industry) für Sie sicherlich interessant.

Sie haben Fragen zum Einsatz von Kreditkarten in Ihrem Unternehmen?

Wir kümmern uns gerne, nehmen Sie hier Kontakt mit uns auf.

Über den Autor

Hubert Hell author