First-Party Fraud: Müssen Unternehmen mit Betrug leben?

Im August 2025 freute sich ein globaler Sportartikelhändler über Rekordumsätze. Doch merkte das Unternehmen schnell, dass dafür eine ganz bestimmte Funktion verantwortlich war: Denn in diesem Monat aktivierten Kund:innen zehnmal so viele Geschenkkarten wie zuvor. Als das Unternehmen bemerkte, dass es sich um einen systematischen Angriff handelte, waren bereits Käufe im Wert von über 750.000 US-Dollar damit bezahlt worden. 

Das Beispiel stammt aus einem aktuellen Report des Zahlungsdienstleisters Adyen. Für die Untersuchung hat das niederländische Unternehmen Transaktionsdaten der eigenen Plattform ausgewertet, die im vergangenen Jahr Zahlungen in Höhe von 1,6 Billionen Dollar von unzähligen Online-Händlern verarbeitete. Zudem hat das Unternehmen 1.000 Entscheidungsträger in US-amerikanischen Großunternehmen befragt. 

So funktioniert die Fraud-Rate-Optimization 

Betrüger gehen laut dem Report in einem Test-and-Learn-Verfahren vor, die wie das Gegenstück zur Betrugserkennung funktioniert: Dabei bombardieren sie Händler mit automatisierten Angriffen und passten die Ansatzpunkte wie Identitätsdaten, Zahlungsmethoden, Produkte und Preiskategorien immer wieder an. Die Reaktionen der Händler werden als Feedback wieder ins System eingespeist und weisen auf Schwachstellen hin und das in einer nie dagewesenen Geschwindigkeit. Um die Erträge zu maximieren, werden die Methoden mit der höchsten Erfolgswahrscheinlichkeit ausgeweitet. Im Fall des Sportartikelhändlers gaben autonome Bots selbstständig unzählige Nummern für Geschenkgutscheine ein und konnten so Guthaben abgreifen. 

Wie erfolgreich solche Betrugsmuster sind, macht sich in den Daten bemerkbar: So verursachten fünf Prozent der Käuferidentitäten 58 Prozent des Betrugsvolumens auf der Adyen-Plattform. Das betraf sowohl große als auch kleine Händler. Den Unternehmen falle es immer schwerer, diese Form des Betrugs zu erkennen. Weil die Täter riesige Operationen betreiben, ziehen Fehler große Schadenssummen nach sich. 

Gute Kund:innen, schlechtes Verhalten

Doch längst nicht jeder Betrug geht von kriminellen Netzwerken aus: Laut dem Report sind die gefährlichsten Betrüger heute scheinbar legitime Kund:innen. Der Trend drehe sich rasant von anonymen Cyberattacken oder Scams hin zum sogenannten First-Party Fraud, dem systematischen Missbrauch durch echte Kund:innen mit einer langen Kaufhistorie: Die Person sitzt dann gemütlich auf dem Sofa, ist vollständig verifiziert, loggt sich mit dem eigenen, jahrelang genutzten Kundenkonto ein, um beispielsweise ein völlig intaktes Produkt zu reklamieren. Damit haben laut Umfrage mehr als 44 Prozent der befragten Unternehmen zu kämpfen. Besonders auch im stationären Handel nimmt Betrug mit Rückerstattungen auf unbekannte digitale Brieftaschen zu, weil Mitarbeiter:innen hier leichter nachgeben und oft selbst entscheiden können. Insgesamt hatten laut Auswertung fünf Prozent der Rückerstattungen einen betrügerischen Hintergrund.

Ein anderer Ansatz, der häufig funktioniert, ist der Missbrauch von Angeboten, Aktionen oder kostenlosen Testphasen: Anfang 2025 meldeten sich tausende Nutzer:innen bei einem „weltweit führenden Softwareunternehmen” für eine kostenlose Testphase an. Dabei hinterlegten sie jedoch falsche oder risikoreiche Zahlungsdaten, die sich nach bei der ersten Abrechnung als fehlerhaft herausstellten. 

Bei Friendly Fraud ist der Wert einzelner Transaktionen zwar meistens eher gering, sodass interne Kontrollen unwahrscheinlicher sind. Denn Händler versuchen, das Verhältnis von Kosten für Prävention und möglichen Schäden klein zu halten, indem sie Einzelfallentscheidungen möglichst vermeiden. Friendly Fraud rutscht so oft durch das System. Doch je mehr auch kleine Transaktionen zum Risiko werden, desto teurer wird die Betrugsprävention. 

Dilemma zwischen Konversion und Prävention 

Damit rückt für Händler ein Dilemma in den Fokus: Der zunehmende Widerspruch zwischen Wachstum und Betrugsprävention. Laut dem Report erwarten fast 70 Prozent der befragten Unternehmen, dass Betrug ihr Umsatzwachstum bremst. Mehr Kontrollen etwa durch Authentifizierungen verringern Konversionsraten, also den Anteil von Kund:innen, die einen Kaufvorgang tatsächlich abschließen. Dabei treffen abgelehnte Vorgänge wie Rückerstattungen auch immer häufiger Unschuldige. Die Hälfte der befragten Unternehmen verzeichnen eine steigende Zahl von falschen Ablehnungen, wobei teilweise jede:r zehnte Kund:in, der blockiert wird, eigentlich legitim handelt. Das birgt auch ein Reputationsrisiko. 

Unternehmen versuchen, die richtige Balance zwischen Prävention und Konversion zu finden. Mit einem gewissen Teil an Betrug müssen sie leben. Das ist aber nicht ideal. Die Frage ist für viele deshalb, wie sie möglichst günstig dagegen vorgehen können. Laut einer Umfrage des Merchant Risk Council, einer Organisation für Fachleute aus  dem Zahlungsverkehr und der Betrugsbekämpfung, hat sich der Anteil der Unternehmen, die bei der Betrugsprävention zuerst auf die Kosten achten, seit 2024 fast verdreifacht. 

Neue Methoden müssen her

Daher müssen zunehmend neue Ansätze her: Es käme längst nicht mehr nur darauf an, durch Identitätsprüfungen festzustellen, ob ein:e Kund:in echt sei, sagt Andrea Ferrari, Betrugsexpertin bei Adyen. Sie empfiehlt Kund:innen anhand einer dynamischen Identität zu prüfen: „Gemeint sind Systeme, die kontinuierlich bewerten, ob Verhalten über den gesamten Customer Lifecycle hinweg der erwarteten Nutzung entspricht.”

Viele Betrugsexpert:innen raten Händler dazu, sich zunehmend zu vernetzen. Absprache ist auch deshalb wichtig, weil Betrüger Erkenntnisse bei einem Händler auf andere übertragen. Sie nutzen Identitäten, die einmal erfolgreich angenommen wurden, gleich mehrmals und geben ihnen damit mehr Legitimität. Wenn sich Unternehmen also über Muster austauschen, könnten sie dies frühzeitig erkennen. Die EU-Regulierung unter PSD3 setzt auf verpflichtende Empfängerprüfung und schafft erstmals eine klare rechtliche Grundlage für den Austausch von Betrugssignalen zwischen Zahlungsdienstleistern.

Doch zunächst müssen sich Unternehmen selbst helfen: Der Sportartikelhersteller bekam die Probleme durch ein Autorisierungsmodell wieder in den Griff. Später stellte sich heraus, dass die Gutscheinanfragen von vielen ähnlichen alten iPhones gestellt wurden. Durch einen Eingriff konnten diese Angriffe nach einer Woche ganz gestoppt werden. Und auch der Software-Konzern fand eine Lösung: Nun werden die Zahlungsdaten von Nutzer:innen bereits vor Ablauf der Testphase geprüft.