Die dunkle Seite von PSD2

Die Um- und Durchsetzung von PSD2, der neuen Zahlungsrichtlinie der Europäischen Union, soll bis Ende 2021 endgültig europaweit abgeschlossen sein. Daher sind Banken, Onlinehändler und Zahlungsanbieter momentan damit beschäftigt, sich auf die Maßnahmen vorzubereiten, die den Zahlungsverkehr sicherer machen sollen.

Es gibt jedoch noch eine weitere Gruppe, die von PSD2 betroffen ist und sich wappnet, die damit verbundenen Hürden zu überwinden – und das sind Betrüger. Sie arbeiten hart daran, Wege zu finden, um die neuen Sicherheitsvorkehrungen rund um PSD2 zu umgehen. Obwohl die starke Kundenauthentifizierung (SCA) wahrscheinlich den Card-Not-Present-Betrug, auch CNP-Betrug genannt, bei Transaktionen in der EU reduzieren wird, ist das Verfahren nicht vollends betrugssicher.

Unseren Recherchen zufolge haben Erwähnungen von PSD2 in bei Betrügern beliebten Dark-Web-Foren deutlich zugenommen. Sie nutzen diese Foren, um herauszufinden, wie sich die neuen SCA-Sicherheitsmaßnahmen umgehen lassen: So konnten wir zum Beispiel in einem der führenden Dark-Web-Schulungsforen einen Vortrag mit dem Titel „Working with Europe“ finden, der dort für 66.000 Rubel zum Kauf angeboten wurde.

Betrüger haben hinreichend unter Beweis gestellt, dass sie einfallsreich und anpassungsfähig sind. Und weil ihr Vorgehen im großen Stil so lukrativ ist, ist auch der Anreiz groß, ständig nach neuen Möglichkeiten zu suchen, um weiterhin Schwachstellen in den Sicherheitssystemen auszunutzen. Eine davon ist die „2 Factor Authentication“ (2FA). Dieses Sicherheitsprotokoll kann zwar die meisten Angriffe abwehren, ist aber nicht zu 100 Prozent sicher; Betrüger haben bereits mehrere Möglichkeiten gefunden, 2FA zu umgehen.

Die Methoden der Betrüger

Eine der häufig angewandten Betrugsmethoden ist der illegale Zugriff auf Software oder Firmware, wobei Betrüger Schwachstellen ausnutzen oder sogar Malware verwenden, um Authentifizierungssysteme zu kompromittieren. Informationen über diese möglichen Einfallstellen werden im Dark Web ausgetauscht. Eine andere Masche ist das Social Engineering, bei dem Betrüger mittels Telefonanrufen, E-Mails und sozialen Medien Kunden so manipulieren, dass sie persönliche Daten herausgeben. Social Engineering ist erfolgreich bei der Umgehung von SCA, weil es auf die Person und nicht auf das Protokoll abzielt.

Ebenfalls oft anzutreffen ist das SIM-Swapping. Dabei fangen Betrüger per Textnachricht gesendete Einmal-Passwörter ab, indem sie das Mobilgerät des Karteninhabers mit einer neuen, vom Betrüger kontrollierten SIM-Karte verbinden. Händler müssen diese Bedrohungen verstehen und mögliche Angriffspunkte erkennen, wenn sie sich gegen die Schwachstellen im Authentifizierungsprotokoll schützen wollen. So ist beispielsweise das 3D-Secure-Protokoll (3DS) trotz seiner weiten Verbreitung als alleinige Taktik zur Betrugsprävention nicht ausreichend.

Unerwartete Risiken

Entscheidend ist, dass PSD2 den Händlern einen Anreiz bietet, sich über 3DS hinaus zu schützen, um die Betrugsrate niedrig zu halten. Händler sind im Zuge der neuen Richtlinie zwar nicht mehr finanziell für betrügerische Chargebacks haftbar, werden jedoch stattdessen für steigende Betrugsraten bestraft. Denn unter PSD2 erwächst die Betrugsrate eines Händlers – gleich, ob hoch oder niedrig – zu einem kommerziellen Faktor, da Issuer und Acquirer ein starkes Interesse an der Betrugsrate eines Händlers haben werden. Immerhin wirkt sich diese direkt auf seine Gesamtbetrugsrate – und somit auch auf die Berechtigung, Ausnahmen bei der Transaktionsrisikoanalyse (TRA) zuzulassen – aus.

Perspektivisch könnte sich dies negativ auf die Bereitschaft von Acquirern auswirken, Dienstleistungen für Händler anzubieten, die ein großes Risiko mit sich bringen, während Händler mit geringem Risiko-Acquirer auf der Grundlage ihrer Berechtigung für SCA-Ausnahmen die Auswahl hätten. Diese Ausnahmen sind der Schlüssel, um Verbrauchern einen reibungslosen Transaktionsverlauf zu bieten, da die erhöhte Sicherheit durch PSD2 das nahtlose Einkaufserlebnis gefährden kann. Zudem wird erwartet, dass es durch 3DS zu vermehrten Drop-offs und Warenkorbabbrüchen kommt, was wiederum zu Umsatzverlusten für Einzelhändler führt, da legitime Kunden ihre Einkäufe nicht abschließen können.

TRA-Ausnahmen können für Transaktionen unterhalb eines bestimmten Schwellenwertes von 100, 250 oder 500 Euro angewendet werden. Transaktionen mit niedrigen Geldwerten von unter 30 Euro sind ebenfalls von TRA befreit. Unsere Analyse hat jedoch eine Diskrepanz zwischen den regulatorischen Schwellenwerten für TRA-Ausnahmen und den tatsächlichen Risikoprofilen der Transaktionen gezeigt. Wir haben herausgefunden, dass das Risiko einer Transaktion steigt, je näher sie am 0-Euro-Wert liegt. So ist das Risikoprofil für Transaktionen zwischen 0 und 30 Euro weit höher als das für Transaktionen zwischen 30 und 80 Euro.

Das PSD2-Paradox

Dieses Muster erzeugt ein Paradox: Reibung wird dort erzeugt, wo sie vermieden werden könnte und sollte. Basierend auf unseren Berechnungen, sind europaweit CNP-Transaktionen im Wert von zwölf Milliarden Euro dem Risiko übermäßiger Reibungsverluste ausgesetzt, die eine direkte Folge der strengen Schwellenwerte für TRA-Ausnahmen sind. Diese sollten deshalb dringend angepasst werden. Im E-Commerce stellt Betrug seit jeher ein großes Problem dar, und obwohl die Sicherheit immer im Fokus steht, sollte sie nicht zulasten der treuen, legitimen Kundschaft gehen. Gerade jetzt, da Betrüger damit beschäftigt sind, Wege zu finden, um die neuen PSD2-Schutzmaßnahmen zu umgehen, müssen vorausschauende Händler in eine Betrugsprävention investieren, die hohe Genehmigungsraten nicht gefährdet, und gleichzeitig von den Anreizen profitieren, die die Verordnung für diejenigen mit niedrigen Betrugsraten garantiert.