1. Research

Kartenbetrug in Deutschland: Geringer Anteil, aber hohe Kosten

Autor
Analyst
+49(69)910-31444
Deutsche Bank Research Management
Stefan Schneider
Weihnachten steht vor der Tür, Deutschland kauft Geschenke. Jeder möchte seinen Lieben eine Freude machen. Das Geld sitzt locker, die Karte glüht – doch wie sicher ist das Bezahlen mit Karte?
In Deutschland entstand 2016 ein Schaden von EUR 132 Mio. durch etwa 800.000 betrügerische Kartenzahlungen. Der hohe Schaden relativiert sich allerdings bei einem Blick auf die insgesamt 6,3 Mrd. Kartenzahlungen und Abhebungen am Geldautomaten, mit denen die Deutschen EUR 643 Mrd. bewegten.[1] Die Betrugsquoten lagen somit bei 0,02% des Betrags bzw. 0,01% der Anzahl der Transaktionen. Damit entfiel 2016 auf jeden Einwohner theoretisch ein Schaden durch Kartenbetrug von EUR 1,61: EUR 0,26 bei Barabhebungen, EUR 0,29 bei Zahlungen an der Ladenkasse und EUR 1,06 beim Karteneinsatz im Internet. Tatsächlich wird Kartenbetrug in der Statistik unabhängig davon erfasst, wer einen Schaden letztendlich zu tragen hat – sei es Karteninhaber, dessen Bank, Händler oder Acquirer (Händlerbank).
Kartenbetrug in Deutschland: Geringer Anteil, aber hohe Kosten
Quellen: EZB, Deutsche Bank Research
Das Betrugsrisiko im Kartenzahlungsverkehr hängt sehr stark vom Einsatzort ab. Das Geldabheben am Automaten ist dem Betrag nach die wichtigste Kartenfunktion in Deutschland (EUR 384 Mrd.) und gleichzeitig die mit der geringsten Betrugsquote. Rein rechnerisch kam auf je EUR 1.000 Barabhebung ein Betrugsschaden von knapp 6 Cent. An der Ladenkasse (Point-of-sale) wurden in Deutschland EUR 220 Mrd. mit Karte bezahlt, wobei einem Umsatz von EUR 1.000 durchschnittlich ein Betrug von 11 Cent gegenüberstand. Beim physischen Karteneinsatz gingen in den letzten Jahren die Betrugsquoten durch die Einführung des EMV-Chips auf dem Plastik deutlich zurück, da mit der Chip-Technologie das betrügerische Kopieren des Magnetstreifens obsolet wird. In Europa sind mittlerweile 84% aller Karten mit EMV-Chips ausgestattet, und diese werden für 98% aller Kartenzahlungen verwendet.
Das vergleichsweise größte Betrugsrisiko lauerte beim virtuellen Einsatz der Karte – wobei auch hier der allergrößte Teil des Kartenumsatzes von kriminellen Eingriffen unberührt blieb. Die sogenannten „Card-Not-Present“ (CNP) Transaktionen waren überwiegend Kartenzahlungen im Internet, umfassen aber auch Anweisungen per Telefon oder Brief. In Deutschland werden für den Online-Gebrauch fast ausschließlich Kreditkarten eingesetzt, Debitkarten spielen bei Interneteinkäufen kaum eine Rolle. Betrüger erbeuteten EUR 87 Mio. von den EUR 38 Mrd., die über Internet oder Telefon mit Karte gezahlt wurden. Anders ausgedrückt fiel im Durchschnitt ein Betrugsschaden von EUR 2,27 je EUR 1.000 Umsatz an. Der Betrug fand meistens mit gestohlenen sensiblen Daten statt – Daten über Karte und Karteninhaber – aber auch durch das betrügerische Zurückfordern des Kaufpreises von Waren, die vorher tatsächlich online bestellt und mit Karte bezahlt wurden.
Angesichts des relativ hohen Schadens beim virtuellen Karteneinsatz arbeiten Banken, Kartengesellschaften und Händler gezielt an der Bekämpfung von Online-Betrug. Gute Ergebnisse wurden nach Aussage von Händlern und Finanzanbietern v.a. mit 3D Secure Authentication (verbesserte Prüfung der korrekten Identität von Zahler und Empfänger) als auch mit dem Verfahren der Tokenization (Ersetzen der sensiblen Kartendaten im Bezahlprozess durch einen Zahlencode) erzielt. Die Abwehr von Betrugsversuchen durch rechtzeitige Erkennung auf Grundlage von neuronalen IT-Systemen führte ebenfalls zu geringeren Schäden. Diese und weitere Methoden zur Erhöhung der Sicherheit zeigten Erfolge: Die Betrugsquote im CNP-Bereich sank bei steigenden Online-Umsätzen im Vergleich zur letzten Erhebung aus dem Jahr 2013.
Auch wenn die Betrugsquoten gering waren und somit – egal an welchem Einsatzort – wertmäßig über 99,7% aller Kartentransaktionen sicher die richtigen Empfänger erreicht haben, sollte der absolute Schaden von EUR 132 Mio. Ansporn sein zu weiteren Anstrengungen bei der Betrugsbekämpfung. Dies gilt sowohl für Kartenzahlungen als auch für andere Zahlungsarten wie Überweisungen oder Internetzahlungen, für welche bisher keine vergleichbar umfassenden Betrugsdaten vorliegen.[2] Die Erfahrung hat gezeigt, dass es Betrüger v.a. dorthin zieht, wo die potenzielle Beute groß ist oder die Sicherheitsvorkehrungen relativ gering sind. So verzeichnen Länder wie Frankreich, in denen Karten viel häufiger genutzt werden als hierzulande, deutlich höhere Betrugsquoten als Deutschland. Außerdem bieten neue Technologien und Zahlungswege oftmals neben gewolltem Fortschritt in Service oder Preis auch neue Einfallstore für Kriminelle. Es bleibt also ein Wettlauf zwischen Finanzdienstleistern einerseits und Betrügern andererseits.
[1] Kartenzahlungen ohne elektronisches Lastschriftverfahren (Debitkartenzahlung mit Unterschrift).
[2] Ab 2019 sind Zahlungsdienstleister nach der PSD2 verpflichtet, Betrugsfälle für alle Zahlungsarten in einem einheitlichen europäischen Schema an die nationalen Aufsichtsbehörden zu melden. Diese Daten werden an EZB und EBA weitergeleitet werden. Es ist bisher jedoch offen, ob die EBA die Betrugsdaten in aggregierter Form der Öffentlichkeit zugänglich machen wird.
Online Document PROD0000000000446944 not found.
1.4.4