Sicherheit und Betrugsschutz für einen Online-Shop

Betrugsbekämpfung im E-Commerce ist keine „Mauer“, sondern ein Thermostat. Man balanciert permanent zwei Risiken: eine betrügerische Transaktion durchlassen und eine gute verlieren. Jede „Härte“ kostet Conversion; jede „Nachsicht“ kostet Chargebacks und Verluste. Es gewinnt, wer die Reibung dosiert: Freiheit bei sauberem Signal, Challenge bei verdächtigem Kontext.

Bedrohungskarte: Wer greift uns an und wie

Die Szenarien sind konkret:

• Carding und BIN-Bereichstests: Massenmikrozahlungen, um aktive Karten und 3DS-Muster zu finden.
• Credential Stuffing: Ausprobieren von Login/Passwort-Kombinationen aus Leaks, dann Diebstahl von Punkten/Adressen.
• Scraping/Vitaling: Absaugen von Preisen/Beständen für Dumping oder den Kauf knapper Waren.
• Social Engineering: Retouren „ohne Artikel“, gefälschte Empfangsbestätigungen, Streitfälle „nicht erhalten“.
• Schwache Integrationen: Abfangen/Manipulation von Webhooks, Geheimnis-Lecks, Re-Abbuchungen ohne Idempotenz.

Risikomarker: Was wirklich signalisiert

Ein einzelnes Signal entscheidet selten; es ist das Gesamtbild, das zählt.

• Geräte-/Netzwerkkontext: unbekanntes Gerät für dieses Konto, plötzlicher Länder-/ASN-Wechsel, Zeitzonenversatz/Locale, Browser-Sprache und Währung inkonsistent.
• Session-Verhalten: „Blitz“-Parcours zur Zahlung, Copy-Paste in sensiblen Feldern, zu regelmäßige Timings, „Fehler → Retry“-Schleifen mit Mikropausen (Bots).
• Warenkorb: günstiger Artikel + teurer Express-Versand, mehrere Geschenkkarten, atypische Größenkombinationen.
• Zahlung: Serie von Fehlschlägen aus demselben BIN, verschiedene Karten für dieselbe Adresse/Telefonnummer, Billing/Shipping-Abweichung.
• Historie: „Neukunde — teurer Warenkorb — Eilversand angefordert“, häufige Adressänderungen, E-Mail-/Telefonänderung vor Zahlung.

Am Ende — ein Risk Score (0…1), der die Route wählt: durchlassen, zusätzlichen Faktor anfordern, 3DS Challenge auferlegen oder ablehnen.

3DS2: Wo es rettet und wo es schadet

3DS2 hat zwei Gesichter: Frictionless (der Emittent bestätigt ohne Aktion) und Challenge (Code/Biometrie). Je mehr Kontext Sie an PSP/Emittent senden, desto mehr öffnet sich der Frictionless-Weg.

• Übermitteln Sie „reiche“ Daten: Adressen, User-Agent, Geräte-Fingerprint, Kontohistorie.
• Lösen Sie den Challenge bei der Risikoschwelle aus (neues Gerät + teurer Warenkorb + inkonsistente Adressen usw.).
• Verfolgen Sie Step-up Rate, Challenge Success Rate und die Ablehnungscodes der Emittenten.

Der klassische Fehler: 3DS für alle erzwingen — Sie schützen sich… vor Ihrer Conversion.

Verhaltensbiometrie: „Wie er tippt“ > „Wer er ist“

Es geht um Mikromuster: Tipprhythmus, Cursorbewegung, Scroll-Trägheit, Touch-/Tastatur-Balance, Mikro-Zittern des Gyros auf dem Handy. Nützlich als zusätzliche Schicht, nicht als Ersatz.

Feine Anwendungen:

• Registrierung/Login: Nicht-menschliche Muster erkennen, ohne CAPTCHAs zu multiplizieren.
• Checkout: Echten Kunden auf neuem Gerät von einem Bot unterscheiden, „der zu regelmäßig tippt“.
• Support/Retouren: Abnormale Muster beim Ausfüllen.

Datenschutz: Aggregate speichern, nicht „Rohdaten“; Opt-out respektieren.

Bots, Rate-Limits und sanfte Fallen

• Geräte-/Session-Fingerprint (Canvas/WebGL, Schriften, Codecs) — als Schicht, nicht als Pfeiler.
• Unsichtbare Fallen: versteckte „Honig“-Felder, JS-Aufgaben, die für Headless-Browser schwierig sind.
• Intelligente Limits: nicht nur IP. Kreuzen Sie „IP + Gerät + Konto + BIN + Adresse“, erfassen Sie Bursts (10 Versuche/3s) und Schwärme desselben ASN.
• Anti-Carding-Sumpf: Erhöhen Sie die Latenz, wenn sich Fehlschläge häufen.
• Gestufte Challenges: Kleine Rechenaufgaben, dann erst CAPTCHA, und nur für Risikosegmente.

Webhooks und Geheimnisse: Die Details, die das System zum Absturz bringen

• Signieren Sie jeden Webhook: HMAC des Body + Timestamp; serverseitig mit Geheimnis-Rotation und Zeitfenster verifizieren.
• Idempotenz: Eine erneut gespielte event_id muss gefahrlos sein.
• Verlassen Sie sich nicht nur auf IP-Listen: Bevorzugen Sie mTLS oder nützliche Signaturen.
• Geheimnisse im Tresor mit Rotation/Audit; Zugriff nach dem Least-Privilege-Prinzip.
• Loggen Sie Webhook-Retries als erstrangige Events.

Logs als Röntgenbild: Wo hinschauen

• Eine eindeutige trace_id von der PDP bis zum PSP und zurück zum Webhook.
• Schichten: Entscheidung der Risiko-Engine, Emittent-/PSP-Antworten, Client-Verhalten.
• Angriffstabellen: Fehler nach BIN/ASN, beschleunigte Bursts, stündliche Heatmaps.
• 3DS-Metriken: Frictionless-/Challenge-Anteile, Challenge-Erfolg, Ablehnungscodes — nach Land/Bank/Gerät.
• Webhooks: Retry-Anteil, Median-Verzögerung, PSP-Desynchronisierungen.

Panikliste: Anstieg der Fehlschläge von einem ASN, do_not_honor-Spitze, Frictionless-Rückgang bei einer Bank, Webhook-Retry-Lawine.

Conversion nicht töten: Dosierte Reibung

• Neues Gerät + teurer Warenkorb + Express → Step-up/3DS Challenge.
• Altes Konto + bekanntes Gerät → reibungsloser Durchgang.
• Wiederholungen auf demselben BIN → „Sumpf“ + Limits, kein globales CAPTCHA.
• Adressfelder: Nach Locale validieren, um die PSP-Akzeptanz zu verbessern.

Jede Reibung muss durch eine messbare Risikosenkung gerechtfertigt sein — nicht durch „wir fühlen uns besser“.

Mini-Praxis: Skelett einer Risiko-Engine

• Signale: Gerät, Netzwerk, Geo, Verhalten, Warenkorb, Historie.
• Modell: Logistische Regression/Boosting + Regeln (Frequenzen, Blacklists, verbotene Routen).
• Orchestrierung: Zweige Allow / Step-up / Deny nach Schwellenwerten und Einschränkungen.
• Feedback: Chargebacks/Streitfälle/„nicht erhalten“ taggen, Gründe speichern.
• Experimente: Traffic-Holdout, um den echten Beitrag zu messen und Rollback zu erleichtern.

Fazit: Was ist Erfolg?

Das Ziel ist nicht „null Betrug“, sondern die minimalen Risikokosten für ein gegebenes Umsatzniveau.

• Operativ: Approval Rate, Frictionless-Anteil, Step-up Rate, Challenge-Erfolg, Checkout-Latenz.
• Finanziell: Fraud-Rate, Chargeback-Rate, Bruttomarge pro Session unter Berücksichtigung der Reibung.
• Erkennung: Zeit bis zur Muster-Erkennung, Zeit bis zur Gegenmaßnahmen-Bereitstellung, Annotationsqualität.

Fazit: Stellen Sie den Thermostat ein: Geheimnis-Rotation, regelmäßige Übungen, Incident Reports und Reibungsaudits — die Kurven werden sich in die richtige Richtung bewegen, ohne die Conversion zu opfern.