Im Zuge der Digitalisierung entwickeln sich Online-Betrugsmaschen ständig weiter. Dabei steigen die Gefahren für Verbraucher, E-Commerce-Anbieter und Finanzdienstleister sowohl hinsichtlich Anzahl als auch Raffinesse. Mit Hilfe von fünf Tipps können sie sich vor aktuellen Betrugsmethoden schützen.
Fünf Tipps zur Betrugsbekämpfung und zum Schutz vor aktuellen Bedrohungen und Exploits, die Cyberkriminelle für Angriffe auf E-Commerce-Anbieter und Finanzdienstleister nutzen.
(Bild: Brian Jackson - stock.adobe.com)
Die Gesamtkosten für E-Commerce-Betrug werden Prognosen zufolge im Jahr 2023 weltweit die Marke von 48 Milliarden US-Dollar übertreffen. Zum Vergleich: Im Jahr 2022 waren es knapp über 41 Milliarden US-Dollar. Die Steigerung liegt unter anderem an der Zunahme von Online-Zahlungen und -Einkäufen, den allgegenwärtigen Schadprogrammen und Bots, die Benutzerdaten aus dem Internet ziehen, sowie Social-Engineering-Betrügereien, die menschliche Schwächen ausnutzen.
Vor der Digitalisierung erforderte Betrug sorgfältige Planung und aufwändiges Ausspionieren von Personen oder Unternehmen. Heute haben Kriminelle dagegen mit Online-Zugängen, virtuellen Marktplätzen, digitalen Geldbörsen und der fortschreitenden Automatisierung nicht nur immer mehr Angriffsmöglichkeiten. Sie besitzen auch ausgefeilte Werkzeuge und Technologien, mit denen sie Unternehmen infiltrieren und die Konten von Privatpersonen übernehmen können. Die dafür erforderlichen Tools sind zudem online leicht verfügbar, wodurch die Einstiegshürden deutlich sinken.
Entsprechend müssen sich Unternehmen deutlich besser vor dieser Gefahr schützen. Dazu dienen folgende fünf Tipps für die Betrugsbekämpfung sowie zum Schutz vor aktuellen Bedrohungen und Exploits, die Cyberkriminelle für Angriffe auf E-Commerce-Anbieter und Finanzdienstleister nutzen.
1. Sicherheitsstrategien abstimmen, ohne das Kundenerlebnis zu beeinträchtigen
Händler und Finanzdienstleister müssen eine bessere Zusammenarbeit zwischen ihren Teams für Security, Kundenidentitäts- und Zugangsmanagement (CIAM), Betrugserkennung und Authentifizierung im gesamten Unternehmen erreichen. Kriminelle können die Schwachstellen ausnutzen, die durch isoliert arbeitende Teams und Sicherheitsstrategien entstanden sind, die sich zu sehr auf CAPTCHA und Multi-Faktor-Authentifizierung (MFA) stützen. Diese Techniken stören die User Experience, oft ohne Berücksichtigung der tatsächlichen Gefahrenstufe eines bestimmten Anmeldeversuchs.
Ein transparenter und durchgängig risikobasierter Authentifizierungsansatz ermöglicht Händlern und Finanzdienstleistern eine bessere Zusammenarbeit zwischen verschiedenen Teams innerhalb ihrer Organisation. Damit lässt sich Betrug flexibel, zuverlässig und reibungsarm erkennen, ohne das Benutzererlebnis zu beeinträchtigen.
2. Transparenz und Einblicke in die gesamte Customer Journey erhalten
Die Strategie für die Betrugsbekämpfung sollte sich auf drei wichtige Bereiche konzentrieren, die oft übersehen werden:
1. Die erste Kontaktaufnahme: Unternehmen sollten die Aktivitäten ihrer Kunden ab dem Moment prüfen, an dem diese ihre Zugangsdaten eingeben oder ein Konto erstellen. Das verbessert die Erkennung clientseitiger Angriffe wie digitales Skimming oder Formjacking. Diese Methoden kommen häufig zum Einsatz, um Anmeldedaten und Karteninformationen während der Einrichtung eines neuen Kontos zu sammeln. Mögliche Folgen sind Kontoübernahmen und Betrug.
2. API-Integrationen von Drittanbietern: Zusätzlich zu Web- und Mobilanwendungen müssen Händler und Finanzdienstleister auch den API-Schutz in ihre Sicherheitsstrategien integrieren. APIs sind denselben Angriffen ausgesetzt wie Web-Apps. Dazu gehören Exploits, die zu Datenmissbrauch und Betrug führen. So können unbeabsichtigte Risiken durch Integrationen und Systeme von Drittanbietern entstehen.
3. Betrug über neuartige Transaktionen: Viele Händler bieten neue Dienste wie automatische Abbuchungen beim Checkout, Online-Kauf und Abholung im Laden sowie Buy Now, Pay Later (BNPL) an. Sie müssen aber auch die Risiken dieser Transaktionen verstehen und reduzieren sowie diese Erkenntnisse über alle Kanäle hinweg teilen.
3. Neue Betrugsversuche erkennen
Bei einer wichtigen neuen Betrugsmasche erstellen Kriminelle erfundene Identitäten, die ähnlich wie die von echten Kunden aussehen. Anschließend kaufen sie damit Waren, ohne dafür zu bezahlen. Betrüger können zum Beispiel Präventionsmaßnahmen umgehen, indem sie gestohlene Identitätsdaten wiederverwenden, um neue Konten zu eröffnen und eine Sperrung durch eine Verbotsliste zu vermeiden. Dies kann zu Missbrauch von BNPL-Programmen sowie Betrug mit Treuepunkten, Rückerstattungen oder bei der Auszahlung führen.
Unternehmen können sich davor schützen, indem Sie Erkenntnisse aus biometrischen Verhaltensmustern in Kombination mit maschinellem Lernen nutzen. Dies gibt Teams für Sicherheit und Betrugsabwehr Einblicke in gefälschte Konten.
4. Auf die EU-Zahlungsdiensterichtlinie 3 (PSD3) vorbereiten
Sowohl die Gefahren als auch die Zahlungsmethoden und Regulierungen haben sich seit der Einführung der Zahlungsdiensterichtlinie im Jahr 2018 wesentlich verändert. Zur Vorbereitung auf die erweiterten Vorschriften der PSD3 sollten Händler und Banken eine Bestandsaufnahme aller kürzlich eingeführten Dienste, Kanäle und Zahlungsoptionen wie digitale Geldbörsen und Krypto-Zahlungen vornehmen.
Zudem sollten sie proaktiv das gesamte Spektrum der Sicherheits- und Betrugsrisiken vorausschauend analysieren und verwalten, die moderne API-Umgebungen mit sich bringen.
5. Schatten-APIs und JavaScript-Angriffe auf die Lieferkette
Wenn Unternehmen mehr Dienste von Drittanbietern nutzen und die Anzahl der Skripte auf ihrer Website steigt, entstehen neue potenzielle Schwachstellen. Diese können zu clientseitigen Angriffen wie digitales Skimming, Formjacking und Magecart-Angriffen führen. Ein digitaler Skimming-Angriff liegt vor, wenn ein Krimineller ein oder mehrere bösartige Skripte einschleust beziehungsweise ein vorhandenes Skript einer legitimen Seite oder Anwendung manipuliert, um einen Man-in-the-Browser-Angriff auf die Software-Lieferkette durchzuführen. Diese Attacken sind schwer zu erkennen, da Skripte häufig von Dritten aktualisiert werden, oft ohne Sicherheitsprüfung durch das nutzende Unternehmen.
Darüber hinaus konzentrieren sich die neuen Anforderungen des kommenden Payment Card Industry Data Security Standard (PCI DSS) 4.0 auf die Überwachung und Verwaltung browserbasierter JavaScript-Bibliotheken von Drittanbietern. Diese sind in E-Commerce-Websites integriert, um Funktionen wie iFrames für die Zahlungsabwicklung, Chatbots, Werbung, Schaltflächen für Social Sharing und Tracking-Skripts zu ermöglichen. Obwohl PCI DSS 4.0 derzeit als Best Practice gilt, wird er erst 2025 vorgeschrieben. Kriminelle warten aber nicht so lange und Unternehmen sollten das auch nicht!
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Sie brauchen bereits heute Einblick in die JavaScript-Bibliotheken, die in ihren Webanwendungen laufen. Unternehmen müssen wissen, welche Daten die Skripte sammeln, um Verstöße gegen Datenschutzbestimmungen wie DSGVO und CCPA zu vermeiden sowie die neuen PCI DSS 4.0-Anforderungen 6.4.3 und 11.6.1 einzuhalten.
Die meisten Unternehmen verfügen derzeit nicht über eine zentrale Kontrolle und Steuerung der Skriptverwaltung. Wenn ein Skript eines Drittanbieters auf ihrer Website eine Schwachstelle aufweist und sie das nicht wissen, können sie diese auch nicht beheben. Kriminellen ist bewusst, dass viele Unternehmen Schwierigkeiten haben, die Menge, den Umfang und die Größe der in Websites eingebetteten Skripte zu verwalten, zu verfolgen und zu sichern. Und sie wissen, wie sie diese Skripte zu ihrem eigenen Vorteil ausnutzen können.
Über den Autor: Stephan Schulz ist Security Solution Architect bei F5.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/38/e2/38e2ebee9ca6d8252e67f88dab72cdd3/0129125696v2.jpeg "Der Cybersecurity Report 2026 zeigt: E-Mail-Malware stieg um 131 Prozent, KI-gestütztes Phishing wird zur Hauptbedrohung und Resilienz entscheidet über Handlungsfähigkeit bei Angriffen. (Bild: © putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/27/3027664b0fb0bc9c398378e320ef390b/0128993714v2.jpeg "Cyberkriminelle sind aktiver denn je. Diese deutschen Unternehmen sind ihnen 2026 bereits zum Opfer gefallen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2a/d2/2ad24b8d60acdfa806bbfa72d91e7443/0129075770v2.jpeg "Über 90 Prozent der Ransomware-Angriffe treffen das Active Directory, aber klassische Backups und manuelle Recovery scheitern meist unter Zeitdruck und Komplexität. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/5c/0f/5c0f1c468eeef3d4c45dc96b7b75f9ea/0128422141v1.jpeg "Wenn während Black Friday und Cyber Week Bots den Großteil des Traffics erzeugen, kommen Login, Warenkorb und Zahlungs-APIs in Schwierigkeiten. WAAP-Lösungen sollen Angriffe auf Anwendungsebene abfangen. (Bild: © SVasco - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7e/34/7e34c9258116a9820ba5c0480d705626/0128151496v2.jpeg "Zur Shopping-Hochsaison häufen sich Fake-Shops und Phishing. Realistisch gestaltete Webseiten, Anzeigen und manipulierte Suchergebnisse locken Käufer auf betrügerische Webseiten. (Bild: © brainpencil - stock.adobe.com)")