Missbrauch von Kundenbindungsprogrammen

Einem Bericht von CyberSource (einer Visa-Tochter) zufolge waren 90 % der 120 befragten Betreiber komplexer Kundenbindungsprogramme im Jahre 2016 von Missbrauch betroffen. 84 % von ihnen bezeichneten den jeweiligen Vorfall als schwerwiegend oder sehr schwerwiegend. Das wirklich Beunruhigende hieran ist, dass diese Zahlen – wie auch der mögliche finanzielle Schaden und der drohende Imageverlust – aller Wahrscheinlichkeit nach mit steigender Beliebtheit und breiterem Zugang zu Kundenbindungsprogrammen weiter zunehmen werden. Um diesen Risiken zu begegnen, müssen sich die Programmbetreiber der Größe des Problems bewusst werden und ihr Kundenbindungsangebot umgehend absichern.

Missbrauch im Kontext von Kundenbindungsprogrammen ist nicht einfach zu definieren. Zu den am häufigsten gemeldeten Betrugsfällen gehören bspw.:


  1. Sammeln von Punkten durch Filialmitarbeiter, die ihre eigenen Karten einsetzen, wenn nicht am Programm teilnehmende Kunden einen Einkauf tätigen
  2. Rückgabe von Artikeln, Stornierung von Transaktionen oder Fehlkonfiguration von Punkteerstattungen, in deren Rahmen dem Kunden Geld zurückgezahlt wird, ohne die für den Kauf vergebenen Bonuspunkte abzuziehen
  3. Ausnutzen einer Fehlkonfiguration oder fehlerhaften POS-Integration, die rabattierte Kauftransaktionen bei Gutschrift der vollen Bonuspunktezahl zulässt
  4. Nicht autorisierte manuelle Punktekorrekturen, Punkteübertragungen oder Kontenzusammenführungen durch Filial- oder Contact-Center-Mitarbeiter
  5. Ausnutzen technischer oder konfigurationsbedingter Schlupflöcher, um das Punktesammeln zu beschleunigen bzw. die Qualifikation für eine höhere Teilnehmerstufe oder eine Bonusprämie zu erreichen
  6. Aneignung eines fremden Bonuskontos oder Identitätsdiebstahl
  7. Verwenden derselben Bonuskarte durch mehrere Personen (falls dies nach den Programmregeln nicht zulässig ist)


Im Folgenden wird eine Reihe von Gegenmaßnahmen vorgestellt, die häufig zur Vorbeugung oder Identifizierung der genannten betrügerischen Aktivitäten zum Einsatz kommen:

  1. Personenbezogene Daten



    a. Deduplizierung 


    Ein Deduplizierungsverfahren sollte als Teil des Registrierungsprozesses sicherstellen, dass sowohl neu angelegte als auch bearbeitete Kundenprofile einmalig und authentisch sind.


    b. Schwarze Liste


    Konten, in denen betrügerische Aktivitäten festgestellt und bestätigt wurden, sind auf die schwarze Liste zu setzen. Dies betrifft sowohl die personenbezogenen Daten des betroffenen Programmteilnehmers als auch Daten wie die verwendete IP-Adresse oder die physische Adresse des Geräts, über das die Registrierung erfolgte.


    c. Adressprüfung


    Ob die bei der Programmregistrierung angegebene Adresse tatsächlich existiert, lässt sich am besten mit Hilfe von Adressdatenbanken oder speziellen APIs überprüfen, mit denen abgeglichen werden kann, ob es die Hausnummer in der genannten Straße gibt oder ob die Postleitzahl zu den restlichen Adressdaten passt.


    d. E-Mail- oder Telefonverifizierung


    Die Verifizierung mittels E-Mail-Adresse oder (vorzugsweise) Telefonnummer ist ein unabdingbarer Bestandteil des Registrierungsprozesses, um Betrug durch Massenerstellung von Konten zu verhindern und sicherzustellen, dass es sich bei dem neuen Programmteilnehmer tatsächlich um eine reale Person handelt. Zusammen mit der Deduplizierung bietet die Verifizierung einen guten Ausgangspunkt für eine sichere Teilnehmerregistrierung.


  2. Programmkonfiguration


    Die Vorschläge in diesem Abschnitt sind nicht auf jedes Kundenbindungsprogramm anwendbar, da sich die Programmkonfigurationen abhängig von Branche und Anwendungsfall ganz erheblich unterscheiden können. Trotzdem sollten bei der Konfiguration eines Kundenbindungsprogramms all die Risiken bedacht werden, denen die im Folgenden vorgestellten Maßnahmen entgegenwirken.


    a. Verzögerte Punktebuchung


    Eine der einfachsten Maßnahmen, um eine breite Palette an betrügerischen Aktivitäten zu unterbinden, ist eine zeitlich versetzte Buchung der Bonuspunkte. Dies bedeutet, dass nach Erwerb der Punkte erst eine festgelegte Zeitspanne vergehen muss, bevor die Punkte eingelöst oder für andere Vorgänge genutzt werden können. In der großen Mehrheit der bestätigten Missbrauchsfälle, die auf Fehlkonfigurationen oder technische Schlupflöcher zurückzuführen sind, setzen die Programmteilnehmer die gutgeschriebenen Punkte sehr zeitnah um. Im Vergleich mit dem Durchschnitt zeigt sich bei betrügerisch eingesetzten Konten demnach eine viel kürzere Zeitspanne des Punktesammelns.


    b. Anonyme und Phantomkonten


    Wenn das Programm anonyme Bonuskonten bzw. Phantomkonten erlaubt, d. h. die Verwendung einer Bonusprogramm-ID vor Abschluss des Registrierungsprozesses unterstützt, ist die Definition zusätzlicher Beschränkungen für diese Konten empfehlenswert. So kann bspw. die Einlösung von Punkten vor der Registrierung ausgeschlossen, eine kürzere Verfallszeit für die erhaltenen Punkte festgelegt oder die Punkteübertragung bzw. Kontenzusammenführung untersagt werden.


    c. Beschränkung der zulässigen Transaktionsanzahl je Teilnehmer


    Auch wenn regelbasierte Verfahren der Betrugsvorbeugung ihre Grenzen haben, ist es noch immer unerlässlich, bestimmte grundlegende Höchstwerte für verschiedene Transaktionstypen festzulegen. Diese Werte können sich nach Programmtyp unterscheiden, beinhalten aber u. a. zumeist: die maximale Anzahl an Einlösungen je Teilnehmer und Tag; die Höchstanzahl an Punkten, die für eine einzelne Transaktion vergeben werden; die maximale Anzahl an IDs für ein Bonuskonto sowie das Tageslimit für Punktekorrekturen und -übertragungen. Am einfachsten lassen sich diese Höchstwerte bestimmen, indem zugehörige historische Daten betrachtet (z. B. höchste Anzahl an Einlösungen an einem Tag durch einen einzelnen Programmteilnehmer im Vorjahr) und dann 110 bis 120 % dieses Werts als Limit gesetzt werden. Dieses unkomplizierte Verfahren verhindert bedeutende Abweichungen von der Norm und beugt damit einer Reihe betrügerischer Aktivitäten vor, die sich technische oder konfigurationsbedingte Schwachstellen zunutze machen.


    d. Rückerstattungen, Stornierung von Transaktionen und Rückgabe von Artikeln


    Um die mit diesen Vorgängen verbundenen Risiken gering zu halten, empfiehlt sich deren klare Planung mit Festlegung entsprechender Prozeduren. Dabei gilt es, alle möglichen Szenarien, einschließlich Grenzfällen, zu berücksichtigen. Was soll zum Beispiel geschehen, wenn ein Programmteilnehmer durch einen Einkauf 100 Punkte erhält, 80 Punkte davon gegen eine Prämie eintauscht und anschließend den gekauften Artikel zurückgibt? Soll das System ein negatives Punkteguthaben zulassen? Falls ja, soll dann ein niedrigerer Grenzwert gelten?


  3. Endpunktsicherheit


    Endpunktsicherheit betrifft alle Zugangspunkte zur Kundenbindungsplattform für Benutzer und Programmteilnehmer. Zu den üblichen Endpunkten gehören Webportal und/oder mobile Anwendung für Teilnehmer, Web- oder Desktopanwendung für Administratoren und Contact-Center-Mitarbeiter sowie Reporting- oder Business-Intelligence-Plattform.


    a. Teilnehmer- und Benutzerauthentifizierung


    Neben strengen Passwortrichtlinien zeichnet sich die zunehmende Einführung von Zwei-Faktor-Authentifizierung (2FA) oder Einmalpasswortverfahren ab, um den Zugriff auf die Kundenbindungsplattform oder Vorgänge wie Prämieneinlösung und Punktezahlung zu schützen. Zwar mögen diese Sicherungsverfahren im Hinblick auf die Nutzungserfahrung nicht ideal sein, aber sie steigern die allgemeine Sicherheit des Kundenbindungsangebots beträchtlich. Insbesondere reduzieren sie das Risiko von widerrechtlichen Kontoübernahmen und Identitätsdiebstahl.


    b. Regelmäßige Sicherheitsaudits


    Egal welche Technologien oder Prozeduren implementiert sind, ergeben sich jeden Tag neue technische Schwachstellen. Daher erfordert eine gut gesicherte Plattform regelmäßige Sicherheitsüberprüfungen und Penetrationstests, die am besten von einem unabhängigen externen Unternehmen durchgeführt werden.


    c. Schutz vor Crawlern/Bots


    Einfache Captchas reichen nicht mehr aus, um zu verhindern, dass Webcrawler, Scraper, Spider oder andere unerwünschte automatische Bots Zugang zu den geschützten Inhalten des Teilnehmerportals eines Kundenbindungsprogramms erhalten. Programmbetreiber bzw. Systemanbieter sollten folglich über den Einsatz von Honeypots und schwarzen Listen für IP-Adressen nachdenken, den Quellcode ihrer Website regelmäßig ändern und die Protokolldateien des Webservers auf verdächtige Aktivitäten prüfen.


  4. Benutzerverwaltung



    a. Minimale Zugriffsberechtigungen


    Bei der Erstellung von Benutzerprofilen und der Zuweisung entsprechender Berechtigungen ist nach dem Prinzip des minimal erforderlichen Zugriffs vorzugehen. Das heißt, den Benutzern sollten Rechte für die Plattform ausschließlich in dem Umfang eingeräumt werden, in dem sie zur Erfüllung der jeweiligen Aufgaben tatsächlich erforderlich sind. In der Mehrzahl der Fälle müssen Filialmitarbeiter nur in der Lage sein, einfache Guthabenabfragen auszuführen oder bei Kauftransaktionen Punkte zuzuweisen. Alle anderen Vorgänge sollten strengeren Beschränkungen unterliegen, um das Risiko internen Missbrauchs zu reduzieren.


    b. Zusätzliche Bestätigung


    Eine weitere bewährte Maßnahme ist die Einführung des Vier-Augen-Prinzips für bestimmte risikobehaftete Aktivitäten, wie manuelle Punktekorrekturen über einem festgelegten Wert, Kontenzusammenführungen oder Punkteübertragungen. Dies kann zur Vorbeugung betrügerischer Aktivitäten der Mitarbeiter beitragen und senkt das Risiko menschlicher Fehler, die sich nur schwer rückgängig machen lassen.

  5. Reporting



    Zu guter Letzt ist es für den Programmbetreiber unerlässlich, wesentliche Kennzahlen des Kundenbindungsprogramms kontinuierlich zu überwachen, wie bspw. den regelmäßigen Umfang an Registrierungen, Punktevergaben und -einlösungen, die Verteilung der Programmteilnehmer auf die verschiedenen Teilnehmerstufen oder den Guthabenabgleich mit den Programmpartnern. Zeigt sich in einem Bericht oder einer Grafik ein ungewöhnlicher Höchstwert oder ein Ausreißer, kann dies Anlass für eine Überprüfung auf möglichen Missbrauch sein. Auf Makro- oder Programmebene funktioniert dies sehr gut, doch auf Mikroebene (Teilnehmer) ist es sehr schwierig oder gar unmöglich, Anomalien manuell festzustellen. Hier können Algorithmen des maschinellen Lernens bzw. der künstlichen Intelligenz nutzbringend eingesetzt werden. ML/KI kann enorme Mengen an Transaktionsdaten in Echtzeit verarbeiten und so verhindern, dass betrügerische Transaktionen überhaupt erst einen Schaden anrichten.





Comments

Add comment

Ähnliche Artikel zu folgenden Themen

Sie möchten sich noch tiefer in das Thema einlesen?

Sie möchten mit weiteren ähnlichen Artikeln, Whitepapern, Webcasts und mehr rund um die spannende Welt der Digitalisierung versorgt werden? Dann füllen Sie ganz einfach unser Kontaktformular aus.