Betrugsprävention im Zahlungsverkehr: Was funktioniert und was nicht?
Zwei Zahlungs-Apps, dieselbe Bedrohung, gegensätzliche Ergebnisse. Auf der einen Seite Cash App, deren Mutterkonzern Anfang 2025 wegen des Umgangs mit Kundenbetrugsfällen zu einer Zahlung von 175 Millionen US-Dollar verurteilt wurde. Auf der anderen Seite PayPal , das im selben Jahr Transaktionen im Wert von über einer Billion US-Dollar abwickelte und dennoch eine Verlustrate von nur knapp 0,08 % des Transaktionsvolumens verzeichnete. Beide haben mit denselben Betrügern, denselben gestohlenen Karten und denselben Social-Engineering-Angriffen zu kämpfen. Warum also landete die eine App in einer Pressemitteilung der Aufsichtsbehörde und die andere in einer Fußnote einer Telefonkonferenz zu den Geschäftszahlen?
Die Lücke liegt nicht im Budget. Sie liegt darin, auf welche Kontrollmaßnahmen die einzelnen Unternehmen setzen. Vieles, was als Betrugsprävention im Zahlungsverkehr gilt, ist reine Show: Es wirkt beruhigend, füllt eine Präsentationsfolie und verhindert so gut wie nichts. Nur wenige Kontrollmechanismen leisten wirklich etwas. PayPal und Cash App eignen sich hervorragend als natürliches Beispiel, um die beiden Ansätze zu unterscheiden, da in ihrem Fall eine Aufsichtsbehörde die Bewertung vorgenommen hat. Dies ist ein praktisches Handbuch, das zeigt, was funktioniert und was stillschweigend versagt.
Welche Kosten Zahlungsbetrug der Wirtschaft jetzt verursacht
Die Zahlen sind so erschreckend, dass man fast abstumpft. Laut dem Consumer Sentinel Network der FTC verloren Amerikaner im Jahr 2024 12,5 Milliarden US-Dollar durch Betrug – ein Anstieg von 25 % innerhalb eines einzigen Jahres. Weltweit belief sich der Schaden durch Kartenbetrug auf 33,41 Milliarden US-Dollar, wobei die USA mit rund 42 % dieser Verluste bei etwa einem Viertel des globalen Kartenvolumens entfielen.
Die wichtigere Tatsache verbirgt sich hinter den Gesamtzahlen: Wo das Geld tatsächlich abfließt. Die beiden häufigsten Zahlungsmethoden mit den gemeldeten Verlusten waren Banküberweisungen (2,09 Milliarden US-Dollar) und Kryptowährungen (1,42 Milliarden US-Dollar) – nicht Kartenzahlungen. Das ist kein Zufall. Diese Systeme wurden entwickelt, um Geld schnell und unkompliziert zu transferieren, ohne eingebaute Mechanismen zur Rückforderung. Kartennetzwerke verfügen über jahrzehntelange Erfahrung mit Streitbeilegungsverfahren. Überweisungen zwischen Konten hingegen bieten in der Regel keine solchen Mechanismen. Betrüger folgen dem Weg des geringsten Rückrufs.
| Metrisch (neueste Version) | Figur | Quelle |
|---|---|---|
| Gemeldete Betrugsverluste in den USA, 2024 | 12,5 Mrd. USD (+25 % im Vergleich zum Vorjahr) | FTC Consumer Sentinel |
| Häufigste Verlustmethode: Banküberweisungen | 2,09 Milliarden US-Dollar | FTC, 2024 |
| Kryptowährungsverluste | 1,42 Milliarden US-Dollar | FTC, 2024 |
| Weltweite Verluste durch Kartenbetrug, 2024 | 33,41 Mrd. USD | Nilson-Bericht |
| US-Anteil am weltweiten Kartenbetrug | ~42 % (bei ~26 % des Volumens) | Nilson-Bericht |
Die häufigsten Arten von Zahlungsbetrug, geordnet nach dem Zahlungsempfänger
Jeder Betrugsleitfaden präsentiert Ihnen dieselbe Liste mit einem Dutzend Angriffsarten. Sinnvoller ist es jedoch, sie danach zu sortieren, wer den Schaden tatsächlich trägt, denn das entscheidet darüber, ob Sie sich darum kümmern sollten. Die häufigsten Arten von Zahlungsbetrug verteilen die Verluste nicht gleichmäßig.
Betrugsmaschen mit geschäftlichen E-Mails und autorisierten Push-Zahlungen stehen an erster Stelle, da sie die Opfer dazu verleiten, selbst Geld zu überweisen, das sie in der Regel nicht zurückerhalten. UK Finance verzeichnete allein im ersten Halbjahr 2025 einen Schaden von 257,5 Millionen Pfund durch Push-Zahlungsbetrug, ein Anstieg von 12 % gegenüber dem Vorjahr. An zweiter Stelle folgt die Kontoübernahme: Betrüger verschaffen sich Zugang zu einem echten Konto und plündern es, sodass der rechtmäßige Kontoinhaber seine Unschuld beweisen muss. Kartenbetrug ist weit verbreitet, wird aber für Verbraucher meist vom Kartenaussteller durch Rückbuchungen aufgefangen. Dann gibt es noch den sogenannten „Friendly Fraud“, bei dem ein Kunde einen tatsächlichen Kauf beanstandet – dies verursacht schätzungsweise 75 % bis 79 % aller Rückbuchungen im E-Commerce, und der Händler zahlt. Deepfake- und Voice-Clone-Betrug sind neu hinzugekommen; die Schadenssummen sind derzeit noch gering, aber der Anteil steigt rasant. Das Muster ist einfach: Je weniger rückgängig gemacht werden kann, desto häufiger trifft der Betrug diejenigen, die am wenigsten in der Lage sind, ihn zu verkraften.
Cash App: Eine Fallstudie zur Betrugsprävention
Wer sehen will, wie Betrugsprävention im großen Stil aussieht, sollte sich Cash App ansehen. Als die Aufsichtsbehörden aktiv wurden, hatte das Unternehmen rund 56 Millionen aktive Konten und eine benutzerfreundliche App. Was fehlte, war die unscheinbare Infrastruktur hinter den Kulissen: echte Ermittlungen, eine funktionierende Telefonleitung und das Bewusstsein, dass unautorisierte Überweisungen in der Verantwortung des Unternehmens liegen.
Was die Aufsichtsbehörden tatsächlich vorfanden
Im Januar 2025 verurteilte das Consumer Financial Protection Bureau (CFPB) Block, die Muttergesellschaft von Cash App, zur Zahlung von 175 Millionen US-Dollar – 120 Millionen US-Dollar als Entschädigung für geschädigte Nutzer und 55 Millionen US-Dollar als Strafe . Der Wortlaut des Urteils sollte aufmerksam gelesen werden. Laut CFPB wandte das Unternehmen „absichtlich mangelhafte Ermittlungsmethoden“ an, um Betrugsfälle zu seinen Gunsten abzuschließen. Kunden, die die Betrugshotline anriefen, erreichten lediglich eine Bandansage; jahrelang war überhaupt kein Mitarbeiter erreichbar. Im selben Monat verhängte ein Zusammenschluss von 48 staatlichen Aufsichtsbehörden zusätzlich eine Strafe von 80 Millionen US-Dollar wegen Verstößen gegen die Geldwäschebestimmungen. Die Gesamtsumme der Schäden belief sich auf rund 255 Millionen US-Dollar. All das hatte nichts mit cleveren Hackern zu tun. Es ging um ein Unternehmen, das es für optional hielt, Anrufe entgegenzunehmen.
Warum irreversible P2P-Überweisungen ein struktureller Fehler sind
Hinter der Geschichte um die Durchsetzung der Vorschriften verbirgt sich eine bewusste Designentscheidung. Cash App transferiert Geld von Konto zu Konto, wie Bargeld. Sobald es weg ist, gibt es kein Kartennetzwerk, das die Transaktion rückgängig machen kann. Das ist so lange in Ordnung, bis jemand getäuscht oder gehackt wird. Dann verwandelt sich das Modell „Es ist wie Bargeld“ in „Sie sind auf sich allein gestellt“. Bundesgesetz (Regulation E) verpflichtet Banken und Zahlungs-Apps sogar dazu, unautorisierte elektronische Überweisungen zu untersuchen und die Nutzer zu entschädigen. Was mich immer wieder beschäftigt, ist, wie alltäglich dieser Fehler war: kein Verstoß, sondern lediglich die Entscheidung, unautorisierte Überweisungen als Problem des Kunden zu behandeln. Das CFPB bezeichnete diese Entscheidung als Verstoß.
Wie die Betrugserkennung von PayPal tatsächlich funktioniert
PayPal gilt als Paradebeispiel für erfolgreiche Betrugsmaschen, doch die Marketingstrategie greift zu kurz. PayPal ist nicht frei von Betrug, und die gegenteilige Behauptung verschleiert die eigentliche Lehre. Laut eigenen Angaben belaufen sich die Transaktions- und Kreditverluste im Jahr 2025 auf 1,72 Milliarden US-Dollar, ein Anstieg von 19 % gegenüber dem Vorjahr. Betrug ist bei PayPal nach wie vor ein Problem. Entscheidend ist, was danach geschieht.
Käufer- und Verkäuferschutz als Reversibilitätsschicht
PayPal hat die Möglichkeit der Rückabwicklung in sein Produkt integriert, um beide Seiten einer Transaktion abzusichern. Berechtigte Käufe sind durch den Käuferschutz abgedeckt, und Verkäufer erhalten ebenfalls Schutz, ergänzt durch ein separates Streitbeilegungsverfahren. Im Betrugsfall kann das System dem Käufer oft den Kaufpreis erstatten oder die Transaktion rückgängig machen, anstatt ihn im Stich zu lassen. Genau diese Sicherheitsebene fehlte der Cash App. Sie ist zudem teuer, langsam und anfällig für Sonderfälle, weshalb PayPal zahlreiche Beschwerden erhält. Ein „frustrierender Streitbeilegungsprozess“ und eine „nicht erreichbare Telefonnummer“ sind jedoch nicht dasselbe wie ein schwerwiegendes Versagen.
Risikobewertung mittels maschinellen Lernens zum Zeitpunkt der Transaktion
Die zweite Ebene ist die Erkennung. PayPal bewertet Transaktionen in Echtzeit anhand hunderter Signale – Gerät, Standort, Verlauf, Geschwindigkeit, Verhalten –, um verdächtige Transaktionen zu identifizieren, bevor das Geld fließt. Das Ergebnis: Eine Verlustrate von nahezu 0,08 % des gesamten Zahlungsvolumens, nahe einem Rekordtief, obwohl die absoluten Verluste mit dem Volumen steigen. Betrachtet man diese beiden Zahlen zusammen, ergibt sich ein klares Bild: Mehr Volumen bedeutet mehr Betrugsgelder, aber die adaptive Bewertung hält die Rate niedrig. Das System ist keine Zauberei. Es wird einfach kontinuierlich gewartet.
Was funktioniert: Bewährte Verfahren zur Betrugsbekämpfung
Was also beeinflusst die Zahlen tatsächlich? Lässt man die Anbieterunterlagen außer Acht, sind die Kontrollmechanismen, die Betrug wirklich verhindern, kurz und unspektakulär. Sie haben eines gemeinsam: Sie passen sich an oder fügen eine zweite, unabhängige Prüfung hinzu, anstatt sich auf eine einzige, statische Kontrollinstanz zu verlassen.
Die Multi-Faktor-Authentifizierung (MFA) ist die kostengünstigste und wirksamste Sicherheitsmaßnahme. Microsoft berichtet, dass MFA über 99,9 % der automatisierten Kontoübernahmeversuche blockiert und dass fast alle kompromittierten Konten diese Funktion nie aktiviert hatten. Maschinelles Lernen zur Transaktionsbewertung, Geräte-Fingerprinting und Verhaltensbiometrie erkennen Muster, die mit herkömmlichen Regeln nicht erfasst werden. Eine Bank berichtete von einer Reduzierung der Betrugsverluste um etwa 35 % nach der Implementierung von Verhaltensanalysen. Diese Zahl stammt jedoch vom Anbieter und sollte als Richtwert und nicht als absolute Wahrheit betrachtet werden. Die starke Kundenauthentifizierung durch 3-D Secure 2 fügt einen zusätzlichen Verifizierungsschritt bei Kartenzahlungen hinzu. Dies verursacht zwar einen gewissen Aufwand (etwa jeder fünfte Authentifizierungsversuch schlägt fehl), verlagert aber die Haftung und verhindert einen erheblichen Teil des Missbrauchs gestohlener Karten. KYC-Prüfungen (Know Your Customer) beim Onboarding und Geschwindigkeitsbegrenzungen runden das Spektrum ab.
| Kontrolle | Was es stoppt | Beweis | Urteil |
|---|---|---|---|
| Multi-Faktor-Authentifizierung | Kontoübernahme | Blockiert >99,9 % der automatisierten Angriffe (Microsoft) | Werke |
| ML / Verhaltensbewertung | Anomale Transaktionen | PayPal-ähnliche Verlustraten nahe 0,08 % | Werke |
| 3-D Secure 2 / SCA | Verwendung gestohlener Karten | Haftungsverlagerung; etwa jeder Fünfte gibt auf | Funktioniert mit Reibung |
| Geräte-Fingerprinting | Wiederholungstäter | Industriestandardsignal | Werke |
| KYC bei der Einarbeitung | Synthetische Identitäten | Regulatorische Ausgangslage | Werke |
Sicherheitstheater: Betrugsschutz, der versagt.
Nun zu den Kostenfressern: Kontrollmechanismen, die zwar Betrugsschutz versprechen, aber kaum etwas bringen. Sicherheitsfragen sind hier der größte Übeltäter. Die Antworten (z. B. der Mädchenname Ihrer Mutter, Ihr erstes Haustier) lassen sich erraten, auslesen oder auf andere Weise manipulieren. Das US-amerikanische Normungsinstitut NIST verbietet wissensbasierte Authentifizierung mittlerweile offiziell als gültigen Anmeldefaktor. Sie fügt keine zusätzliche Sicherheitsebene hinzu, sondern eine falsche.
SMS-Einmalcodes stellen die nächste Falle dar. Sie wirken wie Zwei-Faktor-Authentifizierung, basieren aber auf einer Telefonnummer, die Angreifer durch SIM-Swap stehlen können. Branchenstudien zufolge gelingt dies in rund 80 % der Fälle beim ersten Versuch; allein im Jahr 2024 verzeichnete das FBI gemeldete Verluste durch SIM-Swaps in Höhe von etwa 26 Millionen US-Dollar. Hinzu kommen statische, regelbasierte Systeme, die nicht dazulernen, und langsame manuelle Prüfprozesse, die Betrugsfälle durchgehen lassen, bevor ein Mensch sie prüft. Die teuerste Masche von allen ist die, die uns Cash App gelehrt hat: Überweisungen standardmäßig unwiderruflich zu machen und das als Geschwindigkeit zu verkaufen. Entwickler neigen dazu, die Möglichkeit der Rückgängigmachung als unnötigen Fehler zu betrachten. Für das Opfer ist sie jedoch der entscheidende Faktor.
Betrug bei Kontoübernahmen: Wo Modelle sich aufteilen
Kontoübernahmebetrug ist der eindeutigste Test für die gesamte Argumentation, da beide Unternehmen dem gleichen Angriff ausgesetzt sind: Ein Krimineller erlangt die Zugangsdaten eines echten Nutzers und versucht, dessen Geld zu transferieren. Gleicher Input, völlig unterschiedlicher Output.
Präventionsmaßnahmen sind etabliert: Starke Zwei-Faktor-Authentifizierung (keine SMS-Codes), Überwachung des Nutzerverhaltens bei Anmeldungen, die nicht zum Kontoinhaber passen, und Drosselung verdächtiger Transaktionsgeschwindigkeiten. Doch Prävention ist nie ganz lückenlos, und die Frage ist, was dann passiert. PayPals Rückabwicklungs- und Streitbeilegungsverfahren geben betroffenen Nutzern die Möglichkeit, ihr Konto wiederherzustellen. Die bisherige Haltung der Cash App, unautorisierte Überweisungen seien das Problem des Nutzers, ließ diesen im Stich. Genau das führte dazu, dass aus einem Sicherheitsvorfall ein Haftungsfall in Höhe von 175 Millionen US-Dollar wurde. Derselbe Betrug, aber ein völlig anderes Ergebnis – entschieden durch eine Unternehmensrichtlinie statt durch einen Codeabschnitt.
| Front | PayPal | Cash App (vor 2025) |
|---|---|---|
| Geldmodell | Mit Kartenrücken, wendbar | Von Konto zu Konto, unumkehrbar |
| Wenn Betrug zuschlägt | Käufer-/Verkäuferschutz, Streitbeilegungsverfahren | Wird als Problem des Nutzers behandelt |
| Detektion | Echtzeit-ML-Risikobewertung | Begrenzt, wachstumsorientiert |
| Betrugsunterstützung | Schadensregulierung (langsam, aber real) | Jahrelang tote Telefonleitung |
| Regulierungsakte | Verlustquote ~0,08 % (laut den Unterlagen). | Anordnung des CFPB in Höhe von 175 Millionen US-Dollar, Strafe des Bundesstaates in Höhe von 80 Millionen US-Dollar |
Wie man auf Betrug reagiert, nachdem er passiert ist
Die Erkennung ist nur die halbe Miete; die Reaktion darauf ist das, was die Aufsichtsbehörden tatsächlich bewerten. Wenn eine unautorisierte Überweisung durchrutscht, gilt für US-Zahlungs-Apps die gesetzliche Mindestanforderung der Verordnung E: unverzügliche Untersuchung und Entschädigung des Nutzers, falls die Überweisung nicht autorisiert war. Das bedeutet eine gründliche Untersuchung, einen erreichbaren Ansprechpartner und eine Frist. Die 175 Millionen Dollar, die Cash App zahlen musste, hatten nichts mit dem Hackerangriff selbst zu tun. Es ging vielmehr darum, wie das Unternehmen im Nachhinein reagierte – oder eben nicht reagierte. Es geht darum, eine effektive Reaktion zu entwickeln, nicht nur eine Schutzmauer.
Betrugstrends: Wohin führt die Prävention?
Die nächste Phase ist ein Wettrüsten, bei dem beide Seiten dieselbe Waffe einsetzen. Generative KI treibt den am schnellsten wachsenden Angriffsvektor an: Deloitte prognostiziert, dass die durch KI ermöglichten Betrugsverluste in den USA von 12,3 Milliarden US-Dollar im Jahr 2023 auf rund 40 Milliarden US-Dollar im Jahr 2027 steigen werden, und Deepfake-basierte Betrugsfälle erreichten laut Branchenschätzungen im Jahr 2025 Milliardenbeträge. Dieselbe Technologie ermöglicht aber auch die beste Verteidigung. Der Nilson Report schreibt der KI die Entwicklung der stärksten Betrugsbekämpfungsmodelle zu, die die Kreditkartenbranche je hatte. Wer schneller iteriert, gewinnt – genau deshalb sind statische Verteidigungsstrategien zum Scheitern verurteilt, adaptive hingegen nicht.
Was dies für die Prävention von Zahlungsbetrug bedeutet
Die Lehre aus den Beispielen von PayPal und Cash App lautet nicht: „Mehr in Technologie investieren“. Beide Unternehmen haben bereits viel Geld ausgegeben. Der richtige Weg ist klar definiert und unscheinbar: Rückgängigmachung, Verantwortlichkeit und wenige, aber wirksame Kontrollmechanismen, die sich anpassen, anstatt nur so zu tun, als ob. Showeffekte sind günstiger – bis eine Aufsichtsbehörde mit 175 Millionen Dollar rechnen muss. Prüfen Sie also Ihre eigenen Maßnahmen anhand der obigen Tabelle und stellen Sie sich die einzig entscheidende Frage: Wenn Sie eine betrügerische Überweisung nicht rückgängig machen oder nicht ans Telefon gehen können, wenn ein Kunde ausgeraubt wird, bieten Sie keinen Schutz vor Zahlungsbetrug. Sie haben lediglich ein Logo.
