zum vorherigen Artikel

Alle Artikel

Alle Newsletter Artikel können Sie sich hier durchlesen oder danach suchen.

zum nächsten Artikel

Artikel 2017

28.02.2018

EPC Betrugsbericht 2017

Neueste Trends bei Sicherheitsbedrohungen und Zahlungskartenbetrug. Ziel des Berichts ist es, das Sicherheitsbewusstsein der verschiedenen Akteure in den Zahlungsverkehr zu stärken.

Die übergeordneten Ziele des European Payments Councils (EPC) sind laut Executive Summary des „2017 Payments Threats and Fraud Trends Reports" neben der Unterstützung und Förderung der Integration auch die Entwicklung des europäischen Zahlungsverkehrs, insbesondere des einheitlichen Euro-Zahlungsverkehrsraums (SEPA). Da die Sicherheit der Zahlungssysteme einer der Grundpfeiler des Vertrauens der Kunden im bargeldlosen Zahlungsverkehr ist, erstellt der EPC einen jährlichen Bericht über die neuesten Trends bei Sicherheitsbedrohungen und Zahlungsverkehrsbetrug.

Der Bericht gibt einen Überblick über die wichtigsten aktuellen Bedrohungen der Zahlungsverkehrslandschaft, darunter u.a. Social Engineering und Phishing sowieAngriffe auf mobile Endgeräte.

Neben Definitionen und Beschreibungen liefert der Bericht für jedes Gefahrenszenario eine Analyse der Auswirkungen sowie Verbesserungs- und Kontrollvorschläge. Des Weiteren beinhaltet er einen Abschnitt über Betrugsdelikte im Zusammenhang mit Zahlungsinstrumenten (Karten, SEPA-Überweisungen und SEPA-Lastschriften) und leitet im letzten Kapitel entsprechende Schlussfolgerungen ab.

Die wichtigsten Erkenntnisse:

  • Cyberkriminelle agieren zunehmend organisiert und professionell.
  • Die Zahl der DDoS-Angriffe nimmt weiter zu und richtet sich häufig gegen den Finanzsektor.
  • Der Schwerpunkt der Angriffe hat sich leicht von Malware auf Social-Engineering-Angriffe verlagert.
  • Social-Engineering-Angriffe und Phishing-Versuche sind auf dem Vormarsch und werden oftmals in Kombination mit Malware lanciert. Dabei verlagern sich die Angriffe weg von Kunden, Einzelhändlern und kleinen und mittleren Unternehmen (KMU) hin zu Führungskräften, Mitarbeitern (durch "CEO-Betrug"), Finanzinstituten und Zahlungsinfrastrukturen.
  • Malware bleibt eine große Bedrohung, insbesondere Ransomware hat im vergangenen Jahr stark zugenommen und erfordert neue Maßnahmen zur Eindämmung.
  • Botnets sind weiter aktiv und bleiben aufgrund der hohen Anzahl infizierter Endgeräte (z.B. PCs, mobile Geräte, etc.) eine ernsthafte Bedrohung.
  • Multi-Vektor-Angriffe nehmen zu, im Visier standen im vergangenen Jahr zahlreiche Finanzinstitute.
  • Mobile Endgeräte werden immer mehr zu einem attraktiven Ziel für Cyberkriminelle.
  • Die Einführung von Cloud Services und Analysetechnologien zu Big Data, die zur Folge haben, dass Daten überall gespeichert werden, bringen ebenso neue Chancen wie neue Risiken mit sich.
  • Ein weiteres Phänomen im Markt ist "Cybercrime-as-a-Service" – ein Delikt, das angesichts des erreichten Automatisierungsgrades eine große Herausforderung darstellt.


Neben den Bedrohungen steigt jedoch auch das Bedürfnis nach Benutzerfreundlichkeit und Einfachheit. Das wiederum erhöht den Druck auf die Sicherheitsressourcen und stellt die Payment Service Provider (PSPs) vor eine schwierige Abwägung.

Mit der zunehmenden Regulierung von Sicherheitsanforderungen steht laut EPC auch der Zahlungsverkehr in Europa vor einer neuen Regulatorik, die einerseits die Sicherheitsbarriere gegenüber Betrug (z.B. Kundenauthentifizierung) erhöht, andererseits aber auch die Wertschöpfungskette im Zahlungsverkehr öffnet, was neue Sicherheitsherausforderungen für alle Beteiligten mit sich bringt.

Zum Thema Zahlungsbetrug lassen sich folgende Hauptschlussfolgerungen aus dem Bericht ableiten:

  • Bezüglich des Betrugs mit Zahlungskarten werden "Card Not Present (CNP)" sowie der Betrug mit verlorenen und gestohlenen Karten weiterhin dominieren, während Skimming der häufigste Betrug an Geldautomaten bleibt.
  • Bei SEPA-Überweisungen und Lastschrifttransaktionen sind die kriminellen Betrügereien mit Imitations- und Täuschungsbetrug sowie Online-Attacken zur Datenkompromittierung nach wie vor die Hauptursache für Betrugsschäden. Dabei greifen Kriminelle auf persönliche und finanzielle Daten zurück, die dazu dienen, betrügerische Transaktionen zu erleichtern.


Ein wichtiger Aspekt um die Risiken im Zusammenhang mit Zahlungen zu mindern, ist der Austausch von Betrugsinformationen und Informationen über Zwischenfälle unter den Zahlungsdiensteanbietern. Häufig wird dies jedoch durch die bestehenden Datenschutzbestimmungen eingeschränkt, vor allem im Falle der grenzüberschreitenden Teilhabe.

Schließlich ist es notwendig, dass die Zahlungsdiensteanbieter sich abzeichnende Bedrohungen und deren Auswirkungen verstehen und weiterhin in geeignete Sicherheits- und Überwachungstechnologien und in Sensibilisierungskampagnen investieren.

Zum EPC-Betrugsbericht im englischen Original gelangen Sie hier.