🚨 Im Notfall: Polizei: 110 Bank/Karten-Sperre: 116 116 → Was jetzt zu tun ist
Unternehmen

Fake-Bestellungen im Online-Shop

Bestellungen mit gestohlenen Karten, falschen Adressen, Drop-Adressen. Wie Shops Risiko-Bestellungen früh erkennen.

Was Fake-Bestellungen sind

Fake-Bestellungen unterscheiden sich von Chargeback-Betrug darin, dass die Identität schon im Bestell-Vorgang gefälscht ist - meist mit gestohlenen Karten-Daten, falschen Adressen oder Wegwerf-Identitäten.

Die typischen Muster

1. Bestellung mit gestohlener Karte

Täter hat gültige Kartendaten aus Daten-Leak oder Phishing. Bestellung an Drop-Adresse (Paket-Shop, leerstehende Wohnung, Hotel). Vor 3D-Secure einfach, jetzt erschwert.

2. Account-Takeover

Kunden-Account eines bestehenden Kunden wird übernommen. Bestellung an neue Adresse, gespeicherte Karten-Daten werden missbraucht. Schwerer zu erkennen, weil bekannter Account-Verlauf.

3. Drop-Shipping zur Drittadresse

Täter lässt Ware an Mittels-Person liefern (oft mit kleinem Honorar geworbene Studenten oder Privatpersonen, sogenannte „Re-Shipper“). Diese leiten die Pakete ins Ausland weiter.

4. Maßen-Test-Bestellungen

Mit Listen von kompromittierten Karten werden viele kleinere Bestellungen versucht, um zu sehen, welche Karten noch aktiv sind. Oft kleinere Beträge.

5. Identitäts-Diebstahl mit Rechnungskauf

Bestellung auf Rechnung mit fremden Personalien. Bonitäts-Prüfung passt zur echten Person. Mahnung geht an Identitäts-Opfer, Ware ist an Drop-Adresse geliefert.

Warn-Signale

Bestelldaten

  • Rechnungs- und Lieferadresse stark unterschiedlich
  • Lieferadresse ist Paket-Shop, Hotel oder Co-Working-Space
  • Lieferadresse aus dem Ausland bei deutscher Rechnungs-Adresse
  • Mehrere Bestellungen kurz hintereinander mit unterschiedlichen Karten, gleicher Lieferadresse
  • Karten-Inhaber-Name passt nicht zu Liefer-Empfänger

Technische Daten

  • IP aus dem Ausland bei deutscher Adresse
  • VPN/Tor-Nutzung
  • Geräte-Fingerprint stimmt nicht mit Verlauf überein
  • E-Mail-Domain ist Wegwerf-Mailer (z.B. tempmail, guerrillamail)
  • Bestellung in untypischer Zeit für den Standort

Verhalten

  • Express-Versand bei hochpreisigen Produkten
  • Mehrere unterschiedliche Produkte gleichzeitig im Wertbereich Re-Sale
  • Hohe Stückzahl bei Erst-Bestellung
  • Bestellung von Standard-Hochwert-Artikeln (iPhones, Konsolen, MacBooks)

Fraud-Detection-Tools

Etablierte Anbieter 2026:

  • Stripe Radar: in Stripe integriert, gut für kleinere Shops
  • Adyen Risk: Enterprise-Lösung
  • Signifyd: Komplett-Lösung mit Garantien gegen Chargebacks
  • Riskified: ähnlich wie Signifyd, oft für größere Händler
  • Forter: KI-basierte Echtzeit-Prüfung
  • Sift: umfassendes Trust-and-Safety-Tool

Schutz-Strategien

1. Risiko-basierte Bestell-Prüfung

Nicht alle Bestellungen gleich prüfen. Risiko-Score basierend auf:

  • Bestellwert
  • Kunde Neu oder Bestand
  • Geo-Konsistenz (IP + Adresse + Karte)
  • Geräte-Reputation
  • E-Mail-Reputation
  • Zahlungs-Methode

Hochriskante Bestellungen manuell prüfen, niedrig-riskante automatisch durchwinken.

2. Step-up-Authentifizierung

  • 3D-Secure 2.0 zwingend
  • Bei Risiko-Bestellungen: zusätzliche Identitäts-Prüfung
  • Erst-Besteller mit hohem Wert: Telefon-Verifikation

3. Versand-Strategien

  • Identitäts-Empfang bei hochwertigen Produkten: DHL Identitäts-Check, Postident
  • Empfangs-Bestätigung mit Unterschrift
  • Versand-Versicherung
  • Bei verdächtigen Bestellungen: nur eigene Lieferadresse erlauben, keine Paketshops
  • Beobachtung von Mehrfach-Lieferungen an gleiche Adresse

4. Kunden-Account-Sicherheit

  • MFA für Bestand-Kunden anbieten
  • Push-Benachrichtigung bei neuer Lieferadresse
  • Karten-Daten nicht ohne erneute Authentifizierung verwendbar
  • Verdächtige Login-Versuche blockieren

Verhalten bei Verdachts-Fällen

  1. Bestellung anhalten, nicht sofort versenden
  2. Kunde telefonisch kontaktieren auf hinterlegte Nummer (nicht aus E-Mail)
  3. Bei Auslands-Telefon: skeptisch werden
  4. Bei Stornierung durch Kunde nach Kontaktaufnahme: Verdacht erhärtet
  5. Bei klar betrügerischer Bestellung: stornieren, Karten-Anbieter informieren, ggf. Anzeige

Balance Risiko vs. Kunden-Erlebnis

Zu strenge Fraud-Detection sperrt echte Kunden aus (false positives), reduziert Umsatz, schädigt Marke. Zu lasche Detection lässt Betrug durch. Ziel: Risiko-basierter Ansatz mit Schwellenwerten.

Faustregeln für Mittelstands-Shops:

  • Bestellungen unter 50 Euro: automatisch durch (mit Standard-Tools)
  • 50-300 Euro: 3DS-Pflicht, automatisch durch wenn 3DS bestanden
  • 300-1.000 Euro: Risiko-Score-Prüfung, ggf. manuelle Sichtung
  • Über 1.000 Euro: immer manuell prüfen, ggf. Kontakt-Aufnahme

Wirtschaftliche Auswirkung

  • Durchschnittlicher Schaden pro Fake-Bestellung: 300-800 Euro
  • Bei hochpreisigen Shops: 1.500-5.000 Euro
  • Erkennungs-Rate bei guter Fraud-Detection: 85-95 %
  • Investition in Fraud-Detection: Tool-Kosten 1-3 % des Umsatzes, ROI durch reduzierte Schäden meist klar positiv

IT-Sicherheit für dein Unternehmen?

SEO NW arbeitet seit 2012 als Agentur für technische Prävention und IT-Sicherheit.

SEO NW Agentur