E-Commerce-Betrug in Großbritannien: Reicht 3DS aus? 

Die britische Zahlungsbranche hat fast ein ganzes Jahrzehnt damit verbracht, strengere Betrugsbekämpfungsmassnahmen zu entwickeln. Starke Kundenauthentifizierung (SCA), ausgefeiltere 3DS-Rahmenwerke, Verhaltensbewertung, Echtzeit-Entscheidungsfindung – die Investitionen waren beträchtlich. Und doch bestätigt der von UK Finance am 15. Juni 2026 veröffentlichte Jahresbericht zum Betrug 2026, was viele in der Branche insgeheim befürchtet haben: Die Betrugsverluste steigen weiterhin an. Jede Minute werden in Grossbritannien acht Menschen betrogen. Die Kontrollmassnahmen funktionieren zwar, dennoch nehmen die Betrugsfälle zu.  

Was läuft also schief? Und was noch wichtiger ist: Was muss sich ändern? 

Das waren die zentralen Fragen eines gemeinsamen Webinars von G+D Netcetera und The Payments Association UK mit Ben Cooper (Partner bei TLT LLP), Keith Groves (VP Security Solutions für Großbritannien und Irland bei Mastercard), Sannelie Gallichan (Senior Sales Engineer bei TigerGraph) und Tanja Steinhoff (Senior Product Manager für Zahlungssicherheit bei G+D Netcetera). 

Der Betrug hat sich verlagert. Die Kontrollmassnahmen halten nicht Schritt.

Die Gruppe war sich einig, dass das Problem nicht darin besteht, dass 3DS versagt hat. Vielmehr hat sich die Bedrohung um dieses System herum weiterentwickelt. 

Ben Cooper, der seit über zwei Jahrzehnten als Berater im Bereich Finanzkriminalität tätig ist, brachte zu Beginn auf den Punkt, warum es so schwierig ist, sich gegen die heutige Betrugslandschaft zu verteidigen. „Es handelt sich nicht mehr nur um Betrug ohne physische Karte in einem einzigen Kanal“, sagte er. „Er ist zunehmend koordiniert, kanalübergreifend und wird durch Social Engineering vorangetrieben, bei dem Kunden die Transaktion oft unwissentlich selbst autorisieren.“ 

Dieser letzte Punkt ist entscheidend. 3DS und SCA wurden für eine Welt entwickelt, in der der Betrüger ein Aussenstehender war, der versuchte, sich Zugang zu verschaffen. Social Engineering stellt genau diese Annahme auf den Kopf: Kund:innen werden unwissentlich zum Mittel des Angriffs. Und sobald das geschieht, kann die Authentifizierung allein nicht mehr helfen. 

Wenn die Bedienelemente zum blinden Fleck werden

Tanja Steinhoff beschrieb ein Muster, das ihr in Gesprächen mit Bankkund:innen regelmäßig begegnet: eine Kontoübernahme, die nie wie eine solche aussieht. Der Betrüger verschafft sich Zugang zum Online-Banking und nimmt dann, anstatt direkt eine Transaktion durchzuführen, zunächst kleine, harmlos erscheinende Änderungen vor: Er passt Kreditlimits an, aktualisiert eine Telefonnummer, leitet eine Authentifizierungs-App um und so weiter. Jede einzelne Aktion löst für sich genommen keinen Verdacht aus. Bis die betrügerische Zahlung das 3DS-Verfahren durchläuft, hat der Angreifer bereits die volle Kontrolle, die Transaktion wird problemlos authentifiziert, und der SCA-Mechanismus, der genau dieses Ergebnis verhindern soll, ist damit wirkungslos geworden. „Was eigentlich als Massnahme gegen Betrug gedacht war“, sagte sie, „ist uns – durch Social Engineering und die Übernahme von Konten – als reiner ACS-Anbieter entglitten.“ 

Der Grund, warum dies immer wieder geschieht, liegt in einem strukturellen Problem, das die Branche nur zögerlich angeht. Banken greifen in der Regel erst ein, wenn Geld bewegt wird, und nicht vorher. Alles, was diesem Moment vorausgeht – die Erkundung, die Manipulation von Konten, die stillen Vorbereitungen – geschieht in den Lücken zwischen Systemen, die nicht miteinander kommunizieren. Sannelie Gallichan brachte es auf den Punkt: „Wir entscheiden uns für ein Eingreifen, wenn Geld bewegt wird. Das ist in der Regel der Zeitpunkt, an dem Banken handeln. Wenn die Zahlungstransaktion dann ansteht, findet der 3DS-Prozess vollständig ausserhalb des Ökosystems der Bank statt.“ 

Das Problem der betrügerischen Händler verdeutlicht genau, warum das von Bedeutung ist. Ein betrügerischer Händler beschränkt sich nicht auf eine Bank, sondern ist bei vielen tätig und nutzt dabei die Tatsache aus, dass die Informationen, über die jedes Institut verfügt, innerhalb der eigenen Mauern bleiben. Bank A entdeckt ein verdächtiges Muster, hat aber keine Möglichkeit, Bank B, C oder D zu warnen. Bis der Betrug seinen Lauf genommen hat, hat jedes Institut nur einen Ausschnitt des Gesamtbildes gesehen. „Was wirklich wichtig ist, ist, nach den Stellen zu suchen, an denen man die beste Abdeckung hat“, sagte Gallichan. „Suchen Sie nach Möglichkeiten, diese Informationen innerhalb der Umgebung Ihres 3DS-ACS-Anbieters zu generieren – sei es im Rahmen einer Konsortialvereinbarung, eines proprietären Modells oder einfach eines informellen Warnsystems.“ 

Letztendlich besteht das Problem nicht darin, dass die Signale fehlen. Vielmehr sind sie fragmentiert: eine Änderung der Limits in einem System, eine Aktualisierung der Authentifizierung in einem anderen, ein Gerätewechsel an anderer Stelle. Für sich genommen ist jedes dieser Ereignisse unauffällig, doch in ihrer Gesamtheit erzählen sie eine klare Geschichte. Die Branche muss nur anfangen, diese zu deuten. 

Das Datenproblem reicht noch tiefer. Statische personenbezogene Daten, einst die Grundlage der Identitätsprüfung, lassen sich immer leichter beschaffen. Keith Groves veranschaulichte dies anhand eines aktuellen Beispiels aus der Praxis: Eine Person wurde nicht wegen direkt begangenen Betrugs verhaftet, sondern wegen des Sammelns und Verkaufs personenbezogener Daten an diejenigen, die damit Betrug begehen würden. „Organisierte Kriminelle müssen sich nicht besonders viel Mühe geben, um diese Daten zu sammeln und zu erfassen“, sagte er. Das bedeutet, dass es nicht mehr ausreicht, zu wissen, wer jemand zu sein vorgibt. Die Frage, die sich die Branche stellen muss, lautet nicht „wer“, sondern „wie“. „Wir verlagern unseren Fokus weg von der bloßen Überprüfung der Identität hin zur Überprüfung, ob die Handlung mit dem Verhalten des Verbrauchers übereinstimmt.“ 

Die Zusammenhänge erkennen

Die Podiumsteilnehmer waren sich einig, dass es nicht um eine einzelne Massnahme geht, sondern um den zugrunde liegenden Ansatz. Punktuelle Kontrollen reichen nicht mehr aus. Die Branche muss früher eingreifen und mehr Signale miteinander verknüpfen, denn selbst wenn eine Kontoübernahme nicht verhindert werden kann, ist es durchaus möglich, die darauf folgende betrügerische Transaktion zu stoppen und das Vermögen der Verbraucher zu schützen. 

Gallichan, deren Wechsel von HSBC zu TigerGraph an sich schon ein Signal dafür war, wo sie die Chancen sieht, plädierte für graphbasierte Ansätze, um Signale miteinander zu verknüpfen, die derzeit isoliert vorliegen: „Die Punkte miteinander verbinden – nicht nur über die vorhandenen Daten hinweg, sondern auch über Topologien hinweg.“ Der praktische Ausgangspunkt, so argumentierte sie, müsse keine gross angelegte Umstellung sein. „Eine Graphdatenbank ist eine wirklich ideale Lösung, da sie keinen sehr komplexen Datenstrom benötigt, um sie zu füllen. Beginnen Sie damit, sich einfach Zahlungs- und Transaktionssignale anzusehen. Schauen Sie sich zunächst zwei oder drei Dinge an, die Sie miteinander verknüpfen können.“ 

Groves machte deutlich, dass sich die Branche bereits in diese Richtung bewegt. Es entstehen Konsortialmodelle, Banken beginnen, Daten zu bestimmten Betrugstypologien zu bündeln, und der Staat übernimmt zunehmend eine aktive Koordinierungsrolle. „Es gibt einen viel stärkeren Druck auf unsere Branche, Daten intelligent zu nutzen und sie im Interesse der Betrugsbekämpfung ohne Bedenken auszutauschen“, sagte er. „Wir stehen am Anfang einer neuen Phase. Im Jahr 2026 – obwohl die Zahlen für 2025 ein deutliches Wachstum zeigen – stehen wir am Anfang dessen, wie Banken im Rahmen öffentlich-privater Partnerschaften ihre Kräfte bündeln können, um dies wirklich voranzutreiben.“ 

Cooper rückte die rechtliche Dimension in den Fokus. Die Instrumente für den Datenaustausch existieren bereits: Bestimmungen des Gesetzes gegen Wirtschaftskriminalität und für Unternehmenstransparenz ermöglichen den Austausch zwischen gleichrangigen Partnern und mit Dritten speziell zum Zweck der Betrugsbekämpfung. Das Hindernis ist nicht regulatorischer, sondern kultureller Natur. „Organisierte kriminelle Gruppen kümmern sich nicht um Datenbeschränkungen zwischen Deutschland und Grossbritannien“, sagte er. „Sie tauschen Daten einfach untereinander und grenzüberschreitend aus. Wir müssen die Instrumente nutzen, die uns bereits zur Verfügung stehen.“ 

Der Weg, der vor uns liegt

Steinhoff bot einen nützlichen neuen Blickwinkel darauf, wie die Branche den derzeit stattfindenden Wandel betrachten sollte. Bei 3DS selbst hat sich der Fokus bereits verlagert: weg von der Optimierung reibungsloser Transaktionsraten hin zur aktiven Erkennung und Ablehnung betrügerischer Transaktionen sowie weg von der Arbeit innerhalb eines einzelnen Kanals hin zum Aufbau von Verbindungen über Organisationen und Systeme hinweg. Diese Entwicklung, so argumentierte sie, müsse nun in grossem Massstab im gesamten Ökosystem der Betrugsbekämpfung stattfinden: „Fangen Sie an zu denken, fangen Sie an, Heatmaps zu erstellen“, sagte sie. „Wo schadet Betrug in Ihrer Organisation am meisten?“ 

Die abschliessende Botschaft war bei allen vier Perspektiven einheitlich: Es gibt kein Patentrezept, und wer noch darauf wartet, hinkt bereits hinterher. Die Betrüger passen ihre Vorgehensweisen schnell an, agieren ohne regulatorische Einschränkungen und tauschen Informationen ungehindert aus. Wie Cooper es formulierte: „Wenn wir zu viel Angst haben, Fehler zu machen, werden sie uns immer einen Schritt voraus sein.“ 

insights-webinar