Während sich Verbraucherinnen und Verbraucher auf die umsatzstärkste Einkaufszeit des Jahres vorbereiten, nimmt der Betrug im Zahlungsverkehr rasant an Geschwindigkeit und Umfang zu. Neue Daten von Zentralbanken sowie aus der aktuellen Studie von Signicat zum Identitätsbetrug zeigen: Die starke Kundenauthentifizierung (Strong Customer Authentication, SCA) hat zwar das Kartenbetrugsrisiko innerhalb des Europäischen Wirtschaftsraums (EWR) deutlich reduziert, doch verlagern Kriminelle ihre Aktivitäten auf andere Schwachstellen im Zahlungssektor.
 
Die Europäische Zentralbank (EZB) und die Europäische Bankenaufsichtsbehörde (EBA) berichten, dass der Betrug mit den wichtigsten Zahlungsinstrumenten im EWR allein im ersten Halbjahr 2023 ein Volumen von 2,0 Milliarden Euro erreichte. Das Risiko von Kartenbetrug ist inzwischen für Transaktionen innerhalb des EWR, in denen SCA greift, spürbar geringer. Dies belegt einerseits die Wirksamkeit besserer Sicherheitsmaßnahmen, zeigt andererseits jedoch auch, dass Angreifer gezielt andere verwundbare Punkte im Zahlungsökosystem ausloten.

 Der von Signicat in Zusammenarbeit mit dem Cybersicherheitsunternehmen Red Goat Cyber Security erstellte Bericht „The Battle in the Dark“ (2025) über Identitätsbetrug zeigt, wie sich dies in der Praxis niederschlägt. Verantwortliche für Betrugsbekämpfung in ganz Europa berichten:

• Schätzungsweise jeder fünfte Onboarding-Vorgang ist betrügerisch.
• 22 % des Jahresumsatzes sind von Identitätsbetrug und den Kosten für dessen Verhinderung betroffen.
• 59 % haben im vergangenen Jahr einen Anstieg erfolgreicher Identitätsbetrugsversuche festgestellt.
• Dennoch glauben 74 % weiterhin, dass sie den Kampf gegen Betrug gewinnen.

„Der Black Friday und die Weihnachtszeit sind besonders kritische Zeiträume für Zahlungsbetrug“, sagt Pinar Alpay, Chief Product Officer bei Signicat. „Das Transaktionsvolumen steigt sprunghaft an, Kundinnen und Kunden erwarten sofortige Entscheidungen und Betrüger treten mit industrialisierten, KI-gestützten Taktiken an. Am besten gewappnet sind die Unternehmen, die digitale Identität als Rückgrat ihrer Betrugsstrategie verstehen – nicht als nachgelagerten Zusatz.“

Schnelle Transaktionen, schneller Betrug

Sofortzahlungen, mobile Wallets und „Buy now, pay later“-Modelle (BNPL) haben das Einkaufserlebnis an der Kasse grundlegend verändert. Entscheidungen, die früher Minuten dauerten, werden heute innerhalb von Sekunden getroffen. Am Black Friday verkürzen sich diese Entscheidungsfenster nochmals, da Risikoteams mit extrem hohem Transaktionsaufkommen zurechtkommen müssen.
 
Diese Beschleunigung spielt Betrügerinnen und Betrügern in die Hände. Mithilfe automatisierter Skripte und KI-gestütztem Social Engineering können sie Angriffe in Echtzeit starten, skalieren und anpassen. In der Studie „The Battle in the Dark“ von Signicat berichten die befragten Zahlungs- und Fintech-Unternehmen:

• 67 % melden im vergangenen Jahr mehr Betrugsversuche.
• 54 % melden mehr erfolgreiche Betrugsfälle.
• Rund 40 % der Angriffe konzentrieren sich inzwischen auf die Transaktionsphase und nicht mehr nur auf das Onboarding.

Diese Entwicklungen sind eingebettet in einen globalen Trend zunehmenden Online-Betrugs. Juniper Research prognostiziert, dass die Verluste durch E-Commerce-Betrug von 44,3 Milliarden US-Dollar im Jahr 2024 auf 107 Milliarden US-Dollar im Jahr 2029 steigen werden – ein Anstieg um 141 Prozent.
 
Taktiken und Gefährdung im Jahr 2025

Die Untersuchungen von Signicat zeigen, dass Betrüger klassische Methoden mit neuen, identitätsbezogenen Angriffen kombinieren, wenn sie Zahlungs- und Fintech-Anbieter ins Visier nehmen. Besonders häufig anzutreffen sind derzeit:

Die häufigsten Angriffe heute

• Kontoübernahme (Account Takeover, ATO): 36 %
• Fälschung von Ausweisdokumenten: 35 %
• Social Engineering: 32 %

Erwartete schnellste Zunahme

• Fälschung von Ausweisdokumenten: 33 %
• Social Engineering: 29 %

Höchste Kosten für die Behebung

• Fälschung von Ausweisdokumenten: 31 %
• Social Engineering: 31 %

Digitale Identitätssysteme und elektronische Identitäten (eIDs) sind dabei sowohl eine Verteidigungslinie als auch ein attraktives Angriffsziel. Die Befragten geben an, dass:

• 48 % Kontoübernahmen im Zusammenhang mit elektronischen Identitätsnachweisen beobachten,
• 40 % Identitätsdiebstahl oder Identitätsklonen rund um elektronische Identitäten sehen,
• und mittlerweile etwa ein Drittel der Betrugsversuche direkt auf elektronische Identitätstechnologien abzielt.
  

„Fälschungen von Identitätsdokumenten und Social Engineering sind symptomatisch dafür, wie die Branche Onboarding und Authentifizierung gestaltet hat“, erklärt Pinar Alpay, CPO bei Signicat. „Betrüger haben gefälschte Identitäten und skriptbasierte Manipulation industrialisiert. Strategien und Prozesse müssen sich ändern, wenn wir das Wachstum dieser Angriffe stoppen wollen. Jedes Unternehmen, das seine Systeme nicht an diese Realität anpasst, entscheidet sich faktisch dafür, Betrug mit den eigenen Margen zu finanzieren.“

KI auf beiden Seiten

Künstliche Intelligenz ist heute fester Bestandteil des täglichen Betrugsgeschäfts. Synthetische Identitäten, Deepfake-Audio und -Video sowie hochgradig personalisierte Phishing-Kampagnen sind keine exotischen Spezialtechniken mehr, sondern gängige Standardwerkzeuge. Laut dem Bericht von Signicat:

• setzen bereits 73 % der Unternehmen KI in ihrer Abwehr ein,
• während 71 % davon ausgehen, dass Angreifer KI gezielt gegen sie einsetzen.

Dies führt zu einem regelrechten Wettrüsten. Sobald ein Verhaltensmuster erkannt und blockiert wird, passen Betrüger ihre Taktik an. 80 % der befragten Unternehmen geben an, dass Angreifer ihren Ansatz ändern, wenn sie gestoppt werden – häufig, indem sie auf neue Kanäle ausweichen oder schwächere Partner in der Wertschöpfungskette ausnutzen.

Auswirkungen auf Unternehmen und Bereitschaft

Die finanziellen Folgen von Identitätsbetrug reichen weit über direkte Abschreibungen hinaus. Unternehmen müssen Ermittlungen, Rückbuchungen, Abhilfemaßnahmen und Rechtskosten tragen, dazu Investitionen in neue Kontrollen tätigen und Reputationsschäden verkraften, wenn Vorfälle öffentlich werden.

Laut dem Bericht „The Battle in the Dark“ von Signicat belasten die finanziellen Auswirkungen von Identitätsbetrug Unternehmen bereits lange, bevor der Black-Friday-Ansturm einsetzt. Die Befragten schätzen, dass Identitätsbetrug und die zu seiner Bekämpfung erforderlichen Maßnahmen im Zahlungs- und Fintech-Sektor im Durchschnitt mehr als 16 % des Jahresumsatzes binden; sektorübergreifend über alle Branchen und Märkte hinweg steigt dieser Anteil auf 22 %. Gleichzeitig nennt fast ein Drittel der Organisationen (32 %) Schwächen bei Partnern oder Dienstleistern als erhebliches Betrugsrisiko. Dies verdeutlicht, wie anfällig das heute stark vernetzte Zahlungsökosystem geworden ist.
 
Steigen die Transaktionsvolumina in der Weihnachtszeit rund um den Black Friday stark an, drohen diese strukturellen Schwächen und die bereits hohen Betrugskosten weiter verstärkt zu werden – sofern Händler und Zahlungsdienstleister nicht in robuste, EU-konforme Maßnahmen zur Identitäts- und Betrugsprävention investieren.
Dennoch zeigt dieselbe Studie auch eine Vertrauenslücke. Während 84 % angeben, dass sie die meisten Betrugsversuche stoppen, und 89 % sagen, sie aktualisierten ihre Technologien regelmäßig, messen lediglich 45 % tatsächlich die vollständigen Auswirkungen von Identitätsbetrug.
 
„Zu viele Unternehmen agieren halb blind“, kommentiert Alpay. „Sie investieren in Tools und gehen davon aus, dass alles unter Kontrolle ist, verfügen aber über nur begrenzte Messinstrumente für den Betrug, der dennoch durchkommt  oder für die Reibung, die sie legitimen Kundinnen und Kunden zumuten. Die fortschrittlichsten Betrugsteams behandeln Identitätsdaten als strategische Grundlage für Analysen. Sie kennen ihre Schwachstellen und können die Kompromisse, die sie eingehen, klar benennen.“

Vorbereitung auf EUDI-Wallets und Bewältigung heutiger Betrugsrisiken

Die eIDAS-2.0-Verordnung ist inzwischen in Kraft und schafft den rechtlichen Rahmen für europäische digitale Identitäts-Wallets (EUDI-Wallets). Bis 2027 muss jeder EU-Mitgliedstaat mindestens ein Wallet bereitstellen, mit dem Bürgerinnen, Bürger und Unternehmen ihre Identität nachweisen und verifizierte Attribute grenzüberschreitend austauschen können.
 
„EUDI-Wallets haben enormes Potenzial für den Zahlungsverkehr“, sagt Esther Makaay, VP of Digital Identity bei Signicat. „Sie können Zahlungsdienstleistern und Händlern vom ersten Tag der Kundenbeziehung an Zugang zu Identitäts- und Attributdaten mit hoher Sicherheit verschaffen – ein enormer Vorteil für die Betrugsprävention. Gleichzeitig wird es jedoch mehrere Jahre dauern, bis Wallets breit eingeführt und angenommen sind. Unternehmen können nicht darauf warten, dass Wallets die heutigen Betrugsprobleme für sie lösen.“
 
Mit Blick auf den Black Friday 2025 und die Hochsaison im Weihnachtsgeschäft fordert Signicat Zahlungs- und Fintech-Anbieter daher auf, jetzt zu handeln, statt abzuwarten, bis die Betrugsverluste explodieren. Ausgangspunkt ist eine klare Bestandsaufnahme: Wo führt Identitätsbetrug bereits zu Umsatzeinbußen, und welche Kundenreisen, Segmente und Partner sind besonders exponiert?
 
Auf dieser Basis sollten Anbieter sowohl ihre Dokumenten- als auch ihre Identitätsprüfungsprozesse modernisieren, mit besonderem Fokus auf risikoreichere  Prozesse. Zugleich sollten sie sicherstellen, dass aussagekräftige Identitätssignale in Echtzeit in die Zahlungsrisikomechanismen einfließen, damit verdächtiges Verhalten identifiziert und hinterfragt werden kann, bevor eine Transaktion freigegeben wird.
 
Parallel dazu gilt es, Systeme und Prozesse so vorzubereiten, dass sie als EUDI-Wallet-Relying-Party fungieren können, sobald Wallets in Europa ausgerollt werden. So können Unternehmen von Beginn an hochsichere digitale Identitäten akzeptieren und strengere Compliance-Anforderungen in einen klaren Wettbewerbsvorteil verwandeln.