Die klassische Abwehrstrategie gegen Online-Betrug funktioniert nicht mehr. Während Sicherheitsteams noch darauf vertrauen, verdächtige IP-Adressen zu blockieren oder disposable E-Mail-Domains zu filtern, haben Betrüger längst ihre Taktiken angepasst.
Die moderne Betrugskette beginnt mit Automatisierung. Angreifer nutzen Bot-Netzwerke und Scripts, um in großem Stil Konten zu erstellen – mit minimalstem manuellem Aufwand. Um Erkennungssysteme zu umgehen, rotieren sie ihre Infrastruktur kontinuierlich. Diese Bots arbeiten dabei mit kompromittierten oder geleakten Anmeldedaten. Das Ziel: Jedes neue Konto soll wie ein etablierter, lange bestehender Nutzer wirken, nicht wie etwas, das gestern erstellt wurde.
Danach kommt eine zweite Ebene ins Spiel: Residential Proxies. Diese maskieren den Traffic hinter echten Verbraucher-IP-Adressen und erwecken den Anschein normaler Heimanwender statt Rechenzentren oder VPN-Services.
Ist das Konto erst etabliert, wechseln Angreifer ihre Taktik. Sie fahren langsamer, arbeiten manueller und mischen sich in den normalen Nutzungsbetrieb ein. Dann beginnt die eigentliche Monetisierung: Account-Übernahmen über Malware, Phishing und Credential Stuffing, gefolgt von hochvolumigen Transaktionen.
Das Kernproblem: Verschiedene Akteure spezialisieren sich auf verschiedene Phasen. Einer startet mit Bot und Proxy beim Signup, wechselt beim Login zu Mobile-Emulatoren und anderen Proxy-Anbietern, bevor er den Zugang an einen Spezialisten für Kontopleiterung weitergeleitet.
Why Single-Signal Defenses Fail
Wer nur auf eine Kennzahl setzt – etwa IP-Reputation – schafft täglich falsch-positive Resultate. Legitime Nutzer in öffentlichen WLANs, mobilen NAT-Bereichen oder Corporate-VPNs können die schlechte Reputation weniger schlechter Akteure auf denselben Ranges erben.
E-Mail-basierte Filter haben ähnliche Probleme: Kostenlose Webmail-Dienste werden von Angreifern und normalen Kunden gleichermaßen genutzt.
Geräte-Fingerprinting allein hilft nicht, wenn Angreifer scheinbar normale, aber früher kompromittierte Geräte nutzen. Reine Bot-Detektoren übersehen manuelle Logins mit gestohlenen Credentials – für sie wirkt der Traffic einfach menschlich.
The Multi-Signal Solution
Effektive Betrugsprävention braucht Korrelation: IP, Identität, Gerät und Verhalten müssen zusammen analysiert werden, nicht isoliert.
Eine leicht verdächtige IP wird klar misstrauenswürdig, wenn sie mit Dutzenden neuen Konten auf dem gleichen Device-Fingerprint verbunden ist – und ähnliche Verhaltensmuster im ersten Session zeigt.
Umgekehrt kann ein Nutzer mit normalem Gerät und sauberer E-Mail-Reputation hochriskant sein, wenn sein Login-Verhalten Credential-Stuffing-Muster aufweist oder bekannten Malware-Kampagnen folgt.
Moderne Entscheidungsmaschinen bewerten Hunderte oder Tausende Datenpunkte zusammen, nicht starre Regeln für einzelne Attribute. Dies reduziert nicht nur Betrug, sondern minimiert auch Friction für echte Kunden – ein kritischer Erfolgsfaktor im E-Commerce und bei SaaS-Plattformen.