Operation Chargeback: Wenn Compliance-Systeme versagen – Eine Analyse des AML-Experten Frank Lässig
Veröffentlicht: 2025-11-07
Frank Lässig, Manager AML Compliance, analysiert in diesem Beitrag für den Kerberos Blog die Operation Chargeback aus Sicht eines Geldwäschebeauftragten.
Die „Operation Chargeback" mit 18 Festnahmen und einem aufgedeckten Schaden von über 300 Millionen Euro hat die Finanzbranche wieder einmal aufhorchen lassen. Von 2016 bis 2021 dienten auch deutsche Zahlungsdienstleister Kriminellen als Einfallstor. Diese nutzten über 4,3 Millionen gestohlene Kreditkartendaten aus 193 Ländern für betrügerische Abbuchungen.
Der Fall wirft eine grundlegende Frage auf: Wie konnte ein derart umfangreiches Betrugsnetzwerk über fünf Jahre hinweg durch etablierte Compliance-Systeme schlüpfen?
Das Geschäftsmodell der Täter: Klein, aber systematisch
Die Betrüger buchten über professionell betriebene Schein-Webseiten kleine Beträge für nicht existierende Abonnements ab. Der Verwendungszweck wurde unverständlich gehalten und die Beträge bewusst niedrig angesetzt. Eine klassische Strategie, um unter dem Radar zu bleiben, um entweder nicht aufzufallen oder Kunden davon abzuhalten, Rückbuchungen zu veranlassen.
Über 19 Millionen solcher Abonnements sollen laut Medienberichten abgeschlossen worden sein. Das Ergebnis: Mehr als vier Millionen Geschädigte, von denen viele bis heute nichts von den Abbuchungen bemerkt haben. Die Täter versuchten sogar, weitere 750 Millionen Euro zu erbeuten, scheiterten aber scheinbar an veralteten Kreditkartendaten.
Die Infrastruktur des Betrugs: Scheinfirmen und professionelle Strukturen
Nach Angaben des BKA nutzten die Beschuldigten über 500 Scheinfirmen – größtenteils Limited-Gesellschaften mit Sitz in Großbritannien und Zypern – um ihre Aktivitäten zu verschleiern. Jede dieser Firmen betrieb zwischen drei und fünf betrügerische Webseiten. Insgesamt wurden laut Pressemitteilung über 2.000 Fake-Internetseiten identifiziert, insbesondere für Streaming-, Dating- und Unterhaltungsangebote.
Die Firmenstrukturen sollen über sogenannte „Crime-as-a-Service"-Anbieter bezogen worden sein. Diese stellten vollständige Unternehmenspakete bereit, einschließlich Handelsregistereintrag, formaler Geschäftsführung und der erforderlichen Know-Your-Customer-Unterlagen. Die als Geschäftsführer eingesetzten Personen sollen laut BKA über den tatsächlichen Hintergrund keine Kenntnis gehabt und lediglich geringe Vergütungen erhalten haben.
Durch die gesteuerte Aufteilung der Kreditkartentransaktionen auf viele Scheinfirmen (sogenanntes Load-Balancing) konnten die Rückbelastungsquoten niedrig gehalten werden. So sollte verhindert werden, dass Kreditkartenorganisationen aufgrund erhöhter Reklamationsraten betrügerische Händler sperrten – ein raffiniertes System zur Verschleierung der wahren Transaktionsvolumina.
Die Schwachstelle: Kompromittierte Zahlungsdienstleister
Laut Pressemitteilung wurden vier große deutsche Zahlungsdienstleister von den Tätern "kompromittiert". Nach Angaben der Behörden waren ehemalige Mitarbeiter aus den Bereichen Risikomanagement, Vertrieb und Compliance in das Netzwerk involviert – darunter auch ehemalige Führungskräfte. Sechs der insgesamt 44 Beschuldigten sind Personen mit deutscher, kanadischer und österreichischer Staatsangehörigkeit, die bewusst mit den Betrugsnetzwerken zusammengearbeitet haben sollen.
Von innen heraus sollen die Zahlungsdienstleister nach Medienberichten erhebliche Umsätze erzielt haben, unter anderem über Gebühren aus Rückbelastungsverfahren (sogenannte Chargeback-Gebühren). Die Täter gewährten den Insidern uneingeschränkten Zugang zu ihren Systemen und zahlten für jede erfolgreiche Transaktion. In einem Fall soll sogar eine speziell zu Geldwäschezwecken programmierte Software bei einem der involvierten Zahlungsdienstleister installiert worden sein, die den Transfer unrechtmäßig vereinnahmter Gelder über virtuelle Konten ermöglichte.
Über mehr als 2.000 Bankkonten in Deutschland wurden die vereinnahmten Gelder weitergeleitet und verschleiert. Nach bisherigem Ermittlungsstand des BKA wurden so mehr als 100.000 Geldwäschetaten mit einem Volumen von bislang mehr als 150 Millionen Euro begangen.
Hätte man das verhindern können? Pflichten nach dem GwG
Zahlungsdienstleister sind nach dem Geldwäschegesetz (GwG) Verpflichtete gemäß § 2 Abs. 1 Nr. 1 GwG und unterliegen umfassenden Sorgfalts- und Organisationspflichten. Auf Basis der bekannt gewordenen Informationen lässt sich analysieren, welche Schutzmechanismen scheinbar versagt haben:
Transaktionsmonitoring: Das zentrale Frühwarnsystem
Nach § 10 Abs 1 Nr. 5 GwG müssen Zahlungsdienstleister die Geschäftsbeziehung während ihrer gesamten Dauer kontinuierlich überwachen. Dies umfasst die Überprüfung von Transaktionen auf ihre Übereinstimmung mit dem Kundenprofil und der Geschäftsbeziehung.
Laut den veröffentlichten Informationen hätten mehrere Indikatoren auffallen müssen:
Komplexe Transaktionsmuster: Nach BKA-Angaben wurden 19 Millionen Abonnements über Schein-Webseiten abgeschlossen, die ausschließlich dem Zweck dienten, Kreditkarten mit kleinen Beträgen zu belasten. Natürlich kann man sagen, dass kleine Beträge meistens durchs Raster fallen, aber zur Wahrheit muss auch gehören, dass jede Transaktion einer Plausibilitätsprüfung standhalten und dies nach den bekannten Angaben schon in Frage gestellt werden muss, wenn Verwendungszwecke nicht eindeutig nachvollziehbar sind.
Hohe Chargeback-Raten: Wenn Kunden regelmäßig Rückbuchungen verlangen, weil sie die Abbuchungen nicht zuordnen können, ist dies ein klassisches Warnsignal. Ein funktionierendes Transaktionsmonitoring sollte solche Muster automatisch erkennen und zur Überprüfung vorlegen. Die Täter versuchten laut BKA durch Load-Balancing – die Verteilung auf viele Scheinfirmen – die Chargeback-Quoten künstlich niedrig zu halten.
Die Herausforderung in der Praxis: Zahlungsdienstleister setzen zwar Monitoring-Systeme ein, konfigurieren diese aber möglicherweise nicht ausreichend differenziert oder setzen Schwellenwerte zu hoch an. Zudem könnten branchenspezifische Auffälligkeiten nicht ausreichend berücksichtigt worden sein. Gerade bei einem so heterogenen Feld kann es keine one-fits-all Lösung geben.
Know Your Business Partner: Sorgfaltspflichten bei Geschäftspartnern
Gemäß §10 GwG müssen Verpflichtete bei der Begründung einer Geschäftsbeziehung die allgemeinen Sorgfaltspflichten erfüllen. Dies umfasst die Identifizierung des Vertragspartners, als auch auch die Abklärung von Zweck und angestrebter Art der Geschäftsbeziehung sowie die Identifizierung wirtschaftlich Berechtigter. Zudem besteht der Prozess nicht nur aus der Aufnahme der Information, sondern auch aus der Verifizierung der Angaben. Hier darf sich der Verpflichtete nicht einfach auf die Angaben verlassen, die der Vertragspartner gemacht hat.
Bei Zahlungsdienstleistern bedeutet dies konkret: Die Merchants (Händler), für die Zahlungen abgewickelt werden, müssen einer gründlichen Know-Your-Business-Partner-Prüfung (KYB) unterzogen werden.
Plausibilitätsprüfung des Geschäftsmodells: Die Webseiten für Streaming-, Dating- und Unterhaltungsangebote waren laut Pressemitteilung bewusst nicht in Suchmaschinen gelistet. Legitime Geschäftsmodelle haben in der Regel einen nachvollziehbaren Webauftritt und eine erkennbare Kundenakquise. Ein funktionierender KYB-Prozess hätte die Frage aufwerfen müssen: Wie können Webseiten, die laut BKA bewusst nicht in Suchmaschinen gelistet waren, überhaupt Abonnementzahlen generieren? Diese grundlegende Plausibilitätsprüfung scheint nicht ausreichend stattgefunden zu haben.
Reputationsprüfung: Negative Medienberichte, Kundenbeschwerden oder Einträge in Betrugsdatenbanken – sofern vorhanden - hätten bei einer ordnungsgemäßen Due Diligence auffallen müssen. Das BKA hat nun eine Liste auffälliger Verwendungszwecke veröffentlicht (wie „helpentries com", „zonefeebillcom" oder „payorquote com"), die auf die kryptischen Bezeichnungen hinweist. Spätestens jetzt ist es Zeit, die eigenen Datenbanken zu durchforsten.
Interne Kontrollen und Zuverlässigkeitsprüfungen: Die unterschätzte Gefahr von innen
§ 6 Abs. 1 GwG verpflichtet zur Einrichtung angemessener geschäfts- und kundenbezogener interner Sicherungsmaßnahmen. Dazu gehören nach § 6 Abs 2 Nr 2 iVm § 7 GwG auch personelle Maßnahmen, insbesondere die Bestellung eines Geldwäschebeauftragten und nach § 6 Abs 2 Nr 6 GwG die Schulung von Mitarbeitern.
Der vorliegende Fall zeigt nach den veröffentlichten Informationen, was möglicherweise passieren kann, wenn interne Kontrollen versagen:
Funktionstrennung: Laut BKA waren Mitarbeiter aus Risikomanagement, Vertrieb und sogar Compliance involviert – darunter auch ehemalige Führungskräfte. Dies kann auf eine mögliche Funktionskonzentration auf einzelne Mitarbeitende hindeuten. Gerade sensible Bereiche wie Compliance und Risikomanagement müssen über Kontrollmechanismen verfügen, die Einzelfallentscheidungen ausschließen.
Zuverlässigkeitsprüfungen: Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) fordert in ihren Merkblättern regelmäßige Zuverlässigkeitsprüfungen für Mitarbeiter in Schlüsselpositionen. Dies umfasst nicht nur die Einstellung, sondern auch laufende Überprüfungen während der Beschäftigung. Sechs der 44 Beschuldigten sind nach BKA-Angaben ehemalige Mitarbeitende deutscher Zahlungsdienstleister.
Manipulierte Risikoprüfungs-Software: Nach BKA-Angaben arbeitete einer der Vermittler mit dem Verantwortlichen eines in Deutschland und Großbritannien ansässigen Softwareunternehmens zusammen, das regulär Programme zur Betrugsprävention im Zahlungsverkehr anbietet. Die Software soll manipuliert und den Betrugsnetzwerken zur Verfügung gestellt worden sein, um die Risikoprüfung zugunsten der Scheinhändler zu beeinflussen. Dies zeigt, dass selbst technische Schutzmaßnahmen durch Insider kompromittiert werden können – interne Bedrohungen müssen ebenso ernst genommen werden, wie Externe.
Die Rolle der Aufsicht: Wie der Fall aufgedeckt wurde
Das Ermittlungsverfahren beruht laut BKA auf Analyseergebnissen der deutschen Financial Intelligence Unit (FIU). Die beim Zoll angesiedelte Spezialeinheit für Geldwäscheanalyse hatte aus zahlreichen einzelnen Verdachtsmeldungen verschiedener Verpflichteter ein auffälliges Muster erkannt, das später zur Identifizierung der Haupttäter führte. Diese Erkenntnisse wurden an die Strafverfolgungsbehörden sowie an die BaFin übermittelt.
Mitarbeiter der FIU war bereits 2020 bei einigen Meldungen ein Muster aufgefallen, wie Medienberichten zu entnehmen ist. Diese Erkenntnisse gaben dann den Anstoß für Ermittlungen, die schließlich an die Zentralstelle Cybercrime der Generalstaatsanwaltschaft Koblenz abgegeben wurden. Das Ermittlungsverfahren wurde seit Dezember 2020 geführt und richtete sich schließlich gegen insgesamt 44 Beschuldigte.
Nach Angaben der BaFin-Exekutivdirektorin Birgit Rodolphe hat die Finanzaufsicht ab 2021 umfassende Maßnahmen gegen die betroffenen Zahlungsdienstleister veranlasst. Die betrügerischen Geschäfte seien vollständig unterbunden worden. Die Behörde habe umfassende Maßnahmen gegen Zahlungsdienstleister veranlasst, die nur zum Teil veröffentlicht worden seien. Auch seien die Beschuldigten nicht mehr in den Unternehmen tätig.
Die BaFin hat in den letzten Jahren ihre Prüfungsintensität bei Zahlungsdienstleistern deutlich erhöht – nicht zuletzt nach dem Wirecard-Skandal. Die Zahl der Prüfungen und verhängten Bußgelder steigt kontinuierlich. Verpflichtete sollten dies als Signal verstehen: Die Anforderungen an Compliance-Systeme werden konsequent durchgesetzt.
Praktische Konsequenzen für Zahlungsdienstleister
Auf Basis der bekannt gewordenen Informationen lassen sich mehrere Lehren für Zahlungsdienstleister ableiten:
Technologie allein reicht nicht: Selbst die beste Monitoring-Software ist wirkungslos, wenn sie nicht richtig konfiguriert ist oder wenn Mitarbeiter Warnungen ignorieren. Der Fall zeigt, dass sogar Software zur Betrugsprävention manipuliert werden kann. Compliance ist eine Kombination aus Technologie, Prozessen und einer starken Compliance-Kultur.
Das Insider-Risiko ernst nehmen: Die meisten Compliance-Systeme sind auf externe Bedrohungen ausgerichtet. Der vorliegende Fall zeigt nach BKA-Angaben: Die Gefahr kommt oft von innen. Regelmäßige Schulungen, klare Verhaltenskodizes, technische Kontrollen und eine offene Fehlerkultur sind unverzichtbar.
Kontinuierliche Überwachung statt Einmal-Check: Sowohl das Transaktionsmonitoring als auch die Geschäftspartnerprüfung müssen als kontinuierliche Prozesse verstanden werden. Risikoprofile ändern sich, Geschäftsmodelle entwickeln sich weiter – Compliance muss Schritt halten.
Qualität vor Quantität bei Verdachtsmeldungen: Die FIU betont regelmäßig, dass qualitativ hochwertige Verdachtsmeldungen wichtiger sind als eine hohe Anzahl. Im vorliegenden Fall konnte die FIU aus zahlreichen einzelnen Verdachtsmeldungen ein auffälliges Muster erkennen. Eine gut begründete Meldung, die konkrete Verdachtsmomente benennt, hilft den Ermittlern mehr als pauschale Verdachtsmeldungen.
Dokumentation ist essenziell: Im Falle einer behördlichen Prüfung müssen Zahlungsdienstleister nachweisen können, dass sie ihre Sorgfaltspflichten erfüllt haben. Eine lückenlose Dokumentation aller Prüfschritte, Entscheidungen und ergriffenen Maßnahmen ist daher unerlässlich.
Fazit: Compliance als Risikomanagement verstehen
Der 300-Millionen-Euro-Betrugsfall zeigt exemplarisch, was passieren kann, wenn Compliance-Systeme nicht ausreichend greifen. Die betroffenen Zahlungsdienstleister stehen nach Medienberichten nicht nur vor möglichen regulatorischen Konsequenzen, sondern auch vor Reputationsrisiken.
Die zentralen Erkenntnisse aus dem Fall könnten sich wie folgt zusammenfassen lassen: Ein wirksames Transaktionsmonitoring muss branchenspezifische Risiken berücksichtigen und kontinuierlich angepasst werden. KYB-Prozesse dürfen nicht beim Onboarding enden, sondern müssen die gesamte Geschäftsbeziehung begleiten. Und interne Kontrollen müssen auch das Insider-Risiko adressieren – durch Funktionstrennung, technische Kontrollen und eine starke Compliance-Kultur.
Sie möchten Ihre Compliance-Prozesse auf den Prüfstand stellen? Kerberos Compliance unterstützt Zahlungsdienstleister mit maßgeschneiderten Lösungen – von KYB-Checks bis zur Funktion des externen Geldwäschebeauftragten. Sprechen Sie uns an.
