Risikomanagement im E-Commerce: Empirische und konzeptionelle Beiträge zur Planung, Steuerung und Kontrolle der Risiken des Online-Handels [1 ed.] 9783886405305, 9783886401307

Citation preview

Sebastian van Baal/Kai Hudetz (Hrsg.)

Risikomanagement im E-Commerce Empirische und konzeptionelle Beiträge zur Planung, Steuerung und Kontrolle der Risiken des Online-Handels

Deutscher Betriebswirte-Verlag

Risikomanagement im E-Commerce

Sebastian van Baal/Kai Hudetz (Hrsg.)

Risikomanagement im E-Commerce Empirische und konzeptionelle Beiträge zur Planung, Steuerung und Kontrolle der Risiken des Online-Handels

Deutscher Betriebswirte-Verlag, Gernsbach

Bibliografische Informationen der Deutschen Bibliothek Die Deutsche Bibliothek verzeichnet diese Publikationen in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet unter http://dnd.ddb.de/ abrufbar.

© Deutscher Betriebswirte-Verlag GmbH, Gernsbach 2008 Gesamtherstellung: Druckhaus Beltz, Hemsbach Umschlaggestaltung: Deutscher Betriebswirte-Verlag GmbH, Gernsbach unter Verwendung eines Motivs c Daniel Fleck Fotolia.com ISBN: 978-3-88640-130-7

Vorwort Mit der zunehmenden Verbreitung des Online-Handels wächst auch die Bedeutung des Risikomanagements im Business-toConsumer- und Business-to-Business-E-Commerce. Mehrere Untersuchungen zeigen jedoch, dass die meisten Online-Anbieter diesen Aspekt völlig vernachlässigen oder nur ein rudimentäres Risikomanagement betreiben. Dies ist nicht zuletzt auf mangelnde Erfahrungen im Distanzhandel und Informationsdefizite zurückzuführen. Um Wissenslücken zu schließen, das Thema zu strukturieren und zum Abbau von E-Commerce-Hemmnissen beizutragen, widmet sich das E-Commerce-Center Handel daher mit diesem Sammelband dem Risikomanagement im E-Commerce. In zehn Beiträgen namhafter Experten aus Wissenschaft und Praxis werden die vielfältigen Aspekte des Risikomanagements beleuchtet. Ein wesentliches Problem bei der Zahlung im E-Commerce stellt der grundlegende Zielkonflikt zwischen Kunden und Händlern dar: Keiner der beiden Transaktionspartner ist unumwunden dazu bereit, bei einem Geschäft in Vorleistung zu treten - sieht man von Transaktionen auf Marktplätzen wie Ebay ab. Die meisten Kunden möchten daher in Online-Shops am liebsten per Rechnung bezahlen, während die meisten Händler die Vorauskasse bevorzugen, das denkbar sicherste Zahlungsverfahren aus ihrer Sicht. Dieser Unterschied der Präferenzen ist nicht darauf zurückzuführen, dass Kunden und Händler in dieser Hinsicht verschiedene Anforderungen an Zahlungsverfahren stellen, sondern vielmehr daran, dass sie aus ihrer jeweiligen Sichtweise sehr ähnliche Ziele verfolgen: Auf beiden Seiten zeigt sich als Basisanforderung die eigene Sicherheit. Kunden möchten weder von schwarzen Schafen unter den Händlern „hereingelegt" werden, noch möchten sie versierten Internetbetrügern ihre Kreditkartendaten oder andere sensible Informationen zukommen lassen. Händler hingegen möchten ihre Waren nicht ohne Bezahlung ausliefern.

5

Vorwort

Allerdings zeigt sich, dass die hohe Hemmschwelle, die viele Kunden beispielsweise bei der Angabe von Kreditkartendaten im Internet haben, bei einer telefonischen oder schriftlichen Bestellung verschwindet - obwohl diese Zahlungen theoretisch mit ähnlichen Risiken belegt sind wie beim Einkauf im Internet. Es scheint, als hätten Medienberichte über Sicherheitsdefizite und Betrugsfälle im Online-Handel bei vielen Konsumenten bleibende Sorgen hinterlassen. Somit ist nachvollziehbar, dass der Kauf auf Rechnung aus Sicht der meisten Konsumenten die beliebteste Zahlungsart ist und dass manche Konsumenten von Käufen absehen, wenn die verfügbaren Zahlungsverfahren ihnen nicht ausreichend sicher erscheinen. Für die Anbieter ist mit dem Angebot kundenfreundlicher Zahlungsverfahren jedoch meist ein erhebliches Risiko verbunden - es reicht von einer Überschreitung des Zahlungsziels, verbunden mit möglichen Liquiditätsengpässen, bis zum Totalausfall des Umsatzes. Im Spannungsfeld zwischen Risiko- und Umsatzoptimierung verzichten Händler somit im Zweifelsfall auf Verkäufe, wenn sie das Angebot auf sichere Zahlungsverfahren wie die Vorauskasse beschränken. Entscheiden sie sich für Zahlungsverfahren, die von den Kunden bevorzugt werden, riskieren sie eine Erhöhung der Zahlungsausfälle - obwohl die Mehrheit der Online-Shopper nicht auf Betrug aus ist, birgt das Angebot kundenfreundlicher Zahlungsverfahren erhebliche Risiken. Das Risikomanagement kann diesen Trade-off reduzieren und ist daher von nicht zu unterschätzender Bedeutung für den E-Commerce. Hundertprozentige Sicherheit beim E-Commerce wird sich allerdings vermutlich nie erreichen lassen, nicht zuletzt, da Sicherheit eine subjektive Größe darstellt. Die empfundene Sicherheit hängt neben technischen Gegebenheiten auch von den Erfahrungen, Präferenzen und Einstellungen der Nutzer ab. So zeigt sich beispielsweise, dass Kunden mit längerer und intensiverer Interneterfahrung ihre Sicherheit beim Online-Shopping höher einstufen (oder sie als nicht so wichtig erachten), als dies bei eher unerfahrenen Nutzern der Fall ist.

6

Vorwort

Vor diesem Hintergrund beleuchten die Beiträge im vorliegenden Sammelband verschiedene Aspekte des Risikomanagements im E-Commerce aus unterschiedlichen Blickwinkeln. Dabei stehen insbesondere die folgenden Fragen im Vordergrund: Welche Optionen des Risikomanagements bieten sich den Online-Händlern? Wie intensiv werden diese Optionen bereits genutzt und wie werden sie bewertet? Wo bestehen Potenziale und Nachholbedarf? Darüber hinaus zeigen die Beiträge auch weitere Risiken des ECommerce auf, beispielsweise solche, die durch Datenverlust entstehen. Van Baal, Krüger und Hinrichs gehen in ihrem grundlegenden Beitrag insbesondere auf die betriebs- und volkswirtschaftliche Bedeutung des E-Commerce-Risikomanagements ein. Sie legen dar, dass das „aktive" Risikomanagement Händler in die Lage versetzt, kundenfreundliche Zahlungsverfahren wie beispielsweise die Zahlung nach Rechnungsstellung anzubieten, wodurch Käufe ermöglicht werden, die bei einer Beschränkung auf Zahlungsverfahren, die den Händlern eine große Zahlungssicherheit bieten (wie beispielsweise die Zahlung per Vorauskasse), möglicherweise nicht zustande kommen würden. Auf der Basis einer empirischen Untersuchung kommen die Autoren jedoch zu dem Ergebnis, dass Instrumente des aktiven Risikomanagements bislang nur in relativ geringem Umfang genutzt werden. Dies dürfte nicht zuletzt an einer als ungünstig wahrgenommenen Kosten-Nutzen-Relation vieler Instrumente liegen. Die Autoren schätzen die derzeitigen „Risikokosten" im E-Commerce aus Sicht der Online-Händler auf circa 1,4 Prozent des Gesamtumsatzes - diese Kosten begrenzen die möglichen Ausgaben der Händler für Instrumente des Risikomanagements. Die Aspekte Planung, Steuerung und Kontrolle bilden die Grundlage für die effiziente und effektive Gestaltung der Zahlungsprozessabwicklung. Stahl, Breitschaft, Krabichler und Wittmann berichten in ihrem Beitrag über die Ergebnisse einer Befragung kleiner und mittlerer Unternehmen, bei der Aspekte von der Kundendatenerhebung und -prüfung über den Umgang mit Zahlungs7

Vorwort

Störungen (ζ. Β. Rücklastschriften oder Chargebacks) bis hin zum endgültigen Ausfall von Zahlungen detailliert untersucht wurden. Die Studie zeigt, in welchen Bereichen des E-Commerce die Mehrzahl der Unternehmen schon konsequent vorgeht und in welchen Teilen der Zahlungsprozesskette noch nicht alle Maßnahmen ausgeschöpft werden. Die zunehmende Zahlungsunwilligkeit und -Unfähigkeit vieler Kunden zwingt die Online-Händler dazu, sich mit Strategien und Maßnahmen zur Minderung des Forderungsausfall-Risikos zu beschäftigen. Der Beitrag von Siegl und Sackmann zeigt mit Vermeidung, Reduzierung und Transfer des Ausfallrisikos drei Möglichkeiten beim Umgang mit dem Forderungsausfall-Risiko auf. Die frühzeitige Identifikation von Betrugsfällen und Zahlungsunfähigkeit wird durch die Anonymität des Internets erschwert; hierzu erläutern die Autoren Möglichkeiten der vorbeugenden Prüfung. Des Weiteren werden Instrumente zur Prognose zukünftiger ForderungsausfallWahrscheinlichkeiten auf der Basis historischer Daten erörtert sowie in der Praxis zum Einsatz kommende grundlegende Strategien für den Umgang mit dem Forderungsausfall-Risiko diskutiert. Vanini und Eckhardt bilden ein einheitliches Verständnis für die Vielzahl der Risiken im E-Commerce heraus und formulieren eine darauf basierende konsistente Klassifikation. Diese Klassifikation bildet die Grundlage für eine erfolgreiche Identifikation der Risiken im E-Commerce-Geschäftsmodell. Die gängigen Instrumente zur Risikoidentifikation werden im Hinblick auf eine Nutzung im B2B-ECommerce analysiert. Die folgenden Problemfelder werden in diesem konzeptionell-grundlegenden Beitrag aufgegriffen: Ableitung eines Ursachen- und wirkungsbezogenen Risikobegriffs für Gefahren im B2B-E-Commerce aus Sicht der Online-Anbieter, Ableitung einer Risikosystematisierung im Rahmen des B2B-E-Commerce, Bewertung der Eignung der vorhandenen Instrumente zur Risikoidentifikation und Diskussion möglicher Probleme der Risikoidentifikation im B2B-E-Commerce.

8

Vorwort

Der theoretisch-konzeptionelle Beitrag von Hildebrandt basiert auf der Beobachtung, dass Händler und Kunden im Internet häufig keine gemeinsame Historie und ein Undefiniertes Vertrauensverhältnis haben - und somit eine gegenläufige Risikobereitschaft. Diese spiegelt sich naturgemäß im präferierten Zahlungszeitpunkt wider. Für die Online-Händler stellt diese Situation einen Trade-off zwischen Risikoreduktion und Gewinnerhöhung dar. So bergen die kundenfreundlichen Zahlungsverfahren meist höhere Forderungsausfallrisiken, aber auch höhere Umsatzchancen. Nicht zu vergessen ist jedoch, dass eine solche „statische" Betrachtung der Realität nicht komplett gerecht wird; Hildebrandts dynamische Betrachtung zeigt, dass das mit der Zeit wachsende Vertrauensverhältnis und die Entstehung eines Kundenstamms zur „Entschärfung" des Konflikts zwischen Händler- und Kundenanforderungen beitragen. Im Gegensatz zu den Kunden, die sich vor dem Kaufabschluss in Foren oder Erfahrungsberichten Informationen über einen Händler suchen können, haben Online-Händler aufgrund der Anonymität potenzieller Kunden und des direkten Kaufabschlusses im Internet ihrerseits meist nur wenige Informationen über neue Kunden. Ausgehend von der Annahme, dass Kunden insbesondere Bequemlichkeit und Händler sichere Zahlungsverfahren bevorzugen, erörtern Wolff und Benesch in ihrem Beitrag Möglichkeiten, diese asymmetrische Informationsverteilung zu verringern. Die bestehende Unsicherheit seitens der Händler kann durch die Nutzung von externen sowie internen Daten reduziert werden. Es wird aufgezeigt, wie mithilfe der gewonnenen Daten effiziente Scorecards erstellt werden können und worauf hierbei besonders geachtet werden muss. Mittels solcher Scorecards werden Kunden kategorisiert, wodurch die jeweils geeigneten Zahlungsverfahren - automatisiert und individuell - angeboten werden können. Die Gestaltung der verfügbaren Zahlungsartenportfolios und die darauf aufbauende Konzeption des Bonitätsprüfungsablaufs ist die zentrale Problemstellung, mit der sich der Beitrag von Seiler und Grewe befasst. Auf der Basis der theoretischen Grundlagen der 9

Vorwort

Neuen Institutionenökonomik und des Risikomanagements im Allgemeinen analysieren die Autoren das Instrument der Bonitätsprüfung. Anhand identifizierter Schwächen zeigen sie mögliche Optimierungsfelder auf. Ein Vergleich der Strategien zur Steuerung von Risiken dient der Darstellung des Zusammenhangs von modernen Zahlungsarten und der grundsätzlichen Senkung des Bonitätsprüfungsvolumens. Die Optimierungsmöglichkeiten werden strukturiert nach Maßnahmen der Risikoübertragung, der Risikovermeidung und der Risikoverminderung betrachtet. Heppner und Schuppert weisen in ihrem Beitrag darauf hin, dass die einzelnen Online- und Offline-Prozessketten im E-Commerce technisch und organisatorisch so strukturiert sein müssen, dass Risiken und Störungen weitestgehend reduziert werden, dass aber auch flexibel auf eine hohe Auslastung oder eine Erweiterung des Geschäftsbetriebs reagiert werden kann. Risikomanagement bedeutet in diesem Zusammenhang somit in erster Linie Plausibilitätsprüfung für Geschäftsprozesse, Warenbewegungen und kaufmännische Entscheidungen. Der Fokus des Beitrags liegt dabei auf den Risiken, die aufgrund organisatorischer Mängel erwachsen. Abschließend werden Risiken infolge sich überschneidender Zeitachsen, die sich im Unterschied zum klassischen Versandgeschäft im E-Commerce ergeben, behandelt. In dem Beitrag von Pache und Horn wird die Vielschichtigkeit der IT-Risiken im E-Commerce aufgezeigt und das Schadensausmaß für Deutschland quantifiziert. Anhand dieser Einordnung werden Lösungsansätze sowie die erforderlichen Instrumente benannt, um die betriebswirtschaftlich bestmögliche Handlungsalternative zur Optimierung der Risiko-Kosten-Relation eines Unternehmens zu erkennen. Entscheidungsträger in Unternehmen erhalten umfangreiche Checklisten zur Identifizierung von IT-Risiken. Diese werden mithilfe eines Total-Cost-of-Risk-Prozesses in ein Maßnahmenportfolio überführt, das die Handlungsalternativen aufzeigt. Die Bearbeitung eines Praxisbeispiels mittels der beschriebenen Instrumente und weiterführende Literaturhinweise zur Risikoidentifikation

10

Vorwort

geben dem Leser wertvolle Hinweise zur Optimierung der eigenen Vorgehensweisen. Der Beitrag von Ledermann rundet den Sammelband ab, indem die Erfahrungen und Empfehlungen eines renommierten Unternehmensvertreters dargestellt werden. Der Vorstand der B2B-Handelsplattform mercateo.com zeigt Möglichkeiten zur Risikoreduktion im E-Commerce am Beispiel seines Unternehmens. Er weist bereits im Titel seines Beitrags darauf hin, dass man finanzielle Risiken zwar reduzieren, nicht aber komplett ausschließen kann. Wesentliche Aspekte, auf die der Autor eingeht, betreffen die konstante Liquiditätsplanung und die vorbeugende Bonitätsprüfung. Letztere stellt bei Mercateo eine Mischung aus standardisiertem Prozess und individuellen Einschätzungen dar - dies dürfte ein pragmatischer Ansatz sein, der für viele Unternehmen sinnvoll ist. Durch permanentes Monitoring werden die Prüfungsprozesse bei Mercateo allerdings stetig ergänzt und angepasst. Die Vorgehensweise scheint sich zu bewähren, denn Ledermann weist darauf hin, dass über 99 Prozent der Rechnungen jedes Jahr ordnungsgemäß bezahlt werden. Diese unterschiedlichen Beiträge verdeutlichen die Komplexität des Risikomanagements im E-Commerce. Dieses Thema ist eng mit weiteren Sicherheitsaspekten im Online-Handel verknüpft, die im vorliegenden Sammelband nur angerissen werden können. In diesem Zusammenhang sei auf das vom Bundesministerium für Wirtschaft und Technologie geförderte Projekt „Sichere E-Geschäftsprozesse in Mittelstand und Handwerk" verwiesen, an dem neben dem E-Commerce-Center Handel drei regionale „Kompetenzzentren für den Elektronischen Geschäftsverkehr" beteiligt waren. In 16 Pilotvorhaben wurde die Einführung standardisierter IT-Sicherheitsmaßnahmen in kleineren Unternehmen begleitet. Die ausführlichen Dokumentationen stehen unter anderem auf der Website des „Netzwerks Elektronischer Geschäftsverkehr" unter www.ec-net.de zur Verfügung.

11

Vorwort

Unser besonderer Dank gilt an dieser Stelle dem Bundesministerium für Wirtschaft und Technologie, dessen finanzielle Unterstützung der Aktivitäten des E-Commerce-Center Handel die Erstellung des vorliegenden Sammelbandes ermöglichte. Weiterhin bedanken wir uns insbesondere bei den Autoren, die ihr Wissen in strukturierter Form bereitstellen und somit zu einer Professionalisierung des E-Commerce in Deutschland beitragen. Schließlich gilt unser Dank Melanie Raible vom Institut für Handelsforschung an der Universität zu Köln für ihre umfangreiche Mitwirkung bei der Erstellung des Manuskripts und Regina Meier vom Deutschen Betriebswirte-Verlag für ihre umfassende Unterstützung dieses Buchprojekts. Wir hoffen, dass dieses Buch Online-Händler bei ihrem Risikomanagement unterstützt. Richtig eingesetzt hilft Risikomanagement nicht nur den Händlern, sondern auch den Konsumenten. Beispielsweise verhindert die Bonitätsprüfung auch, dass Verbraucher Verpflichtungen eingehen, die sie nicht halten können. Somit kann aktives Risikomanagement im Online-Handel beiden Seiten nützen: den Online-Händlern und den Konsumenten.

Köln, im März 2008 Sebastian van Baal, Kai Hudetz

12

Inhaltsübersicht Sebastian van Baal, Malte Krüger; Jens-Werner Hinrichs Bedeutung, Rahmenbedingungen und Instrumente des Risikomanagements im E-Commerce Ernst Stahl, Markus Breitschaft,

15

Thomas Krabichler,

Georg Wittmann Risiken der Zahlungsabwicklung im Internet- Bedeutung, Gegenmaßnahmen und zukünftige Herausforderungen

51

Marcus Siegl, Stefan Sackmann Strategien und Instrumente für den Umgang mit dem Forderungsausfall-Risiko im E-Commerce (B2C)

73

Ute Vanini, Gordon Eckardt Ansätze und Probleme der Risikoidentifikation im B2B-E-Commerce aus Sicht der Online-Anbieter

103

Tilo Hildebrandt Risiko vs. Umsatz - Web-Controlling als Optimierungsaufgabe Manfred K. Wolff,

141 Oliver Benesch

Verringerung der asymmetrischen Informationsverteilung durch effizientes Risikomanagement im E-Commerce

181

13

Inhaltsübersicht

Marc Oliver Seiler; Lennard Grewe Risikomanagement im E-Commerce - Zum Zusammenhang zwischen dem Zahlungsartenportfolio und der Gestaltung der Bonitätsprüfung

201

Thomas Heppner, Hans Klaus Schuppert Risikominimierung im E-Commerce durch Symbiose von optimierten Geschäftsprozessen und software-technischen Modulen

243

Thomas Pache, Margret Horn Praktisches Risikomanagement in E-CommerceUnternehmen

259

Peter Ledermann „Mögliche finanzielle Gefährdungen können nicht komplett ausgeschlossen werden, man kann nur sinnvoll mit ihnen umgehen" - Risikomanagement im E-Commerce am Beispiel des Online-Händlers Mercateo

289

Autoren- und Herausgeberverzeichnis

299

14

Sebastian van Baal Malte Krüger Jens-Werner H in rieh s

Bedeutung, Rahmenbedingungen und Instrumente des Risikomanagements im E-Commerce

15

Van Baal/Krüger/Hinrichs

Inhaltsverzeichnis 1

Die Problemstellung

17

2

Zur Bedeutung des Risikomanagements für den E-Commerce

18

3

Die empirische Vorgehensweise und die Stichprobe

22

4

Der Einsatz von Zahlungsverfahren als Rahmenbedingung des Risikomanagements im E-Commerce

26

Zum Risikomanagement

30

5.1

Störungen des Internet-Zahlungsverkehrs

31

5.2

Die Bewertung und der Einsatz von Instrumenten des Risikomanagements

35

5

5.3

Die Zahlungsbereitschaft der Online-Händler für eine Zahlungsgarantie

6

39

Fazit

46

Literaturverzeichnis

48

16

Bedeutung, Rahmenbedingungen und Instrumente des Risikomanagements

1

Die Problemstellung

In allen Vertriebskanälen des Handels besteht das Risiko, dass Zahlungen ausfallen, im E-Commerce kommt dieser Thematik jedoch eine besondere Bedeutung zu. Diese folgt insbesondere aus der Distanz zwischen Anbietern und Nachfragern und dem daraus resultierenden zeitlichen Auseinanderfallen von Zahlung und Lieferung - da der gleichzeitige Austausch von Gütern gegen Geld im Distanzhandel nicht realisierbar ist, ist die Möglichkeit von Zahlungsausfällen für Unternehmen, die das Internet als Vertriebskanal einsetzen, ein allgegenwärtiges Problem. Entgegen dem verbreiteten Eindruck, dass zumeist die Konsumenten die Opfer von „schwarzen Schafen" im Internet werden, sind es in den meisten Fällen eher die Händler, die das größere Risiko tragen. Dem Management des Risikos von Zahlungsausfällen kommt daher eine große Bedeutung zu - Management in dem Sinne, dass Zahlungsausfälle soweit reduziert werden, wie es ökonomisch sinnvoll ist bzw. wie es der Risikoeinstellung des Händlers entspricht. Ein gewisses Risiko und dementsprechend eine gewisse Höhe von erwarteten Ausfällen müssen die meisten OnlineHändler hinnehmen, denn Instrumente zur Senkung dieses Risikos sind nicht kostenlos: Entweder entstehen pagatorische Kosten, wie beispielsweise bei der Bonitätsprüfung mittels externer Daten, oder es entstehen Opportunitätskosten, beispielsweise wenn ein Betragsmaximum für Neukunden vorgegeben wird oder wenn ein verlängerter Bestellprozess zu einer höheren Wahrscheinlichkeit von Kaufabbrüchen führt. Dieser ökonomische Konflikt führt dazu, dass es keinen „Königsweg" des Risikomanagements gibt - letztlich muss jedes Unternehmen situativ entscheiden, welches Sicherheitsniveau es anstrebt und welche Instrumente es einsetzt, um das angestrebte Niveau zu erreichen. Aufgrund der daraus folgenden Heterogenität kommt empirischen Untersuchungen eine große Bedeutung zu, um den Stand des

17

Van Baal/Krüger/Hinrichs

Risikomanagements im E-Commerce zu charakterisieren; im Folgenden werden die Ergebnisse einer solchen Untersuchung dargestellt. Der Beitrag ist wie folgt aufgebaut: Nach der Darstellung konzeptioneller Überlegungen zur Bedeutung des Risikomanagements im zweiten Abschnitt wird im dritten Abschnitt die Vorgehensweise der empirischen Erhebung erläutert. Daran anschließend werden im vierten Abschnitt Rahmenbedingungen des Risikomanagements, die insbesondere durch die verfügbaren und eingesetzten Zahlungsverfahren bedingt sind, erörtert. Im fünften Abschnitt wird auf instrumenteile Komponenten des Risikomanagements eingegangen, bevor im sechsten Abschnitt ein Fazit gezogen wird.

2

Zur Bedeutung des Risikomanagements für den E-Commerce

Der Zahlungsverkehr dient dazu, Transaktionen auf Gütermärkten zu ermöglichen. Aufgrund dieser Funktion muss er in seiner Gesamtheit der Effektivitäts- und der Effizienzanforderung genügen: Von einem effektiven Zahlungsverkehr ist zu sprechen, wenn er keinen Engpassfaktor darstellt, wenn mithin keine Transaktionen verhindert werden, die sowohl aus Anbieter- als auch aus Nachfragersicht vorteilhaft sind und bei denen sich folglich Tauschgewinne realisieren lassen; effizient ist der Zahlungsverkehr definitionsgemäß, wenn er zu den geringstmöglichen Kosten erfolgt. 1 Ein effektiver und effizienter Zahlungsverkehr stellt einen wesentlichen Einflussfaktor der Funktionsfähigkeit von Gütermärkten dar und ist somit von nicht zu vernachlässigender volkswirtschaftlicher Bedeu1

18

Beide Beurteilungskriterien hängen demzufolge eng zusammen: Die „Vorteilhaftigkeit" bzw. der Tauschgewinn von Transaktionen, auf die die Effektivität abstellt, muss unter Einbeziehung der (geringstmöglichen) Kosten der Zahlungsabwicklung beurteilt werden (mithin unter Einbeziehung der Effizienz), falls nicht ein (nur theoretisch existierender) Markt ohne Transaktionskosten als Maßstab herangezogen wird.

Bedeutung, Rahmenbedingungen und Instrumente des Risikomanagements

tung. Im Fall des Internet-Zahlungsverkehrs handelt es sich dabei um Gütermärkte bzw. Transaktionen, auf bzw. bei denen wenigstens die Bestellung (aber nicht notwendigerweise die Lieferung) im Internet erfolgt. Die Bedeutung des Zahlungsverkehrs lässt sich insofern anhand der Transaktionskosten, der „Costs of Running the Economic System"2, die die Zahlungsabwicklung mit sich bringt, operationalisieren. Derartige Kosten lassen sich nicht gänzlich vermeiden, ihre Höhe ist jedoch maßgeblich dafür, welche bzw. wie viele Transaktionen und Tauschgewinne realisiert werden. Somit stellt sich die Frage, inwieweit der Internet-Zahlungsverkehr durch „überhöhte" Transaktionskosten gekennzeichnet ist, die die volle Entfaltung des Umsatzpotenzials des E-Commerce begrenzen. Da ein Vergleichsmaßstab (beispielsweise ein E-Commerce-Markt, in dem keine Transaktionskosten anfallen) nicht existiert, muss die Antwort auf diese Frage indirekt erfolgen. 3 Viele Marktbeobachter vertreten die Ansicht, dass der Zahlungsverkehr keinen Engpassfaktor des E-Commerce darstellt. Die Fundierung dieser Ansicht liegt darin, dass mit Verfahren wie beispielsweise der Zahlung nach Rechnungsstellung oder der Kreditkartenzahlung ausreichend kundenfreundliche Zahlungsverfahren existieren, die auch im „traditionellen" Versandhandel schon seit langer Zeit zum Einsatz kommen. Dieses Argument abstrahiert jedoch davon, dass Transaktionskosten nicht nur bei den Konsumenten anfallen. Zahlungsverfahren

Arrow, Kenneth J.: The Organization of Economic Activity: Issues Pertinent to the Choice of Market versus Non-Market Allocation, in: U.S. Joint Economic Committee: The Analysis and Evaluation of Public Expenditures: The PBBSystem, Washington 1969, S. 47-64, hier: S. 48. Vgl. grundlegend zu Transaktionskosten Coase, Ronald H.: The Nature of the Firm, in: Economica, Vol. 4 Nr. 16 (November 1937), S. 386-405. Vgl. auch Van Baal, Sebastian/Strobom, Karsten: Friktionen im Markt für Zahlungsabwicklungen: Hemmnis für den E-Commerce?, in: Handel im Fokus Mitteilungen des Instituts für Handelsforschung, Jg. 56 H. 2 (Mai 2004), S. 108121.

19

Van Baal/Krüger/Hinrichs

lassen sich jedoch dahingehend charakterisieren, wie sie die Kosten der Durchführung einer Transaktion zwischen den Händlern und den Konsumenten aufteilen. Dabei sind insbesondere Risikokosten von Bedeutung: Bei der Zahlung nach Rechnungsstellung beispielsweise tragen die Händler das Risiko, dass die Kunden trotz Lieferung nicht oder verspätet zahlen; die Risikokosten werden bei der Rechnung demzufolge den Händlern aufgebürdet. Bei der Vorauskasse hingegen tragen die Kunden das Risiko, dass die Händler nicht oder schlecht liefern; in diesem Fall tragen die Konsumenten die Risikokosten.4 Der relative Zeitpunkt der Zahlung bestimmt somit in besonderem Ausmaß die Allokation der Transaktionskosten, da er einen wesentlichen Einflussfaktor des Übergangs der mit dem Kauf verbundenen Risiken darstellt, und „solving for exchange risk adds to transaction costs."5 Zahlungsverfahren teilen demzufolge Transaktionskosten zwischen Anbietern und Nachfragern auf (Abbildung 1). Vorliegende Untersuchungen stützen dies: Die Konsumenten verbinden mit verschiedenen Zahlungsverfahren unterschiedliche Transaktionskosten, die unter anderem durch verschiedene wahrgenommene Risikoarten und -stärken zustande kommen.6 4

5

6

20

Leicht vereinfacht ist festzuhalten, dass „Pull-Verfahren", bei denen der Händler die Zahlung anstößt oder nach Lieferung zur Zahlung auffordert, den größten Teil der Risikokosten dem Händler auferlegen (bspw. Lastschrift, Kreditkarte und Rechnung). Bei „Push-Verfahren", bei denen die Konsumenten die Zahlung von sich aus auslösen, nehmen sie den größten Teil der Risikokosten auf sich (bspw. Online-Überweisung, Vorauskasse und Paypal, wobei Paypal versucht, die Risikokosten der Konsumenten mit einem „Käuferschutz", der aus einer Vermittlung oder Entschädigung im Problemfall besteht, zu reduzieren). McCabe, Kevin A./Smith, Vernon L.: Goodwill Accounting and the Process of Exchange, in: Gigerenzer, Gerd/Selten, Reinhard: Bounded Rationality - The Adaptive Toolbox, Cambridge (Mass.), London 2001, S. 319-340, hier: S. 320. Vgl. Hirschman, Elizabeth C.: Consumer Payment Systems: The Relationship of Attribute Structure to Preference and Usage, in: Journal of Business, Vol. 55 H. 4 (1982), S. 531-545; Ho, Simon S. M./Ng, Victor T. F.: Customers' Risk Perceptions of Electronic Payment Systems, in: International Journal of Bank Marketing, Vol. 12 H. 8 (1994), S. 26-38; Ariely, Dan/Silva, Jose: Payment Method Design: Psychological and Economic Aspects of Payment, Arbeitspapier, MIT Sloan School of Management, Cambridge, Massachusetts 2002.

Bedeutung, Rahmenbedingungen und Instrumente des Risikomanagements

Abbildung 1: Beispielhafte Aufteilung von Transaktionskosten zwischen Händlern und Konsumenten durch Zahlungsverfahren

Diese Beobachtung ist von weitreichender Bedeutung für den Internet-Zahlungsverkehr. Im Allgemeinen wird keine der beiden Marktseiten bereitwillig eine für die eigene Seite ungünstige Verteilung der Transaktionskosten in Kauf nehmen; stattdessen versuchen sowohl Konsumenten als auch Händler zumeist, eigene Transaktionskosten zu vermeiden. Händler können festlegen, dass den Konsumenten nur Zahlungsverfahren angeboten werden, die diesen die Transaktionskosten auferlegen; Konsumenten können auf Konkurrenzmärkten auf Anbieter ausweichen, die Zahlungsverfahren anbieten, die für sie geringe Transaktionskosten mit sich bringen (wodurch ein Anreiz für Markteintritte geschaffen wird, wenn auf einem Markt keine Händler aktiv sind, die entsprechende Zahlungsverfahren anbieten). Zur Lösung dieses Interessenkonflikts bestehen zwei Möglichkeiten: •

Händler können versuchen, die Bereitschaft der Konsumenten zur Übernahme von Risikokosten zu erhöhen bzw. die wahrgenommenen Risikokosten der Konsumenten zu reduzieren. Dies lässt sich insbesondere durch den Aufbau von Reputation oder die Einschaltung von Dritten erreichen (beispielsweise Anbieter von Gütesiegeln und Zahlungsverfahrensbetreiber, die den Konsumenten gegenüber in Erscheinung treten und eine Schlichtung im Problemfall anbieten).

21

Van Baal/Krüger/Hinrichs

•

Händler können versuchen, ihre Risikokosten zu senken, indem sie ein aktives Risikomanagement7 betreiben. Beispielsweise können Händler, die eine Bonitätsprüfung ihrer Kunden durchführen, unter sonst gleichen Umständen eher die Zahlung nach Rechnungsstellung anbieten als Händler, die keine Prüfung durchführen. 8

Die zweite Möglichkeit verdeutlicht, welche betriebs- und volkswirtschaftliche Bedeutung dem Risikomanagement zukommt und führt zu der Hypothese, dass von den eigentlichen Zahlungsverfahren losgelöste Kosten der Zahlungsabwicklung dazu führen können, dass das E-Commerce-Umsatzpotenzial nicht zu seiner vollen Entfaltung kommt. Demzufolge hängt es unter anderem von der Qualität des Risikomanagements der Händler ab, welche und wie viele Transaktionen im Internet realisiert werden.

3

Die empirische Vorgehensweise und die Stichprobe

Um den Stand des Risikomanagements zu charakterisieren, werden in den nachfolgenden Abschnitten die Ergebnisse einer Befragung von Online-Händlern dargestellt und interpretiert. 9 Vorab wer7

8

9

22

„Aktives Risikomanagement" besteht im Einsatz von Instrumenten, die von Zahlungsverfahren unabhängig sind und das Risiko von Zahlungsausfällen soweit reduzieren, wie es der Risikoeinstellung des Händlers entspricht. „Passives Risikomanagement" besteht im Angebot von Zahlungsverfahren, mit denen ein Risiko von Zahlungsausfällen einhergeht, das der Risikoeinstellung des Händlers entspricht. Auf diese Unterscheidung wird in Abschnitt 5.2 genauer eingegangen. Vgl. auch Van Baal, Sebastian/Hinrichs, Jens-Werner/Krüger, Malte: Welche Zahlungsverfahren kommen im Internet zum Einsatz? Ein erklärendes Partialmodell und empirische Anzeichen für seine Gültigkeit, in: Banking and Information Technology, Jg. 7 H. 2 (Juni 2006), S. 9-19. Im Folgenden werden lediglich ausgewählte Ergebnisse dieser Befragung in Auszügen dargestellt. Vgl. zu weiteren und vollständigen Ergebnissen: Van Baal, Sebastian/Krüger, Malte/Hinrichs, Jens-Werner: Der Internet-Zahlungsverkehr aus Sicht der Händler: Ergebnisse der Umfrage IZH4, Köln 2008. Die Studie wurde insbesondere von den folgenden Unternehmen und Institutionen

Bedeutung, Rahmenbedingungen und Instrumente des Risikomanagements

den die wesentlichen Merkmale der empirischen Vorgehensweise und der Stichprobe erläutert. Aus den denkbaren Erhebungsarten wurde die Online-Befragung anderen Möglichkeiten, wie beispielsweise einer postalischen Befragung oder persönlichen Interviews, vorgezogen. Dies geschah vor allem aus ökonomischen Gründen: Die Online-Befragung stellt eine reichweitenstarke und gleichzeitig kostengünstige Möglichkeit der standardisierten Erhebung dar. Da die relevante Grundgesamtheit aus Online-Händlern besteht, 10 ist nicht davon auszugehen, dass es aufgrund der verwendeten Erhebungsmethode zu Verzerrungen der Stichprobenzusammensetzung kommt. Der verwendete Online-Fragebogen setzte sich aus zwei Hauptteilen zusammen: •

Der erste Teil war den Internet-Zahlungsverfahren gewidmet. In diesem Teil wurde beispielsweise erfragt, welche Verfahren die Händler einsetzen und wie sie sie hinsichtlich verschiedener Kriterien bewerten.

•

Der zweite Teil betraf das Risikomanagement im E-Commerce. Hier wurde beispielsweise auf den Einsatz und die Bewertung von Instrumenten zur Senkung des Risikos von Zahlungsausfällen eingegangen.

Die Einladung zur Teilnahme an der Befragung erfolgte über verschiedene Websites und Newsletter, die sich an Online-ShopBetreiber richten (insbesondere www.ecc-handel.de). Als Anreiz zur Teilnahme an der Umfrage und zur Komplettierung des Fragebogens wurden unter den Teilnehmern fünf Einkaufsgutscheine

10

freundlicherweise unterstützt: ClickandBuy International AG, EURO Kartensysteme GmbH, InterCard AG, Pago eTransaction Services GmbH, PayPal Deutschland GmbH, Steria Mummert Consulting AG und Wissenschaftsförderung der Sparkassen-Finanzgruppe e. V. Die Grundgesamtheit sind alle Unternehmen, die im Jahr 2007 in Deutschland das Internet als Vertriebskanal (d. h. inklusive der Möglichkeit für Konsumenten, online eine auf den Abschluss eines Vertrags gerichtete Willenserklärung abzugeben) für physische oder digitale Güter nutzten.

23

Van Baal/Krüger/Hinrichs

eines Online-Händlers zu je 20 Euro und fünfmal eine Flasche Wein verlost; darüber hinaus wurde den interessierten Teilnehmern eine Kurzauswertung der Befragung in Aussicht und nach Abschluss der Befragung zur Verfügung gestellt. Die Befragung fand vom 26. Juli bis zum 27. September 2007 statt. 792 Personen begannen die Befragung, 435 Fragebögen konnten bei den Auswertungen berücksichtigt werden. Dabei wurden diejenigen Fragebögen eliminiert, bei denen nur die ersten Fragen ausgefüllt wurden, die innerhalb von weniger als zwei Minuten ausgefüllt wurden oder bei denen erkennbar inkonsistente Angaben gemacht wurden. Die durchschnittliche Bearbeitungszeit betrug circa 17 Minuten. Angesichts des speziellen Themas und des umfangreichen Fragebogens ist der Rücklauf überaus zufriedenstellend. Die Stichprobengröße spricht dafür, dass sich auf der Basis der Angaben der Befragten belastbare explorative Erkenntnisse zur Sicht der Online-Händler des Internet-Zahlungsverkehrs ableiten lassen. Da der Fragebogen freiwillig und anonym ausgefüllt wurde (es handelt sich um eine Convenience-Stichprobe) und aufgrund der daraus resultierenden Selbstselektion der Teilnehmer muss allerdings davon ausgegangen werden, dass mit der Befragung insbesondere Personen mit einem hohen Interesse am Internet-Zahlungsverkehr angesprochen wurden. Da demzufolge vermutlich insbesondere überdurchschnittlich zahlungsverkehrsaffine Online-Händler in die Stichprobe gelangt sind, ist nicht auszuschließen, dass sich in einer für die Grundgesamtheit repräsentativen Stichprobe teilweise andere Ergebnisse zeigen würden. Dies sollte bei der Interpretation der im Folgenden dargestellten Ergebnisse beachtet werden: Aufgrund der Selbstselektion der Teilnehmer können die dargestellten Ergebnisse nicht unmittelbar und insbesondere nicht punktgenau über die Stichprobe hinaus generalisiert werden - die Aussagen sind als Tendenzen zu verstehen. Die Stichprobe weist die folgenden Merkmale auf: •

24

Über 90 Prozent der befragten Händler vertreiben (auch) physische Güter, circa 20 Prozent (auch) digitale Güter.

Bedeutung, Rahmenbedingungen und Instrumente des Risikomanagements

•

Über 90 Prozent der befragten Händler vertreiben (auch) an Konsumenten (Business-to-Consumer), knapp 60 Prozent (auch) an andere Unternehmen (Business-to-Business).

•

Fast jeder der befragten Händler betreibt einen eigenen Online-Shop; darüber hinaus kommt Marktplätzen wie beispielsweise Ebay und Amazon in der Stichprobe eine große Bedeutung zu.

•

Die meisten Unternehmen, die in der Stichprobe enthalten sind, sind dem Handel zuzurechnen; von Bedeutung sind weiterhin insbesondere Dienstleistungsunternehmen.

•

Da die Einladung zur Umfrage über bundesweit ausgerichtete Websites und Newsletter erfolgte, sind Unternehmen aus ganz Deutschland in der Stichprobe vertreten.

•

In der Stichprobe sind sowohl sehr große als auch sehr kleine Unternehmen enthalten - angefangen von Anbietern, bei denen nur ein Fünftel der Arbeitskraft einer Person in das Unternehmen einfließt bis zu Anbietern, bei denen über 100.000 Mitarbeiter beschäftigt sind.

•

Aus den Umsatzangaben der Unternehmen lässt sich auf die Abdeckung des Markts durch die Stichprobe schließen: Insgesamt haben 211 der teilnehmenden 435 Unternehmen Angaben zum Gesamtumsatz und zum Internetanteil am Gesamtumsatz gemacht; diese 211 Unternehmen generieren zusammen circa 750 Millionen Euro Umsatz im Internet. Näherungsweise kann somit vermutet werden, dass mit der Stichprobe circa 1,5 Milliarden Euro Internet-Umsatz abgedeckt werden.

•

Fast drei Viertel der Personen, die den Fragebogen ausgefüllt haben, sind als Geschäftsführer oder Inhaber tätig - vor diesem Hintergrund ist zu vermuten, dass die Probanden über ausreichende Kenntnisse zur Beantwortung der Fragen verfügen.

25

Van Baal/Krüger/Hinrichs

4

Der Einsatz von Zahlungsverfahren als Rahmenbedingung des Risikomanagements im E-Commerce

Bei der Entscheidung über den Einsatz von Zahlungsverfahren bzw. bei der Zusammenstellung des Verfahrensportfolios für den Online-Shop müssen Händler zahlreiche Merkmale der Verfahren beachten. Leicht vereinfacht lassen sich diese Merkmale auf drei Hauptkomponenten reduzieren: •

Die Komponente „Umsatzerschließung" umfasst Eigenschaften, die die Anzahl der mit einem Zahlungsverfahren erreichbaren Kunden sowie die Anzahl und Höhe der möglichen Transaktionen betreffen (beispielsweise die Verbreitung des Verfahrens sowie die Einfachheit und die Sicherheit aus Sicht der Kunden).

•

Die Komponente „Umsatzsicherung" umfasst Eigenschaften, die direkt oder indirekt die Sicherheit des Erhalts der Zahlung für den Händler betreffen (beispielsweise Zahlungs- und Datensicherheit).

•

Schließlich lassen sich einmalige und laufende Kosten in einer entsprechenden Komponente zusammenfassen (sowohl pagatorische Kosten als auch Opportunitätskosten). 11

Die Ergebnisse der Befragung lassen erkennen, dass die Händler der Komponente Umsatzsicherung die größte Bedeutung zumessen: Tabelle 1 zeigt, dass Merkmale, die mit der Zahlungssicherheit zusammenhängen, am bedeutendsten sind, gefolgt von Aspekten der Umsatzerschließung; an dritter Position folgen die Kosten der Verfahren. Demzufolge dürften die befragten Händler tendenziell bzw. innerhalb gewisser Grenzen Zahlungsverfahren bevorzugen, die eine hohe Zahlungssicherheit mit sich bringen, auch

11

26

Vgl. Van Baal, S./Hinrichs, J.-W./Krüger, M. 2006.

Bedeutung, Rahmenbedingungen und Instrumente des Risikomanagements

wenn damit eine geringere Kundenfreundlichkeit und höhere Kosten einhergehen. Tabelle 1: Wichtigkeit ausgewählter Eigenschaften von Internet-Zahlungsverfahren Fragetext: „Wie wichtig sind die folgenden Aspekte eines InternetZahlungsverfahrens aus Sicht Ihres Unternehmens?" Skala von 1 = „Sehr wichtig" bis 5 = „Vollkommen unwichtig" mit der Ausweichoption „Weiß nicht". Aspekt

Dass Zahlungsausfälle vermieden werden. Dass das Zahlungsverfahren gegen Betrug geschützt ist. Dass die Zahlungsabwicklung sicher ist. Dass das Risiko für unser Unternehmen gering ist. Dass viele Kunden das Verfahren nutzen können. Dass das Verfahren von den Kunden als sicher empfunden wird. Dass das Zahlungsverfahren vielen Kunden bekannt ist. Dass neue Kunden das Verfahren schnell nutzen können. Dass das Verfahren von den Kunden als bequem empfunden wird. Dass das Zahlungsverfahren geringe fixe Kosten mit sich bringt.

Anteil Ausweichoption an η

η

4

Stantìa rdabweichung 0,3

1,2%

328

1

4

0,4

1,2%

326

1,2

1

4

0,5

1,2%

328

1,2

1

4

0,4

1,2%

327

1,2

1

4

0,5

1,2%

327

1,2

1

3

0,4

1,2%

326

1,3

1

4

0,6

1,2%

327

1,3

1

5

0,6

1,2%

325

1,3

1

3

0,5

1,2%

327

1,5

1

5

0,7

1,8%

326

Arithmetischer Mittelwert 1,1

Min.

1

1,1

Max.

27

Van Baal/Krüger/Hinrichs Dass das Zahlungsverfahren geringe umsatzabhängige Kosten mit sich bringt. Dass das Zahlungsverfahren geringe sonstige Kosten mit sich bringt.

1,6

1

5

0,8

2,2%

325

1,6

1

5

0,7

1,2%

328

Dass diese Abwägung der Händler zu einem Konflikt mit den Interessen der Konsumenten führt, zeigt sich an der Bewertung von Zahlungsverfahren hinsichtlich ihrer Eigenschaften. Tabelle 2 und 3 verdeutlichen in dieser Hinsicht den in Abschnitt 2 erörterten Gegensatz zwischen Händler- und Kundenanforderungen. Beispielsweise wird die Vorauskasse hinsichtlich der Zahlungssicherheit am besten bewertet, hinsichtlich der Kundenfreundlichkeit jedoch am schlechtesten. Die Zahlung nach Rechnung als weiteres Beispiel erhält die gegensätzlichen ordinalen Bewertungen. Tabelle 2: Bewertung der Zahlungssicherheit von Internet-Zahlungsverfahren Fragetext: „Wie bewerten Sie die folgenden Zahlungsverfahren hinsichtlich der Zahlungssicherheit aus Sicht Ihres Unternehmens?" Skala von 1 = „Vollkommene Zahlungssicherheit" bis 5 = „Überhaupt keine Zahlungssicherheit" mit der Ausweichoption „Weiß nicht". Arithmet. Mittelwert

Min.

Max.

Stantìa rdabweichung

Anteil Ausweichoption an η

η

Vorauskasse

1,1

1

4

0,5

2,8%

362

Nachnahme

2,0

1

5

1,1

4,7%

358

Kreditkarte

2,3

1

5

1,1

13,6%

359

Lastschrift

3,1

1

5

1,2

7,8%

359

Rechnung (Zahlung nach Erhalt der Ware)

4,0

1

5

1,1

1,1%

360

Zahlungsverfahren

28

Bedeutung, Rahmenbedingungen und Instrumente des Risikomanagements

Tabelle 3: Bewertung der Kundenfreundlichkeit von Internet-Zahlungsverfahren Fragetext: „Wie bewerten Sie die folgenden Zahlungsverfahren hinsichtlich der Kundenfreundlichkeit aus Sicht Ihres Unternehmens?" Skala von 1 = „Sehr kundenfreundlich" bis 5 = „Überhaupt nicht kundenfreundlich" mit der Ausweichoption „Weiß nicht". Arithmet. Mittelwert

Min.

Max.

Stantìa rdabweichung

Anteil Ausweichoption an η

η

Rechnung (Zahlung nach Erhalt der Ware)

1,2

1

5

0,5

2,5%

357

Kreditkarte

1,6

1

5

0,8

9,6%

354

Lastschrift

1,8

1

5

0,9

7,0%

356

Nachnahme

2,9

1

5

1,2

4,2%

357

Vorauskasse

3,2

1

5

1,1

1,7%

357

Zahlungsverfahren

Somit ist festzuhalten, dass den Händlern die Zahlungssicherheit der Verfahren sehr wichtig ist, dass diese jedoch in den meisten Fällen der Kundenfreundlichkeit zuwiderläuft. Aus den Angaben der Befragten zum Angebot von Zahlungsverfahren (Tabelle 4) wird ersichtlich, dass die meisten Händler daher beispielsweise die nicht-kundenfreundliche, jedoch sichere Vorauskasse als Zahlungsverfahren anbieten. Kundenfreundliche Verfahren wie die Zahlung nach Rechnungsstellung und die Lastschrift hingegen werden zwar ebenfalls häufig, aber deutlich seltener angeboten.

29

Van Baal/Krüger/Hinrichs

Tabelle 4: Angebotene Zahlungsverfahren Fragetext: „Bietet Ihr Unternehmen die folgenden Zahlungsverfahren bei Verkäufen über das Internet an?" Angaben in Prozent, η = 435. Zahlungsverfahren

Ja

Nein, jedoch geplant bis Ende 2008

Nein, und auch nicht geplant bis Ende 2008

Vorauskasse

84,1

2,3

13,6

Nachnahme

58,4

4,6

37,0

Rechnung (Zahlung nach Erhalt der Ware)

54,5

6,2

39,3

Lastschrift

45,5

14,5

40,0

Kreditkarte

41,1

19,1

39,8

Diese empirischen Ergebnisse lassen sich als Indiz für die Hypothese, dass der E-Commerce zumindest zum Teil durch die Möglichkeiten des Zahlungsverkehrs beschränkt wird, heranziehen: Da den Händlern die Zahlungssicherheit sehr wichtig ist, bieten sie insbesondere aus ihrer Sicht sichere Zahlungsverfahren an; diese Verfahren bürden jedoch einen großen Teil der Risikokosten den Konsumenten auf, wodurch diese möglicherweise von Käufen abgehalten werden. Der Einsatz von Instrumenten des Risikomanagements wie beispielsweise der Bonitätsprüfung kann dieses Hemmnis der Durchführung von Transaktionen abbauen, da er es den Händlern ermöglicht, kundenfreundliche Zahlungsverfahren anzubieten.

5

Zum Risikomanagement

Die folgenden drei Abschnitte sind verschiedenen Aspekten des Risikomanagements gewidmet. Dabei wird zuerst auf die bestehenden Risiken eingegangen, danach in zwei Abschnitten auf Möglichkeiten zur Reduktion dieser Risiken.

30

Bedeutung, Rahmenbedingungen und Instrumente des Risikomanagements

5.1

Störungen des Internet-Zahlungsverkehrs

Aufgrund entsprechender Medienberichte und Einzelfallbeispiele wird häufig vermutet, dass der E-Commerce in besonderem Maß von Schwierigkeiten bei der Zahlungsabwicklung betroffen ist. Die Beobachtungen der befragten Händler stützten diese Vermutung zwar, sie vermitteln jedoch auch den Eindruck, dass die Störungen des Internet-Zahlungsverkehrs nicht exorbitant sind: Tabelle 5 zeigt, dass die Mehrheit der Händler eher selten negative Erfahrungen gemacht hat. Einschränkend ist anzumerken, dass hier nur ausgewählte mögliche Schwierigkeiten erfasst werden; diesen dürfte jedoch eine große Bedeutung zukommen. Weiterhin ist zu betonen, dass bei jeder genannten Schwierigkeit durchaus Händler existieren, die von sehr häufigen oder häufigen negativen Erfahrungen berichten - dennoch lässt sich festhalten, dass der Internet-Zahlungsverkehr hinsichtlich der Häufigkeit der genannten Schwierigkeiten insgesamt nicht mit immensen Problemen behaftet ist.

31

Van Baal/Krüger/Hinrichs

Tabelle 5: Negative Erfahrungen beim Internet-Zahlungsverkehr Fragetext: „Wie häufig hat Ihr Unternehmen die folgenden Erfahrungen bei der Zahlung im Internet gemacht?" Skala von 1 = „Sehr häufig" bis 5 = „Nie" mit der Ausweichoption „Weiß nicht", η = 318. Erfahrung

Arithmet. Mittelwert

Min.

Max.

Stantìa rdabweichung

Anteil Ausweichoption an η

Rechnung trotz korrekter Lieferung nicht oder nicht vollständig bezahlt

3,5

1

5

1,2

7,5%

Kontoverbindung des Kunden falsch

3,7

1

5

1,1

10,1%

Unberechtigte Rückbuchung bei Lastschrift

3,7

1

5

1,2

15,4%

Kred itka rte η η u m me r des Kunden falsch

4,1

1

5

1,1

27,4%

Unberechtigte Rückbuchung bei Kred itka rte η umsatz

4,3

1

5

0,9

26,4%

Betrug (bspw. mit fremder Kred itka rte ηnummer)

4,3

1

5

1,0

18,9%

Während die Häufigkeit der oben betrachteten Störungen des Internet-Zahlungsverkehrs eine Einschätzung der generellen Situation und des Risikos im E-Commerce erlaubt, ist letztlich relevant, welche Umsatz- bzw. Gewinnreduktionen mit diesen und anderen Störungen verbunden sind. In Tabelle 6 werden entsprechende Angaben der befragten Händler dargestellt. Diese zeigen insbesondere, dass durchschnittlich knapp sechs Prozent der Bestellungen in einen Mahnprozess überführt werden; bei etwas über zwei Prozent der Bestellungen und des Umsatzes kommt es zu einem tatsächlichen Ausfall. 12 Da die letzte Kennzahl von 12

32

Bei diesen Angaben handelt es sich dem Skalenniveau entsprechend um arithmetische Mittelwerte; der Median des Umsatzausfalls liegt bei 1,0 Prozent und zeigt somit an, dass der entsprechende arithmetische Mittelwert relativ

Bedeutung, Rahmenbedingungen und Instrumente des Risikomanagements b e s o n d e r e r B e d e u t u n g ist, w i r d sie in A b b i l d u n g 2 g e n a u e r d a r g e stellt. Die relativen H ä u f i g k e i t e n v e r d e u t l i c h e n , d a s s e i n i g e Unternehmen zwar sehr hohe Ausfälle zu verzeichnen

haben,

dass

j e d o c h a u c h ein s e h r g r o ß e r A n t e i l existiert, d e r nur v e r n a c h l ä s s i g b a r e A u s f ä l l e z u b e k l a g e n hat.

Tabelle 6: Schwierigkeiten bei der Zahlungsabwicklung Fragetext: „Wie hoch ist in Ihrem Unternehmen der Anteil der OnlineBestellungen, bei denen es zu Schwierigkeiten bei der Zahlungsabwicklung kommt?" Angaben in Prozent. Arithmet. Mittelwert

Min.

Max.

Stantìa rdabweichung

η

Anteil der Online-Bestellungen, bei denen es zu einer Überschreitung des Zahlungsziels kommt

8,3

0,0

90,0

13,6

242

Anteil der Online-Bestellungen, bei denen es zu einer Mahnung kommt

5,9

0,0

70,0

9,0

268

Anteil der Online-Bestellungen, die tatsächlich ausfallen

2,3

0,0

30,0

3,8

251

Anteil des Online-Umsatzes, der tatsächlich ausfällt

2,2

0,0

25,0

3,5

224

Schwierigkeit

stark von Händlern mit hohen Ausfällen beeinflusst wird.

33

Van Baal/Krüger/Hinrichs

Abbildung 2: Zahlungsausfälle Lesebeispiel: 28,1 Prozent der befragten Unternehmen verzeichnen Zahlungsausfälle in Höhe von weniger als 0,1 Prozent des Umsatzes, η = 224. Anteil der Unternehmen 40% -,

28,1%

33,9%

20% -

11,6%

1 0

7,6%

'

3 %

7,6%

0,9% 0% 0,0 bis unter

0,1%

0,1 bis 1,0%

1,1 bis 2,0%

2,1 bis 3,0%

3,1 bis 4,0%

4,1 bis 5,0%

5,1 bis 25,0%

Anteil des Online-Umsatzes, der tatsächlich ausfällt

Aus Sicht der Unternehmen wäre eine weitere Reduktion vermutlich überaus wünschenswert, zumal Ausfälle in der genannten Höhe in Branchen mit geringen Handelsspannen zu einer drastischen Gewinnschmälerung führen können. Insgesamt ist das Problem der Zahlungsausfälle jedoch nicht so groß, wie vermutet werden könnte. Zu bedenken ist allerdings, dass es durchaus Unternehmen mit sehr hohen Zahlungsausfällen gibt und dass in der aktuellen Höhe der Zahlungsausfälle bereits Anpassungsstrategien der Unternehmen enthalten sind. Einerseits sind hier Marktaustritte der Unternehmen mit hohen Zahlungsausfällen zu nennen, andererseits der Einsatz von Instrumenten des Risikomanagements; auf den zweiten Aspekt wird im Folgenden eingegangen.

34

Bedeutung, Rahmenbedingungen und Instrumente des Risikomanagements

5.2

Die Bewertung und der Einsatz von Instrumenten des Risikomanagements

Das Risikomanagement im E-Commerce kann grundsätzlich auf zwei Arten, die sich nicht gegenseitig ausschließen, erfolgen: •

Da unterschiedliche Zahlungsverfahren unterschiedliche Risikoprofile aufweisen (siehe Abschnitt 2), besteht eine Möglichkeit darin, Systeme mit einem hohen Risiko wie beispielsweise die Lastschrift und die Rechnung generell nicht anzubieten („passives Risikomanagement").

•

Eine weitere Möglichkeit besteht darin, Instrumente einzusetzen, die dazu dienen, das Risiko von Zahlungsausfällen zu senken („aktives Risikomanagement"); die Bonitätsprüfung und ein Bestellbetragsmaximum für Neukunden sind als Beispiele zu nennen.

Beide Optionen des Risikomanagements sind in der Praxis von Bedeutung. Die zweite Möglichkeit ist insbesondere aus dem Grund relevant, dass es in vielen Situationen nicht möglich ist, beispielsweise auf Lastschrift oder Rechnung zu verzichten. Diese Zahlungsverfahren sind aus Sicht der meisten Kunden die attraktivsten, da sie ein geringes Risiko des Nichterhalts der bezahlten Ware und dadurch geringe Transaktionskosten mit sich bringen (siehe Abschnitt 2). Für viele Kunden kommt eine Bestellung daher nur dann in Betracht, wenn die angebotenen Zahlungsverfahren ihnen ausreichende Sicherheit versprechen bzw. ihrer Risikoeinstellung entsprechen. Insbesondere auf Märkten mit einer hohen Anzahl von Anbietern ist es daher schwierig, keines dieser kundenfreundlichen Zahlungsverfahren anzubieten. In Tabelle 7 wird dargestellt, wie die befragten Händler ausgewählte Instrumente des aktiven Risikomanagements bewerten; in Abbildung 3 wird die Verbreitung der Instrumente veranschaulicht. Den Ergebnissen zufolge werden „einfache" Instrumente wie die fallbezogene Lieferung gegen Nachnahme oder Vorauskasse von der Mehrheit der befragten Unternehmen eingesetzt - komplexere

35

Van Baal/Krüger/Hinrichs V e r f a h r e n w i e die Integration e x t e r n e r D a t e n h i n g e g e n w e r d e n selt e n e r genutzt. I n s g e s a m t v e r m i t t e l n die A n g a b e n z u r N u t z u n g der I n s t r u m e n t e d e n Eindruck, d a s s in v i e l e n U n t e r n e h m e n

bislang

kein a k t i v e s R i s i k o m a n a g e m e n t b e t r i e b e n wird.

Tabelle 7: Bewertung von Instrumenten des Risikomanagements Fragetext: „Die folgenden Instrumente sind geeignet, um das Risiko von Zahlungsausfällen zu reduzieren. Wie bewerten Sie diese Instrumente aus Sicht Ihres Unternehmens?" Skala von 1 = „Sehr gut" bis 5 = „Sehr schlecht" mit der Ausweichoption „Weiß nicht", η = 312. Arithmetischer Mittelwert

Minimum

Maximum

Stantìa rdabweichung

Anteil Ausweichoption an η

Lieferung in bestimmten Fällen nur gegen Nachnahme oder Vorauskasse

1,7

1

5

1,0

5,4%

Authentifikation des Kunden durch ein Kreditinstitut (ζ. B. im Rahmen der OnlineÜberweisung)

1,8

1

5

1,0

9,9%

Plausibilitätsprüfung von Kontoverbindung oder Kartennummer

2,0

1

5

1,1

9,3%

Zahlungsgarantie durch den Betreiber eines Zahlungsverfahrens (ζ. B. im Rahmen der Online-Überweisung)

2,0

1

5

1,0

12,2%

Adressprüfung/ -Verifizierung

2,2

1

5

1,0

6,4%

Interne Sperrlistenabfrage

2,2

1

5

1,1

10,9%

Instrument

36

Bedeutung, Rahmenbedingungen und Instrumente des Risikomanagements Risikoabhängiges Angebot von Zahlungsverfahren

2,4

1

5

1,1

20,5%

Bonitätsprüfung mittels externer Daten/Auskunfteien

2,5

1

5

1,1

10,6%

Gesonderte Versicherung gegen Zahlungsausfälle (ζ. B. Warenkreditversicherung)

2,8

1

5

1,2

16,7%

Eigenes Scoring zur Risikobewertung

2,9

1

5

1,2

19,6%

Betragslimit bei Bestellungen durch Neukunden

3,1

1

5

1,3

11,9%

37

Van Baal/Krüger/Hinrichs

Abbildung 3: Einsatz von Instrumenten des Risikomanagements Fragetext: „Setzt Ihr Unternehmen die folgenden Instrumente zur Reduktion des Risikos von Zahlungsausfällen ein?" 288 < η < 302.

Lieferung in bestimmten Fällen nur gegen Nachnahme oder Vorauskasse

Adressprüfung/-Verifizierung

Plausibilitätsprüfung von Kontoverbindung oder Kartennummer

Interne Sperrliste η abfrag e

Risikoabhängiges Angebot von Zahlungsverfahren

Eigenes Scoring zur Risikobewertung

Bonitätsprüfung mittels externer Daten/Auskunfteien Betragslimit bei Bestellungen durch Neukunden Authentifikation des Kunden durch ein Kreditinstitut Zahlungsgarantie durch den Betreiber eines Zahlungsverfahrens Gesonderte Versicherung gegen Zahlungsausfälle

0%

50% • Ja BNein

38

100%

Bedeutung, Rahmenbedingungen und Instrumente des Risikomanagements

5.3

Die Zahlungsbereitschaft der Online-Händler für eine Zahlungsgarantie

Die am seltensten eingesetzten Instrumente des aktiven Risikomanagements sind Abbildung 3 zufolge die Zahlungsgarantie durch einen Zahlungsverfahrensbetreiber und die Versicherung gegen Zahlungsausfälle durch Dritte. Trotz des institutionellen Unterschieds zwischen diesen zwei Instrumenten liegt ihnen derselbe ökonomische Mechanismus zugrunde: Das Risiko von Zahlungsausfällen wird vom Händler auf einen Dienstleister übertragen. Aufgrund von Spezialisierungsvorteilen und Synergieeffekten bei den Dienstleistern kann diese Form der Arbeitsteilung effizient sein: Eine Bündelung des Risikos bei den Dienstleistern kann zu einer Reduktion der volks- und betriebswirtschaftlichen Kosten des Internet-Zahlungsverkehrs führen. Somit stellt sich die Frage, aus welchen Gründen nur relativ selten auf die Zahlungsgarantie zurückgegriffen wird; im Folgenden wird dieser Frage nachgegangen, wobei auf die Zahlungsbereitschaft der Händler für diese Dienstleistung abgestellt wird. 13 Naturgemäß kann für die Dienstleistung der Risikoübernahme nur dann ein Markt existieren, wenn die Händler bereit sind, einen Dienstleister in einem Ausmaß zu entlohnen, das für diesen einen Anreiz darstellt, die Dienstleistung anzubieten. Entscheidend für das Zustandekommen eines Markts für die Dienstleistung der Risikoübernahme sind demzufolge erstens die Zahlungsbereitschaft der Händler für die Dienstleistung und zweitens die Kosten, die bei den Dienstleistern anfallen; mit anderen Worten ist die Übertragung des Risikos an einen Dienstleister möglich, wenn dieser seine Leistung in Anbetracht seiner Kosten zu einem Preis anbieten kann, der nicht über der Zahlungsbereitschaft der Händler liegt.

13

Dabei handelt es sich offensichtlich nur um einen Teilaspekt, der jedoch von besonderer Bedeutung ist.

39

Van Baal/Krüger/Hinrichs

Um die Zahlungsbereitschaft der Händler für die Übertragung des Risikos an einen Dienstleister zu schätzen, wurden in der zugrunde liegenden Umfrage zwei Varianten genutzt: •

Einerseits wurden die Händler nach ihrer Zahlungsbereitschaft für den Fall, dass die Zahlungsgarantie eine zusätzliche Option eines Zahlungsverfahrens darstellt, gefragt.

•

Andererseits wurden die Händler danach gefragt, wie weit sich ihre Zahlungsbereitschaft für ein Zahlungsverfahren reduziert, wenn auf eine vorhandene Zahlungsgarantie verzichtet wird.

Die verwendeten Messinstrumente werden in Tabelle 8 dargestellt; die Probanden wurden zufällig einer der beiden Varianten zugewiesen. 14

14

40

Die verwendete Variante der „Contingent-Valuation-Methode" zur Messung von Zahlungsbereitschaften wurde aufgrund ihrer Einfachheit und leichten Verständlichkeit gewählt (vgl. bspw. Endres, Alfred/Holm-Müller, Karin: Die Bewertung von Umweltschäden: Theorie und Praxis sozioökonomischer Verfahren, Stuttgart - Berlin - Köln 1998, S. 70ff.). Da diese Methode nicht „theoretisch anreizkompatibel" und somit nicht unbedingt valide ist, kann der ermittelte Wert nur als Indikator, nicht als punktgenaue Schätzung angesehen werden. Vergleichende Studien zeigen allerdings, dass die direkten Methoden den (komplexeren) anreizkompatiblen Methoden hinsichtlich der externen Validität nicht per se unterlegen sind (vgl. bspw. Sattler, Henrik/Nitschke, Thomas: Ein empirischer Vergleich von Instrumenten zur Erhebung von Zahlungsbereitschaften, in: Zeitschrift für betriebswirtschaftliche Forschung, Jg. 55 H. 6 (Juni 2003), S. 364-381; Kaas, Klaus Peter/Ruprecht, Heidrun: Sind die Vickrey-Auktion und der BDM-Mechanismus wirklich anreizkompatibel? - Empirische Befunde und optimale Bietstrategien bei unsicheren Zahlungsbereitschaften, Arbeitspapier Nr. 11 des Lehrstuhls für Betriebswirtschaftslehre, insb. Marketing 1 der J. W. Goethe-Universität Frankfurt a. M. 2003).

Bedeutung, Rahmenbedingungen und Instrumente des Risikomanagements

Tabelle 8: Verwendete Erhebungsmethode zur Messung der Zahlungsbereitschaft für eine Zahlungsgarantie Variante 1: Zahlungsgarantie als Zusatz Nehmen Sie an, dass der Betreiber eines Zahlungsverfahrens Ihrem Unternehmen zwei Optionen zur Auswahl stellt: Option 1 beinhaltet die reine Abwicklung des Zahlungsverkehrs. Option 2 bietet darüber hinaus eine Zahlungsgarantie, der Betreiber „versichert" Ihr Unternehmen also gegen Zahlungsausfälle. Bei Option 2 berechnet der Betreiber Ihrem Unternehmen bei allen Zahlungen ein höheres umsatzabhängiges Entgelt (Disagio) als bei Option 1, die keine Zahlungsgarantie beinhaltet. Ansonsten unterscheiden sich die Optionen nicht. Wie hoch darf der Aufschlag auf das umsatzabhängige Entgelt sein, damit sich Ihr Unternehmen für die Option 2 mit Zahlungsgarantie entscheidet? Anmerkung: Bei dieser Frage geht es um Ihre Meinung. Eine Schätzung genügt. [ ] Prozent vom Umsatz, der mit dem Zahlungsverfahren abgewickelt wird Variante 2: Zahlungsgarantie als Standard Nehmen Sie an, dass der Betreiber eines Zahlungsverfahrens Ihrem Unternehmen zwei Optionen zur Auswahl stellt: Option 1 beinhaltet eine Zahlungsgarantie, der Betreiber „versichert" Ihr Unternehmen also gegen Zahlungsausfälle. Dafür berechnet der Betreiber Ihrem Unternehmen bei allen Zahlungen ein umsatzabhängiges Entgelt (Disagio), das eine Risikoprämie beinhaltet. Als Option 2 bietet der Betreiber an, auf die Zahlungsgarantie zu verzichten und das umsatzabhängige Entgelt zu verringern. Ansonsten unterscheiden sich die Optionen nicht. Wie hoch muss die Verringerung des umsatzabhängigen Entgelts sein, damit Ihr Unternehmen auf die Zahlungsgarantie verzichtet und sich für Option 2 entscheidet? Anmerkung: Bei dieser Frage geht es um Ihre Meinung. Eine Schätzung genügt. [ ] Prozent vom Umsatz, der mit dem Zahlungsverfahren abgewickelt wird

41

Van Baal/Krüger/Hinrichs

Die Ergebnisse beider Fragearten werden in Tabelle 9 dargestellt. Die durchschnittliche Zahlungsbereitschaft beträgt diesen Ergebnissen zufolge im ersten Fall 1,9 Prozent, im zweiten Fall 2,8 Prozent; über beide Fragearten hinweg ergibt sich ein Durchschnitt von 2,2 Prozent.

Tabelle 9: Ergebnisse zur Zahlungsbereitschaft für eine Zahlungsgarantie Fragetext: Siehe Tabelle 8. Angaben in Prozent vom Umsatz. Art der Erfassung

Arithmetischer Mittelwert

Minimum

Maximum

Standardabweichung

η

Variante 1 : Zahlungsgarantie als Zusatz

1,9

0,0

7,5

1,4

136

Variante 2: Zahlungsgarantie als Standard

2,8

0,0

6,0

1,9

64

Kombiniert

2,2

0,0

7,5

1,6

200

Der Unterschied der Zahlungsbereitschaft zwischen den Formulierungsvarianten ist vermutlich nicht zufällig, sondern Ergebnis einer systematischen Urteilsverzerrung: Wenn die Zahlungsbereitschaft als Standard definiert ist, stellt ihre Aufgabe einen Verlust dar; ist sie als Zusatz definiert, stellt ihre Hinzunahme einen Gewinn dar. Die in Entscheidungen oftmals beobachtete Verlustaversion 15 stellt demzufolge eine mögliche Erklärung für die Differenz zwischen den Zahlungsbereitschaften dar. 16 Die Berücksichti15 16

42

Vgl. Kahneman, Daniel/Tversky, Amos: Prospect Theory: An Analysis of Decision under Risk, in: Econometrica, Vol. 47 H. 2 (March 1979), S. 263-291. Der Unterschied der Zahlungsbereitschaft zwischen den Varianten ist signifikant (T-Test, ρ < 0,01). Die Validität des Erhebungsinstruments einschränkend ist anzumerken, dass bei der zweiten Variante (Zahlungsbereitschaft als Standard) unplausible Werte eliminiert wurden: Einige Probanden haben die erfragte prozentuale Veränderung nicht relativ zum Umsatz, sondern relativ zum Entgelt angegeben (bspw. wurden Werte wie 50 Prozent angegeben, die einzelnen Nachfragen zufolge so aufzufassen sind, dass sich das Entgelt um die Hälfte

Bedeutung, Rahmenbedingungen und Instrumente des Risikomanagements

gung der Verlustaversion im Rahmen der Erhebung dürfte zu einer verbesserten Schätzung der Zahlungsbereitschaft führen. Zusammenfassend ergibt sich somit eine durchschnittliche Zahlungsbereitschaft von 2,2 Prozent. Der zweite Einflussfaktor des Zustandekommens eines Markts für die Übernahme des Ausfallrisikos sind die Kosten, die bei den entsprechenden (potenziellen) Dienstleistern entstehen (würden). Eine Schätzung dieser Kosten stellen die durchschnittlichen Zahlungsausfälle bei den Händlern dar - diese liegen mit 2,2 Prozent (Tabelle 6) gleichauf mit der durchschnittlichen Zahlungsbereitschaft für eine Zahlungsgarantie. Unter der Annahme, dass Risikomanagementdienstleister die Zahlungsausfälle stärker senken können als dies den Händlern möglich ist, können sich somit prinzipiell Dienstleister finden, die eine Garantie zu einem Preis anbieten, der der Zahlungsbereitschaft der Händler entspricht. Dem Zustandekommen eines entsprechenden Markts stehen allerdings die bekannten Probleme auf Versicherungsmärkten entgegen, insbesondere: •

die Befürchtung, dass die Händler ihre sonstigen (nicht beobachtbaren) Anstrengungen zur Reduktion von Ausfällen reduzieren, wenn sie diese nicht selbst zu tragen haben („Moral Hazard") und

•

die Befürchtung, dass sich in erster Linie die Händler mit überdurchschnittlich hohen Ausfällen für die Zahlungsgarantie interessieren („Adverse Selection").17

17

verringern muss, wenn die Zahlungsgarantie wegfällt). Dies schränkt die Interpretierbarkeit der Höhe der Zahlungsbereitschaft ein, die Erklärung des Unterschieds anhand der Verlustaversion hingegen nicht (der Effekt wäre noch stärker gewesen, wenn die als zu hoch aufgefassten Werte nicht eliminiert worden wären). Vgl. bspw. Pindyck, Robert S./Rubinfeld, Daniel L.: Microeconomics, 5. Aufl., Upper Saddle River, New Jersey 2001, S. 596-607; Varian, Hal R.: Grundzüge der MikroÖkonomik, 5., Überarb. Aufl., München - Wien 2001, S. 632-635; Endres, Alfred/Martiensen, Jörn: MikroÖkonomik: Eine integrierte Darstellung

43

Van Baal/Krüger/Hinrichs

Das Moral-Hazard- und das Adverse-Selection-Problem führen dazu, dass die derzeitige bzw. die allgemeine durchschnittliche Höhe von Zahlungsausfällen nicht maßgeblich ist, um die erwarteten Kosten einer Zahlungsgarantie für die Dienstleister zu berechnen. Die relevante Höhe dürfte darüber liegen; dieser Grund stellt eine Teilerklärung dafür, dass die Zahlungsgarantie nur selten zum Einsatz kommt, dar. Die genannten Befürchtungen haben prinzipiell ihre Berechtigung anzumerken ist jedoch, dass die vorliegenden Daten tendenziell gegen ihr Vorliegen sprechen: •

Wenn die Moral-Hazard-Hypothese zutreffen würde, sollten die Befragten, die eine Zahlungsgarantie in Anspruch nehmen, seltener andere Instrumente zur Risikoreduktion einsetzen als die anderen Befragten. Die vorliegenden Daten zeigen jedoch, dass das Gegenteil der Fall ist: Alle in der Umfrage erfassten Instrumente werden von den Händlern, die eine Zahlungsgarantie in Anspruch nehmen, häufiger eingesetzt als von den Händlern ohne Zahlungsgarantie.

•

Wenn die Adverse-Selection-Hypothese zutreffen würde, sollten die Befragten, die höhere Zahlungsausfälle haben, eine höhere Zahlungsbereitschaft für die Garantie äußern. In den vorliegenden Daten ist dieser Zusammenhang nicht nachweisbar. 18

Weiterhin ist bei der Interpretation der oben dargestellten Durchschnittswerte zu bedenken, dass diese ohne eine Gewichtung mit dem Umsatz der Händler berechnet wurden, da entsprechende Angaben in relativ vielen Fällen nicht vorliegen. Tendenziell lässt sich bei einer Gewichtung mit den vorliegenden (unvollständigen) Umsatzangaben jedoch das Folgende festhalten: Der Durchschnitt

18

44

traditioneller und moderner Konzepte in Theorie und Praxis, Stuttgart 2007, S. 814-896. Die Korrelation zwischen der Zahlungsbereitschaft und der Höhe der Zahlungsausfälle beträgt 0,08 und ist nicht signifikant (p > 0,1; η = 143 Befragte, für die beide Werte vorliegen).

Bedeutung, Rahmenbedingungen und Instrumente des Risikomanagements

der Zahlungsausfälle bleibt konstant bei 2,2 Prozent, während die durchschnittliche Zahlungsbereitschaft für eine Zahlungsgarantie auf 1,4 Prozent sinkt. Demzufolge weisen Unternehmen mit relativ hohen Umsätzen eine relativ niedrige Zahlungsbereitschaft für eine Zahlungsgarantie auf 19 - worin eine Teilerklärung für die geringe Nutzung von Zahlungsgarantien liegt, da letztlich umsatzgewichtete Kennzahlen für die Kalkulationen entsprechender Dienstleister relevant sind. Die Bedeutung der Zahlungsbereitschaft der Händler für eine Zahlungsgarantie ist größer als auf den ersten Blick angenommen werden könnte. Es handelt sich bei der Zahlungsbereitschaft nicht nur um einen Einflussfaktor des Funktionierens eines Versicherungsmarkts, sondern um einen Indikator der monetär bewerteten Risikoeinschätzung der Händler. Aus den in Abschnitt 5.1 dargestellten Angaben zu den Störungen des Internet-Zahlungsverkehrs ist zwar grundsätzlich abzuleiten, wie viel den Händlern ein Abbau der Risiken wert sein sollte, wenn sie lineare Nutzenabwägungen vornehmen würden (wenn sie mit anderen Worten weder risikoavers noch -freudig wären) und nur die direkten Kosten der Ausfälle beachten würden. Bei dieser Art der Entscheidungsfindung sollte die monetäre Risikoeinschätzung der Händler den Zahlungsausfällen in Höhe von 2,2 Prozent des Umsatzes entsprechen. Da diese Art der Entscheidungsfindung jedoch nicht mit der Realität übereinstimmen muss, kann eine Erfassung der Zahlungsbereitschaft für eine Zahlungsgarantie (mithin für eine vollständige Eliminierung des Zahlungsausfallrisikos) weitere Informationen über die Risikoeinschätzung der Händler liefern. Diesen hier dargestellten Informationen zufolge sind die Risikokosten ungewichtet auf 2,2 Prozent bzw. gewichtet auf 1,4 Prozent des E-Commerce-Umsatzes zu taxieren. Der ungewichtete Wert entspricht somit den Zahlungsausfällen, während die Gewichtung offenbart, dass bei 19

Zwischen der Zahlungsbereitschaft und dem Umsatz besteht eine negative Korrelation von -0,14; sie ist bei ρ PayPal wird starkes Wachstum vorausgesagt -> ebay als Plattform der Haupttreiber • Kunden schätzen das Zahlungsverfahren sehr • Gemessen an der Entwicklung in den USA könnten 2010 bereits bis zu 15 Mio. Kunden PayPal in Deutschland nutzen (+ 200% ggü. 2006) > Google Checkout steht in Deutschland in den Startlöchern • Stagnierendes Kreditkarten-Wachstum in Deutschland (siehe Zahlungssysteme) lässt Google abwarten • Bei Einführung wird ähnliches Wachstum wie in den USA erwartet (2010 bis zu 90 Mio. Nutzer in USA erwartet; dies entspräche einem Wachstum von 500% ggü. 2006) > Click&Buy im Micropayment-Bereich weit vor der Konkurrenz • Nutzeranzahl soll kontinuierlich steigen -> bis 2010 um ca. 40% ggü. 2006 auf ca. 11 Mrd. Nutzer • Geplanter Einstieg in Macropayment-Bereich würde Wachstum weiter anheben > Kopplung einiger Zahlungsverfahren sorgt für positive Wachstumseffekte für die involvierten Verfahren: PayPal bietet u.a. Giropay an —>· beide gehören in Prognosen zu den Wachstumsstärksten > Planung von Google und Microsoft sollte weiter im Auge behalten werden

Ziel ist eine Erhöhung des Anteils der über sichere Zahlarten abgewickelten Transaktionen. Um diese Entwicklung zu forcieren und neue sichere Zahlungsarten stärker als valide Zahlungsmöglichkeit

235

Seiler/Grewe

zu verankern, gilt es primär in drei Bereichen Optimierungen vorzunehmen: •

Sichere Zahlungsarten - bspw. Kreditkarte oder neuere Internetzahlungsverfahren wie Giropay oder PayPal - stoßen als Neuheit beim Kunden auf natürliche Ablehnung. Neue Skripte müssen erlernt, dahinter stehende Prozesse erprobt werden. 18 Hier gilt es gezielt Anreize zur Überwindung dieser Barrieren zu schaffen. Neben Kreditkarten mit Sofortrabatten (bspw. bei Amazon), Bonuspunkten beim Einsatz einer sicheren Zahlungsart (bspw. Happy Digits/Payback) und Vergünstigungen bei Versandgebühren ist vor allem eine durch Auswahl sicherer Zahlarten möglich zu machenden Ausweitung der verfügbaren Lieferkonditionen von Bedeutung: Packstationen und abweichende Lieferadressen bergen bei unbekannten Neukunden eine große Missbrauchsgefahr. Hehler können die Ware an vom Wohnsitz abweichenden Adressen abpassen, ohne ein Entgelt zu entrichten, wenn ihnen das Recht eines Rechnungsoder Ratenkaufs angeboten wird. Um Kunden guten Risikos durch daher begründete Reduzierung des Angebotes an Lieferkonditionen nicht zu verärgern, bietet sich eine Erweiterung der verfügbaren Lieferkonditionen für Neukunden bei gleichzeitiger Verknüpfung einer Gewährung spezieller Lieferservices an die Auswahl einer sicheren Zahlungsart an.

•

Entscheiden sich Kunden bei Transaktionen für eine der neueren sicheren Zahlarten, ist es meist ein Einfaches, ihn auch bei den Folgebestellungen bei dieser Zahlungsmethode zu halten. Das Vormerken der bei der letzten Bestellung gewählten Zahlungsart kommt einem suggestiven Angebot derselben gleich. Dem Kunden wird durch Voreinstellung der Zahlungsart

18

236

Zur Bewertung der Internet-Zahlungssysteme aus Sicht der Kunden siehe Krüger, Malte: Internet Zahlungssysteme aus der Sicht der Verbraucher - Ergebnisse der Online-Umfrage IZV8, Lehrstuhl Geld und Währung, Institut für Wirtschaftspolitik und Wirtschaftsforschung, Universität Karlsruhe (TH), 2006.

R i s i k o m n e n im E-Commerce

die Auswahl abgenommen, der Händler kann gleichzeitig erneut auf eine aufwändige Prüfung verzichten, die durch Auswahl einer unsicheren Zahlungsart ausgelöst worden wäre. Die Risikovermeidung hält nachhaltig an. •

Durch reduzierte Prüfung entfällt zudem die Kommunikation negativer Prüfergebnisse. Mehr als bisher sollte daher neben den Anreizen für den Agenten „Käufer" und dem Suggestivangebot vonseiten des Prinzipals (Händler) versucht werden, die Kommunikation im Rahmen des Bestellprozesses an einer verstärkten Vermarktung sicherer Zahlarten auszurichten. Eine prominente Auslobung von Kreditkarten oder anderen populären sicheren Zahlungsarten erhöht den Wiedererkennungswert bei der Auswahl des Zahlungswunsches und stärkt das Bewusstsein des Kunden für etwaige Zusatzanreize.

Durch adäquates Justieren des strategischen Hebels der Zahlungsarten kann der Online-Händler im Rahmen der Bonitätsprüfung entscheidende Wettbewerbsvorteile erringen. Ein zeitlich begrenztes Risiko bei der Umstellung des Zahlungsartenportfolios sollte er dabei angesichts der dadurch realisierbaren Risikoverminderung in Kauf nehmen.

4.5

Maßnahmen der Risikoverminderung

Bleibt eine Forcierung der Auswahl einer sicheren Zahlungsart ohne Erfolg, wünscht der Kunde also trotz eventueller Anreize für eine anders lautende Wahl per se eine unsichere Zahlungsart, ist die nachgelagerte Bonitätsprüfung zu optimieren, um auch in diesem Bereich Beiträge zur Verfolgung des Gesamtziels gewährleisten zu können. Gilt das Hauptaugenmerk der zum Einsatz kommenden Bonitätsprüfung im engeren Sinne, sind zahlreiche Aspekte zu beachten. Zunächst kommt einer vermeintlichen Randerscheinung hohe Bedeutung zu: Es ist permanente Online-Anbindung an die Kreditprüfungssysteme im Back-End zu gewährleisten, weil im Offline-Modus keine definitive Lieferzusage getroffen werd-

237

Seiler/Grewe

en kann, der Kunde also erst verspätet vom Bonitätsprüfungsergebnis unterrichtet wird. Das Ziel einer online in Echtzeit zu treffenden Bonitätsprüfung lässt sich darüber hinaus nur dann verwirklichen, wenn auch externe Prüfdienste online abgerufen werden können. Insgesamt sind also neben einer trennscharfen Beurteilung der Kunden auch systemseitige Anpassungen vorzunehmen, die ermöglichen, dass beinahe jede Bonitätsentscheidungen online, das heißt während des aktiven Bestelldialogs getroffen und dem Kunden während des Bestelldialogs im Internet mitgeteilt werden. Das Ausmaß manueller Kreditprüfungsentscheidungen ist angesichts der damit verbundenen Verzögerungen in diesen Bereichen zu minimieren. Beim Umgang mit den Ergebnissen der Bonitätsprüfung kann es darüber hinaus hilfreich sein, durch eine Erweiterung des bestehenden Bestelldialogs und der bestehenden Bonitätsprüfung zu differenzierteren Prüfergebnissen vorzurücken. Kunden, bei denen das Bonitätsprüfungsergebnis uneinheitlich ausfällt und die deshalb in Form einer Einschränkung der verfügbaren Zahlungs- und Lieferoptionen bedingt abgelehnt werden, kann durch solche Zusatzbestandteile die Möglichkeit eingeräumt werden, bei Preisgabe weiterer Informationen doch die gewünschte unsichere Zahlungsart nutzen zu können. Theoretisch betrachtet stellt dieses Instrumentarium also eine Mischung aus händlerseitigem Screening durch die Sammlung weiterer Informationen zu den Kundenmerkmalen und einem kundenseitigen Signaling bezüglich der eigenen Wesenmerkmale dar. Getauscht werden Zusatzinformationen gegen eine zweite Chance, doch den Status eines uneingeschränkt zu unsicheren Bezahlkonditionen belieferbaren Kunden zu erhalten. Diese Nachqualifizierung kann bspw. in Form eines Zusatzfragebogens erfolgen. Ziel ist es also, Kunden, die durch die freiwillige Beantwortung der Zusatzfragen nachträglich positiv bewertet werden, zum Beispiel das Angebot zum Raten- bzw. Rechnungskauf zu offerieren. Hierdurch können Kunden- und somit Um-

238

R i s i k o m n e n im E-Commerce

satzpotenziale bei gleichzeitiger Wahrung der Kontrolle über die Forderungsausfälle nachhaltig erschlossen werden.

5

Zusammenfassung der Ergebnisse

Eine optimale Lösung des Prinzipal-Agenten-Verhältnisses (FirstBest) im Rahmen der Bonitätsprüfung ist angesichts der Kosten der Minderung der mit einem solchen Verhältnis verbundenen Gefahren nicht erreichbar, vielmehr ein verbleibender Wohlfahrtsverlust (Residual Loss) per se die Folge. Auf Anbieterseite sind Anreiz· und Kontrollmechanismen institutionell zu verankern, die zu einer Minimierung des Residual Loss beitragen. Ziel ist also eine möglichst weitreichende Annäherung an die Second-Best-Lösung. Bei der Ermittlung der zweitbesten Lösung sind die Agency-Kosten zu berücksichtigen, also der Trade-off zwischen Forderungsausfällen auf der einen und Umsatzausfällen und Kosten der Risikominimierung auf der anderen Seite gegeneinander abzuwägen. Geeignete Instrumentarien, die zur Verwirklichung der zweitbesten Lösung beitragen können, wurden im Rahmen dieses Beitrags dargestellt. Zusammenfassend lassen sich hierbei die Instrumente zur Haftungsübertragung und jene zur Minimierung des Risikos bei eigener Haftung unterscheiden. Während im Rahmen der Haftungsübertragung die Funktion des Prinzipals an den Dienstleister teilweise bzw. gänzlich abgetreten wird und somit bei Komplettauslagerung die Agency-Kosten mit den Kosten für die ausgelagerte Dienstleistung - dementsprechend als eine Art Entschädigung für die Übernahme relevanter Risiken deutbar - gleichzusetzen sind, zielen die Instrumente zur Minimierung des Risikos bei eigener Haftung auf eine optimierte Lösung des Trade-offs zwischen Forderungsausfällen auf der einen und Kosten der Risikominimierung auf der anderen Seite.

239

Seiler/Grewe

Die elementaren Handlungsfelder stellen die Neujustierung des Angebotes an sicheren Zahlungsarten sowie die Optimierung und weitergehende Differenzierung der Prüfung von Kunden mit Wunsch nach unsicheren Zahlungsarten dar. Moderne InternetZahl verfahren, soweit bereits im E-Commerce etabliert, schlagen dabei die Brücke zwischen dem Kundenwunsch nach Sicherheit und Komfort bei der Zahlung und dem Wunsch des Händlers nach Risikominimierung und Prozesseffizienz im Rahmen der Zahlungsabwicklung. Steht beim Ausbau der sicheren Zahlungsarten die Minimierung der Risiko-Eintrittswahrscheinlichkeit gen null im Fokus, dient der Ausbau bzw. die Optimierung der Bonitätsprüfung als Reaktion auf den Kundenwunsch nach unsicheren Zahlungsarten der Identifizierung der Eintrittswahrscheinlichkeit. Hierbei kann es mitunter durch eine Ausweitung der Scoringsystematik gelingen, Zusatzumsätze bei gleichzeitiger Wahrung der Kontrolle über die Forderungsausfälle zu heben. Auch die Generierung von Zusatzinformationen durch Incentivierung stellt einen wichtigen Lösungsansatz zur Reduzierung der Informationsdefizite dar. Allgemein ist also ein zweistufiger Ansatz zu verfolgen: In einem ersten Schritt ist der Anteil der über sichere Zahlungsarten abzuwickelnden Transaktionen durch Anreize und Kommunikation zu maximieren, in einem zweiten Schritt die Bonitätsprüfung für unsichere Zahlarten zu verfeinern.

Literaturverzeichnis Bundesverband des Deutschen Versandhandels e. V. (bvh): Distanzhandel in Deutschland - Ergebnisse, bvh 2007. Bürgel Wirtschaftsinformationen GmbH & Co. KG: Zahlungsmoral deutscher Konsumenten, Studie von Bürgel Wirtschaftsinformationen, 2004. Coase, Ronald: The Nature of the Firm, in: Economica, New Series, Vol. IV (1937), S. 386-405.

240

R i s i k o m n e n im E-Commerce

Commons, John: Institutional Economics, American Economic Review, Vol. 21 (1931), S. 648-657. EuPD Research Finance & Insurance: eCommerce 2006, Berichtsband Juni 2006, EuPD 2006. Favier, Jaap/Bouquet, Michèle: German eCommerce Forecast: 2006 To 2011, Forrester Research, 2006. GfK WebScope: Der E-Commerce-Markt in Deutschland 2006, GfK 2006. JupiterResearch: Internet Shopping Model: eCommerce Europe 20062011, Jupiter Research 2005. Kamp, Meike/Weichert, Thilo: Scoringsysteme zur Beurteilung der Kreditwürdigkeit - Chancen und Risiken für Verbraucher, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD), 2005. Keitsch, Detlef: Risikomanagement, Stuttgart 2004, Schäffer-Poeschel Verlag. Krüger, Malte: Internet Zahlungssysteme aus der Sicht der Verbraucher Ergebnisse der Online-Umfrage IZV8, Lehrstuhl Geld und Währung, Institut für Wirtschaftspolitik und Wirtschaftsforschung, Universität Karlsruhe (ΤΗ), 2006. Jacob, Frank: Geschäftsbeziehungen und die Institutionen des marktlichen Austauschs, Habilitationsschrift im Fachbereich Wirtschaftswissenschaften, Freie Universität Berlin, Berlin 2000. Schmidtchen, Dieter: Evolutorische Ordnungstheorie oder: Die Transaktionskosten und das Unternehmertum, ORDO, Bd. 40 (1989), S. 161-181. Schüz, Mathias (Hrsg.): Risiko und Wagnis. Die Herausforderung der industriellen Welt, Bd. 1 und 2, Pfullingen 1990, Neske Verlag. Stahl, Ernst/Krabichler, Thomas/Breitschaft, Markus/Wittmann, Georg: Studie Zahlungsabwicklung im Internet: Bedeutung, Status-quo und zukünftige Herausforderungen, ibi Research, 2006. U.S. Department of Transportation, Federal Aviation Administration: System safety process steps, http://www.faa.gov/library/manuals/aviation/risk_management (Stand: 5. Januar 2005; Zugriff: 9. November 2007). U.S. National Aeronautics and Space Administration (NASA): NPR 8000.4, Risk management procedural requirements (Revalidated 02/01/2007).

241

Seiler/Grewe

Van Baal, Sebastian: Zahlungsverfahren im Internet-Was ist sinnvoll?, ECommerce-Center Handel Köln, 2005. Williamson, Oliver E.: The Economic Institutions of Capitalism, London und Basingstoke 1985: Macmillan.

242

Thomas Heppner Hans Klaus Schuppert

Risikominimierung im E-Commerce durch Symbiose von optimierten Geschäftsprozessen und software-technischen Modulen

243

Heppner/Schuppert

Inhaltsverzeichnis 1

Einführung

245

2

Risiken infolge organisatorischer Mängel

248

2.1

Beispiel Bonitäts- und Identitätsprüfung

248

2.2

Beispiel Identitätsplausibilität bei abweichender Lieferadresse

251

2.3

Beispiel Kreditkartenbetrug

252

2.4

Beispiel Vorkassezahlungen

252

2.5

Beispiel Preisauszeichnung und Preismodelle

254

3

Risiken infolge überschneidender Zeitachsen

255

4

Fazit

257

244

Risikominimierung im E-Commerce

1

Einführung

Das Thema E-Commerce gehört zu den täglichen Themen eines Unternehmens, wenn es darum geht, neue Märkte zu erschließen, besetzte Marktpositionen zu festigen oder den Servicegrad zu steigern. Bei näherer Betrachtung dieser strategischen Unternehmensziele wird deutlich, wie kompliziert deren Umsetzung mit Hilfe einer E-Commerce-Anwendung sein kann, wenn Prozesse und Abläufe nicht detailliert durchdacht sind. Ganz gleich ob es um Wachstumsziele oder Serviceziele geht, die mit Hilfe des E-Commerce erreicht werden sollen, im Vordergrund sollte die Überlegung stehen, was man macht, wenn das neue elektronische Angebot erfolgreich ist - die Erfahrung zeigt, dass gerade der schnelle Erfolg einer E-Commerce-Anwendung die Unternehmen oftmals überfordert. Dies gilt sowohl für organisatorische als auch für operative und technische Aspekte des Handlings. Eine erfolglose E-Commerce-Anwendung ist immer handhabbar, da infolge des Misserfolges nur wenige Prozessketten entstehen und damit eine händische Abwicklung hinsichtlich der Organisation, des Risikomanagements, der Logistik und des Payments möglich ist. Im ungünstigsten Fall begleitet ein Sachbearbeiter einen Vorgang vom Eingang der Bestellung oder des Tickets über die Verbuchung der Bezahlung bis zur Versendung bzw. Abarbeitung und dieses unabhängig von seiner Qualifikation oder der Konsistenz des Prozessablaufes. Wie gesagt, wenn eine E-Commerce-Anwendung nur eine Handvoll Vorgänge initiiert, ist das Risiko, dass diese Anwendung den Geschäftsbetrieb nachhaltig stört oder massive Verluste produziert, gering. Nichterfolg im Internet mit nicht nennenswerten Transaktionen hat praktisch kein Risiko. Der Sinn einer E-Commerce-Anwendung liegt aber natürlich gerade darin, über die geografische Distanz ein deutliches Mehr an Vorgängen, Transaktionen oder Verkäufen zu generieren. Dem-

245

Heppner/Schuppert

nach wird man erhebliche Mittel in den Aufbau und den Betrieb der Plattform investieren und gegebenenfalls eine Reorganisation von Geschäftsprozessen und Geschäftseinheiten vornehmen müssen. Es gilt also, die Online- und Offline-Prozessketten der E-Commerce-Anwendung technisch und organisatorisch so zu strukturieren, dass für den Fall des Erfolgs der E-Commerce-Anwendung entsprechende Lasten verarbeitet werden können und das Risiko von Störungen im Prozessablauf weitestgehend eliminiert wird. Unter Risikomanagement sind hier in erster Linie Plausibilitätsprüfungen für Geschäftsprozesse, Warenbewegungen und kaufmännische Parameter zu benennen. Das erste und vielleicht bedeutendste finanzielle Risiko einer E-Commerce-Anwendung ist die Anwendung selbst. Entscheidet man sich für eine Lösung, die zwar zunächst den Anforderungen entspricht, die aber nicht flexibel genug ist, um Ihren wachsenden Bedürfnissen zu entsprechen, so steht nach einiger Zeit eine erneute Investition an. Sie können dies vermeiden, indem Sie sich bereits vor dem Erwerb Ihrer E-Commerce-Anwendung über die zukünftigen Ziele, die Sie mit dieser Anwendung verfolgen, klar werden und eine Lösung wählen, die Sie auch künftig unterstützen kann. Aber nicht nur die E-Commerce-Anwendung selbst muss hier betrachtet werden. Erfolgreicher E-Commerce kann unmöglich als Insellösung im eigenen Unternehmen realisiert werden, da der Aufwand, der für die vollständige Bearbeitung eingehender Bestellungen betrieben werden muss, erhebliche Ressourcen verschlingen würde. „Cartridges", „Interfaces", „Sockets" - wie auch immer man es nennt: Schnittstellen sind der Schlüssel für eine effiziente Bearbeitung von Aufträgen. Diese stellen aber auch erhebliche Anforderungen an die (softwaretechnische) Umgebung, in der die ECommerce-Anwendung betrieben wird. Dies ist nicht der richtige Rahmen, um die einzelnen Schnittstellen im Detail zu beschreiben,

246

Risikominimierung im E-Commerce

das nachfolgende Schaubild soll Ihnen jedoch eine Übersicht über sinnvolle Schnittstellen geben (Abbildung 1).

Abbildung 1 : Schnittstellen einer komplexen E-Commerce-Anwendung: (1) Produktstammdaten, Preise, Verfügbarkeiten; (2) Produktdetailinformationen; (3) Prüfung der Bonität/Adressdaten; (4) Ergebnisse der Prüfung; (5) Kunden- und Bestelldaten; (6) Zahlungseingang; (7) Ankündigung Warenversand ; (8) Versandstatus

In Abhängigkeit von Ihrem individuellen Geschäftsmodell ergibt es von Fall zu Fall Sinn, nur einige dieser Schnittstellen zu realisieren. Auch besteht die Möglichkeit, dass bereits vorhandene Schnittstellen in Ihrem Unternehmen andere Schnittstellen ersetzen können ζ. B. wenn Ihre Warenwirtschaft bereits mit den Zustellern kommuniziert. Dann würde eben die Warenwirtschaft den Versandstatus an die E-Commerce-Anwendung übermitteln.

247

Heppner/Schuppert

2

Risiken infolge organisatorischer Mängel

Bei der Realisierung einer E-Commerce-Anwendung wird häufig versucht, bestehende Geschäftsprozesse aus dem stationären Handel eins-zu-eins umzusetzen. Dabei wird oft übersehen, dass bestimmte Prozesse modifiziert werden müssen, andere ganz wegfallen und wieder andere völlig neu hinzukommen. Dass Prozesse völlig umstrukturiert werden müssen, ist meist nicht durch die Verlagerung der bestehenden Prozesse in das WebFrontend begründet. Vielmehr ist der Grund in der größeren Flexibilität des Mediums und der damit verbundenen Effizienzsteigerung bestehender Prozesse oder der Verschmelzung bis dato einzelner Prozesse zu einem neuen, gegebenenfalls komplexeren Prozess zu finden.

2.1

Beispiel Bonitäts- und Identitätsprüfung

Im stationären Handel oder im Vertrieb über Handelsmittler findet die Identitätsprüfung in der Regel über den Besuch des Kunden vor Ort statt. In einem nachgelagerten Prozess legt eine interne Abteilung das Einkaufslimit und die Rechnungslegung sowie gewährte Zahlungsziele fest. Es ist nicht selten, dass hier zwei bis drei verschiedene Abteilungen oder Personen involviert sind. Im Web-Frontend können diese Prozesse zusammengeführt und so gegebenenfalls auf einen Sachbearbeiter reduziert werden. Die Identitäts- und Bonitätsprüfung kann über eine automatische Schnittstelle zu einem Servicedienstleister wie ζ. B. Pago, Paypal oder Creditreform realisiert werden. Der Sachbearbeiter bestätigt lediglich die automatisch ermittelten Limits sowie die personenbezogenen Daten und gibt den Account frei (B2B) oder löst den Versandprozess aus (B2C). Bei der technischen Umsetzung solcher Prüfungen werden verschiedene Ansätze verfolgt. Allen ist gemeinsam, dass die vom Kunden eingegebenen Informationen elektronisch zur prüfenden

248

Risikominimierung im E-Commerce

Stelle übermittelt und dort geprüft werden. Die E-Commerce-Anwendung erhält dann ein Ticket, welches im Minimalfall eine 1 (= positives Prüfungsergebnis) oder eine 0 (= negatives Prüfungsergebnis) sein kann. Während bei B2B-Lösungen eine solche Prüfung zumeist nur einmalig durchgeführt wird, nämlich wenn sich ein neuer Kunde registriert, so ist bei B2C-Lösungen eine erneute Prüfung pro Auftrag sinnvoll. Aber auch dies birgt wiederum finanzielle Risiken in sich. Üblicherweise wird für jede Prüfung von der prüfenden Stelle eine Gebühr verlangt. Werden nun viele gleiche oder unsinnige Anfragen an die Prüfungsstelle übermittelt, fallen hohe Kosten an, die aber keinen (Mehr-)Wert bringen. Wenn einmal festgestellt wurde, dass Herr Meier tatsächlich auf der Dorfstraße 7 wohnt, dann kann bei der zweiten Bestellung desselben Herrn Meier diese Prüfung entfallen. Die Bonität des Herrn Meier erneut zu prüfen ist da schon eher sinnvoll, jedenfalls dann, wenn seine letzte Bestellung nicht gerade erst gestern stattfand - ansonsten kann wohl auch diese Prüfung entfallen, da die Daten der Prüfungsstellen in so kurzer Zeit kaum mit Änderungen aufwarten können. Zur Reduktion der Kosten für Identitäts- und Bonitätsprüfungen sollte die E-Commerce-Anwendung also über ein „Gedächtnis" verfügen.

249

Heppner/Schuppert

Abbildung 2: Prinzipieller Kommunikationsverlauf einer Anbindung an einen Paymentdienstleister: (1) Kunde sendet Bestellwunsch, inkl. seiner Daten (Kreditkartennummer, Adresse, ...); (2) Prüfung, ob die Angaben des Kunden plausibel sind, bzw. ob die Bonität des Kunden bereits geprüft wurde; (3) Ergebnis der ersten Prüfung. Von diesem Ergebnis hängt ab, ob die Schritte (4), (5) ausgeführt werden oder nicht; (4) Übermittlung der Angaben des Kunden an den Paymentdienstleister; (5) Ergebnis der Prüfung/Zahlung; (6) Rückmeldung an den Kunden

Weiterhin muss mit bösartigen Anfragen an die E-Commerce-Anwendung gerechnet werden, die - möglicherweise zufällig generierte - Daten beinhalten, die der Anwendung die Absicht eines Kaufs vorgaukeln. Derartige Attacken sollten ebenfalls automatisch erkannt und unterbunden werden. Dazu kann zunächst eine allgemeine Plausibilitätsprüfung der vom Kunden eingegebenen Daten vorgenommen werden, ζ. B. der Postleitzahl (Länge und Korrektheit) und der Gültigkeit der angegebenen E-Mail-Adresse (Format und Existenz der Domäne). Diese Prüfungen können leicht realisiert werden, auch ohne dass sich ständig ändernde Datenbanken nötig sind. Weiterhin kann geprüft werden, ob etwa der gleiche Client (Computer des Kunden) in kurzer Zeit mehrere oder viele solcher Anfragen generiert.

250

Risikominimierung im E-Commerce

2.2

Beispiel Identitätsplausibilität bei abweichender Lieferadresse

Betrüger im Internet sind sehr erfinderisch. Eine beliebte Spielart sind Bestellungen mit ausspionierten Kreditkartennummern, die ζ. B. von unseriösen Kellnern aufgeschrieben werden, Karten die an der Kasse kopiert werden oder schlicht gestohlene Kreditkarten. Im Fall von gestohlenen Kreditkarten ist das Zeitfenster für den Betrüger sehr kurz, bis die Karte gesperrt ist. In den anderen Fällen kann man aber bequem über einen Zeitraum von rund 30 Tagen Schaden anrichten. Zwei Szenarien gilt es hierzu beachten: 1.

Die obligatorische Prüfung der Kreditkartennummer und Inhaberdaten (Rechnungsanschrift) muss ergänzt werden um eine automatische Plausibilitätsprüfung der Lieferadresse. Dieser Check kostet zwar eine weitere Anfrage an den Paymentdienstleister, ist aber die Minimalforderung an eine Risikominimierung. Zumindest kann so festgestellt werden, ob die Adresse und die Person, an die geliefert werden soll, existieren. Selbst wenn dieser Check positiv ist, ist das Risiko eines Untergangs der Lieferung noch nicht beseitigt. Betrüger wählen oft Adressen in Wohnblöcken mit leerstehenden Wohnungen. Schnell ist für den Paketdienst ein Klingel-/Türschild angebracht. Danach stellt sich der vermeintliche neue Mieter bei den Nachbarn vor und bittet darum, Post, die vor seinem Einzug eintrifft, anzunehmen. Das Paket wird abgeholt und der Nachbar, der die Sendung angenommen hat, darf sich über den Ärger, der folgen wird, freuen. Gerade bei ergaunerten Kreditkartennummern hat der Betrüger hier alle Zeit der Welt, die Lieferung(en) abzuwarten ohne Angst haben zu müssen, entdeckt zu werden.

2.

Bei einer abweichenden Lieferadresse empfiehlt sich auf jeden Fall ein telefonischer Kontrollanruf, ob die empfangende Per-

251

Heppner/Schuppert

son real existiert. Schließlich decken nicht alle Verträge mit den Kreditkartenorganisationen auch einen Betrugsschaden auf Seiten des Lieferanten ab. Legt nun der rechtmäßige Besitzer der Kreditkarte Einspruch gegen die Abbuchung ein, mag es sein, dass der Händler auf dem Schaden sitzen bleibt.

2.3

Beispiel Kreditkartenbetrug

Ein weiteres Risiko ist der Kreditkartenbetrug mit nachweislich gestohlenen Kreditkarten im Ausland. Ein Kunde kauft im Shop mittels Kreditkarte ein. Die Karte stammt von einer deutschen Kreditkartenorganisation, wurde in Deutschland ausgestellt und der Kunde hat eine deutsche Heimatanschrift. Der Kauf erfolgt aber nun aus dem Ausland mit ebenfalls ausländischer Lieferadresse also Einwahl ins Internet von den Kanarischen Inseln und Lieferadresse Mallorca. Es mag sein, dass ein Urlauber sich per Express-Versand eine teure Spiegelreflexkamera und einen Plasmafernseher an den Urlaubsort senden lässt - sehr wahrscheinlich ist das aber nicht. Hier gilt es also, im E-Shop schon die Länderkennung der Karte und das Land der Lieferanschrift abzugleichen. Sollten Abweichungen auftreten, muss eine Meldung an das Customer-Care erfolgen, damit dann ein Sachbearbeiter den Fall manuell überprüfen kann. Da es oftmals möglich ist, den Standort eines Computers (und damit den des Kunden) über dessen Internetadresse (IP-Adresse) zu ermitteln, kann auch dieser Gefahr entgegengewirkt werden. Das Prinzip ist einfach: Man vergleiche den Standort des Computers mit der Lieferadresse; weicht das Land ab, so ist zur Vorsicht geraten - im Customer-Care sollte dann ein entsprechender Warnhinweis auftauchen. Einige der Spezialisten für den elektronischen Zahlungsverkehr bieten solche Prüfungen bereits an.

2.4

Beispiel Vorkassezahlungen

Ein erhebliches Risiko beinhaltet auch die Zahlungsart Vorkasse, wenn die internen Prozesse nicht darauf ausgerichtet sind. In einer

252

Risikominimierung im E-Commerce

ganzen Reihe semiprofessioneller Ε-Shops gibt es zwar die Möglichkeit der Zahlungsart Vorkasse, aber es sind keine weiteren Prozessketten hinterlegt. Der Vorgang ist eigentlich recht einfach: Es darf erst Ware versandt werden, wenn das Geld vorab eingegangen ist. Aber wie sieht das in der Praxis aus? Wie schon vorstehend gesagt - ein erfolgloser E-Shop richtet keinen Schaden an, aber was ist, wenn ein Shop 10, 50 oder gar 200 Aufträge pro Tag generiert? Wie erfährt der Kommissionär, dass Ware versandt werden darf? Sinnvollerweise hat der E-Shop eine Schnittstelle zur Finanzbuchhaltung oder zu einem Buchungsmodul, welches in der Lage ist, die Kontobewegungen der Bankkonten anhand von Referenznummern auszuwerten und entsprechende Statusmeldungen für den E-Shop zu erzeugen. Der Kommissionär hat eine andere Sicht auf die Vorgänge im E-Shop als die Buchhalterin. Erst wenn die Buchhalterin oder das Buchungsmodul den Status einer Bestellung auf „Zahlung erhalten" setzt, taucht der zu liefernde Auftrag in der Liste der offenen Lieferungen des Kommissionärs auf. Dieser kann nun den Versand und den Druck der entsprechenden Dokumente auslösen. In der Praxis ist diese stringente Regelung eher die Ausnahme, aus unserer Erfahrung dominiert das Arbeiten „aus der Hüfte". Dabei ist es keine Ausnahme, dass Ware aufgrund der Bestellung das Lager verlässt, obwohl der Zahlungseingang noch nicht bestätigt ist. Es ist zu beobachten, dass gerade in Stoßzeiten, wie dem Weihnachtsgeschäft, infolge von Kapazitätsengpässen der Lagerfläche oder mangelnder Manpower Aufträge ohne Beachtung des Zahlungsstatus „weggearbeitet" werden. Ein florierender Shop produziert so schnell Dutzende Lieferungen ohne entsprechenden Zahlungseingang. Die Kunden stehen nun natürlich immer noch in der Pflicht, die Ware zu bezahlen, aber ein bestimmter Prozentsatz (empirisch er-

253

Heppner/Schuppert

mittelte 20 Prozent) unterlässt die Zahlung und produziert ein teures und aufwendiges Mahnverfahren. In diesem Beispiel wird besonders deutlich, wie ungemein wichtig eine umfassende und flexible Schnittstelle zwischen der eigenen E-Commerce-Anwendung und dem hausinternen Warenwirtschaftssystem bzw. Buchhaltungssystem ist.

2.5

Beispiel Preisauszeichnung und Preismodelle

Nicht unerhebliche Risiken bergen auch immer wieder die Preisauszeichnung und das E-Shop-Preismodell. Auch hier ist es inzwischen an der Tagesordnung, dass Händler empfindliche Abzüge von Seiten der Kunden akzeptieren müssen, weil hier grundlegende Fehler gemacht werden. Diese beginnen bei falscher Preisangabe und enden bei abweichenden Produktabbildungen. Im Zweifel hat der Kunde immer Recht und der Händler das Nachsehen. Die Platzierung eines Angebotes innerhalb eines Ε-Shops kann auf verschiedene Arten realisiert werden. Die technisch wohl am einfachsten zu realisierende Art ist die, dass das Angebot als Content aufbereitet wird, ohne dass dieser einen tatsächlichen (technischen) Bezug zum Artikel in der Datenbank des Shops hätte. Wird bei dieser Vorgehensweise nun der Preis eines Artikels in der Datenbank geändert, so ändert sich der im Angebot genannte Preis jedoch nicht. Sind in einem E-Shop, vielleicht auf der Startseite, nur eine handvoll solcher Angebote dargestellt, dann ist diese Lösung durchaus gangbar, da die Preise leicht und effizient manuell geprüft und wenn notwendig korrigiert werden können. Werden im E-Shop jedoch sehr viele solcher Angebote - vielleicht auch noch auf verschiedenen Seiten - dargestellt, so sind andere Vorgehensweisen sinnvoller. Wie auch immer die Informationen auf die Seiten des Ε-Shops letztlich gelangen, in jedem Fall sollte eine (technische) Verknüpfung zwischen den Angeboten und den Artikeldaten bestehen.

254

Risikominimierung im E-Commerce

In unserer Flexcove-Plattform wurde dies so realisiert, dass Angebote zwar innerhalb des Content platziert werden können, diese jedoch vom Redakteur in Form von „Platzhaltern", welche die Artikelnummer des bewerbenden Produktes enthalten, eingegeben werden. Die Informationen zum Produkt (Preis, Verfügbarkeit etc.) werden nun auch bei der Darstellung des Angebotes direkt der Artikeldatenbank entnommen - Diskrepanzen können so gar nicht erst entstehen. Als „Nebeneffekt" bietet diese Variante den Vorteil, dass die einzelnen Angebote in gleicher Art und Weise erscheinen und wie aus einem Guss wirken.

3

Risiken infolge überschneidender Zeitachsen

Ein anderer Aspekt in Bezug auf das Reengineering von bestehenden Prozessen ist der Umstand, dass im Unterschied zum klassischen Versandgeschäft die Zeitachsen der E-Commerce-Prozesse ein erhebliches Risiko hinsichtlich Einkaufslimits und Stornooder Retourenquoten in sich bergen. Prinzipiell ist es relativ einfach, Limits und Quoten organisatorisch zu definieren. Jemand hat ein bestimmtes Bonitätsrating, oder man beobachtet hausintern das individuelle Zahlungsverhalten und leitet von diesem das Einkaufslimit ab. Diese werden dann im Shop hinterlegt und wenn ein Kunde versucht, mehr zu bestellen als es das Limit hergibt, so wird er auf sein ausgeschöpftes Limit hingewiesen und die Bestellung verweigert. Bei einer Reihe von Großhändlern, Distributoren und Herstellern ist dieses Limit aber mit einer ganzen Reihe anderer Parameter verbunden. So gibt es zum Beispiel im Medienvertrieb feste Retourenquoten für die Fachhandelskunden und so für diese die Möglichkeit, ohne Angabe von Gründen Ware im Tausch gegen Neuware zu retournieren, um z. B. das eigene Warenangebot zu optimieren.

255

Heppner/Schuppert

Beispiel Retourenhandling/Limitüberwachung: Ein weiteres Risiko ist die Verarbeitung von Gutschriften infolge von Retouren. Auf Kundenseite besteht das Bedürfnis einer möglichst raschen Gutschrift retournierter Ware, auf Seiten des Distributors steht die Unversehrtheit der Ware und der zur Gutschrift gültige Verkaufspreis im Vordergrund. Gerade Shops mit einem voluminösen Warenfluss (sowohl in Form von Bestelllungen als auch in Form von Retouren) haben hier erhebliche Risiken in Bezug auf Limitüberschreitungen. Weil kein Sachbearbeiter den Vorgang prüft, müssen die Routinen der E-Commerce-Anwendung diese Prüfung vollautomatisch abwickeln. Man sieht an diesem Beispiel, dass ganz erhebliche Detailanforderungen an eine E-Commerce-Anwendung gestellt werden müssen. Die Funktionalität eines „Einkaufslimits" ist - in Abhängigkeit von den weiteren Prozessen - eben nicht einfach nur das Aufsummieren der noch nicht beglichenen Zahlungen des Kunden. Vielmehr müssen gegebenenfalls zusätzlich Retouren berücksichtig werden, und zwar je nachdem welchen Verarbeitungsstatus die Retouren haben und wie Ihr Geschäftsmodell gestaltet ist, in unterschiedlicher Art und Weise. So könnte in dem einen Geschäftsmodell gewünscht werden, dass der Ausschöpfungsgrad des Einkaufslimits aus den offenen Forderungen und allen Retouren gebildet wird, während ein anderes Modell fordert, dass hier nur die bereits genehmigten Retouren berücksichtigt werden. Derart komplexe Prozesse lassen sich mit einer einfach strukturierten Plattform für E-Commerce-Anwendungen kaum oder nur mit erheblichem Aufwand realisieren.

256

Risikominimierung im E-Commerce

4

Fazit

Die Risiken besonders in Bezug auf Zahlungsausfälle infolge von Imperfektionen sowohl auf Seiten des Frontend als auch auf Seiten des Backend sind nicht unerheblich. Nun ist das Einbinden von Partnern wie zum Beispiel eines Paymentdienstleisters nicht unbedingt ein Allheilmittel, jedoch ist die Einbindung eines Dienstleisters, der unternehmensfremde Kompetenzen mitbringt, zumindest ein Schritt in die richtige Richtung. Man darf aber nicht dem Glauben erliegen, dass mit der Anbindung anderer Services oder Fremdsysteme auch immer die optimale Lösung gefunden wurde. Unsere langjährige Erfahrung zeigt, dass die größten Fallstricke im eigenen Unternehmen allzu häufig in der wenig kritischen Haltung zu den eigenen Handlungsweisen und eingefahrenen Geschäftsprozessen liegen. Vor der Einbindung externer Services und Fremdsysteme sollte ein umfassendes Consulting stattfinden, an dessen Ende eine verbindliche Handlungsempfehlung steht, die wie ein roter Faden durch die Realisierungsphase führt. Dieses Consulting einhergehend mit einem Coaching der Projektcrew ist ein Schlüssel zur erfolgreichen Umsetzung der Unternehmensziele im E-Commerce.

25 7

Heppner/Schuppert

258

Thomas Pache Margret Horn

Praktisches Risikomanagement in E-CommerceUnternehmen

259

Pache/Horn

Inhaltsverzeichnis 1

Einleitung

2

E-Commerce in Deutschland - ein Überblick über Risiken der Informations- und Kommunikationstechnologien 261

3

Risikolandkarte des E-Commerce

264

4

Ermittlung des eigenen Risikoprofils

268

5

Maßnahmen

276

Literaturverzeichnis

285

260

261

Praktisches Risikomanagement in E-Commerce-Unternehmen

1

Einleitung

Ziel unseres Beitrags ist es, dem Leser einen Überblick über die branchentypischen Risiken, deren Identifikation, Bewertung und mögliche Handlungsalternativen zu geben, um ihn in die Lage zu versetzen, eine betriebswirtschaftlich bestmögliche Handlungsalternative zur Optimierung seiner Risiko-Nutzen-Relation (Stichwort TCOR: Total Cost of Risk) auszuwählen. Da der Schwerpunkt auf spezifischen Risiken von E-Commerce-Unternehmen liegt, lassen wir allgemeine Handelsrisiken, wie ζ. B. die Zahlungsunfähigkeit von Kunden außen vor. Wichtiger ist es uns an dieser Stelle die Informations- und Kommunikationstechnologie als die Achillesferse des Unternehmens zu betrachten, da schon kleine Ursachen große Auswirkungen nach sich ziehen können. Je nach Ausmaß der Störung sind nicht nur die „Schaufenster" dunkel, die „Türen" des Warenein - und ausgangs verschlossen, sondern auch die offenen Posten nicht mehr zuzuordnen. Im Folgenden verwenden wir daher den Begriff Risikomanagement, entgegen der im Bankenwesen üblichen Begrenzung auf rein finanzielle Aspekte, in seiner wörtlichen und sämtliche Unternehmensrisiken umfassenden Bedeutung. Zur Adaption auf den konkreten Einzelfall zeigen wir mögliche Ansätze sowie die hierzu erforderlichen Instrumente und operationalisieren sie anhand eines praktischen Beispiels.

2

E-Commerce in Deutschland - ein Überblick über Risiken der Informations- und Kommunikationstechnologien

Die Risikolandschaft eines E-Commerce-Unternehmens stimmt in einer Reihe von Aspekten mit der von Unternehmen anderer Bran-

261

Pache/Horn

chen überein. Das Geschäftsmodell E-Commerce bringt jedoch naturgemäß eine höhere Abhängigkeit von funktionierenden Informations-, Kommunikations- und Technologie-(IKT-)Prozessen mit sich, als dies bei vielen anderen Geschäftsmodellen der Fall ist. Daher werden wir uns in unserem Beitrag vorrangig mit den spezifischen Risiken beschäftigen. Anders als ζ. B. für den Einzelhandel gibt es für die E-CommerceBranche keine aus statistischer Sicht verlässlichen Risikodaten. Das hat mehrere Gründe. Zum einen ist das Geschäftsmodell E-Commerce erst rund zwölf Jahre alt, zum anderen ist die Entwicklungsgeschwindigkeit der zugrunde liegenden Technologien unvermindert hoch. So ist der Payment Card Industry Data Security Standard (PCI-DSS) erst seit kurzem verbindlich 1. Bis heute gibt es aber noch keinen übergreifenden Sicherheitsstandard für elektronische Bezahlsoftware. Erst jetzt strebt die Kreditkartenindustrie über ihren PCI Security Standards Council einen solchen Sicherheitsstandard für Bezahlsoftware, den PA DSS (Payment Application Data Security Standard), an. 2 Genauso wenig existieren derzeit geeignete Risiko-/Schaden-Erfassungsmodelle. Zudem ist die Meldebereitschaft geschädigter Unternehmen antizipierbar gering, da bekannt gewordene IT-Pannen oder System-Einbrüche - sofern möglich - nicht kommuniziert werden, um vertriebliche Nachteile zu vermeiden. Einige grundlegende (qualitative) Aussagen zu den Risiken im E-Commerce können trotzdem aus vorliegenden kleineren oder aus ausländischen Studien unterschiedlichster Auftraggeber gewonnen werden. Mit der Verbreitung schneller Internetzugänge wächst die Anzahl der Internet-Nutzer kontinuierlich. In Deutschland sind bereits mehr

2

262

Vgl. searchsecurity.de/Stephan Augsten: PCI-DSS-Compliance wird für Kreditkarten-Unternehmen zur Pflicht-Aufgabe, 08.01.2008. Vgl. PCI Security Standards Council: PCI Security Standards Council strengthens Data Security (press release), Wakefild, Mass., Nov. 7, 2007.

Praktisches Risikomanagement in E-Commerce-Unternehmen

als 60 Prozent aller Haushalte online.3 Potenzial und Marktvolumen der E-Commerce-Branche wachsen demzufolge ebenfalls stetig, wie auch die folgenden Meldungen/Zitate zeigen: •

„Jeder fünfte Deutsche verkauft Waren privat im Internet." 4

•

„Allzeithoch bei Downloads: Umsatz klettert 2007 auf 168 Millionen Euro. Musik, Hörbücher, Videos, Spiele, Software zunehmend heruntergeladen. 5

•

„Für 2010 werden in Deutschland 781 Milliarden Euro Umsatz im E-Commerce erwartet." 6

Mit der zunehmenden Nutzung und fortschreitender Konvergenz der Medien steigt auch die Abhängigkeit von Informations- und Kommunikationssystemen. Lässt man Schadenersatzansprüche durch gehandelte Produkte/Leistungen - die es auch im konventionellen Einzelhandel gibt - außen vor, so stellen Systemstörungen und Datenverluste die gravierendsten finanziellen Risiken im ECommerce dar. Das folgende Rechenbeispiel unterstreicht diese Aussage: Im Jahr 2006 wurde allein beim Datenwiederherstellungsexperten Kroll Ontrack ein Datenvolumen von 531 Terabyte rekonstruiert, eine Steigerung um 400 Prozent gegenüber 2005. Lässt man der Wert der Daten (ζ. B. Rechnungsdatensätze) außer Acht und postuliert man, dass diese Daten manuell wieder eingegeben werden, so ergibt sich für eine versierte Schreibkraft (durchschnittlich 300 Anschläge/Min. —• 1 MB/55 Std.) bei einem Stundenlohn von Vgl. Statistisches Bundesamt: Informations- und Kommunikationstechnologie in privaten Haushalten 2006, Wiesbaden 2007. BITKOM: Jeder fünfte Deutsche verkauft Waren privat im Internet (Pressemitteilung), 27.06.2007. BITKOM: Allzeithoch bei Downloads: Umsatz klettert 2007 auf 168 Millionen Euro (Pressemitteilung), 05.12.2007. 1-ePerformance Report 2007, Deutschland im Vergleich, TNS Infratest Forschung GmbH im Auftrag des Bundesministeriums für Wirtschaft und Technologie, München/Berlin 2007, S. 29.

263

Pache/Horn

40 Euro 7 ein finanzieller Aufwand in Höhe von 1,17 Billionen Euro. 8 Die bereits erwähnte Entwicklung, eine fortschreitende IKT-Durchdringung aller Prozesse in den Unternehmen, verlängert hierbei auch den Hebel der finanziellen Auswirkungen.

3

Risikolandkarte des E-Commerce

Einen exemplarischen Überblick über die Vielschichtigkeit der Risiken eines E-Commerce-Unternehmens gibt die Risikolandkarte in Abbildung 1.

7 8

264

Vgl. Kroll Ontrack/Peter Bohret: „Den Daten auf der Spur" - Handbuch zur Datenrettung und Computer Forensik, Böblingen 2004, S. 7. Vgl. Kroll Ontrack: Kroll Ontrack zieht positive Bilanz für 2006: Auftragsvolumen für Datenrettung innerhalb von zwei Jahren nahezu verdoppelt, Pressemitteilung, 15.02.2007.

Praktisches Risikomanagement in E-Commerce-Unternehmen

Abbildung 1 : Typische Risikomatrix eines E-Commerce-Unternehmens Finanzielle Auswirkung Abhängigkeit von IT Systemen Produktschäden

Konvergenz Internet-Risiken Verfügbarkeit von Kommunikationsnetzen

Umweltrisiken

Unzureichende Com -Gesetzen

Mitarbeiter in Liquidität Schlüsselfunktionen Abhängigkeit von Währungsrisiken Partnern. Zulieferern

- Technische Normen (z.B. PA DSS) Betriebsunterbrechun g Cyber Extortion

Wettbewerb Spionage

Geistiges Eigentum Altersvorsorge

Technologische Innovation mode II

spezifisch

Marktschwankungen

Kraftfahrtzeuge kohv. Diebstahl

Lizenzen und Rechte

Naturkatstrophen

Out ourcing

Aus der 2006 veröffentlichten Studie zum Thema IT-Sicherheit der Zeitschrift in Zusammenarbeit mit Microsoft kann man auf die Ursachenverteilung für derartige IT-Schäden schließen. Dabei rangieren - zumindest zahlenmäßig - Unfälle (unbeabsichtigte Schädigungen) noch vor Angriffen, wie Tabelle 1 belegt. Die meisten Nennungen entfallen dabei auf technisches Versagen - meist mit der Folge von Daten Verlusten und/oder Betriebsstillständen. So stieg ζ. B. der Anteil von Datenverlusten aufgrund von Hardwareproblemen von 44 Prozent im Jahr 2002 auf knapp 60 Prozent im Jahr 2006. 9

Vgl. Kroll Ontrack: Neue Datenverlust-Studie von Kroll Ontrack zeigt: HardwareSchäden nehmen zu, Pressemitteilung, 24.04.2007.

265

Pache/Horn

Tabelle 1: Ursachenverteilung für IT-Schäden 10 Beeinträchtigungen/ Schäden (min. 1)

bei Nennungen

Unfälle

70%

259

... menschliches Versagen

56%

115

... technisches Versagen

63%

144

Angriffe

43%

102

... ungezielt (Malware)

35%

49

... gezielt (Spionage, Hacker, Sabotage usw.)

24%

53

Ursache

Obwohl Schäden durch mutwillige Attacken anteilsmäßig noch deutlich hinter Unfällen rangieren, steigt deren Bedeutung überproportional: „7.247 neue Schwachstellen entdeckte ein Sicherheitsunternehmen im Jahr 2006 - ein Anstieg von 40 Prozent im Vergleich zum Vorjahr. Auch der prozentuale Anteil jener Sicherheitslücken, die von Angreifern für den Zugriff auf ein verwundbares System ausgenutzt werden können, erhöhte sich. 52,5 Prozent der im Jahre 2006 analysierten Schwachstellen eigneten sich dafür, Benutzer- oder sogar Administratorrechte zu erlangen. Ende des Jahres 2005 lag dieser Anteil noch bei 43 Prozent." 11 Eine andere Meldung lautet: „Mehr als ein Viertel der Unternehmen melden in den vergangenen zwölf Monaten einen Anstieg der Angriffe auf die Firmen-IT. Dies sind acht Prozent mehr als noch 2006." 12 Ein Beispiel für Wirtschaftsspionage nannte der Präsident des Bundeskriminalamtes, Jörg Ziercke, auf der BKA-Herbsttagung 2007: „2006 erhielten wir von Scotland Yard die Mitteilung über

10 11 12

266

Vgl. Die Zeitschrift für Informations-Sicherheit (Sonderdruck): / Microsoft-Sicherheitsstudie 2006, S. 5. Capgemini: IT-Trends 2006, zitiert nach Bundesamt für Sicherheit in der Informationstechnik: Die Lage der IT-Sicherheit in Deutschland 2007, S. 19. Information Week: InformationWeek-Studie „IT-Sicherheit 2007" zitiert nach Hamburg@work, Newsletter vom 24.10.2007.

Praktisches Risikomanagement in E-Commerce-Unternehmen

einen Hacker, der sich im Auftrag eines britischen Unternehmens in die Systeme einer norddeutschen Spedition gehackt hatte. Dort platzierte er Software, die nahezu den gesamten elektronischen Geschäftsverkehr ausspionierte und an die britische Firma weiterleitete. Ziel dieses Angriffs war die Übernahme der deutschen Spedition."13 Als weitere prominente Beispiele in Deutschland seien das Ausspähen vertraulicher Daten bei dem Online-Kartenverkäufer Kartenhaus 14 oder bei der Internetauktionsplattform Ebay 15 genannt. Von anderen Vorfällen, wie ζ. B. dem Diebstahl von Kreditkartendaten bei einer Verarbeitungsstelle von Visa-Transaktionen erfahren nur die Betroffenen selbst. Je nach Handelsvolumen und regionaler Ausrichtung sind aber auch wirtschaftliche Großschäden, wie der von TJX, einem der führenden Bekleidungs- und Einrichtungshandelsunternehmen, aus dem Jahr 2006/07 denkbar. Der durch ein über mehrere Monate andauerndes Ausspähen von mehr als 90 Mio. Kundendatensätzen entstandene Gesamtschaden wird das Unternehmen nach aktuellem Stand der Informationen mehr als 300 Mio. US$ kosten. Gartner, eines der weltweit führenden IKT-Research- und Beratungsunternehmen prognostiziert in diesem Zusammenhang bis 2009 einen jährlichen Anstieg von 20 Prozent für „...die mit dem Abfluss vertraulicher Daten einhergehenden Kosten..." 16 . Die zu Beginn des Artikels bereits erwähnte hohe Entwicklungsgeschwindigkeit fordert von den Verantwortlichen eine ständige - am besten prozessual festgelegte - Überprüfung aller technischen, 13 14 15 16

Zierke, Jörg: Tatort Internet - eine globale Herausforderung für die Innere Sicherheit, Vortragsskript zur BKA-Herbsttagung 2007, S. 6. Vgl. Heise-Online: „Zehntausende Kartenhaus-Kunden von KreditkartendatenDiebstahl betroffen", Heise-Newsticker vom 04.10.2007. Vgl. Computerwoche.de: Erneuter Datenklau bei Ebay, Meldung vom 26.09.2007. Computerwoche.de: Gartner prophezeit steigende Kosten durch Datenverluste, Meldung vom 16.10.2007.

267

Pache/Horn

organisatorischen und finanziellen Vorkehrungen, um auf die sich ändernden Risikoparameter rechtzeitig reagieren zu können.

4

Ermittlung des eigenen Risikoprofils

Würde man versuchen, das Risiko eines E-Commerce-Unternehmens in einer Formel zu fassen, so könnte diese so aussehen: (MB + I + P) (OS+TS+RS)x(DRP+DS+BCM)xRT

IAG

mit: IAG Grad der IKT-Abhängigkeit der Geschäftsprozesse OS Grad der organisatorischen Sicherheit TS Grad der technischen Sicherheit MB Marken-/Produktbekanntheit/Umsätze I

Grad der Internationalität

Ρ

Produktrisiken der gehandelten Produkte

DRPQualität des Desaster Recovery Plans DS Qualität der Datensicherung BC Qualität des BCM (Business Continuity Management = Organisatorische und technische Planungen und Maßnahmen zur Aufrechterhaltung bzw. Wiederherstellung eines geregelten Betriebsablaufs) RT Qualität der Risikotransfermaßnahmen RS Qualität der AG Bs und Verträge

268

Praktisches Risikomanagement in E-Commerce-Unternehmen

Wie bereits eingangs ausgeführt lassen jedoch nicht vorhandene Standards und fehlende statistische Daten eine tatsächliche Risikoberechnung nicht zu. Trotzdem ist es für die Entscheider eines Unternehmens erforderlich, sich ein möglichst realistisches Bild von ihrer Risikosituation und möglichen Handlungsalternativen zu machen. Hierbei kann die vorstehende Formel helfen. Prinzipiell können die Parameter in fünf Kategorien eingeteilt werden: 1. Volumentreiber: Diese wachsen in der Regel mit der Größe eines Unternehmens und verhalten sich häufig linear zu dessen Umsätzen. a.

Die Bekanntheit von Unternehmen und Produkten bzw. Dienstleistungen und der damit erwirtschaftete Umsatz,

b. die Internationalität (welche Rechtsnormen sind zu beachten) und c. 2.

die Art der Produkte/Dienstleistungen (erklärungsbedürftig, gefährlich?).

Sicherheitsvorkehrungen/-maßnahmen im Normalbetrieb entsprechen der präventiven Begegnung etwaiger Risiken mit dem Ziel ihrer Vermeidung oder Minderung. a.

Organisatorische Regelungen, lungen, Compliance,

Legitimationen,

b. technische Maßnahmen (Sicherheitssoftware, Redundanzen, Protokolle etc.), c.

Schu-

Backups,

vertragliche Regelungen (Anstellungsverträge, Einkaufsverträge, AGBs, Verkaufsverträge etc.).

3. Vorkehrungen und Pläne für Not-/Störfälle tragen - sofern ernsthaft erstellt und aktuell gehalten - zur größtmöglichen Schadenbegrenzung und schnellstmöglichen Wiederherstellung des Normalzustandes bei.

269

Pache/Horn

a.

Desaster Recovery Plan (Daten-Backups, Kommunikation mit potentiellen Notfallhelfern, Zeit bis zum Wiederanlaufen etc.),

b.

Datensicherungsqualität Sicherheit),

c.

Alternativpläne (ζ. B. Ausweichen auf andere Server, Provider, Rechenzentren, Nutzung alternativer Vertriebswege, Notfallkommunikation).

(Häufigkeit,

Zurückspielbarkeit,

4.

Risikotransfermaßnahmen (Haftungsfreistellungen, -übernahmen, Bürgschaften, Versicherungen) dienen zur Begrenzung bzw. Kalkulierbarmachung finanzieller Folgen von sich realisierenden Risiken.

5.

IKT-Interdependenzen kritischer Geschäftsprozesse sind der Hebel, mit dem sich die positive oder negative Wirkung der vorgenannten Parameter exponentiell steigert.

Ein Unternehmen, dessen geschäftskritische Prozesse in hohem Maße von seinen funktionierenden IKT-Strukturen abhängig sind, welches aber in den Kategorien 1 bis 4 deutliche Mängel aufweist, ist prinzipiell kreditunwürdig. Die Tatsache, dass derartige Unternehmen trotzdem Kapital erhalten, ist der Komplexität der Materie und dem mangelnden Sachverständnis der Kapitalgeber zuzuschreiben. Die Ermittlung der Risiken des eigenen Unternehmens kann unter Berücksichtigung der vorstehenden Parameter - nach dem in Abbildung 2 vereinfacht dargestellten Schema erfolgen. Die dahinter liegenden Fragen sind dabei recht simpel: •

Welche Prozesse, Tätigkeiten können nicht ohne IT-/TK-Systemunterstützung durchgeführt werden?

•

Welche Abhängigkeiten existieren zwischen •

270

den Prozessen/Tätigkeiten und

Praktisches Risikomanagement in E-Commerce-Unternehmen

•

den eingesetzten IT-/TK-Systemen?

Welche rechtlichen Vorgaben sind zu beachten? Welche Auswirkungen sind bei den verschiedenen Szenarien zu erwarten? Welche Wahrscheinlichkeiten werden den Szenarien zugeordnet?

Abbildung 2: TCOR-Prozess: Analyse

TCOR für E-Commerce-Unternehmen Grundsätzlicher Ansatz TCOR - Evaluierung

ITK-abhängige Prozesse: •Finanzielle Bewertung •Interdependenzen •Auswirkungen / Folgeschäden •Eintrittswahrscheinlichkeiten •Alternativen

Risiko tolerieren

••

unbedeutend

—

Risiko vermeiden / verringern / transferieren y bedrohlich

bedeutend

Die erste Risikobestandsaufnahme eines Unternehmens ist naturgemäß mit einigem Aufwand verbunden. Insbesondere die finanzielle Abschätzung/Bewertung einzelner Prozesse/Risiken löst wegen der zu berücksichtigenden Rück- und Nebenwirkungen einigen Arbeits- und Kommunikationsaufwand aus. Die nachfolgenden aufgeführten Publikationen können dabei helfen, potenzielle (rechtliche) Risiken zu identifizieren und abzuschätzen: •

Rechtliche Rahmenbedingungen für Online-Shops, Gerd M. Fuchs (BVDW) Berlin/Düsseldorf 2006, Vertrauen in E-Commerce, BVDW (Hrsg.), Düsseldorf 2005,

271

Pache/Horn

•

Handbuch IT-Recht, [email protected] (Hrsg.), Hamburg

2006, •

Internet und IT-Security im Unternehmen, Trend Deutschland GmbH (Hrsg.), Unterschleißheim 2007,

Micro

•

Managementhandbuch der IT-Sicherheit, Torsten Gründer u. Dr. Joachim Schrey (Hrsg.), Berlin 2007,

•

Grenzen und Möglichkeiten der Allgemeinen Geschäftsbedingungen für Verbraucher, BITKOM (Hrsg.), Berlin 2007,

•

Verantwortlichkeiten von IT-Herstellern, Nutzern und Intermediären, Studie des Bundesamt für Sicherheit in der Informationstechnik/BSI (Hrsg.), Göttingen 2007,

•

IT-Grundschutz-Kataloge, BSI, Bonn 2006,

•

„Daten auf der Spur" - Handbuch zur Datenrettung und Computer Forensik, Peter Bohret, Böblingen 2004,

•

Nicht-technische Aspekte der IT-Sicherheit, Network Consultant NWCC, HP 2006.

Am Ende der Bestandsaufnahme steht als nächster Schritt die Klassifizierung der IKT-Risiken, die das Risikoprofil des Unternehmens vervollständigt. Das fertige Risikoprofil ist das Fundament und der Ausgangspunkt für die zu treffenden Entscheidungen über mögliche Handlungsalternativen/Maßnahmen. Die Klassifizierung der Risiken kann ζ. B. über die Definition bestimmter Schadenshöhen erfolgen: •

Verursachen sich realisierende Risiken so geringe finanzielle Schäden (ζ. B. der Ausfall eines Druckers), dass jegliche proaktive Maßnahmen überdimensioniert wären, sind diese zu tolerieren und auszusortieren.

•

Schäden durch sich realisierende bedeutende Risiken beeinträchtigen zwar kurzfristig den Erfolg des Unternehmens, ha-

272

Praktisches Risikomanagement in E-Commerce-Unternehmen

ben jedoch keinerlei Auswirkungen auf dessen mittelfristigen Geschäftserfolg. Für bedeutende, aber noch nicht bedrohliche Risiken (z. B. Lieferengpass eines Zulieferers) können Maßnahmen getroffen werden, um das betreffende Risiko

•

•

zu vermeiden (parallele Nutzung mehrerer Lieferanten),

•

zu verringern (Identifikation von Alternativlieferanten) oder

•

zu transferieren (vertragliche Regelungen, z. B. Vertragsstrafen).

Sich realisierende bedrohliche Risiken gefährden nicht nur die Geschäftstätigkeit eines Unternehmens, sie können auch dessen Existenz bedrohen. Sofern sie nicht eliminiert werden können, sollten die finanziellen Auswirkungen derartiger Risiken sofern möglich - transferiert werden.

Eine generelle Regel, welche Schadenshöhen welchen Kategorien zugeordnet werden, kann es nicht geben, da die Auswirkungen von einer Reihe von Faktoren abhängen, wie z. B. der Umsatzgröße des Unternehmens, Publizität, Eigenkapitalquote etc. So kann z. B. der finanzielle Schaden einer Kompromittierung von 10.000 Kreditkatensätzen (z. B. durch Hacking) wegen Nichteinhaltung der PCI DSS mit fünf Euro Strafzahlung 17 je kompromittiertem Datensatz mit einem Betrag von 50.000 Euro beziffert werden. Dieser Betrag ist für ein Großunternehmen allenfalls ärgerlich, ein kleines E-Commerce-Unternehmen ist hierdurch jedoch schon in seiner Existenz bedroht, ohne dass etwaige Schadenersatzforderungen und ggf. zukünftige Minderumsätze durch einen entstandenen Reputationsverlust oder gar einen Ausschluss aus Kreditkartenprogrammen finanziell bewertet wurden.

17

Vgl. Computerwoche.de/Simon Hülsbömer: Gesetz: Web-Händler müssen für sichere Kreditkarten-Transaktionen sorgen, 12.09.2007.

273

Pache/Horn

Es empfiehlt sich, die getroffenen unternehmensspezifischen Einschätzungen, welche die Grundlage allerweiteren Entscheidungen bilden, zu dokumentieren. Die Dokumentation hilft den Verantwortlichen im schlimmsten Fall auch nachzuweisen, dass sie ihren strategischen, konzeptionellen und operativen Pflichten nachgekommen sind und deshalb persönliche Schadenersatzforderungen oder strafrechtliche Maßnahmen gegen sie nicht gerechtfertigt sind. Um als verantwortlicher Geschäftsführer oder Vorstand einen Überblick zu erhalten, welchen Haftungsrisiken man ausgesetzt ist, eignet sich der vom BITKOM herausgegebene Leitfaden „Matrix der Haftungsrisiken" 18.

Praktisches Beispiel: Wert von Daten Rainer Maassen - Geschäftsführer bei maassen & partner, Hersteller von Datenbanklösungen: „Der Wert von Daten hängt zunächst davon ab, inwieweit diese Daten unternehmenskritisch sind oder nicht. Davon hängt ab, wie weit ein vorübergehender Verlust der Daten bis zur Wiederherstellung Kosten verursacht. Außerdem spielt die Größe des Unternehmens eine Rolle. Die Daten eines Ein-Mann-Betriebs können nicht so wertvoll sein wie die Daten eines Konzerns. Deshalb würde ich als Vergleichswert den Jahresumsatz nehmen. •

18

Kategorie 1: Alle Daten aus der Buchhaltung, Auftragsverwaltung und Lohnbuchhaltung sind besonders unternehmenskritisch. Ein Fehlen verursacht sofort erhebliche Kosten, mindestens in Höhe des Umsatzes, der in der Zeit vom Verlust bis zur Wiederherstellung gemacht würde und jetzt nicht gemacht werden kann. Dazu kommen Image-Nachteile usw. Mit anderen Worten: Die Daten sind unentbehrlich.

Vgl. BITKOM: Matrix der Haftungsrisiken, Berlin 2005, S. 5ff.

274

Praktisches Risikomanagement in E-Commerce-Unternehmen

Wenn sie gar nicht wiederhergestellt werden können, beträgt ihr Wert bis zu 50 Prozent des Unternehmenswertes, und der liegt üblicherweise beim drei- bis fünffachen des Jahresumsatzes. •

Kategorie 2: Daten aus Vertrieb und Marketing Kundendaten, Projektdaten usw. Deren Wert liegt bei 0,1 bis 0,5 Jahresumsätzen, je nachdem, wie wichtig die Daten für die Kundenbetreuung und die Außenkontakte sind.

•

Kategorie 3: Interne Daten, die nicht für die Leistungserbringung wesentlich sind. Aber auch ihre Kosten können erheblich sein." 19

Zu den vorstehenden finanziellen Schäden kann man die bereits in Abschnitt 2 genannten Kosten von rund 2.200 Euro/MB (eine Sekretärin - Stundenlohn 40 Euro/Std. - benötigt für das Wiedereintippen von einem MB Daten etwa 55 Stunden) kalkulieren, wenn es nicht gelingt, die Daten wiederherzustellen.

20

Wenn die Daten der Warenwirtschaftsdatenbank eines E-Commerce-Unternehmens nicht mehr verfügbar wären, wüsste das Unternehmen beispielsweise nicht, 1. welche Kunden was gekauft haben (und dafür auch bereits bezahlt haben), 2. welche Produkte im Angebot sind und wie der Lagerbestand ist, 3. welche Bestellungen in Bearbeitung sind und wie der Bezahlungs-/Lieferstatus ist und 4. welche Historie der Kunde hat. 19 20

Kroll Ontrack/Peter Bohret: „Den Daten auf der Spur" - Handbuch zur Datenrettung und Computer Forensik, Böblingen 2004, S. 3. Vgl. ebenda, S. 7.

275

Pache/Horn

5

Maßnahmen

Den im vierten Abschnitt analysierten und bewerteten Unternehmensrisiken können verschiedene Strategien oder ein Mix daraus entgegengesetzt werden: Vermeidung, Verminderung, Übertragung, Akzeptanz und Beseitigung. In diesem Abschnitt werden zum einen Beispiele für den Umgang mit festgestellten Risiken gegeben und zum anderen Instrumente zur Entscheidungsfindung und -dokumentation aufgezeigt. Zur Darstellung der Praktikabilität dieses Vorgehens wird das im vierten Abschnitt angeführte Beispiel fortgeführt. Welche der in Abbildung 3 aufgeführten Maßnahmen ergriffen werden und in welcher Kombination das geschieht, hängt nicht nur von dem jeweils betrachteten Risiko, den Kosten für die einzelnen Maßnahmen, sondern auch von anderen existierenden Interdependenzen ab. So wird es ζ. B. kaum möglich sein, eine Betriebsunterbrechungsversicherung einzukaufen, um sich dadurch jegliche Kosten einer technischen Risikominimierungsmaßnahme zu sparen. Es ist jedoch sehr wohl möglich und ggf. sinnvoll, einen marktüblichen Sicherheitsstandard zu gewährleisten und das darüber hinausgehende Risiko mittels geeigneter Versicherungslösungen abzudecken.

276

Praktisches Risikomanagement in E-Commerce-Unternehmen

Abbildung 3: TCOR-Prozess: Maßnahmenportefeuille

Im Business Continuity Management (BCM) unterscheidet man in der Regel zwischen präventiven und reaktiven Maßnahmen, die sich jedoch zum Teil gegenseitig bedingen. Die reaktiven Maßnahmen, die meist der Eindämmung der Schadenshöhe bzw. der Wiederherstellung des Normalzustandes dienen, bilden - natürlich in verständlicher und immer aktuell gehaltener Form - das Rückgrat des BCM-Notfallkonzeptes. Die Spanne reicht von einer Telefonkette zur Benachrichtigung, über Vorverträge für Notstromaggregate bis hin zum Betrieb komplett redundanter IT-Systeme im „HotStand by". Die vorstehenden Ausführungen, genannten Leitfäden und Publikationen ermöglichen es, sich ein grundlegendes Bild von den typischen Risiken eines E-Commerce-Unternehmens zu verschaffen, diese für das eigene Unternehmen zu operationalisieren und quantifizieren und - sofern die Handlungsalternativen bekannt sind - a u c h nachvollziehbar zu bewerten. Die Identifikation und Bewertung möglicher Handlungsalternativen oder Maßnahmen ist eine weitere Herausforderung für die Verantwortlichen: Sind Unternehmen meist noch in der Lage, grundlegende organisatorische Handlungsalternativen selbst zu finden und zu bewerten, benötigen sie zur Identifikation und Einschätzung technischer Handlungsalternativen meist externes Know-how. Am schwierig-

277

Pache/Horn

sten ist jedoch die Identifikation der geeignetsten Risikotransferlösungen, da wegen der hohen IKT-Entwicklungsgeschwindigkeit und Komplexität der Thematik extreme Know-how-Unterschiede über existierende IT-Risiken und die hierfür am Markt erhältlichen Risikotransferprodukte sowohl bei Vermittlern als auch bei Versicherern existieren. Fest steht, dass derzeit kein Versicherer alle ggf. für den E-Commerce sinnvoll einsetzbaren Versicherungen anbietet. Gerade dieses Wissen über eventuell sinnvolle Speziallösungen (z. B. Transfer des Eigenschadensrisikos durch einen Virenangriff, des Spionagerisikos oder von Schadenersatzforderungen durch Urheberrechtsverletzungen) ist jedoch Voraussetzung, um die beste und ggf. über die Existenz des Unternehmens entscheidende Maßnahme überhaupt auswählen zu können. Je nach Absatzregion(en) und Art des Geschäftsmodells kommen Standardlösungen, wie sie nahezu jeder Versicherer bieten kann, schnell an ihre Grenzen. Die Auswahl des geeigneten Konzeptes sollte anhand von Preis- und Leistungsmerkmalen unter allen möglichen Anbietern erfolgen. 21 Außerdem ist es wichtig zu wissen, welcher Anbieter oder Vermittler bereits Branchenerfahrung im ECommerce hat, da schon eine unglückliche Abwicklung eines Haftpflichtanspruchs beim versicherten Unternehmen selbst großen finanziellen Schaden anrichten kann. Neben Schadenersatzansprüchen von außen gilt eine Betriebsunterbrechung als die schwerwiegendste Schadensursache im ECommerce. Auch hier ist eine Betriebsunterbrechung nicht gleich einer anderen, ähnlich wie der Begriff Kraftfahrzeug vom Fahrrad mit Hilfsmotor bis hin zum Schwerlasttransporter reicht. Fazit: Ohne den richtigen Überblick und kompetente Berater gleicht die Auswahl geeigneter Versicherungen für E-Commerce-Unterneh-

Vgl. Marsh: Global Communications, Media and Technology Risk Benchmark Report, 2007.

278

Praktisches Risikomanagement in E-Commerce-Unternehmen

men einem Lotteriespiel, in dem die Nieten erst im Schadenfall offensichtlich werden. Betriebswirtschaftlich gesehen lohnt sich deshalb die Investition von Zeit, die Einschaltung geeigneter Versicherungsberater oder die Vergabe sogenannter Makleraufträge zur Optimierung der Gesamtrisikokosten (TCOR). Liegen die entsprechenden Versicherungsangebote vor, stellen sie nur eine der Handlungsalternativen (vgl. Abbildung 3) dar, d. h. sie müssen im Rahmen der TCOR-Optimierung mit anderen Alternativen verglichen werden. Die Bewertung der gesammelten Handlungsalternativen erfolgt anhand der jeweiligen zuvor identifizierten bedrohlichen (und ggf. bedeutenden) Risiken anhand verschiedener Szenarien. Zur vereinfachten Entscheidungsvorbereitung und gleichzeitigen Dokumentation empfiehlt es sich, die Informationen und Annahmen in einer oder mehreren Entscheidungsmatrizen abzubilden.

Anwendungsbeispiel: Entscheidungsmatrix Die Gesamtrisikokosten (TCOR) für das Risiko „Cyber Extortion" (englischer Begriff für räuberische Erpressung mit der Drohung, ζ. B. Daten zu vernichten, vertrauliche Daten zu veröffentlichen oder die Erreichbarkeit von Internetpräsenzen zu unterbinden) sollen minimiert werden, die technischen Maßnahmen wurden umgesetzt. Zur Wahl stehen die Alternativen: „Augen zu und durch" (a1) oder „Risikotransfer" (a2). Die möglichen Umweltzustände für einen Betrachtungszeitraum von fünf Jahren sind: keine Attacke (s1), Attacke mit eintägigen Ausfall (s2), Attacke mit mehrtätigen Ausfall und Reputationsverlust (s3). Die Ergebnismatrix sieht dann wie folgt aus: s1

s2

S3

a1

0

10.000

150.000

a2

16.000

16.000

16.000

279

Pache/Horn

Dieses Werkzeug der Entscheidungstheorie ist insbesondere dann sinnvoll einsetzbar, wenn die Gesamtkosten der jeweiligen Handlungsalternative (TCOR) aufgrund fehlender Eintrittswahrscheinlichkeiten nur geschätzt werden können. Mithilfe ζ. B. der Hurwicz-Regel lassen sich so schnell verschiedene Alternativen miteinander vergleichen und die getroffenen Entscheidungen nachvollziehbar dokumentieren. Die Hurwicz-Regel erlaubt stufenlose Zwischenpositionen zwischen pessimistischen und optimistischen Entscheidungsregeln. Der Entscheidungsträger bringt dabei seine persönliche und subjektive Einstellung durch den sogenannten Optimismusparameter λ (mit 0 < λ < 1) zum Ausdruck. Das Ergebnis berechnet sich wie folgt:

TCORcp = λ * TCORmax + TCORmin (1-λ) Bei einem Optimismusparameter von λ = 0,5 (d. h. weder optimistische noch pessimistische Erwartung) ergibt sich im Beispiel das folgende Ergebnis: Bei Alternative a2 liegen die Gesamtrisikokosten am niedrigsten.

s1

s2

S3

λ = 0,5

a1

0

10.000

150.000

75.000

a2

16.000

16.000

16.000

16.000

Am Ende (des ersten Durchlaufs) dieses Risikomanagementprozesses sind die wesentlichen Unternehmensrisiken identifiziert, katalogisiert, klassifiziert und nach Maßgabe der finanziellen Optimierung (TCOR) mittels geeigneter und aufeinander abgestimmter Maßnahmen minimiert bzw. transferiert. Nun können die Entscheidungen getroffen und kann mit der Umsetzung begonnen werden.

280

Praktisches Risikomanagement in E-Commerce-Unternehmen

Fortführung des praktischen Beispiels: Datenrettung als Bestandteil des Notfallplans Es passiert oft ganz plötzlich und ohne Vorankündigung, dass die Daten eines wichtigen Servers nicht mehr zur Verfügung stehen. Dateien lassen sich nicht mehr öffnen oder werden nicht gefunden. Jetzt muss das Backup eingespielt werden dies ist aber nicht mehr auf dem neusten Stand, da die Sicherung nicht zuverlässig stattgefunden hat oder Fehlerprotokolle übersehen wurden. Am Beispiel eines E-Commerce-Unternehmens, dessen Warenwirtschaftsdatenbank nicht mehr verfügbar ist, würde das bedeuten, dass Kunden keinen Zugriff mehr auf Produkte, Produktbeschreibungen oder das Bestellwesen hätten und somit keine Bestellungen auslösen könnten. Das könnte aber auch wieter bedeuten, dass ein E-Commerce-Unternehmen keine Daten mehr über seine ausgelieferten, jedoch vom Kunden noch nicht bezahlten offenen Posten hat, dass Bestellungen und Lieferungen, die inmitten einer Transaktionsphase waren und abgebrochen wurden, verloren und nicht mehr verfügbar sind. Oder dass Kundendaten mit sämtlichen Zusatzinformationen, wie Kreditkartendaten oder Bankverbindung, komplett verloren sind. Ein derartiges Szenario kann in unterschiedlichster Konstellation zu Zahlungsausfällen, Verzögerungen und zu entgangenen Erträgen bei betroffenen E-Commerce-Unternehmen führen. Häufig nehmen die von Datenverlust Betroffenen an, dass ihre Daten unwiederbringlich verloren sind. Ein guter Datenretter ist jedoch in vielen Fällen in der Lage, die wertvollen Daten ganz oder zu einem großen Teil wiederherzustellen. Oft müssen die betroffenen Medien noch nicht einmal im Labor wiederhergestellt werden: Sie können, falls es sich nicht um einen Hardwareschaden handelt, mittels patentierter Online-Datenrettung (Ontrack Remote Data Recovery - RDR) wieder „zum Le-

281

Pache/Horn

ben erweckt" werden. Und dies, ohne dass die Festplatte überhaupt ausgebaut werden muss. Ein besonderer Vorteil dieser Methode ist der Zeitfaktor: Sogar Daten von RAID-, Ν AS- oder SAN-Systemen können in wenigen Stunden wieder verfügbar gemacht werden. Die einzige und beste Prophylaxe gegen Datenverlust ist natürlich ein konsequent durchgeführtes Backup. Doch nicht immer kann diese Vorbeugungsmaßnahme in einem Unternehmen optimal umgesetzt werden. Auch hier kann Hardware ausfallen, Bänder können unsachgemäß gelagert sein oder es gibt unvorhergesehene Probleme beim Zurückschreiben der Daten. Die modernen Methoden der Datenrettung bringen auch die Daten, die nicht aus einem Backup restauriert werden können, wieder ans Tageslicht. Die Aufgaben der Datenrettung liegen in der Wiederherstellung von gelöschten bzw. beschädigten Daten auf einem Datenträger wie zum Beispiel einer Festplatte oder einem Bandlaufwerk. Die Schäden können dabei nicht nur durch beschädigte Datenstrukturen hervorgerufen werden, sondern auch durch elektronisch oder mechanisch defekte Speichermedien. Diese können so weit beschädigt sein, dass die Daten nicht mehr ohne weitergehende technische Maßnahmen gelesen werden können. Mit der genauen Kenntnis des Betriebssystems, der vorhandenen Netzstruktur und der für diesen Fall geeigneten Werkzeuge zur Datenrettung kann durch einen professionellen Eingriff oft eine rasche und erfolgreiche Datenwiederherstellung eingeleitet werden. Daten in Informationssystemen sind einer Vielzahl von Bedrohungen und Gefahren ausgesetzt. Die Ursachen für den Verlust von Daten sind vielfältig, die Hauptursache stellen allerdings Fehlbedienungen dar. Katastrophen sind eher selten der Grund für Datenverlust. Die präventiven Sicherheitsmaßnahmen soll-

282

Praktisches Risikomanagement in E-Commerce-Unternehmen

ten mögliche Schäden durch unbeabsichtigte Handlungen wegen Unwissenheit oder mangelnder Sorgfalt, Bedien- und Programmfehler berücksichtigen verhindern. Daher gehört auch das Anlegen von Backups, die Vergabe von Zugriffsrechten, die Schulung der Mitarbeiter, Zugangskontrollen zu Serverräumen aber auch Ausfall und Störungen von Hardwarekomponenten oder Stromausfall, Terrorakte oder Computerviren zum Zwecke der Schädigung oder persönlichen Bereicherung und konventionelle Ursachen wie Feuer, Wasser oder Blitzschlag zu den zu berücksichtigende Risikoursachen. Neben präventiven technischen und organisatorischen Maßnahmen, vertraglichen Risikoüberwälzungen und Risikotransferlösungen sind Notfallpläne unbedingt erforderlich. Teilweise sind sie sogar Voraussetzung, um überhaupt adäquate Versicherungslösungen einkaufen zu können. Neben den Publikationen des BSI, genannt seien hier vor allem die Grundschutzkataloge, gibt es eine Reihe - meist englischsprachiger - Literatur zur Umsetzung. Ein praktikabler Weg zur Erstellung und Pflege eines solchen Notfallplans „Datenveriust" ist die folgende Checkliste:22 Checkliste Desaster-Recovery-Plan: •

Wie wichtig sind die einzelnen Daten/Dateien?

•

Wie lange kann das Unternehmen ohne seine Daten weiterarbeiten?

•

Was ist der Wert der verlorenen Daten?

•

Wie hoch wären die Verluste bei einem Totalausfall des Systems?

22

Vgl. Kroll Ontrack: Whitepaper - Desaster Recovery, Böblingen 2007.

283

Pache/Horn

•

Welche Ressourcen (Rechner, Speichereinheiten müssen wann und wo zur Verfügung stehen?

•

Wie aktuell müssen die Datenbestände sein?

•

Könnte eine kleinere Anzahl an Daten/Aktionen verloren gehen, ohne Auswirkungen zu hinterlassen? Welche Daten müssen sofort verfügbar sein, um das System neu zu starten?

•

Gibt es Daten, auf die im ersten Schritt der Recovery verzichtet werden kann? Welche?

•

Wie hoch gestalten sich die Kosten, verlorene Daten wieder herzustellen?

•

Sind Notrufnummern im Unternehmen gut leserlich angebracht und im Schadensfall für jeden zu finden?

•

Ist das zuständige Data-Recovery-Team kompetent, auf dem aktuellsten Wissenstand und mit genügend Mitgliedern ausgestattet?

•

Gegen welche Art von Katastrophe gilt es, sich primär zu schützen?

•

Wie ist die IT-Infrastruktur des Unternehmens beschaffen? Existieren sekundäre Rechenzentren? Gibt es ausgelagerte gesicherte Daten (Storage-Provider)?

•

Wie steht es um Zweitstromversorgung oder BandbreitenZuverlässigkeit im Katastrophenfall?

•

Wurde die Datensicherung bei einem Serviceprovider abgewickelt? Wie schnell kann dieser im Notfall reagieren?

•

Wurden regelmäßige Tests des Desaster Recovery durchgeführt? Waren die Tests an die jeweils im Unternehmen bestehende Situation (Daten/Infrastruktur etc.) angepasst

284

etc.)

Praktisches Risikomanagement in E-Commerce-Unternehmen

und nicht statisch? •

Welches Budget muss veranschlagt werden, um einen Recovery-Plan vernünftig zu planen und umzusetzen?

•

Welche Art der Datensicherung und des Desaster Recovery sind für das Unternehmen wirklich sinnvoll?

Auf dem Markt der „Datenretter" gibt es, wie auch in der E-Commerce-Branche, gute, weniger gute und schlechte Anbieter. Um hier im Notfall nicht erst in die gelben Seiten blicken zu müssen und dann womöglich auch noch an eines der „schwarzen Schafe" zu geraten, welches in der Datenwiederherstellung dann bestenfalls suboptimale Ergebnisse liefert, sollte man sich bereits im Vorfeld mit vertrauenswürdigen und kompetenten Anbietern über ein mögliches Procedere und ggf. aushandelbare Rahmenverträge oder Priorisierungsmöglichkeiten verständigen.

Aus wissenschaftlicher Sicht gäbe es eine ganze Reihe weitere Aspekte, Theorien und Instrumente die erwähnenswert wären, auf der anderen Seite findet man zum Teil noch „gefühltes" Risikomanagement anstelle planvollen Handelns. Dieser Beitrag hat sich bewusst darauf beschränkt, einen umsetzbaren und praktikablen „80/20"-Ansatz für das Risikomanagement eines E-Commerce-Unternehmens aufzuzeigen, der den Erfordernissen und Zwängen des betrieblichen Alltags gerecht wird.

Literaturverzeichnis Die Zeitschrift für Informations-Sicherheit (Sonderdruck): / Microsoft-Sicherheitsstudie 2006.

285

Pache/Horn

1-ePerformance Report 2007, Deutschland im Vergleich, TNS Infratest Forschung GmbH im Auftrag des Bundesministeriums für Wirtschaft und Technologie, München/Berlin 2007. BITKOM: Matrix der Haftungsrisiken, Berlin 2005. BITKOM: Jeder fünfte Deutsche verkauft Waren privat im Internet (Pressemitteilung), 27.06.2007. BITKOM: Allzeithoch bei Downloads: Umsatz klettert 2007 auf 168 Millionen Euro (Pressemitteilung), 05.12.2007. Capgemini: IT-Trends 2006, zitiert nach Bundesamt für Sicherheit in der Informationstechnik: Die Lage der IT-Sicherheit in Deutschland 2007. Computerwoche.de: Erneuter 26.09.2007.

Datenklau

bei

Ebay,

Meldung

vom

Computerwoche.de: Gartner prophezeit steigende Kosten durch Datenverluste, Meldung vom 16.10.2007. Computerwoche.de/Simon Hülsbömer: Gesetz: Web-Händler müssen für sichere Kreditkarten-Transaktionen sorgen, 12.09.2007. Heise-Online: „Zehntausende Kartenhaus-Kunden von KreditkartendatenDiebstahl betroffen", Heise-Newsticker vom 04.10.2007. InformationWeek: InformationWeek-Studie „IT-Sicherheit 2007" zitiert nach Hamburg@work, Newsletter vom 24.10.2007. Kroll Ontrack: Whitepaper- Desaster Recovery, Böblingen 2007. Kroll Ontrack: Kroll Ontrack zieht positive Bilanz für 2006: Auftragsvolumen für Datenrettung innerhalb von zwei Jahren nahezu verdoppelt, Pressemitteilung, 15.02.2007. Kroll Ontrack: Neue Datenverlust-Studie von Kroll Ontrack zeigt: Hardware-Schäden nehmen zu, Pressemitteilung, 24.04.2007. Kroll Ontrack/Peter Bohret: „Den Daten auf der Spur" - Handbuch zur Datenrettung und Computer Forensik, Böblingen 2004. Marsh: Global Communications, Media and Technology Risk Benchmark Report, 2007. PCI Security Standards Council: PCI Security Standards Council strengthens Data Security (press release), Wakefield, Mass., Nov. 7, 2007. searchsecurity.de/Stephan Augsten: PCI-DSS-Compliance wird für Kreditkarten-Unternehmen zur Pflicht-Aufgabe, 08.01.2008.

286

Praktisches Risikomanagement in E-Commerce-Unternehmen

Statistisches Bundesamt: Informations- und Kommunikationstechnologie in privaten Haushalten 2006, Wiesbaden 2007. Zierke, Jörg: Tatort Internet - eine globale Herausforderung für die Innere Sicherheit, Vortragsskript zur BKA-Herbsttagung 2007.

287

Pache/Horn

288

Peter Ledermann

„Mögliche finanzielle Gefährdungen können nicht komplett ausgeschlossen werden, man kann nur sinnvoll mit ihnen umgehen" - Risikomanagement im E-Commerce am Beispiel des Online-Händlers Mercateo

289

Ledermann

Inhaltsverzeichnis 1

Einleitung: Die Handelsplattform Mercateo

291

2

Vorausschauende Liquiditätsplanung

292

3

Balanceakt Bonitätsprüfung

293

4

Fazit und Ausblick

296

290

Risikomanagement im E-Commerce am Beispiel des Online-Händlers Mercateo

1

Einleitung: Die Handelsplattform Mercateo

Über die B2B-Handelsplattform www.mercateo.com vertreibt Mercateo ein Sortiment von über drei Millionen Artikeln von mehr als 10.000 Herstellern, das sowohl den allgemeinen Geschäfts- als auch den spezialisierten Fachbedarf für die unterschiedlichsten Branchen abdeckt - so zum Beispiel Büromaterial, Elektronik, ITBedarf oder Betriebs- und Lagerausstattung. Unser Angebot richtet sich vor allem an kleine und mittelständische Unternehmen, aber auch Konzerne, öffentliche Einrichtungen und Freiberufler zählen zu unserer Zielgruppe. Pro Monat greifen circa zwei Millionen Besucher auf die Seiten von Mercateo zu, wobei die registrierten 360.000 Kunden rund 20.000 Bestellungen tätigen. Unser Geschäftsmodell sieht vor, dass wir für die Unternehmen wie eine ausgegliederte Einkaufsabteilung agieren. Das heißt, die Kunden ordern auf unserer Plattform die gewünschten Artikel, wir leiten ihre Bestellung an die entsprechenden Handelspartner weiter und diese liefern die Ware direkt an die Kunden. Anschließend bezahlen wir die Partner und stellen dem Kunden eine Rechnung. So gibt es für die Kunden durch uns immer nur einen Ansprechpartner und eine Rechnung, auch wenn die Artikel von verschiedenen Handelspartnern geliefert werden (Abbildung 1).

Abbildung 1 : Das Geschäftsmodell von Mercateo registriert sich Ix bestellt Artikel erhält 1 Rechnung

Kunde

Î

über 10.000 Hersteller

Ο mercateo über 3 Mio. Artikel

stellen Ihre Artikel bei Mercateo online

_ _ L J

Handelspartner

liefern im Auftrag der Mercateo AG

291

Ledermann

Dieser Service für die Kunden bedeutet auf der anderen Seite jedoch ein finanzielles Risiko für uns, da wir bei Bestellungen in Vorleistung treten und unsere Lieferanten - unter der Ausnutzung von gewährten Skonti - immer pünktlich bezahlen, auch wenn wir das Geld vom Kunden noch nicht erhalten haben. Ein durchschnittlicher Warenkorb bei Mercateo hat einen Wert in Höhe von rund 150 Euro. Deswegen ist für uns zwar kein einzelner Kunde geschäftsschädigend, der nicht zahlt, aber wir tragen ein kumuliertes Risiko - die Masse von vielen verspätet oder gar nicht zahlenden Kunden stellt eine Gefahr für uns dar. Um dieses Risiko zu minimieren, setzen wir zum einen auf eine fundierte und konstante Liquiditätsplanung und zum anderen auf weitestgehend standardisierte Prozesse zur Bonitätsprüfung, um Forderungsausfälle möglichst zu verhindern.

2

Vorausschauende Liquiditätsplanung

Ein Sicherstellen der zur Verfügung stehenden Zahlungsmittel bedeutet für uns vor allem, vorausschauend zu denken. Wir prüfen nicht nur täglich unseren Kontostand, sondern berechnen auch zwei Wochen im Voraus die liquiden Mittel. Das ermöglicht uns, die ein- und ausgehenden Zahlungen bestmöglich aufeinander abzustimmen und zu optimieren. Wichtig für unsere Planung sind dabei vor allem auch saisonale Besonderheiten. Ein Beispiel dafür ist Weihnachten. Kurz vor Ende des alten Jahres bestellen viele Kunden noch eine Reihe von benötigten Artikeln bei uns. Schicken wir ihnen dann aber eine Rechnung, bleibt diese über die Feiertage in den Firmen häufig erst einmal liegen. Da die Weihnachtsfeiertage inklusive Wochenende rund fünf Tage dauern, heißt das für uns, dass wir zusätzlich ca. eine Million Euro für diese Zeit an liquiden Mitteln zusätzlich einplanen müssen, damit wir unsere Lieferanten zeitnah bezahlen können. Wenn wir das rechtzeitig bedenken,

292

Risikomanagement im E-Commerce am Beispiel des Online-Händlers Mercateo

können wir stattdessen aber auch ein günstiges Zusammenkommen von Ein- und Auszahlungen steuern. Für die Feiertage beispielsweise würde das bedeuten, dass es sich in diesem Fall besser rechnet, keine Skonti bei den Lieferanten in Anspruch zu nehmen, sondern sie lieber später zu zahlen, da auch unsere Kunden später zahlen.

3

Balanceakt Bonitätsprüfung

Wie jedes andere Unternehmen haben wir neben Kunden, die ihre Rechnung verspätet zahlen, noch ein Risiko durch Kunden, die möglicherweise gar nicht zahlen. Allerdings haben wir nicht einen oder zwei Großkunden, von denen unser Geschäft abhängig ist, sondern eine Vielzahl von Kleinkunden. Dadurch ergeben sich bei uns besondere Anforderungen, wenn wir Zahlungsausfälle verhindern wollen. Denn viele kleinere Kunden kann man nicht mit dem gleichen Aufwand prüfen wie einen Großkunden. Zum einen wäre es zu teuer, zum anderen würden Kunden, die bei uns beispielsweise einen Drucker kaufen möchten, sofort abspringen, wenn man sie zuvor erst tagelang hinsichtlich ihrer Kreditwürdigkeit „unter die Lupe" nehmen würde. Die Kunst besteht bei uns deshalb darin, einen standardisierten und gründlichen Prüfprozess aufzusetzen, der Forderungsausfälle vermeiden hilft, der auf der anderen Seite aber nicht so intensiv ist, dass er Kunden verprellt. Sobald ein Prozess standardisiert ist, bietet er die Möglichkeit, dass sich Fehler einschleichen, da Kunden „durch das Raster" rutschen können. Aber dieses Risiko müssen wir in einem gewissen Maße eingehen, um den Großteil unserer Kunden sicher und effizient prüfen zu können. Insgesamt haben wir bei Mercateo nur eine Ausfallquote von circa 0,4 Prozent pro Jahr. Leider verursachen diese Bestellungen durch das notwendige gerichtliche Mahnverfahren die meiste Arbeit, aber es heißt

293

Ledermann

auch, dass circa 99,6 Prozent der Rechnungen jedes Jahr ordnungsgemäß bezahlt werden. Von der Organisation her haben wir es so geregelt, dass das gleiche Mitarbeiterteam sowohl für die Bonitätsprüfung der Kunden als auch für die Rechnungsstellung und das Mahn- und Inkassowesen zuständig ist. So findet eine permanente Kontrolle statt. Wenn Mitarbeiter einen Kunden mahnen müssen, haben sie ihm zuvor schon eine positive Bonität ausgestellt und können aus diesem Fall Rückschlüsse für zukünftige Prüfungen ziehen. Denn auch bei einem standardisierten Prozess, der weitestgehend automatisch abläuft, sind die Erfahrungen und die Intuition unserer Mitarbeiter von großer Bedeutung. Letztendlich beurteilen sie einen Kunden. Mercateo ist permanent online mit der Creditreform (e-crefo) und der Schufa verbunden; Gewerbetreibende werden über die e-crefo und Freiberufler über die Schufa geprüft. Geht eine Bestellung bei uns ein, schauen sich unsere Mitarbeiter zunächst bestimmte Grundparameter an und schätzen das Risiko des Kunden ein. Handelt es sich beispielsweise um einen Neukunden, der Artikel ab einem Wert von 100 Euro bestellt, oder um einen Bestandskunden, der bisher nur preiswerte Artikel gekauft hat, plötzlich aber einen sehr hohen Warenwert ordert, so lassen sie die Zahlungsfähigkeit sofort über die e-crefo oder Schufa prüfen. Die e-crefo, die auf die Datenbank der Creditreform zurückgreift, arbeitet mit einem Ampelsystem: Jeder Kunde bekommt nach Einschätzung seiner Zahlungsfähigkeit eine Ampelfarbe zugeordnet. Eine rote Ampel bedeutet für uns, dass wir das Geschäft besser nur gegen Vorkasse abschließen, da der Kunde zahlungsunfähig ist. Gelb heißt, dass wir vorsichtig sein und uns den Kunden noch einmal genau anschauen sollten und eine grüne Ampel sagt uns, dass der Geschäftspartner unbedenklich ist. Hinter den Ampelfarben stehen bestimmte Scoringwerte, die wir im Vorfeld mit der e-crefo vereinbart haben.

294

Risikomanagement im E-Commerce am Beispiel des Online-Händlers Mercateo

Doch nicht nur Kunden, die eine gelbe Ampel erhalten haben, sind für uns „unsichere Kandidaten". Denn sowohl e-crefo als auch die Schufa können ihre Bonitätsprüfungen nur auf Grundlage der Vergangenheit erstellen. Sie haben die Möglichkeit, festzustellen, ob ein Kunde in der Vergangenheit vertrauenswürdig war, nicht aber jedoch, ob er das auch in Zukunft sein wird. An dieser Stelle kommt deshalb wieder das Gespür unserer Mitarbeiter ins Spiel und somit erlangen „weiche Faktoren" an Bedeutung. Neben dem automatisierten Prozess der Prüfung durch e-crefo und Schufa müssen die Mitarbeiter die erhaltenen Daten der Kunden einem Plausibilitätscheck unterziehen. Es wird zum Beispiel darauf geachtet, ob die angegebene E-Mail-Adresse zu der Webadresse des Unternehmens passt, oder auch, ob nur eine Mobilfunknummer anstelle einer Festnetznummer genannt wird. All diese Zeichen können Hinweise auf Seriosität oder Unseriosität sein. Selbstverständlich müssen diese schnellen Sichtchecks bei der Masse der Bestellungen stets im Verhältnis zu Zeit und Kosten stehen. Die Bonitätsprüfung bei Mercateo ist also eine Mischung aus standardisiertem Prozess und individuellen Einschätzungen und damit ein Balanceakt zwischen dem Risiko des Forderungsausfalls und der Verprellung der Kunden wegen zu langwieriger Prüfprozesse. Wir können das Risiko des Forderungsausfalls nicht komplett ausschließen, sondern nur minimieren, indem wir unsere Mitarbeiter dazu anhalten, ein gewisses Risikobewusstsein zu entwickeln. Gleichzeitig müssen wir sie mit allen möglichen technischen Mitteln bei ihrer Arbeit unterstützen. So haben wir bei Mercateo beispielsweise hohe Anforderungen an unsere IT-Systeme. Sie sind so aufgebaut, dass wir nicht nur regelmäßig unsere Prozesse weiter automatisieren können, sondern wir sorgen auch für regelmäßige Backups und Sicherungskopien unserer Daten und Systeme. Alle Rechnungsdaten, Zahlungsein- und -ausgänge, alle Kundendaten sind dem Datenschutz entsprechend gespeichert. Jeder Mitarbeiter hat abteilungsübergreifend gleichen Zugriff auf die Kundenkonten

295

Ledermann

und ergänzt diese regelmäßig durch aktuelle Details, wie beispielsweise eine erfolgte Korrespondenz oder ein Telefonat. Umfassende Informationen, die allen zur Verfügung stehen, sind zusätzliche Hilfe, Risiken zu minimieren.

4

Fazit und Ausblick

Auch zukünftig wird uns das Risikomanagement vor Herausforderungen stellen. Wir werden weiterhin versuchen, Prozesse zu automatisieren. So haben wir uns vorgenommen, ein durchgängiges Managementinformationssystem bei Mercateo zu etablieren, denn zur Zeit werden gewisse Sicherheitsrisiken zwar erkannt, aber nicht im System abgebildet. Ein Beispiel: Wenn sich die Versendung eines Mahnschreibens zeitlich verschiebt, bedeutet dies, dass der Kunde später zahlt - dadurch steigt unser Liquiditätsbedarf. Durch das Automatisieren von Prozessen werden Risiken reduziert, aber es können auch neue Risiken entstehen, beispielsweise, weil man sich darauf verlässt, dass alles nach Regeln verläuftman schaut nicht mehr so genau hin. Deswegen ist ein permanentes Monitoring aller relevanten Unternehmensbereiche ein wichtiges Kontrollinstrument. Wichtiger noch als dieses ist für uns aber der Faktor Mensch, also Mitarbeiter, die durch alle Hierarchiestufen hindurch ein gesundes Risikoverständnis besitzen. Leute, die mitdenken und die auf ihre Erfahrung und Intuition setzen, auch wenn die Bonitätsprüfung der Creditreform eine grüne Ampel gemeldet hat. Die gesunde Mischung aus automatisierten Prozessen und intelligenten Mitarbeitern wird uns helfen, mit Risiken sinnvoll umzugehen, denn komplett ausschließen können wir sie nicht. Auf der Grundlage unserer

296

Risikomanagement im E-Commerce am Beispiel des Online-Händlers Mercateo

Erfahrungen haben wir Anregungen für ein sinnvolles Risikomanagement im Unternehmen in Tabelle 1 zusammengefasst.

Tabelle 1: Tipps für den Umgang mit Risiken im Unternehmen

•

Risiken kann man nicht komplett ausschließen, man kann nur richtig mit ihnen umgehen.

•

Über alle Hierarchiestufen hinweg sollten Risiken von Mitarbeitern verstanden werden. Daher muss die Unternehmensleitung ihnen helfen, ein gesundes Risikobewusstsein zu entwickeln.

•

Wenn Risiken vorhanden sind, können Fehler passieren. Dafür dürfen Mitarbeiter nicht bestraft werden.

•

Alle wichtigen Informationen, zum Beispiel über die Kunden, sollten allen Beteiligten zur Verfügung gestellt werden.

•

Wo es möglich ist, Prozesse automatisieren. Denn wenn Dinge manuell erledigt werden, wie beispielsweise das Kopieren von Datenblättern, können Fehler auftreten.

•

Es ist wichtig, Unternehmensbereiche, in denen Risiken auftreten können, kontinuierlich zu beobachten (regelmäßiges Monitoring).

297

Ledermann

298

Autoren- und Herausgeberverzeichnis Dipl.-Kfm. Oliver Benesch (geb. 1978) ist nach Abschluss des Studiums an der Ludwig-Maximilians-Universität München und diversen Praktika seit 2005 bei der telego! im Produktmanagement/Vertrieb für die Bereiche Risikomanagement (creditPass) und ePayment tätig. Kontakt: telego! GmbH, Mehlbeerenstraße 4, 82024 Taufkirchen, Tel.: 089/273747-0, Fax: 089/273747-400, E-Mail: [email protected]. Markus Breitschaft, Dipl. Wirtsch.-Inf., absolvierte eine Ausbildung zum Luftwaffenoffizier. Nach dem Studium der Wirtschaftsinformatik mit den Schwerpunkten Bankinformatik, Kryptographie, Systemtheorie und Finanzierung an der Universität Regensburg war er als Consultant für Informationstechnologie bei Pallassoft beschäftigt. Seit 2002 arbeitet er als Projektleiter bei ibi research an der Universität Regensburg. Kontakt: ibi research an der Universität Regensburg GmbH, Regerstraße 4, 93053 Regensburg, Tel.: +49-941-943-1901, Fax: +49-941-943-1888, E-Mail: [email protected], Internet: http://www.ibi.de, http://www.ecommerceleitfaden.de.

299

Autoren- und Herausgeberverzeichnis

Prof. Dr. Gordon Eckardt vertritt seit 2005 die Fachgebiete ABWL, Management und Marketing an der FH Kiel. Seine Forschungsschwerpunkte sind Business-toBusiness-Marketing, Category Management, Markenführung sowie Einsatz handlungsorientierter Lehrmethoden im Managementtraining (insb. Unternehmenssimulationen). Kontakt: E-Mail: [email protected]. Lennard Grewe (Jahrgang 1980) - Senior Consultant bei der SMP AG - studierte internationale Betriebswirtschaftslehre an der Munich Business School in München, European Business School in Paris und European Business School in Dublin. Er besitzt tiefgreifende Projekterfahrung in der Optimierung und Steuerung von Kundenprozessen und hat bereits mehrfach Projekte im Zusammenhang mit einem Redesign des gesamten Bonitätsprüfungsprozesses leitend begleitet. Kontakt: SMP AG, Wasserstraße 8, 40213 Düsseldorf, Telefon: +49 (0) 211 13 06 690, Fax: +49 (0) 211 13 06 69-59, E-Mail: [email protected].

300

Autoren- und Herausgeberverzeichnis

Dipl. Inf. (FH) Thomas Heppner ist seit 1991 für die Envers AG tätig. Als Vorstand verantwortet er die Forschung und Entwicklung der FlexCove-Platform, einer ECommerce-Plattform der gehobenen Funktionalität zur Realisierung komplexer ECommerce-Anwendungen. Er beschäftigt sich seit 1997 schwerpunktmäßig mit ECommerce-Anwendungen und hat eine sehr breite Erfahrung sowohl im Handelssegment als auch auf Seiten der produzierenden Industrie. Kontakt: Tel.: 02065-83640, E-Mail: [email protected]. Prof. Dr. Tilo Hildebrandt ist Professor für Internet-Marketing, E-Commerce, VWL und Rahmenbedingungen der Ökonomie an der europäischen Fachhochschule, Brühl. Kontakt: E-Mail: [email protected]. Dr. Jens-Werner Hinrichs ist Unternehmensberater für Banken bei der Steria Mummert Consulting AG in Hamburg sowie Geschäftsführer der fiveforces GmbH in Jever. Er ist seit 1999 in Projekten in ECommerce und Ε-Finance tätig und promovierte 2002 am Lehrstuhl für Wirtschaftsinformatik und Financial Engineering der Universität Augsburg.

301

Autoren- und Herausgeberverzeichnis

Margret Horn ist Manager Business Development bei Kroll Ontrack, dem weltweit führenden Anbieter für Datenrettung, Datenlöschung und Computer Forensik. Sie ist seit Oktober 1997 bei Kroll Ontrack. Bis Ende 1999 war sie als Kundenberaterin im Bereich Datenrettung tätig. Seit Januar 2000 ist sie verantwortlich für den Bereich Business Development bei Kroll Ontrack und dort speziell für alle Partneraktivitäten und Kooperationen des Unternehmens für den Service-Bereich Datenrettung und Software für Deutschland, Österreich und die Schweiz (DACH). Neben der Betreuung der bestehenden Partner arbeitet sie an der kontinuierlichen Erweiterung der partnerschaftlichen Aktivitäten durch neue Kooperationen und strategische Allianzen im In- und Ausland. Kontakt: Kroll Ontrack GmbH, 71034 Böblingen, Tel.: +49 7031 644 285, E-Mail: [email protected].

302

Autoren- und Herausgeberverzeichnis

Dr. Kai Hudetz ist seit 2002 stellvertretender Geschäftsführer des Instituts für Handelsforschung an der Universität zu Köln. Bereits seit dem Jahr 2000 leitet er das dort angesiedelte E-Commerce-Center Handel, in dem er zuvor als wissenschaftlicher Mitarbeiter tätig war. Nach dem Studium des Wirtschaftsingenieurwesens an der Universität Karlsruhe folgte 2000 die Promotion zum Dr. rer. pol. an der Universität zu Köln. Im Jahr 2003 wurde Dr. Hudetz in den Beirat des BMWi-Förderprojekts PROZEUS (Prozesse und Standards), im Mai 2007 in den Beirat des Projekts „e-Business Market Watch - The Retail Industry" der Europäischen Union berufen. Er war Mitglied des vom BMWi initiierten Ausschusses für Definitionen zu Handel und Distribution, dessen Arbeit Anfang 2006 in die 5. Ausgabe des Katalog E mündete. Kontakt: Tel.: 0221-943607-70, E-Mail: [email protected]. Thomas Krabichler, Dipl.-Kfm., absolvierte von 1996-1998 eine Ausbildung zum Bankkaufmann. Im Jahr 2002 schloss er das Studium der Betriebswirtschaftslehre mit den Schwerpunkten Wirtschaftsinformatik, Marketing sowie Finanzierung und Bankbetriebslehre an der Universität Eichstätt-Ingolstadt ab. Seitdem ist er Projektleiter im Kompetenzzentrum E-Business bei ibi research an der Universität Regens-

303

Autoren- und Herausgeberverzeichnis

bürg. Kontakt: ibi research an der Universität Regensburg GmbH, Regerstr. 4, 93053 Regensburg, Tel.: +49-941-943-1901, Fax: +49-941-943-1888, E-Mail: [email protected], Internet: http://www.ibi.de, http://www.ecommerceleitfaden.de. Dr. Malte Krüger hat seit Februar 2004 die Vertretung des Lehrstuhls „Geld und Währung" an der Universität Karlsruhe inne. Zudem ist er als Unternehmensberater bei der PaySys Consultancy GmbH (Frankfurt) tätig. Er hat 1994 im Fach Volkswirtschaftslehre an der Universität zu Köln promoviert und war als Gastwissenschaftler bei der Banco de Espana und an der University of Western Ontario (Kanada) tätig. Es folgten Aufenthalte als Lecturer an der University of Durham und als Gastwissenschaftler am Institute of Prospective Technological Studies (IPTS) in Sevilla. Dr. Krüger hat vielfach in nationalen und internationalen Zeitschriften über den Zahlungsverkehr veröffentlicht und an mehreren Forschungsprojekten zum Thema „elektronischer Zahlungsverkehr" mitgewirkt

304

Autoren- und Herausgeberverzeichnis

Peter Ledermann (41) ist Vorstand der Online-Handelsplattform Mercateo (www.mercateo.com), wo er die Bereiche Personal, Finanzen und Marketing verantwortet. Der Betriebswirt war nach seinem Studium zunächst bei einem Regionalversorgungsunternehmen des damaligen Bayernwerks, heute EON Energie AG, tätig. Mit der inzwischen wieder beendeten Beteiligung der E ON Energie-Gruppe an der Mercateo AG wechselte Peter Ledermann Ende 2000 in den Vorstand der Mercateo AG. Kontakt: Sendlinger Straße 2, 80331 München, Tel.: 089-20-60-997-20, E-Mail: [email protected]. Thomas Pache ist als Dipl.-Ing und Dipl.Wirtschaftsing. Leiter des Branchenteams Communications, Media & Technology bei Marsh, dem weltweit führenden Versicherungsmakler und Risikoberater mit etwa 26.000 Mitarbeitern in mehr als 100 Ländern. Bis Anfang 2006 verantwortete er den Bereich IT-Haftpflichtversicherungen beim Industrieversicherer Gerling. Seit Anfang 2007 ist er Branchenteamleiter bei Marsh und unterstützt Kunden in Deutschland und Österreich bei Risikoanalysen, im Risikomanagement sowie bei der Risikotransferoptimierung. Kontakt: Marsh GmbH, Cremon 3, 20457 Hamburg, Tel.: +49 40 37692 252, E-Mail: [email protected].

305

Autoren- und Herausgeberverzeichnis

Dr. Stefan Sackmann: Nach einer Berufsausbildung als Kommunikationselektroniker und dem Studium der Volkswirtschaftslehre an der Universität Freiburg begann seine wissenschaftliche Laufbahn am Institut für Informatik und Gesellschaft (Telematik) der Universität Freiburg. Im Dezember 2002 promovierte er an der Wirtschafts- und Verhaltenswissenschaftlichen Fakultät der Universität Freiburg. Seither ist er als Wissenschaftlicher Assistent tätig und hat seine Forschungsschwerpunkte im Bereich des betrieblichen Einsatzes von Informationstechnologien. Er leitet derzeit das im Forschungsschwerpunkt Internetökonomie vom BMBF geförderte Projekt EVENT und widmet sich insbesondere Fragestellungen zur IT-Sicherheit, dem Schutz von Privatsphäre im Kontext aktueller technischer Entwicklungen und dem Management von IT-Risiken. Kontakt: Albert-Ludwigs-Universität Freiburg, Institut für Informatik und Gesellschaft, Abteilung Telematik, Friedrichstraße 50, 79098 Freiburg i. Br., Tel: +49 761 203 4928.

306

Autoren- und Herausgeberverzeichnis

Dipl. Betriebswirt Hans Klaus Schuppert hat 1984 die Envers AG gegründet und ist als Vorstand für den Bereich Design und Consulting von Geschäftsprozessen im ECommerce-Umfeld zuständig. Er beschäftigt sich seit 1997 schwerpunktmäßig mit E-Commerce-Anwendungen und hat eine sehr breite Erfahrung sowohl im Handelssegment als auch auf Seiten der produzierenden Industrie. Kontakt: Tel.: 02065-83640, E-Mail: [email protected]. Marc Oliver Seiler (Jahrgang 1978) studierte Volkswirtschaftlehre an der AlbertLudwigs-Universität Freiburg und Betriebswirtschaftslehre mit Schwerpunkt „Dienstleistungsmanagement" an der Fernuniversität Hagen. Er promovierte an der Humboldt-Universität Berlin zur Frage nach steuerpolitischen Antworten auf das Verhalten von Niedrigsteuerstaaten. Bei der SMP AG behandelt Marc Oliver Seiler als Consultant vorwiegend Vertriebsthemen mit Schwerpunkt auf der Optimierung von Prozessen. Er verfügt über umfangreiche Projekterfahrung im Bereich der Bonitätsprüfung bei großen deutschen Universalund SpezialVersendern.

Ja

Kontakt: SMP AG, Wasserstraße 8, 40213 Düsseldorf, Telefon: +49 (0) 211 13 06 690, Fax: +49 (0) 211 13 06 69-59, E-Mail: [email protected].

307

Autoren- und Herausgeberverzeichnis

Dipl. Inform. Marcus Siegl: Nach dem Studium der Informatik an der Universität Karlsruhe begann seine berufliche Laufbahn im Jahr 2000 als International Business Development Manager eines Payment-Plattform-Anbieters für E- & M-Commerce-Händler. Er begleitete den Roll-Out dieser Plattform nach Österreich, England, Schweden und Kuwait. Im Jahr 2004 wechselte er als Inhouse Consultant zur InFoScore-Gruppe bzw. zur arvato infoscore GmbH, einem führenden deutschen Anbieter von Dienstleistungen im Bereich Risiko- und Forderungsmanagement. Er begleitet dort seit Ende 2006 als Risk Management Consultant verschiedene Projekte in den Branchen Telekommunikation, Banken und Handel. Gleichzeitig promoviert er zum Thema „Steuerung des Forderungsausfall-Risikos im E-Commerce (B2C)" am Institut für Informatik und Gesellschaft (Telematik) der Universität Freiburg. Kontakt: arvato infoscore GmbH, Rheinstraße 99, 76532 Baden-Baden, Tel: +49 172 7850504.

308

Autoren- und Herausgeberverzeichnis

Dr. Ernst Stahl, Dipl.-Kfm., ist seit dem Abschluss seines Studiums der Betriebswirtschaftslehre am Forschungsinstitut ibi research an der Universität Regensburg (www.ibi.de) tätig und promovierte 2004 im Themenfeld des strategischen Managements. Seit 2003 leitet er als Research Director das Kompetenzzentrum E-Business. Kontakt: ibi research an der Universität Regensburg GmbH, Regerstr. 4, 93053 Regensburg, Tel.: +49-941-943-1901, Fax: +49-941-943-1888, E-Mail: [email protected], Internet: http://www.ibi.de, http://www.ecommerceleitfaden.de. Sebastian van Baal (Dipl.-Volksw., Dipl.Kfm., MBA) ist wissenschaftlicher Mitarbeiter am Institut für Handelsforschung an der Universität zu Köln. Seine Forschungsschwerpunkte betreffen die ökonomischen Aspekte des Internets und das Konsumentenverhalten. Im Zuge seiner Forschungstätigkeit hat Herr van Baal zahlreiche Projekte unter anderem für privatwirtschaftliche und öffentliche Auftraggeber durchgeführt und vielfach Beiträge in nationalen und internationalen Publikationen veröffentlicht, insbesondere zum Internet-Zahlungsverkehr und zum Multi-Channel-Management. Kontakt: Tel.: 0221-943607-70, E-Mail:

309

Autoren- und Herausgeberverzeichnis

[email protected]. Prof. Dr. Ute Vanini vertritt seit 2003 die Fachgebiete ABWL und Controlling an der FH Kiel. Ihre Forschungsschwerpunkte sind Risikomanagement- und -controllingsysteme, Auswirkungen einer IFRS-Rechnungslegung auf das Controlling sowie Dysfunktionale Verhaltensweisen durch Controlling(-instrumente). Kontakt: E-Mail: [email protected]. Georg Wittmann, Dipl.-Kfm., studierte von 1997-2002 Betriebswirtschaftslehre an der Universität Regensburg mit den Schwerpunkten Bankinformatik, Finanzierung und Statistik. Seit Abschluss seines Studiums ist Georg Wittmann Projektleiter im Kompetenzzentrum E-Business bei ibi research an der Universität Regensburg. Kontakt: ibi research an der Universität Regensburg GmbH, Regerstr. 4, 93053 Regensburg, Tel.: +49-941-943-1901, Fax: +49-941-943-1888, E-Mail: [email protected], Internet: http://www.ibi.de, http://www.ecommerceleitfaden.de.

310

Autoren- und Herausgeberverzeichnis

Di pl.-Kfm. Manfred K. Wolff (geb. 1966) war nach Aufenthalten in England und Frankreich sowie Examen an der Universität zu Köln fünf Jahre für eine Unternehmensberatung tätig, zuletzt als Bereichsleiter für Sanierungsmanagement und Controlling. Bei dem Serviceprovider Talkline war er unter anderem für das Internetgeschäft sowie das Geschäftskundenmarketing verantwortlich, bevor er Ende 1998 die telego! als geschäftsführender Gesellschafter gründete. Seit 2000 leitet er den Arbeitskreis ePayment und seit 2003 ist er Vorsitzender des Bundesverbandes der Dienstleister für Online-Anbieter BDOA e. V. Kontakt: telego! GmbH, Mehlbeerenstraße 4, 82024 Taufkirchen, Tel.: 089/273747-0, Fax: 089/273747-400, E-Mail: [email protected].

311