Fachwissen über Betrugsprävention erscheint meist in zwei Formen: Als Werbung oder als Beschreibung eines neuen Musters. Die Identifizierung von Verdachtsfällen bildet die Grundlage für eine erfolgreiche Präventionsarbeit im Mengenkundengeschäft.
Der Prozess der Betrugsprävention beginnt mit der Identifizierung von Verdachtsfällen (Detektion). Die Anträge oder Transaktionen werden ausgesteuert und überprüft (Reaktion). Auf dieser Basis wird entschieden (Repression). Die Ergebnisse der Prozesse werden analysiert und dienen der Optimierung der Prozesskomponenten.
Betrugserkennung ist die Grundlage
Die Betrugsdetektion im Mengengeschäft kennt drei Methoden:
- Die Wiedererkennung kompromittierter Ressourcen,
- Plausibilitätsprüfungen und
- die Mustererkennung.
Alle drei sind unverzichtbar und zielen auf verschiedene Aspekte von Betrug.
Wiedererkennung von Ressourcen
Betrüger nutzen Ressourcen wie Telefonnummern, Adressen, Geräte oder Identitäten mehrfach. Der Austausch von Daten über abgewehrte oder erfolgreiche Betrugsfälle ermöglicht die Wiedererkennung beim nächsten Versuch. Dazu ist es notwendig die Datensätze zu markieren. Die Voraussetzung für die Markierungen ist ein gleiches Verständnis von Betrug, hier hilft eine fachliche Betrugsdefinition.
Dem Irrtum auf der Spur
Plausibilitätsprüfungen können auf Ebene von Datenfeldern, innerhalb eines Antrags oder einer Transaktion, in der Verbindung mehrerer Transaktionen und auch in der Vernetzung ganzer Datenbestände vorgenommen werden. Inkonsistenzen sind das klassische Merkmal einer Irrtumszeugung. Zu klären ist, ob es sich um einen Fehler handelt oder Absicht dahintersteht.
Plausibilitätsprüfungen zeigen beim Ersteinsatz Daten- und Prozessschwächen, die erst geheilt werden müssen, bevor die Regeln der Detektion helfen. Außerdem machen Menschen Fehler: ein Großteil der entdeckten Inkonsistenzen ist darauf zurückzuführen. Im Vergleich zur Wiedererkennung ist die Plausibilitätsprüfung weniger trennscharf.
Muster sind oft kurzlebig
Die Mustererkennung zielt auf Modi Operandi. Es soll ein konkretes Tatvorgehen wiedererkannt werden. Dies können die gefälschten schwedischen Ausweise in Berlin sein. Oder das Testen einer Kreditkarte mit einem Kleinstbetrag vor dem großen betrügerischen Einsatz. Oder, oder, oder… die Tatvorgehen verändern sich laufend. Muster haben – mit einigen Ausnahmen – meist nur eine beschränkte Lebensdauer: Ist ein Muster erkannt und sind Gegenmaßnahmen eingeleitet, wird das Tatvorgehen für den Betrüger unattraktiv. Warum sollte er oder sie wertvolle Zeit und Ressourcen darauf verschwenden, sich noch eine Ablehnung abzuholen? Auch den Tätern ist klar, dass erkannte Betrugsmuster eine Gefahr darstellen.
Muster werden häufig in der laufenden Prüfung zuerst bemerkt, seltener über statistische Verfahren. Die meisten Betrugsmuster wachsen so lange, wie sie erfolgreich sind – die konsequente Abwehr neuer Muster ist daher besonders wichtig. Nur wenige Betrugsmuster verschwinden von allein, dies meist aufgrund beschränkter Ressourcen der Täter. Ist ein Betrugsmuster erfolgreich abgewehrt, ist zu klären, ob die Regeln weiterhin aktiv bleiben sollen, denn die fehlerhaften Aussteuerungen belasten den Prozess.
Daten und Kommunikation sind die Schlüssel
Die Methoden funktionieren mit mehr Daten besser. Das ist eine große Herausforderung. Intern zeigen die Anforderungen die Schwächen der Daten und der IT-Landschaft. Extern steht dem Willen zur Zusammenarbeit immer noch der Angst vor Wettbewerb und Reputationsverlust entgegen. Dabei ist schon lange klar: Betrug ist kein Wettbewerb, sondern eine gesellschaftliche Aufgabe.
Aussteuerung aus dem Regelprozess
Akzeptable Quoten für die Aussteuerung aus den Regelprozessen sind kaum zu generalisieren. Studien sind mir nicht bekannt. Übliche Größenordnungen liegen zwischen kleiner 1 Prozent und 20 Prozent. Wichtige Faktoren sind:
- Der mögliche Schaden aus erfolgreichem Betrug (Einschlagpotential)
- Die Abbruchquote bei einer verzögerten Entscheidung oder zusätzlichen Informationsanforderungen
- Die Möglichkeiten, Reaktionen auf Verdacht direkt im Prozess automatisiert zu klären
- Die Kapazitäten in der manuellen Bearbeitung
Selbst in vollautomatisierten Entscheidungsprozessen ist die nachträgliche Aussteuerung von Verdachtsfällen üblich. Neben der nachträglichen Schadensreduzierung können dadurch neue Muster erkannt werden.
Prozesse von Antrag bis zur Auszahlung mit einem Zeitfenster größer als zehn Minuten erlauben in der Regel eine manuelle Prüfung innerhalb des Prozesses.
Regeln der Betrugserkennung
Die Statistik unterliegt in der Betrugserkennung wesentlichen Beschränkungen, daher sind regelbasierte Systeme notwendig. Jeder Algorithmus kann auch in Regeln hinterlegt werden, die Verwendung regelbasierter Systeme schließt daher algorithmische Regeln ein. Klassische Decision-Engines eignen sich allein meist nicht, da sie über keine vollständig vernetzten Datenbanken verfügen.
Regelwerke haben verschiedene Vorteile, u.a. können einzelne Regeln ein- oder ausgeschaltet werden, ohne das Gesamtergebnis zu beeinträchtigen. Sie ermöglichen eine zielgerichtete automatisierte oder manuelle Bearbeitung. Regeln können schnell und ohne Einbindung der IT-Abteilung eingesetzt werden. Regelsets neigen jedoch zum Wachsen und sollten einem laufenden Monitoring unterzogen werden. Bei ausreichenden Datenbeständen können dazu Machine-Learning-Verfahren genutzt werden.
Typisch akzeptierte False/Positive-Quoten für Betrugsregelwerke sind im Antragsbereich von Banken 1:5, d.h. ein echter Treffer unter fünf Aussteuerungen bis 1:15, selten 1:25. Regeln mit einer Quote schlechter als 1:30 eignen sich nicht für die manuelle Nachbearbeitung, da Mitarbeiter lernen, dass diese Regeln „nicht funktionieren“ und diese nicht konsequent nachverfolgen.
Reaktionen automatisieren
Die Steuerung von automatisierten Reaktionen zur Betrugsabwehr steckt noch in den Anfängen, wird künftig in der Verbindung von Betrugspräventionssystemen und der Prozesssteuerung jedoch an Bedeutung gewinnen. Bei einigen Instituten ist die veränderte Unterlagenanforderung nach Verdachtsstärke bereits im Einsatz. Aber warum nicht automatisiert einen anderen Legitimationsweg anfordern? Eine Online-Kontenprüfung? Auch Geldwäsche-Verdachtsmeldungen oder sogar Strafanzeigen können weitgehend automatisiert werden.
Kritisch ist die möglichst konkrete Markierung verschiedener Modi Operandi im System. Bestenfalls erfolgt diese Markierung mehrstufig, z.B. Betrugsverdacht -> Identitätsbetrug -> Gefälschter Ausweis/Identitätsverfahren. Die Daten sind notwendig für die Wiedererkennung, das Monitoring und die Mustererkennung. Ein Hinweis auf Opfer von Identitätsbetrug kann zum Schutz der Betroffenen eingesetzt werden.
Spezialisten brauchen spezialisierte Systeme
Moderne Systeme haben eine auf die Betrugsabwehr ausgerichtete Oberfläche, die alle verfügbaren Daten enthält und einen direkten Zugriff auf interne und externe Systeme bietet, die im Prozess benötigt werden. Außerdem erlauben sie dem Mitarbeiter direkt zu reagieren, d.h. es wird nicht nur der Betrugsverdacht festgestellt, sondern die Maßnahmen werden über das System eingeleitet.
Das Reporting, die Optimierung von Regelwerken, die Simulation neuer Regeln oder Algorithmen und die Regelerstellung sind optionale Bestandteile: diese können Bestandteil einer Software sein, getrennte analytische Systeme bieten jedoch einen ähnlichen Mehrwert.
Fazit: Betrugsprävention bietet Potential für Banken
Viele Mitarbeiter in Banken wursteln sich zur Betrugsprävention durch eine Vielzahl von Anwendungen, die Prozesse laufen irgendwie. Die Betrugsprävention ist die große Herausforderung im Bankenbereich. Direkte Schäden, mögliche Strafen wegen Geldwäsche, Einsparungen im Prozess, der Erfolg der Automatisierung – die Potentiale sind hoch, die Risiken erkannt.
Prüfen sie doch mal: der typische Return-on-Investment bei Betrugspräventionsprojekten beträgt drei bis sechs Monate. Wo gibt es das denn sonst noch?