Betrugsmaschen wie der sogenannte CEO-Fraud werden immer ausgefeilter und professioneller eingesetzt, warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) im aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland. Beim CEO-Fraud werden E-Mails der Chefetage fingiert, in denen befugte Mitarbeiter angewiesen werden, dringliche Überweisungen hoher Geldsummen zu tätigen.
Eigenschaften wie Hilfsbereitschaft und Vertrauen nutzten die Angreifer aus, um Mitarbeiter geschickt zu manipulieren, so das BSI. Sie verleiten das Opfer beispielsweise dazu, vertrauliche Informationen preiszugeben, Sicherheitsfunktionen auszuhebeln, Überweisungen zu tätigen oder Schadsoftware auf dem privaten Gerät oder einem Computer im Firmennetzwerk zu installieren.
Das BSI empfiehlt deshalb: Die Sensibilisierung der Angestellten für diese Art der Betrugsversuche sollte eine wichtige Rolle spielen und fest zum Weiterbildungskonzept eines Unternehmens gehören.
Ein Problem bei der Sensibilisierung der Mitarbeiterinnen und Mitarbeiter ist jedoch, dass Betrug in einer großen Vielfalt stattfindet und immer intelligenter ausgeführt wird. Der Lagebericht des BSI berichtet von Online-Banking-Betrug, Klickbetrug bei Online-Werbung, Betrugsversuchen bei Spam-Mails, um nur einige Beispiele zu nennen.
Laut der Polizeilichen Kriminalstatistik (PKS) ist die Zahl der Betrugsfälle in 2017 um 1,3 Prozent auf über 910.000 Fälle gestiegen. Die Aufklärungsquote ist mit 73,7 Prozent zwar hoch, aber gegenüber den 75 Prozent im Vorjahr gesunken. Im Bereich Computerbetrug liegt die Quote mit 40,5 Prozent deutlich niedriger.
Weder für Unternehmen und ihre Beschäftigten noch für die Ermittlungsbehörden ist es leicht, die zunehmend intelligent durchgeführten Betrugsmaschen zu erkennen. Andererseits werden nicht nur Betrugsversuche intelligenter sondern auch die Betrugsabwehr.
Optimierung der Betrugserkennung mit KI
Lösungen auf Basis von KI (künstliche Intelligenz) können Unterstützung bei der Betrugserkennung bieten. Banken und Versicherungen nutzen das schon seit geraumer Zeit:
Die KI-basierte Aufdeckung von Betrugsversuchen (Fraud Detection) ist sowohl in der Versicherungsindustrie als auch im Banking bekannt und etabliert, berichtet Beckmann & Partner CONSULT. Das Aufspüren von problematischen Deals aus Compliance-Sicht wird von KI-Systemen unterstützt. Sogar Absichten zur Ausführung von Geldwäsche oder Finanzierung von Terroraktionen könnten so im Vorfeld aufgedeckt werden.
Ein Anwendungsbeispiel aus dem Bankenbereich: Die Danske Bank, ein Finanzdienstleister in Skandinavien, hat eine KI-gestützte Plattform für die Betrugserkennung entwickelt und implementiert. Das System entstand mit Unterstützung von Think Big Analytics, einem Tochterunternehmen von Teradata. Die Plattform nutzt maschinelles Lernen, um zehntausende verborgene Merkmale zu analysieren und Millionen von Online-Banking-Transaktionen in Echtzeit zu bewerten. Sie liefert Hinweise auf potenziell betrügerische Aktivitäten.
Dabei soll die neue Plattform weit weniger Transaktionen fälschlicherweise als Betrug einstufen (sogenannte False Positives) als beim bisherigen Vorgehen. Die Danske Bank reduziert dadurch den Aufwand für die Untersuchung dieser False Positives, kann ihre Effizienz steigern und Kosten reduzieren. Das ursprüngliche Betrugserkennungssystem der Danske Bank basierte weitgehend auf selbst erstellten Einzelregeln. Zeitweise waren bis zu 99,5 Prozent aller Alarme "False Positives".
"Antragsbetrug ist für alle Banken ein zentrales Thema", berichtet Nadeem Gulzar, Head of Advanced Analytics bei der Danske Bank. "Die Betrüger werden jeden Tag geschickter, immer öfter nutzen sie bereits Techniken des maschinellen Lernens." Deshalb sei es wichtig, dass die Banken ebenfalls hochmoderne Techniken einsetzten, um Betrug zu verhindern: "Wir gehen davon aus, dass mit der fortschreitenden Digitalisierung des Bankgeschäfts und der Verbreitung von mobilen Banking-Anwendungen der Betrug weiter zunehmen wird. Mit dem Einsatz von KI konnten wir die Zahl der False Positives um 50 Prozent reduzieren."
Mit Machine Learning gegen Finanzkriminalität
KI-basierte Lösungen zum Erkennen von Betrugsversuchen finden nicht nur bei Versicherungen und Banken Zustimmung. Laut einer Umfrage des Digitalverbandes Bitkom fänden es die Bundesbürger mit großer Mehrheit (92 Prozent) sinnvoll, KI bei der Bekämpfung der Finanzkriminalität einzusetzen, also etwa Muster von verdächtigen Geldflüssen zu identifizieren und damit Geldwäsche zu verhindern.
Unternehmen, die KI-Services zur Betrugsbekämpfung einsetzen wollen, können also auf die Zustimmung ihrer Kunden setzen, vorausgesetzt, Datenschutz und Transparenz stimmen dabei. Immerhin vier von zehn Bundesbürgern (45 Prozent) würden laut Bitkom wissen wollen, welche Regeln eine KI einsetzt, wenn sie Entscheidungen auf Basis persönlicher Daten trifft.
Doch es gibt weitere Voraussetzungen, damit KI gegen die zunehmend raffinierten Betrüger helfen kann. Wie die Marktforscher von IDC berichten, ist das große Interesse an künstlicher Intelligenz branchenübergreifend vorhanden. Allerdings sind KI-Lösungen noch nicht in allen Branchen gleichermaßen im Einsatz. Fehlende Fachkräfte bremsen KI-Aktivitäten in vielen Unternehmen aus, knapp die Hälfte der Firmen gab gegenüber IDC den Mangel an Experten als die größte Hürde für die Umsetzung von Projekten an. In mehr als 80 Prozent der befragten Unternehmen fehlen demnach Fachleute.
KI-Services aus der Cloud bieten hier einen Ausweg, denn sie reduzieren unter anderem den Bedarf an eigenen KI-Experten im Unternehmen.
Fraud Prevention mit KI aus der Cloud
Eine ganze Reihe von Cloud-Lösungen nutzt Machine Learning (ML) beziehungsweise künstliche Intelligenz (KI), um Betrugsversuche besser enttarnen zu können. Einige Beispiele:
Blue Shield Umbrella blockiert zum Beispiel gefälschte Websites und CEO Fraud Attacken. Das dabei genutzte European Threat Intelligence Defence Center überprüft die jeweiligen Server in Echtzeit im Internet auf Kompromittierung. Gefährliche Server werden dann für die Kommunikation gesperrt. Blue Shield Umbrella verwendet für die Anomalie-Erkennung eine Kombination aus konventionellen Erkennungsmethoden und einer speziellen Mathematik, die vorausschauende Berechnungen durch mathematische Algorithmen ermöglicht.
Der KI-basierte Dienst Simility für Fraud Prevention kann nicht nur von Zahlungsdienstleistern genutzt werden, sondern auch von Online-Shops und Online-Marktplätzen. Seit kurzem gehört der Dienst zu PayPal.
SAS hat eine neue Division für analytische Betrugsbekämpfung gegründet. Bei den Services der neuen Division kommen Technologien zum Einsatz, die Machine Learning, künstliche Intelligenz und die Analyse von sozialen Netzwerken integrieren.
Fraud Free von SIX Payment Services entstammt einer Zusammenarbeit mit Fraugster, einem Start-up im Bereich Zahlungssicherheit. Für Fraud Free benötigen Händler keine weitere technische Integration, wenn sie die E-Commerce Lösung Saferpay von SIX nutzen.
Auch Wirecard bietet seinen Kunden eine Betrugserkennung. Das Risikomanagementsystem FPS (Fraud Prevention Suite) identifiziert Daten und Verhaltensmuster in Echtzeit und nutzt Machine Learning und künstliche Intelligenz, um Betrug zu entdecken und mehr Sicherheit bei allen angebotenen Bezahloptionen zu gewährleisten. Betrugsversuche können erkannt werden auf Basis der Transaktionsdaten oder personenbezogenen Daten, z.B. durch IP-Adresse, Länderabgleich, Blacklists, Bankverbindung, Kreditkartendaten, Adressvalidierung und Dublettenprüfung.
Der Financial Crimes Accelerator von Teradata erkennt mit Deep Learning-Verfahren Betrugsmuster bei Banktransaktionen über verschiedene Kanäle, darunter Kreditkarten und Online-Banking sowie bei Geschäften in der Filiale, an Geldautomaten, über das Call-Center oder bei Überweisungen.
Das Gemalto Assurance Hub dient der Betrugsprävention beim Online-Banking. Auf Basis von Machine Learning analysiert es das Profil und das Verhalten der Kunden in Echtzeit. Die Plattform aktiviert nur bei Bedarf zusätzliche Sicherheitsmaßnahmen. Ausgewertet werden Attribute wie zum Beispiel Geräteprofiling, Standort, Benutzerverhalten oder Tastaturstil.
Barracuda Sentinel nutzt Künstliche Intelligenz, um in Echtzeit Personen, Geschäftsabläufe und Organisationen vor Spear-Phishing, Identitätsdiebstählen, Business E-Mail Compromise (BEC) und Cyber-Betrug zu schützen. Der Cloud-Service vereint zwei KI-Klassifikatoren: Der Personifikation-Layer fahndet nach potentiellen Identitätsdiebstählen, indem er die spezifischen Kommunikationsmuster eines Unternehmens analysiert und eventuelle Anomalien zusammen mit verschiedenen Attributen einer Nachricht abgleicht - beispielsweise Versender, Empfänger, E-Mail-Adresse. Der Kontext-Layer wiederum durchsucht den Textkörper der Nachricht nach Merkmalen einer Phishing-Attacke, wie etwa vertraulichen Finanz- oder HR-Informationen oder anormalen Schreibweisen.
Weitere Beispiele sind Kaspersky Fraud Prevention Cloud, Feedzai, IBM Counter Fraud Management for Safer Payments sowie die Lösungen zur Betrugsprävention von Risk Ident und von 5Analytics.
Welcher KI-Service für Fraud Prevention für das eigene Unternehmern in Betracht kommt, muss jeweils von dem gewünschten Anwendungsfall und der verfügbaren Integration zum Beispiel zwischen dem eigenen Online-Shop und der Fraud-Prevention-Lösung abhängig gemacht werden.
Welche Folgen haben KI-Services für den Datenschutz?
Bei der Wahl eines KI-Services zur Betrugsbekämpfung muss aber auch der Datenschutz eine Rolle spielen, das zeigt nicht nur die bereits zitierte Bitkom-Umfrage zur Akzeptanz von KI. Auch die Aufsichtsbehörden für den Datenschutz haben dies klargestellt.
Die Datenschutz-Grundverordnung (DSGVO / GDPR) fordert in Artikel 35 für bestimmte Verfahren der Datenverarbeitung eine Datenschutz-Folgenabschätzung, also eine Art Risikoanalyse aus Datenschutzsicht. Das gilt insbesondere bei Verwendung neuer Technologien und bei "systematischer und umfassender Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen."
Diese sperrige Formulierung aus der DSGVO wird klarer, wenn man sich die weiteren Informationen der Aufsichtsbehörden zu der Datenschutz-Folgenabschätzung ansieht. Gemäß DSGVO haben die Aufsichtsbehörden Listen veröffentlicht mit Verarbeitungstätigkeiten, bei denen verpflichtend eine Datenschutz-Folgenabschätzung durchzuführen ist. Diese "Muss-Liste" der deutschen Datenschutzaufsichtsbehörden (für den nichtöffentlichen Bereich) enthält auch konkrete Beispiele, wann die Datenrisiken einer Verarbeitung genauer analysiert werden müssen.
Dort werden auch Fraud-Prevention-Systeme als Fall für eine Datenschutzfolgenabschätzung genannt. Bei KI-Services zur Betrugsbekämpfung muss deshalb geprüft werden,
ob eine Verarbeitung personenbezogener oder personenbeziehbarer Daten in großem Umfang vorgenommen wird,
ob dabei auch Daten zu anderen Zwecken und aus anderen Quellen genutzt werden, die nicht bei den betroffenen Personen erhoben wurden,
ob die Anwendung von Algorithmen erfolgt, die für die betroffenen Personen nicht nachvollziehbar sind, und
ob Entscheidungen getroffen werden, die die betroffenen Personen in erheblicher Weise beeinträchtigen können.
Die Sicherstellung des Datenschutzes beim Einsatz von KI-Services zur Betrugserkennung mag einiges an Aufwand verursachen, ist aber für die Compliance erforderlich und sollte Unternehmen nicht davon abhalten, die Vorteile der künstlichen Intelligenz zu nutzen. Ohne KI-Services wird es jedenfalls zunehmend schwierig werden, Betrüger zu enttarnen und unschuldige Nutzer nicht unbegründet zu blockieren.