850-Milliarden-Problem: Scam-Erkennung ist keine Compliance

Oleg Wjazemski, Financial Services SAS, präsentiert sich in einem blauen Poloshirt. Der Kontext verweist auf die Herausforderungen der Scam-Erkennung, die als architektonische Fragestellung betrachtet werden sollte, um den finanziellen Verlusten entgegenzuwirken. — Oleg Wjazemski, Financial Services SASSAS

Laut dem aktuellen Bericht der Global Anti-Scam Alliance (GASA) beliefen sich die weltweiten Verluste durch Betrug im Jahr 2024 auf rund 850 Milliarden Euro. Banken und Versicherungen stehen dabei gleich doppelt unter Druck: als unmittelbare Angriffsfläche für Betrüger – und als letzte Verteidigungslinie für ihre Kunden.

von Oleg Wjazemski, Financial Services SAS

Die über eine Billion US-Dollar an weltweiten Scam-Verlusten im Jahr 2024 markieren keinen Ausreißer, sondern einen strukturellen Wendepunkt für den Finanzsektor. Die GASA beschreibt eine Bedrohungslage, in der Betrug zunehmend autorisiert, kontextuell plausibel und technisch sauber abläuft. Genau darin liegt die Herausforderung für die IT:

Die Transaktion selbst ist oft unauffällig – der Betrug steckt im Verhalten davor (zum Beispiel in Form von Social Engineering). Wer Scam-Prävention also weiterhin über Regelwerke, Blacklists oder isolierte Transaktionscores betreibt, bekämpft Symptome, nicht Ursachen.“

Speziell für deutsche Banken gilt zudem: Scam ist auch ein Aufsichtsthema. Für BaFin-regulierte Institute ist Scam-Prävention nicht nur eine Frage der Fraud-Quote, sondern Teil der ordnungsgemäßen Geschäftsorganisation, des Risikomanagements und – seit DORA – der digitalen operationalen Resilienz. Gerade bei Social-Engineering-Fällen, in denen Zahlungen formal autorisiert sind, reicht starke Kundenauthentifizierung allein nicht aus. Entscheidend sind vorgelagerte Verhaltenssignale, Empfängerüberprüfung, Echtzeit-Decisioning und die enge Verzahnung von Fraud-, AML- und IKT-Kontrollen.

Detection and Modeling: Vom Regelwerk zur lernenden Entscheidungsarchitektur

Autor Oleg Wjazemski, SAS

Oleg Wjazemski, Head of Customer Advisory für die DACH-Region bei SAS, thematisiert die Herausforderungen der Scam-Erkennung im Finanzdienstleistungssektor. Seine Expertise betont die Notwendigkeit einer architektonischen Herangehensweise zur Lösung des 850-M

Oleg Wjazemski ist Head of Customer Advisory für die DACH-Region bei SAS (Website). Zuvor war Wjazemski über 15 Jahre bei der Deutschen Kreditbank (DKB) tätig und verantwortete dort die strategische, fachliche und technische Weiterentwicklung sowie den Betrieb zweier Fraud-Management-Plattformen. Wjazemski hat an der TU Berlin als Diplom-Wirtschaftsingenieur abgeschlossen.

Moderne Scam-Erkennung ist kein einzelnes Modell. Stattdessen handelt es sich dabei um ein mehrstufiges Modell-Ökosystem, das an den Schnittstellen zum Kunden über alle relevanten Kanäle zu orchestrieren ist. Klassische Fraud Engines, die auf deterministischen Regeln oder einfachen Klassifikatoren basieren, stoßen deshalb systematisch an ihre Grenzen.

Mehrdimensionale Feature-Räume statt eindimensionaler Scores

Der erste technische Bruch mit der Vergangenheit liegt im Feature Design. Während traditionelle Systeme transaktionszentrierte Merkmale priorisieren (Betrag, Empfänger, Land), müssen Scam-Modelle deutlich breitere Feature-Räume abbilden, darunter:

temporale Sequenzen (beispielsweise ungewöhnliche Beschleunigung von Aktionen)
Interaktionspfade (Navigation, Abbrüche, Wiederholungen)
Geräte- und Netzwerkattribute (Device Drift, Emulator-Indikatoren)
Verhaltensinstabilität gegenüber dem individuellen Kundenbaseline-Profil

Diese Merkmale entstehen nicht aus einzelnen Events, sondern aus Streaming-Kontexten, die die IT persistieren, aggregieren und in Echtzeit verfügbar machen muss.

Modell-Typen: Spezialisierung schlägt Universalmodell

In der Praxis haben sich Ensemble-Ansätze als deutlich robuster erwiesen als monolithische Modelle. Unterschiedliche Modellklassen adressieren unterschiedliche Scam-Signaturen:

Unsupervised Models (beispielsweise Isolation Forests, Autoencoder) zur Erkennung unbekannter Muster
Sequence Models (beispielsweise LSTM, Transformer-basierte Architekturen) für zeitliche Anomalien
Supervised Classifier zur präzisen Erkennung bekannter Scam-Typen wie APP oder BEC
Graph-basierte Modelle zur Identifikation koordinierter Akteursnetzwerke

Die technische Herausforderung liegt weniger im Training als in der Echtzeit-Orchestrierung dieser Modelle innerhalb eines Decisioning Layers, der Scores konsolidiert, gewichtet und in handlungsrelevante Entscheidungen überführt.

Anomaly and Behavioral Detection: Wenn Abweichung das stärkste Signal ist

Besonders deutlich wird der Paradigmenwechsel im Bereich der Anomalie- und Verhaltensdetektion, den die GASA explizit als Schlüsselfaktor für moderne Scam-Prävention benennt.

Der zentrale Fehler vieler Systeme liegt in der Verwendung globaler Schwellenwerte. Scam-Erkennung erfordert hingegen kundenindividuelle Normalitätsmodelle. Technisch bedeutet das:

Aufbau persistenter Behavioral Profiles pro Kunde
dynamische Anpassung dieser Profile über Sliding Windows
Trennung zwischen stabilen Identitätsmerkmalen und volatilen Kontextmerkmalen

Anomalien sind dabei nicht per se Betrug, sondern Abweichungen vom persönlichen Normalverhalten. Das kann sich etwa in einer signifikanten Änderung im Entscheidungsverhalten, in der Interaktionsgeschwindigkeit oder im Gerätegebrauch äußern.

Ein zunehmend relevanter Baustein ist die Integration von Behavioral Biometrics, etwa Tastenanschlag-Dynamik, Maus- und Touch-Interaktion oder Druck- und Beschleunigungsmuster auf Mobilgeräten.

Diese Signale sind schwer zu simulieren, hochgradig individuell und liefern wertvolle Hinweise darauf, ob ein Nutzer selbstbestimmt handelt oder fremdgesteuert wird – ein zentrales Kriterium bei Social Engineering Scams.

Echtzeit-Anomalien erfordern Echtzeit-Architekturen

Die GASA-Studie betont, dass Betrug nur dann verhindert werden kann, wenn Entscheidungen während des Zahlungsvorgangs getroffen werden. Daraus ergeben sich klare Anforderungen an die IT:

Stream Processing (beispielsweise Event Hubs, Kafka-ähnliche Architekturen)
Stateful Processing für Verhaltenskontexte
Low-Latency Inference (< 100 ms) auch bei komplexen Modellen

Batch-basierte Feature-Berechnung oder nachgelagerte Reviews sind in diesem Szenario nicht nur ineffektiv, sondern kontraproduktiv.

Von Detection zu Intervention: Decisioning als kritische Schicht

Erkennung allein verhindert keinen Scam. Entscheidend ist die Intervention, und diese ist technisch gesehen eine Decisioning-Frage. Moderne Systeme müssen differenzieren können zwischen:

Hard Stops (Blockieren)
Soft Interventions (zusätzliche Authentifizierung, Warnhinweise)
Cognitive Friction (bewusste Verzögerung zur Unterbrechung sozialer Manipulation)

Gerade bei autorisierten Zahlungen ist dies essenziell, da der Kunde formal korrekt handelt. Die IT muss daher Mechanismen bereitstellen, die Verhaltensauffälligkeiten in gezielte Reibung übersetzen, ohne die User Experience pauschal zu stören.

Fazit: Scam-Erkennung ist Modellbetrieb, kein Projekt

Die technologische Botschaft der GASA-Studie ist eindeutig: Scam-Prävention ist kein Feature, sondern ein dauerhafter Modellbetrieb. Sie erfordert echtzeitfähige Datenarchitekturen, verhaltenszentrierte Modellierung, orchestrierte Entscheidungslogik sowie Erklärbarkeit und kontinuierliches Lernen.

Für Banken und Versicherungen ist effektive Scam-Bekämpfung weniger eine Tool- als eine Architekturentscheidung. Wer Detection weiterhin regelbasiert denkt, wird gegen KI-gestützte, adaptive Scam-Netzwerke keine Chance haben. Wer jedoch Modelle als lebende Systeme begreift, verschiebt den Wettlauf gegen Betrüger wieder zugunsten der eigenen IT.Oleg Wjazemski, Financial Services SAS/aj