Online-Betrug erreicht ein neues Level: die Optimierung von Angriffen mit künstlicher Intelligenz

Mind the Gap – Online-Betrug: Für technische Angriffe, die Konstruktion künstlicher Identitäten, die Optimierung von Phishing-Mails und andere automatisierbare Jobs werden Open-Source-KIs eingesetzt. Und warum auch nicht?

von Dirk Mayer, Senior Consultant Risk Ident

Bei Pac-Man, Q*Bert, Backgammon und Go sind KI-Algorithmen längst unschlagbar. In Strategiespielen sind wir der Rechentiefe und Geschwindigkeit der Algorithmen nicht gewachsen. Und die Maschinen finden auch neue Wege, um Highscores zu erzielen: durch nichtmenschliches Verhalten werden Lücken in den Prozessen aufdeckt. Ein neuer Highscore in Q*Bert wurde durch einen versteckten Bug erreicht. Auch im Payment und anderen Mengenprozessen wird es Lücken geben, aus denen KIs Geld herausholen. Einzelne Schadensfälle werden teuer, die IT-Beratung wird ein neues Schatzkästchen öffnen.

Ein Problem für den Finanzsektor wird das nicht

Die Prozesse von Zahlungstransaktionen und Kreditherauslagen sind keine Spiele. Es gewinnt nicht der Bessere. Daher bleibt der Nutzen von Maschinenintelligenz auf das Finden von Bugs und das Reengeneering von Regeln beschränkt. Die Fehler werden spätestens mit den ersten Schadensfällen behoben.”

Da die Prozesse im Verhältnis zur Technik weniger komplex sind und sich selten ändern, nimmt die Anzahl der prozessualen Zero-Day-Exploits ab. Die Nutzung von Algorithmen im Betrugsbereich gleicht eher dem Ausspähen eines Einbrechers als dem Tatvorgehen eines Betrügers. Da es für die Detektion automatisierter Tests aus der Cyber-Abwehr bereits gutes Handwerkszeug gibt, ist das Risiko hier beschränkt.

Umbruch

Die IT steht mit dem Thema Betrugsprävention dennoch vor weitreichenderen Herausforderungen. Noch sind die aufsichtsrechtlichen Vorgaben unscharf, die unterschiedlichen Anforderungen an Bonitäts- und Betrugsprüfung zur Risikosteuerung sind jedoch anerkannt.

Das Thema Bonität ist gelöst: können Betrugsfälle ausgefiltert werden, besteht die Risikosteuerung im Wesentlichen aus ein paar Ausfallscorekarten. Die Ausfalldefinitionen sind klar. Für eine ausreichende Berechnung des Risikos reichen unverfälschte Rohdaten vom Antrag und der Historie eines Kunden, sei es intern oder von Auskunfteien. Die Entwicklung und das Backtesting der statistischen Modelle kann außerhalb des operativen Systems vorgenommen werden.

In der Betrugsprävention funktioniert dieser Ansatz nur sehr eingeschränkt. Dafür gibt es gute Gründe:
1. Betrug geschieht nicht zufällig. Eine der Grundvoraussetzungen für Betrug ist Vorsatz.
2. Das Verhalten von Betrügern ist dynamisch. Ein Betrüger ändert seine Daten und sein Verhalten, wenn ein Vorgehen nicht funktioniert. Es gibt Ausnahmen, doch zumindest im organisierten Antragsbetrug kann man dies festhalten.
3. Die Abwehr erkannter Betrugsmuster kann nicht darauf warten, dass ausreichend Schadensfälle für statistische Validität von Verdachtsmerkmalen entstehen.

Die Unterscheidung des Ausfalls in Bonität und Betrug ist bereits für die Fachabteilungen eine große Herausforderung, denn sie bedeutet ein grundlegendes Umdenken.”

Der Trend geht weiterhin zum Online-Betrug im Mengengeschäft, denn dieser ist für Täter weitgehend risikolos. Daneben sind ungebrochen Vermittlerorganisationen anfällig, das war aber schon immer der Fall. Anlass zur Sorge besteht im B2B-Bereich, da hier die Abwehrmechanismen unter der zunehmenden Automatisierung leiden.

Betrug vs. High-Level-Betrugsprävention

Insgesamt sind das gute Nachrichten, denn die Abwehrmechanismen für diese Bereiche sind klar zu beschreiben:
1. Die Wiedererkennung von Tätern intern und im Austausch mit anderen Unternehmen
2. Die Prüfung von Regeln
3. Der Abgleich von Profilen
4. Der Einsatz von statistischen Scorekarten und Regelscorekarten, Anomalieanalysen und Machine-Learning-Verfahren
5. Die Bereitstellung von Daten und Auswertungen für die Analyse
6. Oberflächen-Bearbeitung von Verdachtsfällen (Investigation und Fraud Case Management)

Diese kritischen Eckpfeiler benötigen neue und mehr Daten und führen zu neuen Anforderungen an die IT.”

Fachliche Anforderungen mit Auswirkungen

Die wichtigste Anforderung ist die Wiedererkennung von Tätern.

Scharfe Identifikatoren sind z.B. Telefonnummern, E-Mail-Adressen, Kontoverbindungen, Ausweisnummern. Dieser Datenbestand wird künftig mit verschiedenen biometrischen Daten ergänzt werden. Heute scheitern einige Systeme bereits an der direkten Identifizierung von Dubletten. Die Anforderung geht darüber hinaus. Verbindungen über zwei bis drei Entitäten sollten identifizierbar sein.

Beispiel: Scharfe Verbindung über zwei Entitäten

Ein Antrag A enthält die Mobiltelefonnummer zu B, dieser ist über eine E-Mail-Adresse mit einem als Betrug markierten Antrag C verbunden.

Im Transaktionsgeschäft mit wenigen Daten ist ein Device-Fingerprinting als scharfer Identifikator notwendig, im Antragsbereich sinnvoll. Der Service liefert außerdem verschiedene Informationen zum Gerät, die für Plausibilitätsprüfungen genutzt werden. Die bestehenden Gerätedatenpools funktionieren im Gegensatz zu Auskunfteien industrieübergreifend.

Es besteht allerdings ein Spannungsfeld zur IT-Sicherheit: die datenerhebenden Programme werden neuen Browserfunktionalitäten laufend angepasst und typisch vom Server der Anbieter geladen; sie unterliegen damit nicht der vollständigen Kontrolle der internen IT.

Zur Auswertung müssen die Daten pseudonymisiert an die Anbieter zurückgehen. Die Anbieter tragen das datenschutzrechtliche Risiko. Dies beruhigt allerdings nicht jeden IT-Sicherheitsbeauftragten.”

Nach dem letzten Survey des Merchant-Risk-Council (MRC Global Fraud Survey 2017) beurteilen 53% (der nordamerikanischen Befragten) das Fingerprinting als ihre wichtigste Methode der Betrugsabwehr. Eigene Services können aufgebaut werden, denen fehlt dann jedoch die wichtige Funktionalität des Poolings.

Namen, Geburtsdaten, Adressen oder gehashte Passwörter werden mit unscharfen Suchalgorithmen geprüft. Optionen reichen von einfachen Regelwerken über Toolsammlungen unscharfer Vergleiche bis zu komplexen Graph-Algorithmen. Die Tiefe der Analyse vor allem unscharfer Verbindungen hat einen wesentlichen Einfluss auf die Geschwindigkeit. Längst nicht alles muss in Echtzeit geschehen. Die Abgleiche sollten daher mit modularen Suchen auch anzupassen sein.

Den Abschluss der Wiedererkennung bildet die Abfrage industrieübergreifender Datenpools. Die Pools werden von Auskunfteien betrieben, die Einbindung ist bekannt.

Konfigurierbare Regelwerke, die mit den verknüpften Daten gefüttert werden, sind für verschiedene Zwecke notwendig. Das geht von einfachen Plausibilitätsprüfen über Anomaliedetektion bis hin zu komplexen Kombinationsregeln.

Regeln können ein einzelnes Tatvorgehen schnell abbilden und sind daher unverzichtbar. Meist implizieren Regeltreffer bereits ein konkretes Vorgehen zur Prävention. Im Gegensatz zu Scorekarten sind sie bei zu hohen False/Positiv-Quoten einzeln abzuschalten.

Regelbeispiele:
1. Mehr als vier Anträge von ähnlichen Personen in einem Umkreis von 250 Metern innerhalb der letzten drei Tage.
2. Angegebene Daten in Gehalt und Geburtsdatum weichen von Kontendaten ab.

Die Plausibilitätsprüfungen werden künftig an Bedeutung gewinnen. Die Erhebung von Finanzdaten über den direkten Kontenzugriff verspricht Einsparungen in der manuellen Prüfung. Die Plausibilisierung dieser Daten ist zwingend, wenn der Prüfprozess entlastet werden soll.”

Diese Regelabbildung kann mit vorhandenen Decision-Engines geschehen. Die eigentlichen Herausforderungen sind hier die Ausweitung um die verknüpften Daten und die Veränderungszyklen: neue Betrugsmuster fordern häufig eine schnelle Anpassung, das heißt Tage oder Wochen, nicht Monate. Wenn die angeforderten Veränderungszyklen nicht umsetzbar sind, kann ein getrenntes Reporting-Tool mit den Echtdaten gefüttert werden, um den notwendigen zeitlichen Puffer für ein neues Release zu schaffen.

Der Abgleich mit Userprofilen ist vor allem bei schnellen Reaktionen sinnvoll. Die laufend aktualisierten Profile können auch mit vorberechneten Netzen verknüpft sein.

Zu den Scorekarten kommen in der Analytik lernende Algorithmen hinzu. Eine Abbildung außerhalb der operativen Systeme ist möglich. Die getesteten Regelwerke werden dann importiert.

Die Anforderungen an die Datenbereitstellung für die Analytik und das Reporting werden stark ausgebaut. Insbesondere sind alle getroffenen Regeln und Entscheidungen mit Roh- und normalisierten Daten für die Präventionsanalytik interessant.

Zum Abschluss kommt die Forderung nach Oberflächen für die gezielte Betrugssachbearbeitung. Die Systeme sind bisher weitgehend auf einen Datenabgleich der Sachbearbeiter ausgerichtet. In der Investigation ist ein zentraler Zugriff auf verschiedene Systeme hilfreich, bei dem der User die nächsten Aktionen frei wählen kann. Starre Prozessvorgaben behindern den Prüfprozess.

Make or Buy

Aufgrund der Komplexität der Materie und der schnell wachsenden Anforderungen ist eine komplett interne Umsetzung als zusätzliche Aufgabe kaum zu stemmen. Der modulare Einsatz von Fremdsoftware bietet sich hier an. Aktuell hat auch kein Anbieter eine fertige, allumfängliche Lösung im Angebot.”

Nach Zielstellung sind Anbieter für die Prävention von Antrags- und Transaktionsbetrug zu unterscheiden. Dazu kommen datengenerierende Anbieter für das Device Fingerprinting, biometrische Daten oder Kontenanalysen. Die Zahl an Anbietern für generische KI-Lösungen sind kaum überschaubar, Betrugsprävention ist hier ein beliebtes Marketingschlagwort.

Mit einigen wenigen Fragen lassen sich die Angebote bis auf wenige Anbieter ausdünnen:
1. Wie lang und mit welchem Erfolg ist der Anbieter bereits im Markt tätig? Auch große Namen haben in den letzten Jahren Angebote auf den Markt gebracht und diese nach ersten Misserfolgen wiedereingestellt.
2. Hat der Anbieter Erfahrung mit den abzuwehrenden Modus Operandi in der Zielbranche?
3. Verfügt die Software über Oberflächen für die Sachbearbeitung? Dieses überaus komplexe Thema wird gern den Kunden überlassen.

Noch einmal zurück zum Betrüger: ein erfolgreicher Modus Operandi wird kommuniziert und bei verschiedenen Banken ausprobiert. Aus Sicht der Prävention ist es deshalb notwendig, die Systeme möglichst früh aufzubauen. Wer spät nachrüstet, wird Schaden erleiden. Diese sind nicht abschließend zu verhindern, doch mit guten Systemen zu reduzieren.

Die IT kann hier eine Schlüsselrolle als Koordinator zwischen Fachbereich, Data Science und externen Anbietern einnehmen.”

Das Thema wird uns auch dauerhaft nicht verlassen. Betrug basiert auf den Lücken in Prozessen und diese sind nicht endlich. Brett Johnson, ein amerikanischer Kollege und ehemaliger Betrüger formuliert das so:

There is no patch for human stupidity“Dirk Mayer