KI kontra Cyberkriminalität bei Banktransaktionen

Ein Artikel von Andreas Hermann, Fraud Manager bei Atruvia | 28.11.2022 - 09:56

Laut aktuellem Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist Finance Phishing weiter auf dem Vormarsch: Anders als früher jedoch fassen viele Betrüger ihre Phishing-Mails heute nicht nur in fehlerfreiem Hochdeutsch ab, sondern imitieren gestalterisch auch täuschend echt das Corporate Design der vermeintlichen Absenderbank. Obwohl kein Kreditinstitut in Deutschland seine Kundinnen und Kunden von sich aus per E-Mail mit sensitiven Informationsanfragen kontaktieren würde, gelingt es Cyberkriminellen immer wieder, sich mit dieser Phishing-Masche Kontozugangsdaten von arglosen Opfern zu erschleichen.

Vor allem Unwissenheit spielt ihnen dabei in die Hände: Wie das kürzlich vom BSI gemeinsam mit der Polizeilichen Kriminalprävention der Länder und des Bundes (ProPK) veröffentlichte „Digitalbarometer“ zeigt, verzichten noch immer 23 Prozent aller Verbraucherinnen und Verbraucher darauf, sich über Cybergefahren zu informieren. Gut ein Drittel (35 Prozent) tut dies immerhin sporadisch, und nur 16 Prozent halten sich regelmäßig auf dem Laufenden.

Dreiklang aus Prävention, Detektion und Reaktion

Solche Zahlen unterstreichen die Dringlichkeit von Awareness-Kampagnen im Rahmen einer ganzheitlich konzipierten Anti-Fraud-Strategie für Banken. Aber auch harte Authentifizierungsmechanismen gemäß der europäischen Payment-Services-Richtlinie PSD 2 gehören zur Betrugsprävention.

Als Digitalisierungspartner der Volks- und Raiffeisenbanken hat Atruvia über die Anforderungen von PSD 2 hinaus eine Verifikation per Device-Fingerprinting in die grunderneuerte Onlinebanking-Umgebung eingefügt: Bei einem Kundenlogin über ein bislang nicht verwendetes und daher unbekanntes Endgerät muss dieser erstmalige Zugang zusätzlich durch eine TAN-Freigabe autorisiert werden. Dies erschwert es Kriminellen, gestohlene Zugangsdaten für Betrugsdelikte zu missbrauchen.

Neben harter Authentifizierung verlangt PSD 2 von Banken außerdem die Bewertung sämtlicher Transaktionen im Zahlungsverkehr. Ziel dabei ist es, unberechtigte Transaktionen rechtzeitig zu erkennen und entsprechende Buchungen zu blockieren. Bei bundesweit gut 7,1 Milliarden Banküberweisungen pro Jahr (Stand 2021) ist dies nur durch weitgehend automatisierte Prozesse zu bewerkstelligen.

Die einfachste Variante für eine Bewertungsautomatik wäre etwa ein Echtzeitabgleich der Zielkonten mit einer IBAN-Black-List: Eine solche Liste enthält auffällig gewordene Kontoverbindungen zum Beispiel von sogenannten Fake-Shops, die ihre Opfer mit unrealistisch niedrigen Preisen für hochwertige Markenartikel locken, etwa mit einem Thermomix für 300 Euro. Wer hier bestellt, wartet vergebens auf seine Ware und sieht den überwiesenen Kaufpreis nie wieder – es sei denn, die Bank stoppt die Überweisung, weil die betreffende IBAN in der Black List enthalten ist. Eine generelle Lösung des Problems ist dadurch nicht zu erwarten, da jederzeit neue IBANs für betrügerische Transaktionen genutzt werden können.

KI-basiertes Transaktionsmonitoring

Atruvia_Andreas Hermann.JPG

Autor: Andreas Hermann, Fraud Manager bei Atruvia

Der Automationsansatz von Atruvia geht über solche einfachen Abgleichverfahren weit hinaus, denn er nutzt alle verfügbaren Informationen zum kundenindividuellen Zahlungsverhalten als Input für eine KI-basierte Transaktionsbewertung: Salopp gesagt, geht es hierbei um die Frage, ob eine Transaktion zum typischen Kundenverhalten passt oder nicht. Kriterien dafür sind unter anderem der vorrangig genutzte Überweisungskanal oder das jeweils präferierte TAN-Verfahren. Bei Abweichungen von solchen kundentypischen Nutzungsindikatoren versieht das System die betreffende Transaktion automatisch mit Auffälligkeitswert auf einer Skala von 1 bis 7.

Doch woher kommen die Informationen zur kundenspezifischen Nutzungshistorie? Aus einem Data-Mining-System, mit dem der genossenschaftliche Digitalisierungspartner unter strikter Einhaltung aller datenschutzrechtlichen Bestimmungen den gesamten Zahlungsverkehr permanent überwacht. Alle erhobenen Daten werden gemäß DSGVO ausschließlich zur Betrugsprävention verwendet und dienen keinem anderen Zweck. Insofern ist die Furcht vor einem „gläsernen Kunden“ absolut unbegründet.

Das Bewertungsmodell für die Transaktionsanalyse wird regelmäßig den aktuellen Entwicklungen der Betrugsmaschen angepasst. VR-Banken, die auf das Fraud-Detection-Verfahren von Atruvia vertrauen, profitieren bei der Modellierung des individuellen Kundenverhaltens auch von Erkenntnissen, die aus den Datenbeständen anderer Genossenschaftsinstitute gewonnen wurden.

Im Spannungsfeld von Effizienz und Qualität

Selbstverständlich darf nicht jede als auffällig markierte Überweisung so ohne weiteres gestoppt werden: Von durchschnittlich 0,2 bis 0,3 Prozent als verdächtig klassifizierte Transaktionen bestätigt die manuelle Prüfung bei einem Fünftel der Fälle den automatisch generierten Betrugsverdacht nicht. Im Umkehrschluss bedeutet das: Die Fraud-Detection-Lösung von Atruvia verhindert 80 Prozent aller unberechtigten Transaktionen – und mindert zum Wohle der Bank und ihrer Kundschaft in entsprechendem Maß die potenziellen Schäden durch Cyberbetrug.

In der Praxis arbeiten die Prüfteams in den Banken unter hohem Zeitdruck: Bei einer klassischen SEPA-Überweisung etwa bleiben für die Buchung in der Regel wenige Stunden – wobei die Lösung von Atruvia jedem Institut die Möglichkeit einräumt, die On-Hold-Fristen für auffällige Transaktionen nach eigenem Ermessen festzulegen. Bei Instant-Zahlungen jedoch müssen sich Banken auf die automatische Validierung verlassen. Für eine manuelle Prüfung bleibt hier keine Zeit. Allerdings lassen sich zu Unrecht blockierte Buchungen im Nachhinein freischalten.

Jede einzelne manuelle Transaktionsprüfung vor Ort in den Banken verbessert den automatischen Erkennungsalgorithmus im zentralen Fraud-Detection-System: Anhand von Prüfinformationen lernt die Lösung fortlaufend hinzu, indem sie die eigenen Parameter- und Schwellenwertekonfigurationen immer wieder neu justiert. Tatsächlich war die automatische Betrugsprävention eines der ersten Anwendungsfelder, bei denen Atruvia bereits seit Jahren den Einsatz innovativer KI-Methoden erfolgreich praktiziert.

Doch die Bedrohungslage verschärft sich im digitalen Raum buchstäblich von Tag zu Tag. Der genossenschaftliche Digitalisierungspartner arbeitet deshalb permanent an der Weiterentwicklung der Grundlagen des selbstlernenden Detektionssystems: Künftig werden zum Beispiel die klassischen Entscheidungsbäume nach dem Vorbild Neuronaler Netze erweitert. Denn damit lässt sich das typische Kundenverhalten aus den Inputdaten noch präziser herausdestillieren, um die Treffergenauigkeit des Erkennungsalgorithmus stetig weiter zu erhöhen.