Die Betrugswelle rollt. Permanente Betrugsaktivitäten gegen Banken und deren Produktportfolio, das Austesten der Prozesse und technischen Möglichkeiten, beispielsweise im Kreditantragsprozess, sind bekannt und werden durch individuelle Präventionsmaßnahmen mitigiert. Es ist deutlich schwerer geworden, Banken selbst zu betrügen. Leichter hingegen und auch erfolgreicher ist der Angriff auf einzelne Personen, Konsumenten und Bankkunden. Die Scam-Welle verursacht mittlerweile hohe gesellschaftliche Schäden. Die Global Anti-Scam Alliance (GASA) schätzt für Deutschland die Verluste von Privatpersonen und betroffenen Unternehmen auf mehr als 10 Mrd. US-Dollar, die Schäden weltweit auf mehr als eine Billion USD – in einem Jahr wohlgemerkt. Zum Vergleich ein paar Zahlen zu Geldwäsche: Das United Nations Office on Drugs and Crime (UNODC) schätzt, dass jährlich zwei bis fünf Prozent des globalen Bruttoinlandsprodukts (BIP) durch Geldwäsche erwirtschaftet werden, etwa 0,7 bis 1,9 Billionen Euro. Schäden aus der Scam-Welle sind also ähnlich groß wie die Geldwäscheaktivitäten. Die Frage ist, halten denn auch die Anti-Scam-Präventionsmaßnahmen bereits Schritt mit jenen zur Geldwäsche?
Betrugsarten und -maschen
Ein neuer, arbeitsteilig organisierter Wirtschaftszweig der organisierten Kriminalität ist entstanden. Zunächst werden Kunden beziehungsweise Opfer selektiert und angesprochen. Der Erstkontakt erfolgt meist vollautomatisiert über standardisierte Nachrichten. Das kann beispielsweise Werbung zu außergewöhnlichen Investmentmöglichkeiten in sozialen Medien und Netzwerken sein. Schnell wird der interessierte Kunde dann zu Chatgruppen bei Instant-Messaging-Diensten weitergeleitet. Kürzlich erst hat WhatsApp circa sieben Millionen Konten gesperrt, die mit organisierten Betrugsnetzwerken in Verbindung standen. Vodafone hat mit einem neuen Anti-Spam-System in den letzten Monaten Handynutzer in Deutschland vor rund 15 Millionen potenziellen Abzock-Anrufen gewarnt. Diese Zahlen sind ein aufrüttelnder Beleg dafür, dass die organisierte Kriminalität eine Scam-Industrie aufgebaut hat. Weitere Belege sind die Existenz von Scam-Compounds oder Scammer-Cities insbesondere in Asien, in denen mehrere 10.000 Scammer teils unfreiwillig arbeiten müssen. Auch in diesen Compounds werden dann die Kunden bei Reaktion individueller „betreut“. Die Betrugsmuster sind dabei sehr verschieden und reichen vom eher kleinvolumigen WhatsApp-Betrug – „Hi Papa, ich habe mein Handy verloren“ – bis hin zu Investment oder Romance-baiting Scams, die zum Totalverlust des Vermögens führen können.
Je nach Betrugsmuster werden KI-Modelle eingesetzt, die die Kommunikation mit dem Opfer übernehmen und einfache Fragen direkt beantworten. Insbesondere bei Investment-Scams werden diese aber auch durch persönliche Betreuung ergänzt. Dabei bringen die Betrüger durchaus Zeit mit. Ein Scam, gestartet auf einer Dating-Plattform, kann Monate mit dem Aufbau einer persönlichen Bindung des Opfers verbringen, bevor zunächst kleine, dann immer größere Summen in vermeintliche Investments auf Fake-Investment-Seiten getätigt werden.
Scams haben sich also zu einem großen gesellschaftlichen Problem entwickelt. In die Prozesskette ungewollt involvierte Industrien – insbesondere soziale Netzwerke, Telekommunikationsanbieter und Banken – müssen aktiv werden und Präventionsmaßnahmen ergreifen, um dauerhaft den Schaden einzudämmen. Eine Kernfrage sollte beantwortet werden: „Wollen wir wirklich, dass unsere Familien oder Freunde Opfer solcher Scams werden?“
Wollen wir wirklich, dass unsere Familien oder Freunde Opfer solcher Scams werden?
Opferschutz
Banken und Finanzdienstleister kommen nur im Erfolgsfall, also relativ spät, ins Spiel. Sie können beim Opferschutz – der zunehmend auch als Reputationsaspekt gesehen wird – unterstützen und den Tätern das Handeln erschweren. Etwaige Präventionsmaßnahmen sind Verfahren, die möglichst in Echtzeit ungewöhnliche Zahlungen identifizieren, hinterfragen und stoppen. Beispiele sind erstmalig hohe Überweisungen ins Ausland oder das Prüfen des Verhaltens eines Nutzers während einer digitalen Interaktion. Die Nutzung von Instant Payments verstärkt den Bedarf nach möglichst zeitnaher Analyse, Austausch zwischen der Bank des Opfers und der Täter, um durch Stoppen der Geldflüsse einen Präventionserfolg zu erzielen.
Handlungsdruck wird nun zusätzlich durch die anstehende PSD3 und die dazugehörige Verordnung PSR erzeugt, die verstärkte Sorgfaltspflichten und damit auch die Haftung für bestimmte Betrugsfälle vorsieht.
Probability of Fraud
Neben Transfers in Crypto-Wallets werden auch Kontotransaktionen genutzt. Die oben erwähnten Zahlen von WhatsApp und Vodafone lassen vermuten, dass auch die Menge an betrügerischen Konten, meist Money Mules, hoch sein muss. Jede Bank muss prüfen, in welcher Intensität sie als Täterbank oder Money Mule Host missbraucht wird. Betroffene Konten sind schnell zu schließen beziehungsweise Transaktionen zu stoppen.
Die aktuelle KI-Entwicklung auf der Täterseite, beispielsweise beim Erstellen von Fake-Videos – auch in Echtzeit, fordert die etablierten Kontoeröffnungs- und KYC-Prozesse heraus. Die KI-Entwicklung bietet aber auch Banken neue Instrumente an. Mithilfe von Machine Learning lassen sich trennscharfe Scores, sozusagen eine Probability of Fraud, entwickeln, die die Ähnlichkeit eines Neukunden zu bekannten Betrügern und Money Mules bewerten. Die Höhe des Scores steuert dann die Kontrollintensität und gegebenenfalls weitere Prüfungen des Neukunden. Erste Banken haben eine Probability of Fraud bereits im Einsatz. Erfahrungen zeigen, dass ein bedeutender Teil der Money Mules auf diese Weise bereits vor der ersten Transaktion effizient erkannt wird.
Die fortschreitende Entwicklung von Machine Learning Verfahren ermöglicht die Einführung einer Probability of Fraud zur Identifizierung von Betrügern und Money Mules noch im Kontoeröffnungsprozess.
Zusammenarbeit und Informationsaustausch zwischen Banken
Ein weiterer Schritt, den Banken nun gehen müssen, ist eine umfassende Zusammenarbeit. Informationsaustausch zu Verdachtsfällen möglichst real-time ist ein entscheidender Faktor, fehlende Puzzleteile in jedem beteiligten Institut (Opfer- und Täterbank) zu ergänzen. Austausch gibt es heute schon. Ein SEPA-Recall gibt natürlich Informationen weiter, die dazugehörigen Prozesse stellen aber eher nicht die Schnelligkeit sicher, die in Zeiten von Instant Payment notwendig ist, um betrügerische Transaktionen in der Kette der involvierten Institute zu stoppen. GDPR-konforme Lösungen stehen bereits am Markt zur Verfügung. Je mehr Banken sich zu einem systematischen, technisch automatisierbaren Austausch ihrer Betrugsauffälligkeiten entscheiden, desto schwerer wird es für die Betrüger werden. Übrigens fordert auch die anstehende PSR diesen Datenaustausch zwischen den Banken. Die Stärkung der Zusammenarbeit ist also nicht mehr eine Frage des ob, sondern nur noch eine Frage des wann.
Je schneller Banken die Elemente Prävention von Betrug und Vermeidung von Täterkonten dauerhaft mit einem gemeinsamen Informationsaustausch kombinieren, desto größer ist die Chance, dass die Scam-Welle in ihrer Intensität nachlässt und beherrschbar wird.
Carsten Helm ist Experte für Anti-Financial Crime und Betrugsprävention mit über 15 Jahren Erfahrung in Banken und Fintechs. Zuletzt leitete er bei N26 ein umfassendes Remediation-Programm im Bereich Finanzkriminalität. Als Fachbeirat im Bereich Fraudmanagement unterstützt er die BANKINGNEWS-Redaktion.