Die nächste Evolutionsstufe im Bankenbetrug

Innovationen treiben derzeit alle Retail-Banken an, um die digitale Transformation zu meistern. Der aktuelle Hype: Die Kombination von Fernidentifizierung, Kontenabfrage und Instant Payment beschleunigt die Vergabe von Privatkrediten – aus Kundensicht ein großer Vorteil. Jedoch birgt diese Entwicklung große Risiken für Banken. Eine neue Betrugswelle steht bevor, doch bisher reagiert niemand.


Bildnachweis: iStock.com/LuckyStep48

Eine Erfindung entsteht, wenn bekannte Technologien auf neue Weise kombiniert werden. Zur Innovation wandelt sich die Erfindung, wenn sie Marktreife erlangt und sich durchsetzt. In diesem Sinne steht die Kreditvergabe vor einer Innovation: Die Kombination von Fernidentifizierung, rein elektronischer Bonitätsbeurteilung und Instant Payment ermöglicht heute die Kreditaufnahme und Auszahlung innerhalb von Minuten – und dies ganz ohne menschliche Prüfung.

Novum – der unbekannte Kunde

Einzeln betrachtet sind die dafür genutzten Technologien PostIdent und Videoidentifikationsservices, die automatisierte Beurteilung von Kontobewegungen sowie die direkte Auszahlung von Krediten nicht neu. Die Verbraucherbank bot ihren Kunden schon in den 80er Jahren Kredite über Banking-Terminals an. Neu ist lediglich, dass diese Services künftig auch unbekannten Kunden zur Verfügung stehen werden.

Der immer noch wachsende Online-Markt ist hart umkämpft und es geht darum, Kundenwünsche in Echtzeit zu erfüllen – die Gunst des Augenblicks soll genutzt werden. Doch die Wahrscheinlichkeit, dass dieser neue Service eine neue Betrugswelle auslöst, ist groß. Folgende Risikofaktoren kommen zusammen und können in einem Katastrophenszenario enden.

Agile Produktentwicklung birgt Tücken

Kommt ein neuer Player auf einen bestehenden Markt, sind die Angriffsmuster oft gut vorhersehbar. Bei neuen Services, wie einer vollautomatisierten Antragsstrecke für Kredite, funktioniert das kaum – vor allem, wenn sie agil entwickelt werden. Neue Produkte werden häufig als Minimum Viable Product (MVP) entwickelt und dann ausprobiert. Das ist der neue Tenor der schnellen, agilen Entwicklung: Nicht zu viel denken, lieber machen. Beim ersten Härtest am Kunden geht es um Themen wie Nutzen, Preis oder Oberflächen. Darauf folgt immer eine zweite Runde, die erst mit deutlicher zeitlicher Verschiebung stattfindet. Dabei geht es um Lücken im System oder nicht erkannte Produkteigenschaften, die von zahlungsunwilligen Kunden, aber vor allem von Betrügern oder Kriminellen ausgenutzt werden können.

Ressourcenmangel auf Bankenseite

In den letzten Jahren sind die erkannten Betrugsfälle im Kreditgeschäft der meisten Banken zurückgegangen. Auf dem Thema Kreditbetrug liegt derzeit also keine Management Attention. Die Fachabteilungen für Compliance, Betrugsprävention und Geldwäsche leiden deswegen häufig unter Personalmangel. Die bestehenden Mitarbeiter sind mit dem operativen Geschäft und den notwendigen Arbeiten aufgrund der Flut von neuen Regularien mehr als ausgelastet. Ein Ausbau steht nicht zur Diskussion – ganz im Gegenteil: Durch die neuen Services mit einer vollautomatisierten Entscheidung sollen Mitarbeiter eingespart werden.

Systemdschungel erschwert Abstimmung

Ein weiterer Risikofaktor ist die Tatsache, dass die technische Fraud-Prävention bei vielen Finanzdienstleistern weiterhin Stückwerk ist. Die Abwehr von Cyberangriffen liegt bei der IT, die Betrugsabwehr für Anträge im Risikomanagement und die Prävention von Geldwäsche und Antragsbetrug ist komplett getrennt.

Die Prognose für die Anbieter der Betrugspräventionssysteme ist ausgezeichnet[1] – umfassende Systeme werden jedoch kaum eingesetzt.  Die Zusammenarbeit mit Fintech-Startups zur Prüfung der Kontoumsätze erhöht das Risiko, da diese wohl eher selten über ausgefeilte Schutzsysteme verfügen[2].

Trugschluss Machine Learning

Die Hoffnung der Banken, künftig besser gewappnet zu sein, liegt im Machine Learning. Die Modellerstellung braucht wenig Fachwissen und die Algorithmen sollen in bestehende Risikomanagementsysteme eingesetzt werden. Jedoch birgt dieses Vorgehen in der Betrugsprävention bei Anträgen erhebliche Schwächen: die Lernzyklen sind lang und ein Ausweichverhalten der Betrüger ist nicht vorgesehen[3].

Damit die Modelle mittel- und langfristig funktionieren, sind Daten notwendig, die von den Betrügern nicht ohne weiteres gefälscht werden können, zum Beispiel Device Fingerprinting oder Verhaltensdaten. Im Antragsbereich für Kredite werden diese Datenquellen bisher selten genutzt.

Eine Besonderheit bei hochautomatisierten Systemen ist, dass hohe Schäden entstehen können, bevor ein Eingriff erkannt wird. Der typische Zeitverzug, bis ein erfolgreicher Betrugsangriff im Antragsbereich einer Bank erkannt wird, beträgt drei bis sechs Monate – erst dann greifen Frühwarnindikatoren.

Kritische Gemengelage und gute Entschuldigungen

Die Zutatenliste für ein Katastrophenszenario: Eine neue Produktgeneration, die auf Systemen mit Schwächen fußt und deren Frühwarnindikatoren aufgrund von Zeitverzögerungen nicht greifen, gepaart mit der Ansicht des Managements, dass es keinen Handlungsbedarf gibt. Schließlich sind die regulatorischen Anforderungen dringlicher und die Kapazitäten der IT ausgelastet.

Aber vielleicht gibt es ja keinen Angriff, vielleicht finden die Betrüger keine Lücken. Vielleicht. Die Hoffnung stirbt zuletzt.

Kleine Hebel mit großem Potential treffen auf ein systemisches Problem

Doch ganz so aussichtslos ist die Lage nicht: Die kritischen Hebel der Betrugsprävention sind die Nutzung schwer zu fälschender Daten, die Validierung von Daten mit Missbrauchspotential und die Wiedererkennung von Tätern und Tatmustern. Mit Device Fingerprints und biometrischen Daten stehen sowohl auf der Ebene der Geräte, als auch bei der Personenprüfung gute Services zur Verfügung. Mailadressen, Konten und Telefonnummern können validiert werden. Neue Systeme ermöglichen die Zusammenführung der Services und vereinfachen die Sachbearbeitung. Mit etwas mehr Fantasie ist die Bildung von Datenpools über verschiedene Systeme in einer Firma, einem Konzern und auch branchenübergreifend möglich. Die Lösungskomponenten sind also vorhanden.

Die Kapazitätsengpässe sind echt – das Risiko allerdings auch. Es geht um eine Abwägung der Interessen. Das Thema Betrugsprävention ist eine kritische Managementaufgabe mit Langzeitwirkung. Und das oben beschriebene Szenario gilt nicht nur für den Retail-Bereich: Im B2B-Geschäft wird die Online-Kreditvergabe gerade Realität. Ob Baufinanzierungen oder Leasing, Factoring, Kontoeröffnung oder Kreditkarten: die Lösungskomponenten für die Automatisierung sind in allen Bereichen nutzbar – und genauso die Komponenten zur Betrugsprävention.

Was fehlt, damit Sie jetzt ins Handeln kommen?

 


[1] Garner Report 2019: Global Fraud Detection and Prevention (FDP) Software Market

[2] https://www.heise.de/newsticker/meldung/Kommentar-zu-PSD2-Was-die-Finanzbranche-unter-Open-Banking-versteht-4522127.html

[3] https://www.bankingclub.de/news/fraudmanagement/betrug-statt-bonitaet/