Bitte melden Sie sich an

Registrieren Sie Sich als Premium-Mitglied, um Vorträge herunterzuladen.

  • 100% Rabatt auf alle Club-Events und Kongresse
  • Download der Vortragsunterlagen aller Veranstaltungen
  • Zugriff auf Fotogalerie aller Veranstaltungen
Sie sind noch kein Mitglied?

Dann registrieren Sie sich jetzt:

Jetzt Mitglied werden
Sie sind bereits Mitglied oder waren Teilnehmer?

Bitte loggen Sie sich ein:

Jetzt einloggen
Jetzt Mitglied werden

Die nächste Evolutionsstufe im Bankenbetrug

Innovationen treiben derzeit alle Retail-Banken an, um die digitale Transformation zu meistern. Der aktuelle Hype: Die Kombination von Fernidentifizierung, Kontenabfrage und Instant Payment beschleunigt die Vergabe von Privatkrediten – aus Kundensicht ein großer Vorteil. Jedoch birgt diese Entwicklung große Risiken für Banken. Eine neue Betrugswelle steht bevor, doch bisher reagiert niemand.

Von Dirk Mayer - 20. November 2019

Bildnachweis: iStock.com/LuckyStep48

Eine Erfindung entsteht, wenn bekannte Technologien auf neue Weise kombiniert werden. Zur Innovation wandelt sich die Erfindung, wenn sie Marktreife erlangt und sich durchsetzt. In diesem Sinne steht die Kreditvergabe vor einer Innovation: Die Kombination von Fernidentifizierung, rein elektronischer Bonitätsbeurteilung und Instant Payment ermöglicht heute die Kreditaufnahme und Auszahlung innerhalb von Minuten – und dies ganz ohne menschliche Prüfung.

Novum – der unbekannte Kunde

Einzeln betrachtet sind die dafür genutzten Technologien PostIdent und Videoidentifikationsservices, die automatisierte Beurteilung von Kontobewegungen sowie die direkte Auszahlung von Krediten nicht neu. Die Verbraucherbank bot ihren Kunden schon in den 80er Jahren Kredite über Banking-Terminals an. Neu ist lediglich, dass diese Services künftig auch unbekannten Kunden zur Verfügung stehen werden.

Der immer noch wachsende Online-Markt ist hart umkämpft und es geht darum, Kundenwünsche in Echtzeit zu erfüllen – die Gunst des Augenblicks soll genutzt werden. Doch die Wahrscheinlichkeit, dass dieser neue Service eine neue Betrugswelle auslöst, ist groß. Folgende Risikofaktoren kommen zusammen und können in einem Katastrophenszenario enden.

Agile Produktentwicklung birgt Tücken

Kommt ein neuer Player auf einen bestehenden Markt, sind die Angriffsmuster oft gut vorhersehbar. Bei neuen Services, wie einer vollautomatisierten Antragsstrecke für Kredite, funktioniert das kaum – vor allem, wenn sie agil entwickelt werden. Neue Produkte werden häufig als Minimum Viable Product (MVP) entwickelt und dann ausprobiert. Das ist der neue Tenor der schnellen, agilen Entwicklung: Nicht zu viel denken, lieber machen. Beim ersten Härtest am Kunden geht es um Themen wie Nutzen, Preis oder Oberflächen. Darauf folgt immer eine zweite Runde, die erst mit deutlicher zeitlicher Verschiebung stattfindet. Dabei geht es um Lücken im System oder nicht erkannte Produkteigenschaften, die von zahlungsunwilligen Kunden, aber vor allem von Betrügern oder Kriminellen ausgenutzt werden können.

Ressourcenmangel auf Bankenseite

In den letzten Jahren sind die erkannten Betrugsfälle im Kreditgeschäft der meisten Banken zurückgegangen. Auf dem Thema Kreditbetrug liegt derzeit also keine Management Attention. Die Fachabteilungen für Compliance, Betrugsprävention und Geldwäsche leiden deswegen häufig unter Personalmangel. Die bestehenden Mitarbeiter sind mit dem operativen Geschäft und den notwendigen Arbeiten aufgrund der Flut von neuen Regularien mehr als ausgelastet. Ein Ausbau steht nicht zur Diskussion – ganz im Gegenteil: Durch die neuen Services mit einer vollautomatisierten Entscheidung sollen Mitarbeiter eingespart werden.

Systemdschungel erschwert Abstimmung

Ein weiterer Risikofaktor ist die Tatsache, dass die technische Fraud-Prävention bei vielen Finanzdienstleistern weiterhin Stückwerk ist. Die Abwehr von Cyberangriffen liegt bei der IT, die Betrugsabwehr für Anträge im Risikomanagement und die Prävention von Geldwäsche und Antragsbetrug ist komplett getrennt.

Die Prognose für die Anbieter der Betrugspräventionssysteme ist ausgezeichnet[1] – umfassende Systeme werden jedoch kaum eingesetzt.  Die Zusammenarbeit mit Fintech-Startups zur Prüfung der Kontoumsätze erhöht das Risiko, da diese wohl eher selten über ausgefeilte Schutzsysteme verfügen[2].

Trugschluss Machine Learning

Die Hoffnung der Banken, künftig besser gewappnet zu sein, liegt im Machine Learning. Die Modellerstellung braucht wenig Fachwissen und die Algorithmen sollen in bestehende Risikomanagementsysteme eingesetzt werden. Jedoch birgt dieses Vorgehen in der Betrugsprävention bei Anträgen erhebliche Schwächen: die Lernzyklen sind lang und ein Ausweichverhalten der Betrüger ist nicht vorgesehen[3].

Damit die Modelle mittel- und langfristig funktionieren, sind Daten notwendig, die von den Betrügern nicht ohne weiteres gefälscht werden können, zum Beispiel Device Fingerprinting oder Verhaltensdaten. Im Antragsbereich für Kredite werden diese Datenquellen bisher selten genutzt.

Eine Besonderheit bei hochautomatisierten Systemen ist, dass hohe Schäden entstehen können, bevor ein Eingriff erkannt wird. Der typische Zeitverzug, bis ein erfolgreicher Betrugsangriff im Antragsbereich einer Bank erkannt wird, beträgt drei bis sechs Monate – erst dann greifen Frühwarnindikatoren.

Kritische Gemengelage und gute Entschuldigungen

Die Zutatenliste für ein Katastrophenszenario: Eine neue Produktgeneration, die auf Systemen mit Schwächen fußt und deren Frühwarnindikatoren aufgrund von Zeitverzögerungen nicht greifen, gepaart mit der Ansicht des Managements, dass es keinen Handlungsbedarf gibt. Schließlich sind die regulatorischen Anforderungen dringlicher und die Kapazitäten der IT ausgelastet.

Aber vielleicht gibt es ja keinen Angriff, vielleicht finden die Betrüger keine Lücken. Vielleicht. Die Hoffnung stirbt zuletzt.

Kleine Hebel mit großem Potential treffen auf ein systemisches Problem

Doch ganz so aussichtslos ist die Lage nicht: Die kritischen Hebel der Betrugsprävention sind die Nutzung schwer zu fälschender Daten, die Validierung von Daten mit Missbrauchspotential und die Wiedererkennung von Tätern und Tatmustern. Mit Device Fingerprints und biometrischen Daten stehen sowohl auf der Ebene der Geräte, als auch bei der Personenprüfung gute Services zur Verfügung. Mailadressen, Konten und Telefonnummern können validiert werden. Neue Systeme ermöglichen die Zusammenführung der Services und vereinfachen die Sachbearbeitung. Mit etwas mehr Fantasie ist die Bildung von Datenpools über verschiedene Systeme in einer Firma, einem Konzern und auch branchenübergreifend möglich. Die Lösungskomponenten sind also vorhanden.

Die Kapazitätsengpässe sind echt – das Risiko allerdings auch. Es geht um eine Abwägung der Interessen. Das Thema Betrugsprävention ist eine kritische Managementaufgabe mit Langzeitwirkung. Und das oben beschriebene Szenario gilt nicht nur für den Retail-Bereich: Im B2B-Geschäft wird die Online-Kreditvergabe gerade Realität. Ob Baufinanzierungen oder Leasing, Factoring, Kontoeröffnung oder Kreditkarten: die Lösungskomponenten für die Automatisierung sind in allen Bereichen nutzbar – und genauso die Komponenten zur Betrugsprävention.

Was fehlt, damit Sie jetzt ins Handeln kommen?

 


[1] Garner Report 2019: Global Fraud Detection and Prevention (FDP) Software Market

[2] https://www.heise.de/newsticker/meldung/Kommentar-zu-PSD2-Was-die-Finanzbranche-unter-Open-Banking-versteht-4522127.html

[3] https://www.bankingclub.de/news/fraudmanagement/betrug-statt-bonitaet/

Dirk Mayer

Risk.Ident

Dirk Mayer ist Senior Consultant Fraud Prevention bei Risk.Ident. Er verfügt über langjährige Erfahrungen im Bereich der Betrugsbekämpfung.

Lesen Sie auch

Betrugserkennung als Service

Wie lässt sich Open Banking für die Betrugsprävention[…]

Lars Meinecke

Wir sind die letzte Verteidigungslinie

Nehmen wir Vorauszahlungsbetrug schon als gegeben hin? Diese[…]

Thomas Sontag

Das endlose Märchen vom ultimativen Schnäppchen

Wie der Glaube an unbegrenzten Rabatt den Verstand[…]

Dorothee Wirsching

„Betrug an Banken bringt viel Geld und nur wenig Knast“

Was Banken von Kriminellen lernen können und auf[…]

Daniel Fernandez

Wie gefährdet ist die Datensicherheit in der Finanzbranche?

Geldinstitute tragen eine hohe Verantwortung. Persönliche Informationen und[…]

Redaktion

Innovations in Credit & Fraud 2019 – Werte schaffen und Werte schützen

Das Expertenforum von CRIF Bürgel beschäftigt sich mit[…]

Daniel Fernandez

Identifikationsverfahren: viele Ansätze – eine Lösung

Der Markt für Identifikationsverfahren ist stark fragmentiert und[…]

Johannes Antoni

„Betrug statt Bonität“

Automatisierung und KI versprechen Chancen für Kreditprozesse. Doch[…]

Philipp Scherber

„Das Netz wird engmaschiger“

Die Bekämpfung von Geldwäsche und Terrorismusfinanzierung nimmt beim[…]

Daniel Fernandez

Gefälschte Gehaltsabrechnungen – ein wachsendes Problem für Banken

Nicht nur Hackerangriffe, Ransomware und Co. machen Banken[…]

Redaktion

Mein Kühlschrank, der Betrüger

Auf unserem Fachkongress FRAUDMANAGEMENTforBANKS drehte sich zwei Tage[…]

Tobias Schenkel

19. November 1984: Der BTX-Hack schockiert Deutschland

Der Auftritt des Chaos Computer Clubs am 19.[…]

Daniel Fernandez

55,2 Milliarden

Den gemeinsamen Recherchen verschiedener Medien wie CORRECTIV zufolge[…]

Redaktion

„Die Datenqualität hat für uns höchste Priorität“

Der Kontakt zwischen Bank und Kunde findet immer[…]

Redaktion

Auf der Suche nach einer Best Practice in der Betrugsprävention

Ausnahmsweise liefern die scheinbar allwissenden Suchmaschinen wenig Hilfreiches,[…]

Dirk Mayer

Und alles nur, weil ich dich liebe

Unter dem Namen „Romance Scam“ hat sich in[…]

Dorothee Wirsching

FRAUDMANAGEMENTforBANKS 2018

Vorbericht zu unserem zweitätigen Fachkongress

Dalia El Gowhary

„Der beste Service ist der, den man nicht sieht“

Am 13.06.2018 kamen Teilnehmerinnen und Teilnehmer aus der[…]

Tobias Schenkel

Im Kampf gegen die „Cyber Nostra“

Dass Cyberkriminelle immer erfolgreicher und effizienter werden, lässt[…]

Daniel Fernandez

„Das ist eben das Hase und Igel Spiel“

Für die „Autowäsche“ muss man heute nicht mehr[…]

Tobias Schenkel

Sicherheitslücke Drucker: ein unterschätztes Risiko

Entwicklungen wie die digitale Transformation, die steigende Anzahl[…]

Michaela Harder

Alte Systeme, blinde Flecken: Risiken in der Digitalisierung

Die klassische Prüfung im Konsumentengeschäft ist Schnee von[…]

Dirk Mayer

Fraudmanagement und PSD2

Ein dominierendes Thema der vergangenen Monate war die[…]

Philipp Scherber

Der goldene Mittelweg im Spannungsfeld der Regularien

Eine der größten Herausforderungen und gleichzeitig wichtigsten Aufgaben[…]

Elfriede Jirges

Einsatz moderner Technologien in der Betrugsbekämpfung

Oft stellt sich die Frage, ob moderne Technologien[…]

Eric Wagner

Totale Offenheit verhindert Betrug

Digitalisierung macht eine Vielzahl von Regulierungen notwendig, um[…]

Jürgen P. Müller

„Bei Mietverträgen bestehen Schlupflöcher, um an ein teures Auto zu gelangen“

Das Bundeskriminalamt (BKA) bezeichnet die Kfz-Branche als Risikobereich[…]

Philipp Scherber

„Es hat höchste Priorität, die Daten unserer Kunden zu schützen“

Digitale Banking-Lösungen sind ein Spagat zwischen positivem Kundenerlebnis[…]

Tobias Schenkel

FIU – neue Einbahnstraße für Verpflichtete?

Die Zentralstelle für Verdachtsmeldungen hat sich im Sommer[…]

Mehmet Aydogdu

BaFin sorgt für Klarheit auf dem Video-Identifikationsmarkt

Seit rund einem Vierteljahr gelten nun neue Vorgaben[…]

Sebastian Bärhold

FRAUDMANAGEMENTforBANKS 2017

„Die Zeit der regelbasierten Systeme ist vorbei“, stellte[…]

Christian Grosshardt

Sicherheit im Zahlungsverkehr – Anforderungen nach MaSI und § 25h KWG

Der Kunde sollte im Zahlungsverkehr und beim Internetbanking[…]

Rainer Hahn

Eine Revolution auf dem Markt für Identitätsprüfungen

In Zeiten der rasanten Digitalisierung können Banken und[…]

Uwe Stelzig

„APT10 greift vor allem Managed Service Provider an“

Seit etwa einem Jahr kam es vermehrt zu[…]

Philipp Scherber

Der alte Mann und die Malware

Der Rückgang von Filialen sowie Gebühren für Überweisungen[…]

Daniel Fernandez

UK Bribery Act 2.0 – Erfahrungen im Umgang mit Geschäftspartnern

Seit Inkrafttreten des UK Bribery Act im Juli[…]

Johanna Duenser

Die Verschärfung des Korruptionsstrafrechts und die Auswirkungen auf Kreditinstitute

Die Verhinderung von Korruption war abseits der Schwerpunktthemen[…]

Fabian Malkoc

Der Regierungsentwurf zur Umsetzung der 4. Geldwäsche-Richtlinie der EU

Am 22. Februar 2017 legte die Bundesregierung ihren[…]

Indranil Ganguli

„Betrugsrisiken sind durch Online-Legitimation gesunken“

Auch in einer Zeit, in der immer stärker[…]

Philipp Scherber

Cybercrime-Bedrohungen im Jahr 2017

Im vergangenen Jahr wurde Cybersicherheit im Rahmen zahlreicher[…]

Michael Hagebölling

Gemeinsam gegen Betrugsversuche

Ob manipulierte Unterlagen wie Gehaltsabrechnungen bei Kreditanträgen oder[…]

Stephan R. Peters

Fraud: der menschliche Faktor

Mit betrügerischen Handlungen beschäftigt man sich im geschäftlichen[…]

Michael Leuthner

Digitalisierung = Illegalisierung?

Eine Firewall zu überwinden, stellt heute für Geübte[…]

Christian Grosshardt

Kosten- und Risikoreduzierung durch qualitativ hochwertige Kundendaten

Entity Resolution, also die Systematisierung, Verlinkung und Gruppierung[…]

Philipp Scherber