Finanzdelikte und Betrug kosten Unternehmen jedes Jahr nicht nur horrende Summen – sie bedeuten auch ein erhebliches Reputationsrisiko. Gerade professionelle Betrugsnetzwerke kennen die Prüfmechanismen und die Umgehungsmöglichkeiten. Sie finden Schwachstellen hergebrachter Methoden zur Betrugserkennung und entwickeln neue Betrugsmuster. Diese Form der Kriminalität lässt sich nur mit modernen Fraud Detection Technologien identifizieren. Der richtige Einsatz softwarebasierter Analytics ist hierbei entscheidend.
Digitale Detektive
Im Rahmen der Verhinderung von betrügerischen Handlungen lassen sich vor allem zwei Teilbereiche durch fortgeschrittene analytische Verfahren adressieren. Diese sind die Prävention und die Identifikation entsprechend betrügerischer Verhaltensweisen (sogenannte dolose Handlungen).
Im Bereich der Prävention gilt es vor allem, den potenziellen Tätern die Handlungsmöglichkeit, also die Gelegenheit zur Tatbegehung, zu nehmen, was beispielsweise durch technische oder prozessinhärente Kontrollen bzw. ein effektives internes Kontrollsystem erreicht werden kann. Darüber hinaus werden im Rahmen von Werte- und Ethikmanagement-Programmen motivationsbezogene Faktoren adressiert, um die jeweils relevante Zielgruppe zu moralisch korrektem und sozial adäquatem Verhalten anzuhalten.
Trotz aller Präventivmaßnahmen wird es immer wieder Täter geben, die eine sich bietende Gelegenheit nutzen und durch missbräuchliche, dolose Handlungen zum eigenen Vorteil oder zum Vorteil Dritter bestehende Kontrollschwächen auszunutzen. Genau in diesen Fällen ist es von entscheidender Bedeutung, eine möglichst umfassende und zeitlich unmittelbare Kontrolle und Identifikationssensorik implementiert zu haben. Die meisten der üblicherweise anzutreffenden dolosen Handlungen manifestieren sich in Handlungsmustern, bei denen der zeitliche Aspekt der Überraschung oder Täuschung von wesentlicher Bedeutung ist. Aufgrund der Vielzahl der Tätermotivationen und Handlungsmöglichkeiten bedingt dies neben einer möglichst breiten Datenbasis auch eine viele analytische Verfahren umfassende Aufdeckungssystematik, um alle sich daraus ergebenden Handlungsmuster abdecken zu können.
Im Folgenden sollen vor allem die für den Bereich der Identifikation relevanten analytischen Verfahren sowie die damit einhergehenden daten- und informationstechnischen Aspekte diskutiert werden.
1. Einsatz anylytischer Modelle
Der Einsatz analytischer Modelle zur Identifikation doloser Handlungen hat in den letzten Jahren erheblich an Bedeutung gewonnen. Ging man noch vor wenigen Jahren davon aus, dass vor allem die Abbildung bekannter Handlungsmuster in Regelwerken ausreicht, um missbräuchliche Transaktionen und Geschäftsvorfälle zu erkennen, so ist mittlerweile allgemein akzeptiert, dass erst ein breites Methodenspektrum die Vielfältigkeit des kriminellen Erfindungsreichtums wirksam adressieren kann. Die Aspekte, die bei der Identifikation von dolosen Handlungen relevant sind, betreffen dabei die Frage, ob es sich um einzelne Täter oder Tätergruppen handelt, ebenso wie die Frage der Gruppendynamik und der Zusammenarbeit innerhalb einer Tätergruppe und beziehen die einzusetzenden Systeme und Infrastrukturen sowie die Modi Operandi der durchzuführenden Missbrauchshandlungen mit ein. Insbesondere die immer weiter fortschreitende Vernetzung und Automatisierung von Prozessen innerhalb und zwischen verschiedenen Finanzinstituten ermöglichen den Tätern zu jeder Zeit neue Betrugsformen, Handlungsmuster und Angriffsvektoren.
Heutzutage sollte davon ausgegangen werden, dass hochautomatisierte und integrierte IT-Systeme nachhaltig in der Lage sind, die Nutzung der sich vielfältig bietenden Gelegenheiten für missbräuchliche Handlungen rechtzeitig zu erkennen und entsprechende Aktionen auszulösen. Grundsätzlich können hierfür Regeln, sogenannte Business Rules, zur Abbildung von Kriterien und Schwellenwerten eingesetzt werden. Darüber hinaus bietet aber vor allem der Einsatz von hochentwickelten analytischen Verfahren einen entscheidenden Mehrwert bei der Identifikation von dolosen Handlungen.
1.1 Regeln
Regeln stellen traditionell eine fundierte Basis zur Identifikation bekannter Handlungsmuster dar. Solche Regeln funktionieren nach dem Prinzip „wenn – dann“, setzen also bekannte Parameter zueinander in Relation und leiten daraus eine Aussage ab. Beispielsweise können das die Abfolge bestimmter Transaktionen, zeitliche Intervalle im Rahmen eines Geschäftsvorfalls oder auch das Zusammentreffen von Orts- und Personeninformationen sein. Die Möglichkeiten solcher Regeln sind vielfältig und erstrecken sich auf nahezu alle Bereiche von Transaktionen oder Geschäftsvorfällen, insbesondere dann, wenn für den entsprechenden Geschäftsvorfall auswertbare Daten generiert werden oder zur Verfügung stehen. Die Funktion einer Regel kann dabei merkmalbezogen (Übereinstimmung, keine Übereinstimmung mit einem bestimmten Merkmal, z.B. Wohnsitz in Deutschland) oder auch (schwellen-)wertbezogen (anteilig, prozentual, Teilmenge, z.B. Überschreitung des üblichen monatlichen Umsatzvolumens) sein. Je nach Zielrichtung einer Regel können auch verschiedene Daten in einer Regel kombiniert werden, was die Treffermenge zieladäquat reduziert.
Die Verwendung von Regeln ermöglicht einerseits die sehr zielgenaue Abbildung bekannter Muster doloser Handlungen („Zeige mir alle Transaktionen, bei denen ein Beteiligter ein ausländisches Konto und gleichzeitig seinen (Wohn)Sitz in einem davon abweichenden Land hat!“), andererseits erfordern einmal implementierte Regeln auch eine kontinuierliche Pflege, Weiterentwicklung und gegebenenfalls Repriorisierung in der Relevanz für die jeweils zu betrachtenden Betrugsszenarien. Gleichzeitig stellen sie offensichtlich lediglich eine Möglichkeit dar, bereits bekannte Handlungsmuster in Form solcher Anfragen abzubilden. Bisher unbekannte oder in der Vergangenheit noch nicht im Institut aufgetretene Auffälligkeiten und Handlungsmuster werden – da die entsprechenden Parameter eben noch nicht in einer Regel abgebildet sind – nur schwer identifiziert.
Alle derzeit gängigen und auf die Identifikation von Betrugsfällen spezialisierten Softwarelösungen bieten entsprechende Regelmechanismen an. Dabei variieren diese stark in Umfang, Kombinatorik und Geschwindigkeit, was gerade für größere Institute von entscheidender Bedeutung sein dürfte. Daneben spielen für die Anwendung von Regelkatalogen wie auch in allen anderen Fällen der Betrugserkennung die Datenverfügbarkeit und die -qualität eine entscheidende Rolle. Offensichtlich können nur die Daten analysiert werden, die zu diesem Zweck vorhanden und zugänglich sind. Darüber hinaus spielt allerdings auch die Qualität eine wesentliche Rolle, denn bekanntermaßen bedingen schlechte Daten auch schlechte Ergebnisse. Dies gilt vor allem dann, wenn die zu verwendenden Daten lückenhaft oder fehlerhaft sind. Denn hierdurch werden die Regelwerke, die auf das Vorliegen bestimmter Daten aufbauen, um ihr Fundament gebracht.
1.2 Fortgeschrittene Analytik
Um den vorgenannten Herausforderungen und Limitierungen von Regelkatalogen zu begegnen, setzen die marktführenden Systeme (bspw. das SAS ® Fraud Framework) in verstärktem Maße auf hochentwickelte, fortgeschrittene analytische Verfahren. Regelwerke können naturgemäß nur diejenigen Sachverhalte abbilden, die aus Expertenwissen gewonnen wurden oder auf Erfahrungswerten basieren. Selbst wenn sie flexibel ausgestaltet werden können, stoßen sie irgendwann an Grenzen. Hier können mathematisch-statistische Verfahren zur Mustererkennung helfen, aus vorhandenem Datenmaterial zu bereits in der Vergangenheit identifizierten Betrugsfällen Input für neu zu generierende Regeln zu liefern. Innovationen an Algorithmen und Methoden im Umfeld des Data Mining haben in den letzten zehn Jahren dazu geführt, dass heute umfassende Möglichkeiten existieren, neue Trends und verborgene Strukturen in den Daten aufzuspüren.
Bei Verfahren des überwachten Lernens – häufig auch Predictive Modeling genannt – wird anhand eines Datenbestands ein Prognosemodell auf eine Zielgröße hin trainiert. Diese Zielgröße kann je nach Fragestellung und Datenkonstellation ein bekanntes Ereignis (z.B. definierter Betrugsfall: ja/nein) oder eine quantitative Größe (z.B. Transaktionsvolumen) repräsentieren. Durch Einsatz von verschiedenen Prognosealgorithmen wie beispielsweise Regression, neuronalen Netzen, Entscheidungsbaumalgorithmen oder Support Vector Machines werden dabei automatisch diejenigen Merkmale identifiziert und in das Modell übernommen, die für die Prognose besonders geeignet sind. Die Algorithmen sind häufig auch in der Lage, mit Herausforderungen wie Wechselwirkungen (Interaktionseffekte) und nichtlinearen Zusammenhängen um zugehen. Moderne Data Mining Werkzeuge liefern dabei heute nicht nur eine Entwicklungsumgebung, um Daten geeignet aufzubereiten und, verschiedene Modellvarianten gegeneinander antreten zu lassen und das Gewinnermodell (ggf. auch ein Ensemblemodell aus mehreren einzelnen Modellen) auszuwählen. Sie stellen auch gleich das Modell in Form einer ScoringFunktion für den operativen Betrieb bereit, so dass es direkt in ein Präventionssystem übernommen werden kann.
Verfahren des unüberwachten Lernens verzichten auf die Definition einer Zielgröße und eignen sich daher eher dazu, Strukturen in den Daten zu entdecken, die auf den ersten Blick vielleicht nicht sichtbar sind. Dies trifft insbesondere auf Verfahren zur Anomalieerkennung zu. Hierbei geht es um das Aufdecken statistischer Ausreißer. Vereinfacht gesagt sind Ausreißer dadurch charakterisiert, dass sie sehr weit vom statistischen Verteilungszentrum entfernt liegen. Dieses Zentrum sollte so gestaltet sein, dass es ein zu erwartendes Normalverhalten repräsentiert. Auch für unüberwachtes Lernen gibt es heute eine Vielzahl verschiedener Verfahren. Sie reichen von Analysen einfacher Verteilungen bis hin zu komplexen multivariaten Verfahren. Beispiele hierfür sind etwa Zeitreihenprofile, Cluster-Algorithmen oder Assoziations- und Sequenzregeln.
Verfahren aus dem Umfeld der Textanalyse – mit Umsicht und unter Beachtung der relevanten Regelungen des Datenschutzes und der Arbeitnehmermitbestimmung implementiert – eignen sich, um relevante Informationen aus Freitextfeldern gescannter Dokumente oder Eingabemasken zu extrahieren und für die Analyse geeignet aufzubereiten. Hier reicht das Spektrum der Verfahren von einfachen Textfunktionen wie regulären Ausdrücken über Fuzzy-Matching von Textausdrücken und computerlinguistische Ansätze bis hin zu Text Mining Algorithmen. Einsatzfelder in der Betrugserkennung sind das Erkennen von ähnlichen Dokumenten bei der Analyse von Sachbearbeiternotizen in Kommentarfeldern oder auch einfach das Extrahieren und Abgleichen von Namen oder Adressen mit leicht geänderter Schreibweise.
Natürlich bedarf der Einsatz solcher Verfahren der interdisziplinären Zusammenarbeit zwischen analytischen Methodenexperten einerseits und Mitarbeitern der Fachabteilung andererseits. Dies gilt nicht nur für das eigentliche Trainieren der Modelle, sondern auch für die Interpretation und Anwendungsfähigkeit der Ergebnisse. Schließlich gilt: Nicht jeder statistische Ausreißer stellt ein hinreichendes Verdachtsmoment in Bezug auf Betrug dar.
1.3 Hybridansatz
Intelligente Betrüger wissen heute häufig um die Existenz von Prüfmechanismen sowie um Umgehungsmöglichkeiten und agieren geschickt unterhalb des Radars. Sie verhalten sich so, dass anhand einer einzelfallbasierten Prüfung oder Prüfung mittels nur eines Verfahrens keine Auffälligkeit festgestellt werden kann. Erst in der Aggregation von Merkmalen verschiedener miteinander verknüpfter Fälle und in übergreifenden Analysen ergeben sich relevante Muster.
Der sogenannte Hybridansatz kombiniert dabei verschiedene Datenquellen, analytische Verfahren und Datenmodelle, um eine einheitliche und vollumfängliche Betrachtung des jeweiligen Geschäftsvorfalls zu ermöglichen. Gerade die übergreifenden und miteinander in Zusammenhang stehenden Fälle können dabei identifiziert werden.
Es stellt sich die Frage, wie die Verknüpfung solcher Einzelschäden oder Personen herzustellen ist. Der grundsätzliche Ansatz besteht darin, über einen Geschäftsvorfall hinweg gemeinsame Attribute der zugrundeliegenden Transaktion oder der beteiligten Personen aufzufinden. Je nach verfügbaren Daten, Produkt, Betrugsszenario und Vertriebsweg kommen hier neben der Person des direkten Kunden auch Treuhänder, Bürgen, Personen im Näheverhältnis oder auch die Sekundärinformationen wie Beruf, Wohnort/Antragsort sowie Bonität und interner Kontaktkanal in Frage. Praktikabel ist dieses Vorgehen natürlich nur, wenn die Verknüpfung – etwa über Personennamen, Adressen, Bankverbindungen, Telefonnummern oder internen Kontakt – nicht auf Zufallstreffern basiert, sondern automatisch und strukturiert erfolgen kann. Moderne IT-Systeme sind heute allerdings grundsätzlich in der Lage, diese automatisierte Verknüpfung von Einzelfällen über Attribute zu Netzwerken herzustellen.
Da es sich bei den Attributen um personenbezogene Daten handelt, wird man im Einzelfall prüfen müssen, welche rechtlichen Rahmenbindungen für eine automatisierte Verarbeitung dieser Daten gelten. Allerdings bieten moderne IT-Systeme Möglichkeiten, personenbezogene Daten zunächst zu pseudonymisieren, die automatisierte Verarbeitung auf die aus diesem Schritt generierten Daten anzuwenden und erst bei begründetem Anfangsverdacht durch einen zu etablierenden, mit geltendem Recht zu vereinbarenden Freigabeprozess den tatsächlichen Personenbezug offenzulegen. Bei der Ausgestaltung ist natürlich in jedem einzelnen Unternehmen zu klären, inwieweit die geltenden Datenschutzanforderungen und Prozesse mit dem Interesse an einer effizienten Bekämpfung von Betrug und den Anforderungen des § 25 c KWG vereinbar sind.
Der Nutzen der übergreifenden Mustererkennung mittels eines hybriden Ansatzes besteht darin, dass damit auch zunächst scheinbar uninteressante Vorgänge in ihrer Summe als Gegenstand weitergehender Ermittlungen relevant werden. Zudem lassen sich im Falle organisierter Betrugsringe im Rahmen eines Ermittlungsvorgangs ungleich größere Potenziale realisieren als bei isolierter Betrachtung.
2. Anwendungsbeispiele
Beispiel 1: Eine international agierende Großbank hat das SAS Fraud Framework ausgewählt, um die Höhe der jährlichen Betrugsschäden deutlich zu reduzieren und gleichzeitig das Wachstum in den jeweiligen Produktbereichen nicht zu gefährden. Gegenstand war vor allem die Kreditvergabe, hier speziell das Kreditantragsverfahren sowie die zeitnahe technische Bewertung der für die Beurteilung im Rahmen der Kreditvergabe relevanten Daten und Informationen. Besonderen Wert hat das Institut darauf gelegt, dass durch die neu einzuführenden Prüfungsprozesse die Kundenzufriedenheit nicht eingeschränkt wird.
Mithilfe des SAS Fraud Framework werden nunmehr die Kreditantragsinformationen und zugehörigen Kundeninformationen in erheblich tieferer Detaillierung und unter Nutzung unterschiedlicher Bewertungsmodelle analysiert. Aufgrund der Verarbeitungsgeschwindigkeit der SAS Lösung und der Möglichkeit, auch komplexe analytische Verfahren auf große Datenmengen anzuwenden, ist die Bank in der Lage, die Entscheidung nicht nur fundierter, sondern auch schneller zu treffen.
Bereits im ersten Jahr konnten so rund 10 Mio € Kreditausfallsumme kumuliert eingespart werden. Die Zahl der False Positives wurde erheblich reduziert und gleichzeitig die Zahl der automatisiert zutreffend als dolos erkannten Anträge erheblich gesteigert. Dies führt zu einer Fokussierung der Prüfungskapazitäten auf die tatsächlich kritischen Fälle. Daneben wurden Verbesserungen in der Datenqualität sowie der Anwendung verschiedener interner wie externer Datenquellen erreicht.
Beispiel 2: Ein ebenfalls international agierendes großes Finanzinstitut hat mit Unterstützung der SAS Fraud Lösungen einen ganzheitlichen Ansatz gewählt. Ziel war es, im Rahmen der Unternehmensstrategie die Kunden vor den Auswirkungen betrügerischer Handlungen zu schützen und gleichzeitig die Betrugsschäden zu begrenzen. Hierzu wurde – aufbauend auf eine bereits im Einsatz befindliche SAS Geldwäscheplattform – ein umfassendes Fraud Repository aufgesetzt, das es dem Institut ermöglicht, dolose Handlungen konzernweit zu erkennen und entsprechend zu verhindern. Darüber hinaus lag der Fokus auf der konsistenten Einbindung der SAS Fraud-Lösung in die bestehenden Banksysteme sowie mithilfe des SAS ® Enterprise Case Management in die bestehenden Prüfungs- und Freigabeprozesse innerhalb der Bank. Besonderes Augenmerk lag auf Kreditkartenbetrug, Missbrauch von Geldautomaten sowie Kontenmissbrauch. Aufgrund der Größe des Instituts war vor allem auch die Verarbeitungsgeschwindigkeit von besonderer Bedeutung, hier konnten die Betrugserkennungsmethoden erfolgreich mit der Echtzeitüberwachung von Kreditkartentransaktionen zusammengeführt werden.
3. Analytische Lösungen
3.1 SAS Fraud Framework
SAS Fraud Framework ist eine Komplettlösung zur übergreifenden Erkennung und Vermeidung von Betrugsfällen in den verschiedenen Geschäftsbereichen heutiger Finanzinstitute. Die Lösung enthält integrierte Komponenten für die Erkennung von Verdachtsfällen, das Warnmeldungs- und Fallmanagement sowie einen kategoriespezifischen Workflow, ergänzt durch Dokumentenmanagement und leistungsfähige mathematisch-statistische Analysemethoden.
Erweitert wird das Portfolio durch SAS ® Social Network Analysis, eine Lösungskomponente, die sowohl eine Top-down- als auch eine Bottom-up-Funktionalität bietet und versteckte Betrugsnetzwerke für Sachbearbeiter sichtbar macht. Der Lösungsansatz von SAS bietet verbesserte Betrugserkennung und erhöhte Betriebseffizienz bei gleichzeitiger Senkung von Ausgaben zur Betrugsbekämpfung, bezogen auf die Gesamtbetriebskosten.
3.2 SAS Fraud Management
Wer Verluste durch Kartenbetrug vermeiden will, muss zweifelhafte Transaktionen so früh wie möglich analysieren – am besten noch vor dem Abschluss. SAS bietet ein Komplettsystem zur konzernweiten Betrugsabwehr, das alle Finanztransaktionen in Echtzeit bewertet.
Wesentliches Merkmal sind dabei die Bewertung monetärer und sonstiger Transaktionen auf Abruf und Antwortzeiten unter einer Sekunde bei konstant hohem Durchsatz. Darüber hinaus bietet SAS Fraud Management eine umfassende Analyse- und Modellierungsplattform inklusive Entscheidungsprogramm für schnelle und zuverlässige Betrugserkennung durch Modellierung als neuronales Netz, eine Integration von Konsortialdaten in bankspezifische Modelle. Es bietet die Anbindung an Freigabesysteme. Wesentliches Merkmal ist die konsequente Umsetzung der bewährten SAS Analytics als Realtime-Lösung.
3.3 SAS Social Network Analysis
SAS Social Network Analysis unterstützt Finanzinstitute bei der Aufdeckung und Prävention organisierten Betrugs. Zu diesem Zweck erzeugt die Lösung nicht lediglich Ansichten von Transaktionen und Konten, sondern analysiert alle damit zusammenhängenden Aktivitäten und Beziehungen auf Netzwerkebene. Die SAS Lösung verschafft Ermittlern die Möglichkeit, zuvor unbekannte Beziehungen aufzudecken und mithilfe einer einzigartigen grafischen Benutzeroberfläche zur Netzwerkvisualisierung, die alle Verbindungen zwischen Objekten und Personen innerhalb eines Netzwerks abbildet, ihre Ermittlungsarbeit effizienter zu gestalten. Schadensfälle werden mithilfe eines Scoring-Systems in Echtzeit bewertet, Doppelzählungen eliminiert und priorisiert, relevante Warnmeldungen erstellt und zur weiteren Untersuchung in eine Ermittlungswarteschlange gemeldet.
Weiterhin werden unabhängige und kombinierte Bewertungen (Scores) zur Einschätzung des Gesamtrisikos auf der Basis von Kunden oder Netzwerken generiert und Warnmeldungen erzeugt, die automatisch an die richtigen Ressourcen weitergeleitet werden.
3.2.4 SAS Visual Analytics
Mit der In Memory Lösung SAS Visual Analytics können Finanzinstitute nahezu beliebig große Datenmengen gründlicher und deutlich schneller visualisieren und analysieren als je zuvor. Eine Beschränkung auf Stichproben oder Teilmengen des Datenbestands erübrigt sich. Bisher unerkannte Muster, Trends und Zusammenhänge in Daten können durch die einfache Bedienung und automatische Diagrammerstellung aufgedeckt werden.
SAS Visual Analytics ermöglicht Mitarbeitern aller für die Betrugserkennung relevanten Ressorts, unabhängig von ihren IT-oder Statistikkenntnissen, Daten zu sichten, auszuwerten und die Ergebnisse visuell aufbereitet zu kommunizieren. Davon profitieren alle: von Entscheidern über Statistiker und Analytiker bis hin zu Fachanwendern.
Fazit und Empfehlungen
Dem Erfindungsreichtum der Täter sind kaum Grenzen gesetzt. Umso wichtiger ist es, entsprechende technische und analytische Verfahren einzusetzen, die über die bloße Abbildung bereits bekannter Handlungsmuster hinaus neue, möglicherweise missbräuchliche Tatbestände rechtzeitig identifizieren. Es reicht nicht aus, nur das bereits Bekannte in technischen Regeln abzubilden, sondern vielmehr muss gerade die Abweichung von üblichem oder zu erwartendem Handeln erkannt werden. Die SAS-Lösungen bieten hierzu die technischen und analytischen Werkzeuge.
Quelle: av-finance.de / 30.10.2015