Fraud Prevention
Die Cyber Betrüger sind bereit – die Banken auch?
Betrugsversuche bei Banken sind nicht eine Frage des "Ob", sondern eine Frage des "Wann", sagt Joël Winteregg, CEO von NetGuardians. Er identifiziert die grössten Risiken für Schweizer Banken und gibt Einblick in Schutzlösungen, die auf künstlicher Intelligenz basieren.
Text: Sara Wyss, 12. Dezember 2018
Ist mein Bankkonto noch sicher?
Bei welcher Bank sind Sie denn? Spass beiseite. Die meisten Banken arbeiten für Sicherheitsfragen mit IT-Partnern zusammen, sie treffen umfassende Sicherheitsvorkehrungen und nutzen die sichersten Rechenzentren der Schweiz. Dies ist auch unerlässlich. Denn Fakt ist, dass Betrugsversuche massiv zunehmen. Und zwar aus dem Innern der Bank wie auch von ausserhalb. Ob Ihr Konto sicher ist, hängt davon ab, wie schnell Ihre Bank die Attacke entdeckt und unterbindet. Denn sie muss den Betrugsversuch entdecken, bevor effektiv ein Betrug erfolgt.
Betrugsversuche aus dem Innern der Bank spielen hier tatsächlich eine massgebende Rolle?
Ja, das erstaunt oft. Global belaufen sich die Kosten, die durch Betrug verursacht werden, auf rund 70 Milliarden US-Dollar pro Jahr. 70 Prozent der Betrüge gehen von Mitarbeitenden aus. Anfang dieses Jahres wurde beispielsweise ein ehemaliger Wealth Manager einer Schweizer Privat Bank in Genf angeklagt. Er wird beschuldigt, über zwei Jahre hinweg insgesamt 3 Mio. Schweizer Franken von Konten seiner Kunden gestohlen zu haben.
Und welche Arten von externen Betrugsversuchen häufen sich derzeit?
Extern stehen Malware Attacken, Phishing und Social Engineering im Vordergrund. Die derzeit aggressivste Malware in der Schweiz und Österreich ist "Retefe". Sie ist bereits seit 2013 im Umlauf, aber so ausgeklügelt, dass sie schweizweit immer noch täglich bis zu 90 E-Banking Sessions auf gefälschte Seiten umleitet. Der Online-Banking-Trojaner wird via Mail verbreitet. Wird das Attachment geöffnet, startet der Schädling. Aber auch Phishing hält sich beharrlich: Allein 2017 wurden in der Schweiz über 4500 Phishing Seiten gemeldet.
Wie funktioniert Social Engineering?
Beim Social Engineering nutzen Kriminelle Informationen, die sie z.B. auf Social Media Profilen ihrer Opfer sammeln. Damit rufen sie ihre Opfer an und geben sich als Offizielle aus, um vermeintlich persönliche Angaben zu prüfen. Mit den erhaltenen Informationen generieren sie mögliche Passwörter, um Attacken auf Online Konten auszuführen. Gleichzeitig können die Identitäten der Opfer auch gestohlen werden, um missbräuchlich Finanzprodukte zu beantragen.
MELANI rapportiert auch zunehmenden Bill Swap – was ist das genau?
Dies ist Betrug mittels Rechnungstausch. Dabei durchsuchen Kriminelle gehackte E-Mail-Konten nach elektronischen Rechnungen. Sie kopieren gefundene Rechnungen und löschen diese aus dem Mail-Konto. Anschliessend werden auf dem PDF die Angaben zum Zahlungsempfänger manipuliert und die angepasste Rechnung nochmals zugestellt. Dabei wird die Mail-Adresse des Rechnungsstellers als Absender verwendet, sodass das Ganze kaum entdeckt wird.
Sie sagten zu Beginn, dass es entscheidend sei, den Betrugsversuch rasch zu entdecken. Nun kommen ja aber laufend neue, immer ausgeklügeltere Betrugsmaschen dazu. Kann da die Bank überhaupt noch schnell genug sein?
Das ist genau die Herausforderung! Teilweise wird mit Stichproben, vordefinierten statistischen Regeln und manuellen Kontrollen gearbeitet. Diese Methoden erlauben aber bloss das effiziente Aufspüren bekannter Betrugstypen. Sie sind enorm aufwändig und führen gleichzeitig zu einer hohen Zahl an falschen Treffern. Der entscheidende Nachteil ist aber, dass der Betrug zu spät erkannt wird – nämlich dann, wenn das Geld bereits auf ein falsches Konto transferiert wurde. Ihr Vertrauen als Kundin ist dann natürlich dahin und die Reputation der Bank im Eimer.
Joël Winteregg, CEO von NetGuardians
Ist denn proaktives Erkennen eines Betrugsversuchs überhaupt möglich?
Ja, definitiv – und dies wird angesichts der zunehmenden Cyberrisiken immer wichtiger. Genau hier setzen Profiling und Machine Learning Technologien an. Mittels Profiling analysiert Ihre Bank, welche Transaktionen Sie üblicherweise tätigen. Ihr Profil beinhaltet weitere Angaben, beispielsweise, wo Sie sich üblicherweise aufhalten, welche Sprache Sie im E-Banking verwenden, welche Auflösung Ihr Screen hat, mit welcher Methode Sie sich identifizieren oder welche Währung sie transferieren. Transaktionsversuche von Ihrem Konto, welche nicht Ihrem Profil entsprechen, werden sofort unterbunden. Und dies auch bei bisher unbekannten Betrugsmethoden.
Nun könnte ich ausnahmsweise auf meiner Geschäftsreise in den USA eine dringende Transaktion tätigen, die gemäss diesem Schema dann ja unterbunden würde.
Genau, wenn nur eine Variable – in Ihrem Fall also der Standort – berücksichtigt würde, gäbe es einen falschen Treffer und die Transaktion würde unnötigerweise unterbunden. Deshalb kombinieren wir in unserer hauseigenen Lösung bei NetGuardians auch eine Vielzahl an Variablen. Die Transaktion würde also erst dann blockiert, wenn sie nicht nur in den USA, sondern auch in unüblicher Währung oder an einen unüblichen Empfänger getätigt würde. Unsere Lösung reduziert übrigens falsche Treffer um über 80%.
Das ist beeindruckend, bedeutet aber auch, dass sich manuelles Eingreifen nach wie vor nicht ganz erübrigen lässt. Gibt es weitere Punkte, wo Lösungen, die auf künstlicher Intelligenz (KI) basieren, an Grenzen stossen?
Technologie muss immer mit menschlicher Intelligenz kombiniert werden. Das nennt sich "augmented Intelligence". Denn schlussendlich sind es Menschen, die Entscheidungen bezüglich operativer Risiken oder Betrug treffen. Machine Learning Technologien unterstützen aber dabei, bessere Entscheidungen zu treffen.
KI-Lösungen setzen einen grossen Datensatz voraus. Was gilt es auf Seiten der Bank bezüglich Datenerfassung und -speicherung zu berücksichtigen, um entsprechende Lösungen nutzen zu können?
Die Daten, die es für Machine Learning Lösungen braucht, sind bei den Banken bereits verfügbar. Banken haben ja meist einen Berg von Daten und nutzen ihn nicht. Auch unsere Technologie setzt auf bereits vorhandene Daten aus den Kern- und Umsystemen der Bank. Für die Machine Learning Algorithmen nutzen wir Bankdaten, die zwischen einem bis zwei Jahre zurückreichen.
Zum Abschluss noch der Blick nach vorn: welche weiteren Fortschritte sind zu erwarten bei KI-basierten Fraud Prevention Lösungen?
Die Algorithmen werden künftig noch besser. Ein Ansatz ist beispielsweise, sie mit sogenannten Markow-Ketten anzureichern. Dies erlaubt es, das künftige Verhalten eines Kunden besser vorauszusagen, auch wenn ich das vergangene Verhalten nur sehr beschränkt kenne. Prognosen zum künftigen Verhalten werden also passgenauer.
Gleichzeitig ist davon auszugehen, dass die Algorithmen mit weiteren Datenquellen gespiesen werden, zum Beispiel aus Sozialen Netzwerken. Ein spannender Ansatz ist auch die verhaltensbasierte Biometrie. Hier werden nicht die physischen Biometrie-Angaben wie Fingerabdruck oder Iris-Scan verwendet, sondern zum Beispiel die Art und Weise, wie jemand auf der Tastatur tippt oder die Computer-Maus bewegt.
Der Wettlauf gegen die Betrüger bleibt also spannend!
Joël Winteregg
ist CEO von NetGuardians. Er hat die Firma 2010 zusammen mit Raffael Maio gegründet und eine Anti-Fraud Software entwickelt, die auf Machine Learning basiert. 2017 gingen NetGuardians und Swisscom eine Partnerschaft ein, um gemeinsam "Fraud Prevention Service" (FPS) zu lancieren. FPS basiert auf der KI-Technologie von NetGuardians und den Trusted Services von Swisscom.
Die Lösung wird im "as a Service" Modell angeboten und ist für Schweizer Banken verfügbar, die ihr Core Banking System bei Swisscom betreiben lassen. Sie unterstützt Banken dabei, Betrug via digitale Kanäle zu verhindern. Seit der Lancierung von FPS im November 2017 konnten bereits 6 Banken gewonnen werden. Analysen zeigen, dass die entsprechenden Banken dank der Lösung ihr Fraud Management deutlich effizienter und treffsicherer handhaben können.
> zum Video über NetGuardians