7. Februar 2022
Das Nationale Zentrum für Cybersicherheit (NCSC) meldet im ersten Halbjahr 2021 5’526 Betrugsversuche. Das NCSC ist das Kompetenzzentrum des Bundes für Cybersicherheit und als solches die nationale Anlaufstelle von Cybervorfällen aus der Wirtschaft und der Bevölkerung. Wie schon im ersten Halbjahr 2020 betrafen auch im ersten Semester des Jahres 2021 mehr als die Hälfte der Meldungen verschiedenste Betrugsformen. Und die Betrugsversuche haben innert Jahresfrist deutlich zugenommen: Waren es im ersten Halbjahr 2020 noch 2’938 Betrugsmeldungen, so wurden im gleichen Zeitraum des Folgejahres fast 90% mehr Betrugsversuche gemeldet, siehe Abbildung 1.
Diese deutliche Zunahme der Kategorie Betrug lässt sich zum einen dadurch erklären, dass die NCSC das Meldeverfahren optimiert hat. Zum anderen waren aber auch mehrere Betrugswellen festzustellen. Der allgemeine Trend, vermehrt digitale Kommunikationsmittel und digitale Bezahlverfahren zu nutzen, haben Betrügern neue Möglichkeiten eröffnet. Verstärkt wurde dieser Trend durch die laufende Pandemie, in der vermehrt in verschiedenen Lebensbereichen digitale Instrumente eingesetzt werden. Blickt man in die Zukunft, so ist damit zu rechnen, dass sich diese Entwicklung noch beschleunigen wird. Instant Payment Netzwerke werden die Bedrohungslage weiter verschärfen, da im Falle von unmittelbar ausgeführten Zahlungen keine Reaktionszeit zur Verhinderung von Betrugsversuchen mehr besteht. Aber auch Open Banking Lösungen, bei denen Banken mit Einverständnis der Kundschaft Drittparteien autorisieren, Zahlungen auszuführen, eröffnen neue Angriffsmöglichkeiten für Betrugsversuche. Insgesamt ist davon auszugehen, dass die Banken und ihre Kundschaft noch häufiger zur Zielscheibe von Betrugsversuchen werden.
Methoden der künstlichen Intelligenz im Kampf gegen Zahlungsbetrug
Für Betrugsversuche kann unterschieden werden, wer die gefälschte Zahlung auslöst. Betrügerische Zahlungen können entweder von einer autorisierten Partei oder von einer nicht autorisierten Partei veranlasst werden, siehe Abbildung 2. Im Falle von Betrugsversuchen durch autorisierte Benutzer werden Zahlungen in der Regel durch Kontoinhaber in Auftrag gegeben. Mittels verschiedener Tricks versuchen Betrüger, Vertrauen aufzubauen und auszunützen. Beispiele sind etwa der CEO-Fraud oder fingierte Anrufe eines Bank-Servicecenters. Aktuell stark verbreitet ist der Investitionsbetrug, bei dem der Boom der Kryptowährungen mit dem Versprechen auf hohe Gewinne ausgenutzt wird. Zu den Betrugsversuchen, die von einer unautorisierten Partei veranlasst werden, gehören etwa solche von internen oder externen Bankmitarbeitenden, die privilegierte Zugriffsrechte auf Banksysteme haben. Dazu zählen auch die zahlreichen Formen von Phishing mit der Absicht, die Zugangsdaten auf ein Bankkonto zu erhalten. Technisch deutlich fortgeschrittener sind Angriffe mittels Schadsoftware, die meistens mit Spam-Mails eingeschleust werden, oder der SIM-Karten-Swap, mit dem SMS als zweiter Faktor zur Authentifizierung des digitalen Zugriffs aufs Bankkonto ausgehebelt wird.
Für Betrugsversuche, bei denen autorisierte Benutzer instrumentalisiert werden, sind in aller Regel wenig ausgeklügelte technische Hilfsmittel im Einsatz. Betrügereien, bei denen unrechtmässig die Zugriffsrechte über ein Bankkonto erworben werden, verwenden teilweise sehr ausgereifte technische Verfahren der Computerkriminalität. Wer nun der Meinung ist, dass solche Hacking Tools nur versierten Kriminellen zur Verfügung stehen, täuscht sich. Mittels «Cybercrime as a Service» kann im Prinzip jeder und jede mit wenigen Mausklicks fortgeschrittene Hacking Tools erwerben und einsetzen.
Wenn es darum geht, Vermögenswerte zu schützen und Betrugsversuche zu bekämpfen, dann ist es nützlich, auf die Methoden der Informationssicherheit zurückzugreifen. Üblicherweise werden in der Informationssicherheit drei Methodensets eingesetzt, nämlich solche zur Verhinderung, solche zur Entdeckung und solche zur Bewältigung von Betrugsfällen. Die meisten Betrugsversuche nehmen ihren Anfang bei den Bankkundinnen oder Bankkunden[1], was die Möglichkeiten der präventiven Verhinderung aus Sicht der Bank einschränkt. Aus diesem Grund setzen die Banken den Schwerpunkt darauf, Betrugsversuche frühzeitig zu erkennen, um so gefälschte Zahlungen zu blockieren, bevor das Geld die Bank verlässt. Die meisten Banken vertrauen dafür auf regelbasierte Systeme. Dazu werden in Form von Regeln Bedingungen definiert bei deren Verletzung angenommen wird, dass es sich um einen Betrugsversuch handelt. Das können beispielsweise unübliche Betragshöhen oder erstmalige Zahlungen an einen Empfänger sein. Aufgrund hoher false-positive Befunde haben verschiedene Banken die regelbasierten Systeme zu Scoring-Systemen erweitert. Dabei werden die Regeln gewichtet und zu einer Punktzahl zusammengefasst. Überschreitet diese eine Schwelle, dann wir die Zahlung blockiert. Solche Systeme der Betrugserkennung haben zwei Nachteile. Erstens haben sie in der Regel hohe false-positive-Raten. Zweitens erkennen sie nur vordefinierte Betrugsmuster und sind damit träge in der Anpassung an veränderte Verhaltensweisen der Bankkundschaft, aber auch der Betrüger. Vor diesem Hintergrund entstand die Idee, Abhilfe mit Verfahren der künstlichen Intelligenz zu schaffen. Schnell stellte sich heraus, dass der Ansatz, mit Machine Learning Muster von betrügerischen Zahlungen zu erkennen, aufgrund des Ungleichgewichts im Pool der Zahlungen zum Scheitern verurteilt ist. Gemessen an den betrügerischen Zahlungen gibt es um ein Vielfaches mehr korrekte Zahlungen. Aufgrund dieser Feststellung hat das Swiss FinTech NetGuardians einen alternativen Ansatz der Betrugserkennung mit Hilfe künstlicher Intelligenz entwickelt. NetGuardians wurde 2007 gegründet und ist das erste Start-Up, das aus dem Inkubator Y-Park des Kantons Waadt in Yverdon-les-Bains hervorgegangen ist. Der gewählte Ansatz besteht nicht darin, aus Zahlungsdaten Muster von Betrugsversuchen, sondern umgekehrt mittels Machine Learning Muster ungewöhnlicher Verhaltensweisen der Bankkundschaft herauszufiltern. Das Ergebnis sind Profile der Zahlungsparteien, mit denen Zahlungen abgeglichen und auf Anomalien gecheckt werden. Daraus resultiert für Zahlungen ein Risikowert, der mit einem Schwellwert verglichen wird und im Falle einer Verletzung wird die Zahlung blockiert. Blockierte Zahlungen werden manuell untersucht, ob es sich tatsächlich um einen Betrug handelt. Bei Bedarf wird aufgrund der manuellen Zahlungsprüfung das Profil der Zahlungsparteien angepasst, das heisst ein solches System der Betrugserkennung lernt und passt sich veränderten Verhaltensweisen an. Wie Untersuchungen von NetGuardians zeigen, kann mit einem derartigen Einsatz künstlicher Intelligenz der Anteil der fälschlicherweise blockierten Zahlungen um 85% und der Bearbeitungsaufwand um 75% reduziert werden. Der Einsatz künstlicher Intelligenz kann also Abklärungsaufwand und Trefferquote von Betrugsversuchen deutlich verbessern. Die Banken erreichen ein besseres Kundenerlebnis, weil weniger korrekte Zahlungen blockiert und die Kundschaft besser vor Betrügern geschützt ist. Eine weitere Optimierung kann durch bankübergreifende Zusammenarbeit erreicht werden. NetGuardians etwa beabsichtigt mit dem Fraud Intelligence Service Betrugsversuche ihrer Kunden zu sammeln und der Community zur Verfügung zu stellen. Damit lassen sich frühzeitig Trends erkennen und die Expertise erhöhen. Eine weitere Form der bankübergreifenden Zusammenarbeit, die NetGuardians als kollektive künstliche Intelligenz bezeichnet, besteht darin, unter Banken statistische Angaben zur Vertrauenswürdigkeit von Begünstigten-Konti auszutauschen. Wird mit einem Zahlungsauftrag ein Konto begünstigt, das der Bank unbekannt ist, so kann in der Beurteilung der Zahlung die Erfahrung einer anderen Bank, die das Begünstigten-Konto kennt, hilfreich sein.
Fazit
Es deutet alles darauf hin, dass Zahlungsbetrug weiter rasant zunehmen wird. Die gängigen regelbasierten Systeme der Banken werden je länger je mehr überfordert sein. Der Einsatz der künstlichen Intelligenz, wie er von NetGuardians entwickelt wurde, mit dem Fokus Anomalien im Zahlungsverhalten zu erkennen, hat viele Vorteile. Nicht nur wird die Zahl der fälschlicherweise als betrügerisch identifizierten Zahlungen reduziert, sondern der Mechanismus kann sich auch dynamisch an neue Verhaltensweisen der Bankkundschaft sowie der Betrüger anpassen. Ein solcher Lernprozess erfordert auch, dass Anomalien durch Menschen beurteilt werden und das Ergebnis ans System zurückgegeben wird. Für eine solche Zusammenarbeit zwischen Menschen und Maschine ist es wichtig, dass für die Benutzerinnen und Benutzer nachvollziehbar ist, weshalb der Computer eine Zahlung als Anomalie einstuft. Künstliche Intelligenz muss transparent und erklärbar sein. Vielversprechend ist des Weiteren auch die Idee der «kollektiven künstlichen Intelligenz», wie sie NetGuardians verfolgt. Der Informationsaustausch zwischen Banken bietet gerade in der Betrugserkennung Chancen. Allerdings sind vorgängig die Einschränkungen aufgrund des Datenschutzes sorgfältig zu analysieren. Die Idee von NetGuradians mit dem Fraud Intelligence Service, eine eigene Sammlung von Betrugsfällen aufzubauen, wird ebenfalls als interessant eingeschätzt. Der Chance des Ansatzes besteht in der zeitnahen sowie internationalen Berücksichtigung der neuesten Betrugsverfahren.
Mein Dank gilt den Interviewpartnern: Sandy Lavorel und Alexandre Badet, beide «Fraud Fighters» bei NetGuardians.
Möchten Sie das Thema mit uns vertiefen? Dann nehmen Sie mit uns Kontakt auf (felix.buschor@hslu.ch). Sind Sie an weiterführenden Ausführungen zum Thema Computerkriminalität interessiert? Dann melden Sie sich für das IFZ Bank-IT Forum «Cyber Security» vom 17. März an (IFZ Bank-IT Forum: Cybersecurity | Hochschule Luzern (hslu.ch)).
[1] In einigen Fällen ist auch die Bank direkt der Angriffspunkt. Dies ist beispielsweise im «Massive Payment Fraud» der Fall, bei dem mittels ATP (Advanced Persistent Threat) die Banksysteme angegriffen werden.
Kommentare
1 Kommentare
Initiative For Open Authentication
7. Februar 2022
(Schweizer) Firmen, die 2FA auf ungeschützten Mobilfunkstandard (Signalling System 7) setzen, statt z.B. OATH/TOTP (Google Authenticator, Microsoft Authenticator etc.), sind handeln genauso kriminell. Siehe dazu: Steiger, M. "Mitto AG im schweizerischen Zug: SMS-Versand für weltweite Überwachung missbraucht?". https://steigerlegal.ch/2021/12/06/mitto-sms-ss7-ueberwachung. 2021.
Danke für Ihren Kommentar, wir prüfen dies gerne.