Von Roy Prayikulam, Leiter des Geschäftsbereiches Risk & Fraud bei Inform

Seit 2017 ist SEPA Instant Payment als Zahlungsmethode in Deutschland und Europa auf dem Vormarsch. Mittlerweile können fast alle deutschen Banken ihren Kunden Überweisungen in Echtzeit anbieten. Einige Institute bringen das Verfahren sogar schon bei der Kreditvergabe zum Einsatz. Eine Finanztransaktion, deren Bearbeitung früher Tage in Anspruch nahm, kann nun, dank Instant Payment, binnen weniger Sekunden abgewickelt werden. Für Kunden ist die Nutzung des Service denkbar einfach. Sie müssen sich nur über ihren Online- oder Mobile-Banking-Account einwählen, über ihre TAN authentifizieren und - wie gewohnt - die Transaktion autorisieren. Ganz ohne zusätzliches Risiko ist das Verfahren für Händler wie Kunden allerdings nicht.
 
Nun soll die European Payment Initiative (EPI) von ihren derzeit 31 beteiligten Banken ein klares Bekenntnis zu elektronischem Zahlungsverkehr einfordern. Das neue Verfahren setzt auf den SEPA Instant Payments auf und soll digitale Zahlungsabwicklungen in Europa voranbringen. Das sichere Betrugserkennungslösungen aktuell relevanter denn je werden, basiert allerdings nicht nur auf der Tatsache, dass immer mehr Banken Instant Payment anbieten wollen. 2019 stieg in Großbritannien beispielsweise die Summe an betrugsbedingten Verlusten laut UKFinance um 33 Prozent auf 330 Millionen Pfund. 98 Prozent dieser Verluste müssen von der Bankindustrie getragen werden. Durch die Pandemie und damit einen erhöhten digitalen Zahlungsverkehr über Online Banking und Online Shopping steigen diese Zahlen und Summen seitdem immer weiter.

Betrugsrisiken bei Instant Payment

Der Markt bietet Verbrauchern dabei immer neue Möglichkeiten und mehr Komfort. Gleichzeitig wächst die Anzahl der in kurzer Zeit zu verarbeitenden Daten exponentiell. Neue Akteure, Zahlungssysteme und Verfahren - Stichwort Instant Payment - erfordern von Betrugspräventions-Systemen, immer größere Transaktionsvolumina zuverlässig in Echtzeit zu verarbeiten. Denn aufgrund der hohen Geschwindigkeit der Auftragsbearbeitung steht für eine Prüfung auf mögliche Betrugsfälle nur noch wenig Zeit zur Verfügung. Ein echtes Problem. Bankkonten stehen ohnehin schon seit Jahren ganz oben auf der Liste der Angriffsziele von Cyberkriminellen. Mittels Phishing- und Spear Phishing-Angriffen erlangen sie Informationen über ihre Opfer, mit denen sie sich dann entweder direkten Zugriff auf deren Konten verschaffen oder sie so manipulieren, dass sie freiwillig Überweisungen auf die Konten der Betrüger tätigen.

Lösungsansatz Echtzeitüberwachung

Um solche und weitere Betrugsvarianten ohne Verlangsamung der Transaktionsgeschwindigkeit aufzudecken und möglichst ohne Geldverlust abzustellen, greift die Mehrzahl der Banken mittlerweile auf automatisierte Fraud Detection-Lösungen zurück. Diese überwachen das jeweilige Nutzerverhalten kontinuierlich und in Echtzeit und analysieren es im Hinblick auf Anomalien. Hierbei kommen immer mehr Machine Learning-Verfahren zum Einsatz. Doch haben viele dieser Lösungen ein Problem: Ihr Erfolg basiert im Wesentlichen auf der Reife der von ihnen zum Einsatz gebrachten Machine Learning-Modelle. Diese müssen, bis sie erstmals mit einer vertretbaren Trefferquote eingesetzt werden können, intensiv trainiert werden. Zeit, die den Banken nicht zur Verfügung steht.

Die kommende Gefahr - Multichannel Fraud

Ein Ansatz ist es, mit der Kombination unterschiedlicher Lösungen komplexere Betrugsszenarien, wie sie in letzter Zeit immer häufiger auftreten, in den Griff zu bekommen. Cyberkriminelle haben die Vorgehensweise gängiger Echtzeitüberwachungslösungen längst durchschaut und begonnen, ihre Angriffsvektoren anzupassen. Statt ihre Angriffe nur über einen Kanal - zum Beispiel Mobile Banking - laufen zu lassen, splitten sie zunehmend auf mehrere Kanäle auf.

Verschaffen sie sich zum Beispiel Zugang zu einem Bankkonto, räumen sie dieses nicht nur einfach leer. Stattdessen sichern sie sich zusätzlich auch weitergehende Informationen zum Beispiel über die Kreditkarten ihres Opfers, die sie dann nutzen, um im Internet auf dessen Kosten einkaufen zu gehen.

Da sich die Analysen der meisten Fraud-Detection-Lösungen auf das Nutzerverhalten auf einem Kanal fokussieren, ist es ihnen nicht möglich, solche kanalübergreifenden Betrugsfälle aufzudecken. Sie sind zwar in der Lage, Nutzerverhalten auf verschiedenen Kanälen aufzunehmen und zu analysieren - sind somit Multi Channel-fähig - eine verknüpfte Datenanalyse ist ihnen aber nicht möglich. Helfen können in solch einem Fall nur Cross-Channel-fähige Lösungen. Mit ihnen lassen sich sämtliche Daten zum Nutzerverhalten, vom Online- und Mobile Banking, über Geldabhebungen am Automaten, SEPA-Überweisungen und Kontakte zum Kundenservice, bis hin zu Transaktionen im elektronischen Geschäftsverkehr, zusammenhängend prüfen. Wichtiger noch: Solche und weitere Verhaltensdaten eines Nutzers können selbst dann kombiniert werden, wenn sie ihren Ursprung bei unterschiedlichen Zahlungsdienstleistern haben. Selbst Daten von Aufsichtsbehörden, wie Beobachtungslisten, können dynamisch in die Gesamtanalyse des Nutzerverhaltens integriert werden.
 
Da der Betrugsprävention immer mehr Daten aus unterschiedlichsten Quellen zur Verfügung stehen und da die Angriffsvektoren der Betrüger immer ausgeklügelter werden, ist davon auszugehen, dass Betrugserkennungslösungen in Zukunft - sollen sie weiterhin effektive Ergebnisse liefern - nicht mehr ohne eine solche Cross-Channel-Funktion auskommen werden. Klar ist, dass Instant Payment durch vorangetriebene Initiativen wie der EPI für immer mehr Bereiche der Gesellschaft essenziell wird. Um Banken und Kunden vor betrugsbedingten Verlusten zu schützen, braucht es effektive Betrugspräventionslösungen.

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Das Thema Betrugsprävention und wie sich Händler schützen können, steht im Fokus des 2. Tages des Payment Summits, der vom 27. bis 28. Oktober als hybrides Event in Hamburg stattfindet. Dort erfahren Händler:innen, wie sie ihr Payment im daily business perfekt orchestrieren: Welche Payment-Lösungen performen, wo die Chancen und Risiken liegen und natürlich auch, auf was Händler:innen beim Fraud- und Risikomanagement besonders achten sollten.

Zudem blicken wir aber auch in die Zukunft: Welche Kryptowährungen eignen sich für den Handel und für welche Bereiche? Anhand von einigen Beispielen zeigen wir, wie Kryptos am PoS schon heute abgewickelt werden. >>> Tickets und Infos