Betrugsmaschen wie der sogenannte CEO-Fraud werden immer ausgefeilter und professioneller eingesetzt, warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) im aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland. Beim CEO-Fraud werden E-Mails der Chefetage fingiert, in denen befugte Mitarbeiter angewiesen werden, dringliche Überweisungen hoher Geldsummen zu tätigen.
Eigenschaften wie Hilfsbereitschaft und Vertrauen nutzten die Angreifer aus, um Mitarbeiter geschickt zu manipulieren, so das BSI. Sie verleiten das Opfer beispielsweise dazu, vertrauliche Informationen preiszugeben, Sicherheitsfunktionen auszuhebeln, Überweisungen zu tätigen oder Schadsoftware auf dem privaten Gerät oder einem Computer im Firmennetzwerk zu installieren.
Das BSI empfiehlt deshalb: Die Sensibilisierung der Angestellten für diese Art der Betrugsversuche sollte eine wichtige Rolle spielen und fest zum Weiterbildungskonzept eines Unternehmens gehören.
Ein Problem bei der Sensibilisierung der Mitarbeiterinnen und Mitarbeiter ist jedoch, dass Betrug in einer großen Vielfalt stattfindet und immer intelligenter ausgeführt wird. Der Lagebericht des BSI berichtet von Online-Banking-Betrug, Klickbetrug bei Online-Werbung, Betrugsversuchen bei Spam-Mails, um nur einige Beispiele zu nennen.
Laut der Polizeilichen Kriminalstatistik (PKS) ist die Zahl der Betrugsfälle in 2017 um 1,3 Prozent auf über 910.000 Fälle gestiegen. Die Aufklärungsquote ist mit 73,7 Prozent zwar hoch, aber gegenüber den 75 Prozent im Vorjahr gesunken. Im Bereich Computerbetrug liegt die Quote mit 40,5 Prozent deutlich niedriger.
Weder für Unternehmen und ihre Beschäftigten noch für die Ermittlungsbehörden ist es leicht, die zunehmend intelligent durchgeführten Betrugsmaschen zu erkennen. Andererseits werden nicht nur Betrugsversuche intelligenter sondern auch die Betrugsabwehr.
Optimierung der Betrugserkennung mit KI
Lösungen auf Basis von KI (künstliche Intelligenz) können Unterstützung bei der Betrugserkennung bieten. Banken und Versicherungen nutzen das schon seit geraumer Zeit:
Die KI-basierte Aufdeckung von Betrugsversuchen (Fraud Detection) ist sowohl in der Versicherungsindustrie als auch im Banking bekannt und etabliert, berichtet Beckmann & Partner CONSULT. Das Aufspüren von problematischen Deals aus Compliance-Sicht wird von KI-Systemen unterstützt. Sogar Absichten zur Ausführung von Geldwäsche oder Finanzierung von Terroraktionen könnten so im Vorfeld aufgedeckt werden.
Ein Anwendungsbeispiel aus dem Bankenbereich: Die Danske Bank, ein Finanzdienstleister in Skandinavien, hat eine KI-gestützte Plattform für die Betrugserkennung entwickelt und implementiert. Das System entstand mit Unterstützung von Think Big Analytics, einem Tochterunternehmen von Teradata. Die Plattform nutzt maschinelles Lernen, um zehntausende verborgene Merkmale zu analysieren und Millionen von Online-Banking-Transaktionen in Echtzeit zu bewerten. Sie liefert Hinweise auf potenziell betrügerische Aktivitäten.
Dabei soll die neue Plattform weit weniger Transaktionen fälschlicherweise als Betrug einstufen (sogenannte False Positives) als beim bisherigen Vorgehen. Die Danske Bank reduziert dadurch den Aufwand für die Untersuchung dieser False Positives, kann ihre Effizienz steigern und Kosten reduzieren. Das ursprüngliche Betrugserkennungssystem der Danske Bank basierte weitgehend auf selbst erstellten Einzelregeln. Zeitweise waren bis zu 99,5 Prozent aller Alarme "False Positives".
"Antragsbetrug ist für alle Banken ein zentrales Thema", berichtet Nadeem Gulzar, Head of Advanced Analytics bei der Danske Bank. "Die Betrüger werden jeden Tag geschickter, immer öfter nutzen sie bereits Techniken des maschinellen Lernens." Deshalb sei es wichtig, dass die Banken ebenfalls hochmoderne Techniken einsetzten, um Betrug zu verhindern: "Wir gehen davon aus, dass mit der fortschreitenden Digitalisierung des Bankgeschäfts und der Verbreitung von mobilen Banking-Anwendungen der Betrug weiter zunehmen wird. Mit dem Einsatz von KI konnten wir die Zahl der False Positives um 50 Prozent reduzieren."