KI vs. Fraud: Die alte Betrugserkennung ist chancenlos
SAS
von Thomas Schwalbe, Senior Advisor Fraud & AML bei SAS
Es ist eine der wichtigsten Aufgaben einer Bank, ihre Kunden und ihre Assets vor betrügerischem Zugriff zu schützen. Bei den Assets hält sie alle Fäden in der Hand und kann die Sicherheit kontrollieren. Die Kunden allerdings sind das schwache Glied in der Kette – und das wissen Betrüger. Ihr Verhalten und die Art von Angriffen, denen die Kunden ausgesetzt sind, kann eine Bank kaum steuern. Mit immer neuen Variationen von Phishing werden per Mail oder SMS Zugangsdaten und Kreditkartennummern gestohlen, Spear-Phishing dient dem Ausspähen von Personen oder Organisationen. Via Malware gelangen Fraudster an sensible Informationen oder kompromittieren Systeme.Social Engineering, Account Takeover, Man-in-the-Middle-Angriffe – die Liste wird lang und länger.”
Die ersten teilweise erfolgreichen Einsätze von Echtzeit-KI-Avataren in Web-Konferenzen haben bereits stattgefunden und massive Schäden verursacht. Das kann einem Finanzinstitut nicht egal sein – das darf es sogar nicht: Im Rahmen der Sorgfaltspflicht sind Banken verantwortlich, angemessene Sicherheitsmaßnahmen zu ergreifen, um ihre Kunden vor Betrug zu schützen. Sie haften bei Schäden und müssen sogar Schadenersatz leisten, sofern sie diese Pflicht verletzen.
Der „klassische Weg gegen Betrug“: effektiv, aber ineffizient und zu langsam
In der klassischen Prävention von Betrug setzen Banken auf eine Kombination aus internen und externen Daten (zum Beispiel biometrische Daten und Datenpools), Scoring-Modellen, Regelwerke, Passwortschutz und Zwei-Faktor-Authentifizierung, Verschlüsselung sowie Plausibilitätsprüfungen. Darüber hinaus nutzen sie die Erkennung von Transaktionsmustern zur Identifizierung verdächtiger Aktivitäten, Überwachungssysteme und regelmäßige Schulungen für Mitarbeiter. Diese Maßnahmen bilden heute die Grundlage für eine effektive Betrugsprävention.
Sie funktionieren, sind aufwendig, setzen teils manuelle Aktionen voraus und lässt die Banken zunehmend hinter das „Innovations“tempo der Betrüger zurückfallen.”
Die moderne State-of-the-Art-Betrugsprävention unterscheidet sich in mehreren wesentlichen Punkten von der klassischen Betrugsprävention, erweitert diese und nutzt fortschrittliche Technologien wie künstliche Intelligenz und maschinelles Lernen, um Anomalien in Echtzeit zu erkennen und sich an neue Betrugsmuster anzupassen.
Das Bewusstsein für die Notwendigkeit solcher Instrumente ist in den Banken längst angekommen, wie eine aktuelle Studie von KPMG und SAS zum verwandten Thema Geldwäscheerkennung zeigt. Allerdings ist die Umsetzungsgeschwindigkeit noch gering: Nur 18 Prozent der weltweit befragten Experten haben KI-Technologien bereits im Einsatz.
KI-Methodik gegen KI-Fraud
Thomas Schwalbe, Senior Advisor Fraud & AML bei SAS (Webseite). Er verfügt über mehr als 27 Jahre Erfahrung im Banken- und Finanzdienstleistungssektor, davon 25 Jahre im Vertrieb mit Schwerpunkt auf Risikomanagement, Betrugsprävention und Regulatorik. Seine Expertise umfasst Analytik, Datenmanagement, Systeme, Dienstleistungen und KI.Glücklicherweise haben Banken aber nur wenige Datensätze dieser „echten“ Betrugsfälle und stehe damit vor einer Herausforderung.
Die eingeschränkte Verfügbarkeit „echter“ Betrugsfälle kann mittlerweile durch die Nutzung KI-generierter synthetischer Datensätze überwunden werden.”
Moderne Fraudprevention-Systeme erlauben die Entwicklung neuer Strategien mit Echt-Daten im Sandbox-Ansatz und unterstützen die schnelle und einfache Inbetriebnahme durch die Fachabteilung.
Die Überwachung der Transaktionen und Systeme muss in Echtzeit erfolgen, um sofort Maßnahmen ergreifen zu können, sobald verdächtige Aktivitäten erkannt werden. Dies ist auch für das Instant Payment-Zahlverfahren unabdingbar, bei dem die Zahlung innerhalb zehn Sekunden von der Beauftragung bis zur Gutschrift abgewickelt sein muss.
Gesetzgeber fordert maximale Transparenz
Gemäß dem EU AI Act werden KI-Systeme, die zur Abwehr von Betrug eingesetzt werden, in der Regel als hochriskant eingestuft. Diese Klassifizierung bedeutet, dass sie strengen Anforderungen unterliegen, um sicherzustellen, dass sie sicher und ethisch verwendet werden.
Derartige Systeme müssen umfassende Risikoanalysen und Transparenzverpflichtungen erfüllen. Hochrisiko KI-Systeme müssen detaillierte technische Dokumentationen erstellen, kontinuierliche Risikoüberprüfungen durchführen und menschliche Überwachung sicherstellen, um zu gewährleisten, dass sie zuverlässig und sicher arbeiten.
Transparenz und Erklärbarkeit müssen von den Banken sichergestellt werden, um für den Regulator die Entscheidungen der KI-Systeme nachvollziehbar und erklärbar zu machen. Darüber hinaus müssen diese Systeme ständig geprüft und aktualisiert werden um den aktuellsten Sicherheitsstandards zu entsprechen.
Im Gegensatz zu älteren Systemen zur Betrugsabwehr, die häufig starr und aufwendig auf neue Bedrohungen anzupassen waren, liegt der Fokus bei aktuellen Lösungen auf Skalierbarkeit und Anpassungsfähigkeit.
Moderne Fraud-Lösungen sind in der Regel Cloud-nativ und -agnostisch. Banken haben die Wahl, ob sie sie on Premise, Hybrid oder in der Cloud einsetzen.”
Banken haben heute gar keine Wahl mehr: Klassische Fraud-Systeme sind den Anforderungen nicht mehr gewachsen und müssen ausgebaut werden. Die Integration von künstlicher Intelligenz und maschinellem Lernen ist unerlässlich, um den immer raffinierteren Betrugsversuchen effektiv entgegenzuwirken.Thomas Schwalbe, SAS/dk
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/224166
Schreiben Sie einen Kommentar