Betrugserkennung

Allein durch internen Betrug gingen im Jahr 2022 weltweit 3,6 Milliarden US-Dollar verloren (Occupational Fraud 2022, A Report to the Nations, ACFE).

Durch die fortschreitende Digitalisierung nimmt der Online-Handel zu. Damit steigt aber auch die Zahl der Hackerangriffe. So entstand in Deutschland im Jahr 2022 ein Schaden von rund 203 Milliarden Euro durch Angriffe auf Unternehmen (Quelle Bitkom).

Neben der IT-Sicherheit ist die Betrugsprävention eine wichtige Säule. Im Gegensatz zur Security, bei der es um Informationssicherheit und Systemstabilität geht, steht bei der Fraud Detection die Verhinderung eines finanziellen Schadens im Vordergrund. Dabei ist nicht immer das Unternehmen selbst betroffen, Angreifer nehmen auch gezielt Kunden eines Unternehmens ins Visier.

Die oben genannten Zahlen zeigen, dass IT-Kriminalität ein lukratives Geschäft ist. Aus diesem Grund hat sich auf der Täterseite eine professionelle Schattenwirtschaft entwickelt. Es sind vor allem diese professionell agierenden und stark vernetzten Betrüger gefährlich. Diese arbeiten wie ein Unternehmen mit Arbeitsteilung, Mitarbeitern und Zulieferern.

Betrüger wollen nicht in erster Linie ein System lahm legen oder Informationen stehlen. Es geht in erster Linie darum, finanzielle Mittel abzuzweigen und dies möglichst unauffällig. D.h. mit IT-Sicherheit allein, ohne ein ausreichendes Betrugserkennungs- und Präventionssystem, bleiben die Betrugsschäden unentdeckt.

Im Folgenden werden die einzelnen Möglichkeiten und Unterschiede der Betrugserkennung (Fraud Detection) und -prävention (Fraud Prevention) erläutert.

Unterscheidung zwischen Betrugserkennung und -prävention

Oben wurde zwischen Betrugserkennung und -prävention unterschieden. Auch wenn die Unterscheidung selbsterklärend ist: Die Erkennung erfolgt, nachdem der Betrug stattgefunden hat, die Prävention soll den Betrug verhindern. Robuste Prävention ist erst durch eine gute Erkennung möglich. Somit ist es eine gängige Praxis, die Betrugsprävention in die Betrugserkennung einzubeziehen. Wir werden dies im Folgenden ebenfalls tun, d. h. wenn wir von Betrugserkennung sprechen, schließen wir die Prävention mit ein.

Verfahren zur Aufdeckung von Betrug

Die folgenden allgemeinen Verfahren zur Betrugserkennung werden verwendet.

Klassische Verfahren

Datengetriebene Verfahren

Im Folgenden werden die einzelnen Verfahren im Detail beschrieben.

Verbesserung bestehender Prozesse

Die bestehenden Prozesse werden analysiert und dabei entdeckte Angriffspunkte geschlossen. Der anfängliche Aufwand kann enorm sein, je nach Komplexität und Anzahl von bestehenden Prozesse. Einzelne Personen müssen viele Geschäftsprozesse überblicken und auf mögliche Angriffsflächen für Betrüger untersuchen.

Doch es bleibt nicht bei der initialen Analyse und Adaption. Wenn die Betrüger feststellen, dass die alten Angriffsmuster nicht mehr funktionieren, werden sie versuchen, neue Angriffsflächen zu finden. Ohne zeitnahes Monitoring werden diese neuen Angriffsmuster erst später entdeckt.

Manuelle Belegprüfung

Wie der Name schon sagt, ist manuelles Auditing mit viel Handarbeit verbunden. Jeder Vorfall muss einzeln geprüft werden. Die Prüfer müssen auf das Erkennen von Auffälligkeiten geschult werden. In der Regel gibt es viele ähnliche Geschäftsvorfälle, Betrugsfälle sind selten. Diese Kombination aus vielen ähnlichen Fällen und einzelnen Ausreißern ist für die Prüfer ermüdend.

Darüber hinaus basiert die Prüfung auf wenigen oder nicht verbundenen Informationsquellen. Muster über mehrere Informationsquellen hinweg sind daher schwer zu erkennen. Hauptsächlich wird nur nach bekannten Mustern gesucht. Neue Angriffsmuster werden zu spät erkannt und das Personal muss entsprechend nachgeschult werden.

Regelbasierte Verfahren

Ein regelbasiertes Verfahren ist meist der erste Schritt, um manuelle Prüfungen zu automatisieren. Das Regelwerk hilft vor allem wiederkehrende Aufgaben schneller zu erledigen. So wird die manuelle Prüfung durch datenbasierte Verfahren unterstützt.

Regelbasierte Verfahren sind, wie die Prozessanalyse, aufwändig in der Erstellung. Ein Vorteil ist jedoch, dass am Ende ein automatisches Verfahren zur Verfügung steht, um Daten auf Auffälligkeiten zu prüfen. Ein Nachteil ist, wenn die Regeln erweitert oder angepasst werden müssen. Dies erfordert ein tiefes Verständnis der bestehenden Regeln und Daten.

KI- und ML-Verfahren

Mit KI- und ML-Verfahren können Regeln beliebiger Komplexität abgebildet werden. Sie sind relativ kostengünstig zu erstellen und können ohne tiefes Wissen halbautomatisch angepasst werden. Zur Verbesserung der Erkennung können beliebige Daten herangezogen werden, z.B. technische Kunden- oder Anwendungsdaten zusammen mit Buchungsdaten.

Ein Nachteil ist, dass die erstellten Regeln, mit der Komplexität des Modells wenig nachvollziehbar sind. Eventuell werden zum Nachvollziehen von Entscheidungen weitere Verfahren oder ML-Modelle benötigt. Meist wird auch nicht zwischen verschiedenen Betrugsmustern unterschieden, da nicht genügend Daten zur Verfügung stehen, d. h. es wird alles in einen Topf geworfen und auf Auffälligkeiten untersucht. Beispielsweise kann beim Transaktionsbetrug einer Bank sowohl ein Angreifer von außen finanzielle Mittel von einem Kundenkonto abgreifen, als auch der Kunde unbewusst eine Überweisung auf ein betrügerisches Konto tätigen. Dabei handelt es sich um zwei völlig unterschiedliche Vorgänge, aber aus ML-Sicht ist nicht immer klar, wo die Grenze zu ziehen ist.

Ein weiteres Problem besteht darin, geeignete Experten zu finden, die ein solches System aufbauen und pflegen können.

Zusammenfassung

Die hier vorgestellten Verfahren sollten nicht als Entweder-Oder-Optionen betrachtet werden. Am besten ist es, alle Optionen in Betracht zu ziehen. Zum Beispiel eine Lücke, die im Vorfeld durch die Analyse erkannt und geschlossen wird, wird auch später bei den datengetriebenen Verfahren nicht mehr vorkommen.

Wer sich nur auf datengetriebene Verfahren konzentriert, sollte sich nicht der Hoffnung hingeben, einen 100%igen Schutz zu erreichen. Dies ist auch mit KI-Verfahren wie Deep Learning nicht möglich. Schon allein deshalb, weil sich Angreifer an die Gegebenheiten anpassen und neue Schwachstellen suchen. Bleibt man bei Deep-Learning-Verfahren, haben diese zudem den weiteren Nachteil, dass die Datengröße für das Training enorm ist und in vielen Unternehmen auch nicht vorhanden ist. Klassische Verfahren haben hier einen größeren Vorteil, da sie mit weniger Datensätzen auskommen. In jedem Fall muss aber darauf geachtet werden, dass genügend unterschiedliche Merkmale und Variationen in den Daten vorhanden sind, um eine gute Erkennung zu ermöglichen.

Ein wichtiges Merkmal datengetriebener Verfahren ist, dass sie keine Betrugserkennung im eigentlichen Sinne liefern, sondern nur Auffälligkeiten. Letztendlich ist es der Mensch, der einen Fall prüfen und eine Entscheidung treffen muss. Insofern ist ein datengetriebenes Verfahren als Unterstützung für den Menschen zu verstehen. Mit automatisierten Verfahren ist es beispielsweise möglich, viele Fälle bereits im Vorfeld zu prüfen, so dass nur noch wenige Fälle beim Sachbearbeiter liegen. Dieser kann sich dann auf die entscheidende Arbeit konzentrieren und wird nicht überlastet.

Konkret bedeutet dies, dass die Vorschläge aus der automatischen Prüfung vom Sachbearbeiter auf tatsächlichen Betrug überprüft werden. Dabei muss er zwischen einem harmlosen, aber auffälligen Fall und einem tatsächlichen Betrug unterscheiden. Beispiel: Ein Lieferant möchte seine Kontonummer ändern. Das ist verdächtig und es auch schon Betrügern gelungen auf diese Weise einen Schaden anzurichten. Der Fall, dass der Lieferant seine Kontonummer ändert kommt aber durchaus vor. Dies wäre ein sogenannter falsch positiver Fall. Falsch-Positive Fälle haben ihre eigene Besonderheit in der Bearbeitung durch Menschen. Wenn zu viele dieser Fälle auftreten, kommen die Sachbearbeiterinnen und Sachbearbeiter nicht mehr hinterher. Es fehlt die Zeit für eine genaue Prüfung und im schlimmsten Fall wird das System in Frage gestellt und ignoriert.

Datengetriebene Verfahren setzen voraus, dass die relevanten Informationen bereits in Datenbanken abgebildet sind. Wenn es noch keine Datenbanken für die relevanten Informationen gibt, ist der erste Schritt, diese aufzubauen.

Beim Aufbau können sich unsere Experten bei der Solve42 GmbH auf ein Verfahren konzentrieren. Die besten Ergebnisse werden aber erzielt, wenn alle Prozesse betrachtet werden. Beispielsweise können Prozesse analysiert und an den Angriffspunkten zusätzliche Kontrollen eingeführt werden. Dadurch werden Betrugsversuche an diesen Schwachstellen erst gar nicht möglich.

Regelbasierte Verfahren hingegen können konkrete Ja/Nein-Entscheidungen treffen und damit auch seltene oder noch nicht aufgetretene Fälle abdecken, bei denen datenbasierte Verfahren ihre Schwächen haben.

Datenbasierte Verfahren ermöglichen die Ableitung von Regeln aus Mustern in existierenden Fällen, die von einem Experten nur schwer erstellt werden können. Ebenso sind die Regeln leichter abzuleiten und zu pflegen als durch Experten allein. Es ist auch nicht notwendig, nur auf bereits aufgetretene Fälle zurückzugreifen. Mit KI- und ML-Verfahren ist es auch möglich, bisher unentdeckte Muster zu erkennen.

Darüber hinaus ermöglichen automatisierte Verfahren eine bessere Kapazitätsplanung der Sachbearbeiterinnen und Sachbearbeiter. So können besonders dringende oder höherwertige Fälle vorgezogen werden.

Letztendlich ist eine enge Zusammenarbeit zwischen den Experten der Internen Revision und der IT sehr wichtig für den Aufbau eines robusten Betrugserkennungssystems. Viele datenbasierte Projekte (KI und ML) scheitern genau daran, dass diese Zusammenarbeit vernachlässigt wird.

Wo wir ansetzen

Wir, die Solve42 GmbH, haben Spezialisten mit Erfahrung im Aufbau von Fraud Detection Systemen.

Das Untersuchen von konkreten Fällen liegt außerhalb unserer Expertise. Wenn Sie aber Prozesse der internen Revision verbessern oder automatisieren wollen, dann sind Sie bei uns richtig. Dazu können wir sowohl regelbasierte Methoden als auch Verfahren aus Machine Learning und KI verwenden. Die Erfahrung aus Dutzenden von Projekten in Fraud Detection hat gezeigt, dass es unseren Experten stets möglich war, Verbesserungen aufzuzeigen.

Kontaktieren Sie uns, um ein Kennenlerngespräch zu vereinbaren.