:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/d1/63d1b63470a199c6d3dd30f867257cae/0114316603.jpeg "Die meisten IT-Sicherheitslösungen konzentrieren sich darauf, unrechtmäßigen Zugriff von außen zu erkennen und zu verhindern. Insider-Threats bleiben hingegen oft lange unbemerkt. (Bild: Blue Planet Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/21/e3/21e39515f189be19af1e1c124c7af34b/0114233258.jpeg "Wer erkennt den Betrug besser: Mensch oder KI? (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/76/4276ea2d1e8017bef9f8062a8f86460e/0114233512.jpeg "Die mit NIS2 bevorstehende Einführung von Mindeststandards im Bereich der Cybersicherheit betrifft viele Institutionen, die das Thema bisher nur stiefmütterlich behandelt haben. (Bild: Андрей Яланский - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/dc/bddc5a178cdf1e50a1c97407178aacc2/0113981618.jpeg "Eine Lösung für Cloud Security Posture Management (CSPM) der nächsten Generation von Aqua Security soll die Angriffsfläche um 99 Prozent reduzieren und es der IT-Sicherheit ermöglichen, sich in Echtzeit auf die kritischsten Bedrohungen zu konzentrieren. (Bild: ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/50/3f50e3875b5463348d790f00ca3ad82d/0114222695.jpeg ""Warum Security Awareness die Basis der NIS2 Umsetzung ist", ein Interview von Oliver Schonschek, Insider Research, mit Christian Laber von G DATA. (Bild: Vogel IT-Medien / G DATA / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/35/5c/355c5d6af0509a4a109682eaca824105/0114174663.jpeg "Watchguard Technologies möchte die Partner durch ein MSSP-fähiges Portfolio gut aufstellen und erklärt, was momentan im IT-Security-Business hoch nachgefragt ist. (Bild: Tex vector - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Online-Betrugskontrolle mit Machine Learning Betrugsprävention ohne Konsumenten zu verschrecken
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Wie kann ein Unternehmen online feststellen, ob ein potenzieller Kunde wirklich ist, wer er vorgibt zu sein, ob er sich ein teures Produkt oder einen Kredit leisten kann oder ob die angegebene Lieferadresse tatsächlich zu ihm gehört? Moderne Betrugspräventionssysteme können Unternehmen hier die nötige Sicherheit geben.
Gut Ding will Weile haben. So hat auch die Vorstellung von der Unternehmens-IT als Festung noch lange nicht ausgedient. Allerdings geht sie an den Realitäten nahezu aller Unternehmen vorbei. Die wesentliche Herausforderung ist es nicht, ungebetene Gäste vor den (Brand-) Mauern zu halten, sondern den richtigen Personen möglichst einfachen und sicheren Zugang zu erlauben. Es ist schon schwierig genug, den eigenen Mitarbeitern und bekannten Dritten wie Partnern und Lieferanten diesen Zugang zu bieten. Das hat nicht zuletzt die Pandemie mit dem massiven Anstieg der Arbeit im Homeoffice gezeigt. Um vieles schwerer ist es, Unbekannten online zu vertrauen. Das gilt insbesondere für die Beziehungen zu weitgehend anonymen Kunden.
:quality(80)/p7i.vogel.de/wcms/8c/7d/8c7d281cce8955b466f6395e88defa14/0106072302.jpeg "Der digitale Wandel birgt einerseits neue Risiken. Andererseits lassen sich diese auch wieder durch fortschrittliche Technologien reduzieren. (Bild: Brian Jackson - stock.adobe.com)")
Technologie – Freund und Feind zugleich
Identitätsdiebstahl in der digitalen Welt
Betrugsprävention als Spielverderberin und Umsatzbremse
Wie kann ein Unternehmen online feststellen, ob ein potenzieller Kunde wirklich ist, wer er vorgibt zu sein, ob er sich ein teures Produkt oder einen Kredit leisten kann oder ob die angegebene Lieferadresse tatsächlich zu ihm gehört? Herkömmlicherweise setzen Unternehmen regelbasierte Systeme ein, um Transaktionen, das Benutzerverhalten, Geräte und andere Parameter zu kontrollieren. Anschließend analysieren und berechnen die Systeme eine Risikobewertung, um potenziell betrügerische Transaktionen wie illegale Einkäufe, Ad-Click-Spam, Bots, gestohlene Karten usw. zu unterbinden. Selbst wenn sich die Regeln dieser Systeme an die Anforderungen eines Unternehmens sowie neu aufkommende Betrugsmethoden anpassen lassen, weisen die meisten zwei Schwachstellen auf: Sie sind erstens zu langsam und beeinträchtigen so das Kundenerlebnis und zweitens treffen sie zu viele falsche Entscheidungen und sorgen so nicht nur für schlechte Kundenerlebnisse, sondern auch für Umsatzausfälle.
Zu langsam
Langsame Systeme sorgen für Frustrationen bei Kunden. Aktuelle Zahlen von Experian zeigen, dass selbst bei so komplexen Vorgängen wie einem Online-Kredit-Antrag, die maximale Zeit, die Konsumenten bereit sind zu warten, maximal 10 Minuten beträgt. Bei Kleinkrediten sollte in dieser sogenannten „Time to Yes“ auch das Geld schon unterwegs sein zum Kunden. Dauert ein Vorgang länger als es den Erwartungen eines Konsumenten entspricht, wird er wahrscheinlich beim nächsten Mal einen anderen Anbieter wählen oder den Vorgang gleich abbrechen. In beiden Fällen ergibt sich ein Umsatzverlust für den Anbieter.
Zu oft die verkehrte Entscheidung
Natürlich führt auch gelungener Betrug zu teilweise beträchtlichen Verlusten. Darum steuern die meisten Unternehmen ihre Betrugspräventionssysteme eher konservativ. Das führt dazu, dass die Systeme sehr viele Fälle als verdächtig einstufen, die vollkommen valide Transaktionen sind. Diese „False Positives“ formen ein großes Problem. Laut Payment-Beratung CMSPI lagen 2020 die Umsatzverluste durch gezielten Kartenbetrug in Europa bei etwa 2 Milliarden Euro, die Verluste durch False Positives hingegen bei rund 23 Milliarden Euro. Darüber hinaus führen False Positives zu einer stärkeren Belastung des Personals, weil Vorgänge, die das Betrugspräventionssysteme als verdächtig einstuft, manuell von einem Betrugsspezialisten bewertet werden müssen.
Machine-Learning hilft
Ein gut trainiertes Machine-Learning (ML-) System als Kern einer Betrugspräventionslösung kann die Situation für Unternehmen drastisch verbessern. Es ist sowohl in der Lage, Vorgänge nahezu in Echtzeit zu bewerten, als auch die Genauigkeit der Bewertung enorm zu verbessern. Ein Machine-Learning-Modell ist letztlich eine Sammlung hunderter dynamischer Regeln, die auf ein entsprechendes Training reagieren. Das ML-System wird mit Merkmalen, den sogenannten Features, gespeist und entscheidet aufgrund früherer Beurteilungen und Feedback durch einen menschlichen Trainer, wie die Features in eine Entscheidung einfließen. Manche Features sind wichtiger als andere, und jedes Feature erhält eine Gewichtung, die durch das Modelltraining optimiert wird. Regelmäßig werden neu gesammelte Daten ins System eingespeist, um das Modell weiter zu optimieren.
Erste hochentwickelte ML-Systeme befinden sich bereits im Praxiseinsatz und haben ihre Vorteile gegenüber herkömmlichen, regelbasierten Systemen unter Beweis stellen können. So sind Umsatzsteigerungen um bis zu 15 Prozent möglich, weil weit weniger valide Transaktionen als betrügerisch abgelehnt werden. Und auch die persönlichen Eingriffe der Betrugsmanager werden erheblich reduziert. So konnte das Betrugspräventionssystem AI:drian von Experian in einem E-Commerce-Szenario die False-Positive-Rate um 60 Prozent senken. 99,9 Prozent der Transaktionen, die das ML-Tool aufgrund seines Trainings als legitim identifizierte, waren nicht betrügerisch und wurden entsprechend nicht abgelehnt. Statt monatlich rund 7000 Bestellanfragen mussten nur noch 300 manuell geprüft werden – eine Arbeitserleichterung um mehr als 95 Prozent!
Vorbehalte überwinden
ML-Systeme übernehmen mehr und mehr Aufgaben auch jenseits der Betrugsprävention. Wie bei den meisten neuen Technologien bestehen auch gegen ML zum Teil erheblich Vorbehalte. Oft wird die Metapher von der „Black Box“ verwendet, weil ML-Systeme weitgehend eigenständig anhand von Daten lernen, und bei vielen Algorithmen die Wirkungszusammenhänge in den resultierenden Modellen nicht offensichtlich sind. Auch um Vorbehalte dieser Art zu adressieren, besteht eine Reihe von Initiativen, die versuchen, den Einsatz von Künstlicher Intelligenz (KI) im Allgemeinen und von ML im Besonderen zu reglementieren. So arbeitet die EU-Kommission gerade an einem Gesetzentwurf zum Einsatz von AI und ML.
Auch wenn die juristischen Details noch nicht feststehen, lässt sich schon heute beurteilen, ob ein ML-Modell gemäß relevanter Best Practices entwickelt wurde und zu nachvollziehbaren Ergebnissen führt. Das Fraunhofer-Institut für Produktionstechnik und Automatisierung IPA ist eine der Institutionen, die sich intensiv mit Überprüfungen von ML-Systemen beschäftigen und an der Etablierung entsprechender Standards arbeiten. Als eines der ersten kommerziellen Systeme überhaupt hat das Fraunhofer IPA beispielsweise die ML-Komponente der Betrugspräventionslösung AI:drian einem Audit unterzogen und ihm eine sehr hohe Qualität während des gesamten Entwicklungsprozesses sowie in der Bewertung von Transaktionen bestätigt. Projekte wie dieses helfen dem Fraunhofer IPA u.a. bei der Etablierung der erwähnten Standards, sodass künftig hoffentlich ein offizielles Prüfsiegel für ML-Systeme besteht, das helfen kann, die allgemeine Akzeptanz für ML zu verbessern.
Vertrauen in die Betrugsprävention
Für die Zukunft effizienter Online-Betrugskontrolle ist es nicht nur entscheidend, die stets beste Technologie einzusetzen und weiterzuentwickeln. Letztlich müssen die gewählten Methoden auch für die große Mehrheit der Konsumenten akzeptabel und von den Regulierungsbehörden und Gesetzgebern zugelassen sein. Nur dann können Unternehmen ihrer Betrugsprävention wirklich vertrauen.
Über die Autorin: Martina Neumayr ist Senior Vice President Credit Risk & Fraud Services bei Experian DACH.
(ID:48586816)
:quality(80)/p7i.vogel.de/wcms/ec/f3/ecf3df86460693a9f8dd13cbbb21139e/0108036369.jpeg "Die Online-Wirtschaft und die ihr zugrunde liegende Finanzinfrastruktur sind hochkomplex und unterliegen ständigen Risiken, die Unternehmen kennen und beachten müssen. (Bild: Rido - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b6/7d/b67d3b4621075a807d10bbf48a8213cb/0107668544.jpeg "Wo Geld in großen Mengen fließt, tummeln sich immer auch Betrüger. Weltweit sind Händler weit über 200.000 Cyberangriffen pro Monat ausgesetzt. (Bild: thodonal - stock.adobe.com)")