Jeder zwölfte Bürger hat im letzten Jahr Geld eingebüßt, dies bestätigt auch der letzte Viktimisierungssurvey zur Sicherheit und Kriminalisierung in Deutschland. Ganz vorn sind Fakeshops, doch die großen Summen werden mit Social Engineering verdient. Romance Scam, Investmentbetrug, Imposter Fraud und Angriffe gegen technische Prozesse sind die großen Herausforderungen. Finanzdienstleister zahlen einen Teil der Schäden direkt aufgrund ihrer unsicheren Prozesse, noch größer sind jedoch die indirekten Verluste. Laut Lexis Nexis zahlen Banken für die Bearbeitung das fast Vierfache der eigenen Schäden, dazu kommen die entgangenen Gewinne aus dem Einlagenverlust.
Die Schwierigkeiten der Betrüger sind passé
Das Geschäftsmodell Betrug hatte immer einige Einschränkungen. Das persönliche Auftreten war fast unumgänglich, Schäden dadurch lokal beschränkt und Modi Operandi schwer kopierbar. Schneeballsysteme wie der Auswanderungsbetrug in das erfundene Land Poyais oder der Fall der Dachauer Bank 1872 sind neuzeitlich und basierten auf schillernden Persönlichkeiten. Außerdem waren gut betuchte Opfer eher selten und Zug-um-Zug-Geschäfte die übliche Geschäftspraxis. Diese Schwierigkeiten gibt es nicht mehr. Eine beliebige Anzahl potenzieller Opfer ist jetzt über E-Mail, SMS und Messenger kostengünstig und lokal unbegrenzt erreichbar. Der Vermögensunterschied in der Welt sorgt dafür, dass ganze Bevölkerungen attraktiv werden. Rechnungs- und Ratenkauf sowie bequeme Prozesse sind durch ihre Gestaltung angreifbar. Hinzu kommt Künstliche Intelligenz als Beschleuniger. Übersetzungen sind in hoher Qualität innerhalb kürzester Zeit verfügbar. Auch Webseiten können direkt dupliziert werden, Stimmen werden imitiert und Gesichter verfälscht.
Ein weiterer kritischer Faktor ist die Arbeitsteilung der Täter: Die Daten potenzieller Opfer lassen sich im Internet finden, Preise richten sich nach der Opferqualität. Ob Botnetze für den Mailversand, Webseiten zum Phishing, Kreditkarten und Konten, Schadprogramme, gefälschte Unterlagen oder beliebige andere Zutaten für den Betrug, alles ist über das Internet leicht erhältlich. Dazu gibt es Tutorials für den werdenden Kriminellen auf YouTube und in jedem Messenger. Wer noch besser werden will, bucht sich ein persönliches Coaching. Die attraktivsten Maschen werden vom organisierten Verbrechen übernommen und industrialisiert. Besonders grausam ist das im Pig-Butchering zu sehen, bei dem die Versklavung zum Callcenter-Betrug besonders in Asien ein Problem ist. Doch auch in Europa identifiziert Europol 125 organisierte Netzwerke, die nur im Betrug unterwegs sind – die zweitstärkste Gruppe nach dem Drogenhandel.
Geschwindigkeit der Betrüger nimmt zu
Die Themen Austausch, Erreichbarkeit und Datenverfügbarkeit sorgen dafür, dass erfolgreiche Maschen schneller exportiert und weltweit eingesetzt werden. Vor zehn Jahren erreichten Trends aus dem angloamerikanischen Raum Deutschland nach zwei bis drei Jahren, jetzt innerhalb weniger Monate. Für den nächsten Sprung wird Instant Payment sorgen. Geschwindigkeit bringt Betrügern einen massiven Vorteil. Können heute noch Teile der erbeuteten Summen wieder beschafft werden, ist dies bei einer Infrastruktur mit Überweisungen in Sekundenschnelle fast ausgeschlossen. Australien und Großbritannien werden nach ihren schmerzhaften Erfahrungen jetzt Einschränkungen bei Betrugsverdacht beschließen. Doch dafür fehlen uns noch Voraussetzungen. Alle Banken haben in den letzten 20 Jahren aufgerüstet. Standard sind heute spezialisierte Systeme gegen Antrags- und Transaktionsbetrug. Mit der Payment-Service-Regulierung (PSR) wird ein Echtzeit-Transaktionsmonitoring verpflichtend. Spezialisten für die Abwehr von Betrug sind ein Muss: Wer es ohne probiert, wird durch Regressforderungen und die Aufsicht schnell auf den Boden der Tatsachen zurückgeholt.
Trotzdem sind wir langsamer als die Betrüger. Wir bekommen die immer neu abgewandelten Tatmuster nur mühsam und mit Zeitverzug in den Griff. Dabei sind sich Fachleute weltweit einig, welche Mittel grundsätzlich helfen und uns wieder auf Augenhöhe mit den Tätern bringen können. Die gezielte Aufklärung der Bevölkerung, der Austausch von Daten und das Teilen von Wissen über neue Betrugsmuster. Bei Schulung und Training der Bevölkerung zeigt die Initiative Take Five aus dem Vereinigten Königreich Erfolge. Es geht um einfache Botschaften, die möglichst gleichmäßig und breitflächig geteilt werden, um sich in das kulturelle Gedächtnis zu graben: Halt ein, denk nach, melde Auffälligkeiten! Das deutsche Gegenstück, die Initiative Sicher Handeln, nimmt nur langsam Fahrt auf – vor allem mangels Beteiligung der Wirtschaft.
Das Sorgenkind: Die Zusammenarbeit
Der fachliche Austausch findet in Deutschland in einer kleinen Community statt, die im Wesentlichen durch Softwareanbieter, etwa die Fraud Circles von RISK IDENT, und wenige Veranstaltungen, zum Beispiel FRAUDMANAGEMENTforBANKS, getragen wird. Auffällig ist hier vor allem die fehlende Forschung, denn es existiert kein Lehrstuhl zum Thema. Das minimale Schulungsangebot ist fast ausschließlich auf Geldwäsche ausgerichtet.
Im Datenaustausch sind drei wesentliche Methoden zu unterscheiden:
- ● die übergeordnete Beurteilung gemeinsamer Daten,
- ● die Mustererkennung und
- ● die direkte Warnung.
Die eba-Clearing und die deutsche EuroDat versuchen, die ersten beiden Punkte zu adressieren. Das deutsche Startup StopCrime baut auf direkte Warnungen und ein Transaktionsmonitoring zu kompromittierten Konten. Diese Initiativen adressieren die Ressource der Betrüger, die wir tatsächlich beschränken können: Konten und Zahlungsverkehr. Die Anbieter haben allerdings ein Problem: Die meisten Banken warten darauf, dass sich ein System durchsetzt. Nur wenige Teilnehmer sind bereit, vorab Ressourcen
Prävention als Business Case
Was die potenziellen Teilnehmer übersehen, ist, dass Prävention ein herausragender Business Case ist. Es geht um Milliarden verlorener Einlagen und hohe Millionenbeträge in den Bearbeitungskosten. Neue Maßnahmen zur Prävention rechnen sich meist innerhalb weniger Monate. Wirklich teuer ist, dass nur wenige Entscheidungsträger bereit sind, den Anfang zu machen und die Systeme mit aufzubauen. Aus Sicht der viel beschworenen Kundenzentrierung gedacht, sollte die Frage der Investition noch einfacher zu beantworten sein. Sicherheit und damit Vertrauen ist das herausragende Argument von Kunden bei einer Bank zu bleiben oder zu dieser zu wechseln. Die Geldsicherung als Funktion ist eine Kernaufgabe der Finanzdienstleister – zumindest sehen das die Kunden so. Der Gesetzgeber wird mit der Payment-Service-Regulierung zumindest in Teilen eine Haftungsumkehr beschließen und zuerst die Zahlungsdienstleister in die Pflicht nehmen. Es ist also keine Frage mehr, ob Banken in die Prävention investieren. Es kommt viel mehr darauf an, wer das Potential der Prävention erkennt und nutzt.
Das Anfang 2022 gegründete FinTech StopCrime GmbH widmet sich der Betrugsprävention unter Finanzdienstleistern.
Mit dem entwickelten „Fraud Prevention Network“ warnen sich die teilnehmenden Unternehmen gegenseitig vor betrügerisch genutzten Konten. Zahlungen werden gegen den Datenpool über ein Echtzeit-Transaktionsmonitoring geprüft. Best-Practice-Ansätze für neue Betrugsmuster können unter den Teilnehmern separat geteilt werden. Der Service geht 2024 mit ersten Pilotkunden produktiv.
Mehr Informationen gibt es unter www.stopcrime.info
Dirk Mayer
Dirk Mayer ist Geschäftsführer der StopCrime GmbH.
