Retail-Online: Von der Bonitätsprüfung zur Betrugserkennung

Retail-Online: Von der Bonitätsprüfung zur Betrugserkennung

Das Thema Betrugserkennung spaltet sich immer stärker von der allgemeinen Bonitätsprüfung ab. Der Artikel richtet sich an Compliance-Officer, das Risiko- und Fraud-Management von Firmen, die Geschäfte mit Retail-Kunden machen. Es werden Mindestanforderungen an die Betrugserkennung dargestellt und konkrete Handlungsanweisungen zur Prüfung von Fraud-Management-Systemen aufgezeigt.

I. Einleitung
Im Regelfall geschieht die operative Prüfung auf Betrug bei der Eröffnung von Kundenkonten oder auf Basis von Transaktionen. Die Steuerung über Regeln und Scorekarten erfolgt über das Risikomanagement. Das war auch richtig, so lange das Risiko schlicht als Zahlungsausfall definiert wurde. Zumindest im Retail ändert sich dies, d. h. für Geschäfte mit Endverbrauchern und Kleinunternehmen, die auf eine Person zurückgeführt werden können. Der bonitätsbedingte Zahlungsausfall wird in die wirtschaftliche und die persönliche Kreditwürdigkeit differenziert, die Prüfung von Betrug technisch und prozessual abgegrenzt. In Banken und Versicherungen ist diese Trennung auch in die Vorgaben eingeflossen. Diese sind jedoch unscharf und zielen in Richtung organisierter
Kriminalität, interner Betrug und Geldwäsche. Auch die Prüfungsstandards 980 und 981 geben kaum konkrete Hinweise. Selbst schwerwiegende Mängel in den Systemen und Prozessen werden sich daher kaum in Prüfberichten finden. Der Ausfall aufgrund von wirtschaftlichen Schwierigkeiten ist mit klassischer Statistik und dem Einsatz von Scorekarten sehr genau zu steuern. Das Thema ist in Banken, Versicherungen, Payment-Unternehmen, Telekommunikationsunternehmen, großen Retailern usw. weitgehend abgeschlossen.

Die automatisierte Prüfung der persönlichen Kreditwürdigkeit, also die Zuverlässigkeit und Zahlungswilligkeit, erfordert andere Methoden. Unabhängig von der organisatorischen Einheit, bei der das Thema aufgehängt ist, sollte Compliance eine beratende und prüfende Funktion einnehmen.

Einige Gründe dafür sind:
– Betrug ist nicht ein Phänomen. Es gibt viele verschiedene Modi Operandi und häufig ist ohne nähere Prüfung nicht zu klären, ob eine interne Beteiligung vorliegt.
– Wird Anzeige erstattet, sollte die Kommunikation zu den Ermittlungsbehörden über den Compliance-Bereich erfolgen.
– Zumindest bei Fällen von organisiertem Betrug kann Compliance leichter notwendige Ressourcen zur Aufarbeitung rekrutieren als operative Bereiche.
– Bei internationalen Unternehmen kann das Unternehmen auf verschiedenen Märkten mit den gleichen Methoden angegriffen werden. Wird die zentrale Kommunikation nicht von einer anderen Einheit wahrgenommen, bietet sich Compliance an.

II. Anforderungen an die Betrugsprävention im Retail-Geschäft
Die Betrugsdetektion im Mengengeschäft basiert auf drei zentralen Vorgehensweisen:

1. Wiedererkennung von Tätern
Wesentlich ist die Verfügbarkeit eines großen Datenkranzes. Alle Identifikatoren sollten für eine Verknüpfung innerhalb der Datenbestände genutzt werden. Eindeutige Identifikatoren sind z. B. Telefonnummern, Kontoverbindungen oder E-Mail-Adressen. Künftig werden hier auch biometrische Verhaltensdaten eingesetzt werden.
Scharf und unscharf (fuzzy) wird auf Namen, Geburtsdaten und Adressen gesucht. Datensätze mit geringen Abweichungen sind im Betrugsbereich typisch.
Im Online-Bereich unverzichtbar ist das Device-Fingerprinting2. Eingesetzte Endgeräte sind damit eindeutig wieder zu erkennen. Die Fingerprints werden über industrieübergreifende Datenpools auf kompromittierte Geräte geprüft3. Gleichzeitig liefern die Anbieter Informationen über das Gerät zur Plausibilitätsprüfung.
Wird über scharfe oder unscharfe Suchen eine Verbindung zu einem bekannten Betrugsfall hergestellt, können die Anfragen gesondert behandelt werden.
Die Größe des vom Kunden angegebenen Datenkranzes steht in einem Spannungsfeld zur Convenience des Einkaufserlebnisses des Kunden. Es lohnt hier selten, eine Diskussion zu eröffnen. Üblicherweise arbeitet die Betrugsprävention mit den verfügbaren Daten. Ohne Einfluss auf die Abschlussrate können automatisierte Datenanreicherungen eingesetzt werden.

2. Plausibilitätsprüfungen und Anomaliedetektion
Es wird die Plausibilität einzelner Anträge, Warenkörbe und der Gerätekonstellation mit den angegebenen Kundendaten und den bisherigen Bestellungen geprüft. Über die Regelwerke können bekannte Betrugsmuster abgebildet und ausgesteuert werden. Konfigurierbare Regeln haben erhebliche Vorteile gegenüber analytischen Verfahren:
Sie können schnell angepasst werden und brauchen v. a. keine Verlustdaten, um valide Aussagen zu treffen. Erkannte Muster können direkt aufgegriffen werden.

3. Analytische Verfahren
Abhängig vom Geschäftsmodell und den verfügbaren Daten haben Fraud-Scorekarten einen hohen Stellenwert4. Analytische Modelle werden auch mithilfe von Machine-Learning Verfahren entwickelt. Hier werden häufig unbekannte oder komplexe Betrugsmuster aufgedeckt. Vor allem bieten die Algorithmen die Möglichkeit, das Optimum zwischen Betrugsdetektion, Annahmequote und Bearbeitungsaufwand zu finden.

Hier finden Sie den vollständigen Artikel, welcher von Compliance Berater veröffentlicht wurde.