Wie Big Data vor Kreditkartenbetrug schützt

Machine Learning und Big Data wissen, dass du es nicht warst, der gerade deine Kreditkarte benutzt hat. Dies könnte Verbrauchern bald sehr viel nützen. Während du gerade zu Hause sitzt und dich um dein Zeug kümmerst, erhältst du einen Anruf der Abteilung für Betrugsermittlung deines Kreditkartenunternehmens, die dich fragt, ob du gerade in einem Kaufhaus in deiner Stadt etwas erworben hast. Du warst es jedenfalls nicht, der mit der Kreditkarte die teuren Elektrogeräte gekauft hat – die war nämlich den ganzen Nachmittag in deiner Tasche. Wie also konnte die Bank den Kauf als betrügerischen Akt identifizieren?

Kreditkartenunternehmen haben ein starkes Eigeninteresse daran, finanzielle Transaktionen zu identifizieren, die unautorisierter und krimineller Natur sind. Der Einsatz ist hoch. Der US-amerikanischen Studie zu Stornierungszahlen zufolge haben US-Amerikaner im Jahr 2012 insgesamt 26,2 Milliarden Transaktionen per Kreditkarte bezahlt. Der geschätzte Verlust durch illegale Buchungen betrug in jenem Jahr 6,1 Milliarden US-Dollar. Der staatliche Fair Credit Billing Act limitiert die Haftbarkeit der Eigentümer auf 50 US-Dollar bei unautorisierten Transaktionen, was dazu führt, dass Kreditkartenunternehmen die Verantwortung übernehmen müssen. Es ist offensichtlich, dass betrügerische Zahlungen große Auswirkungen auf die Bilanzen der Unternehmen haben können. Die Branche fordert von jedem Anbieter, der Kreditkarten vertreibt, eine jährliche Sicherheitsprüfung. Doch diese Maßnahme kann nicht jeden Betrug verhindern.

In der Bankenbranche sind Messrisiken eine gefährliche Angelegenheit. Das Hauptziel ist es, betrügerische Akten zu identifizieren, bevor ein zu großer finanzieller Schaden angerichtet wird. Aber wie funktioniert das? Und wer gewinnt das Wettrüsten zwischen den Dieben und den Finanzinstitutionen?

Die Truppen versammeln

Aus Verbraucherperspektive sieht die Aufdeckung von Betrugsfällen manchmal aus wie Zauberei. Der Prozess geschieht automatisch, ohne sichtbare Einwirkung eines Menschen. In das offenbar nahtlose und unverzügliche Vorgehen sind eine Reihe von ausgeklügelten Technologien verwickelt, die sich vom Finanzsektor über die Wirtschaft bis in den Rechts- und Informatikbereich ausweiten.

Natürlich gibt es einige recht einfache und direkte Feststellungsmechanismen, die keine umfassende Erklärung benötigen. Zum Beispiel kann das Unvermögen, die korrekte Postleitzahl anzugeben, die mit der Kreditkarte verbunden ist, wenn sie an einem ungewöhnlichen Ort eingesetzt wird, ein guter Indikator für einen Betrug sein. Aber Betrüger umgehen diesen Routinecheck geschickt – im Grunde ist das Auffinden der Postleitzahl des Opfers so einfach wie das Benutzen der Suchfunktion von Google.

Üblicherweise war die Betrugsauffindung auf Techniken der Datenanalyse angewiesen, die einen großen menschlichen Einsatz abverlangte. Ein Algorithmus entdeckte verdächtige Fälle, die letztendlich von menschlichen Prüfern bewertet werden mussten, die vielleicht auch die betroffenen Kartenbesitzer anriefen, um sie zu fragen, ob sie tatsächlich die Karten belastet hatten. Heutzutage stehen die Firmen einer konstanten Flut von so vielen Transaktionen gegenüber, dass sie auf Big-Data-Analysen als Hilfe angewiesen sind. Neu entstehende Technologien wie Machine Learning und das Cloud Computing tauchen im Feld der Betrugsaufdeckung auf.

Es gilt zu lernen, was echt und was fragwürdig ist

Einfach gesagt, bezieht sich das maschinelle Dazulernen auf sich selbst verbessernde Algorithmen, also vordefinierte Prozesse, die spezifischen Regeln folgen und von einem Computer ausgeführt werden. Ein Computer fängt mit einem Modell an und trainiert ihn dann mittels dem Trial- und Errorverfahren. So kann er dann Vorhersagen abgeben, beispielsweise zu dem Risiko, das mit einer finanziellen Transaktion verbunden ist.

Ein maschinell dazulernender Algorithmus muss jedoch erst trainiert werden, indem man ihm erst einmal Transaktionsdaten von eine sehr hohen Anzahl von Kartenbesitzern einführt. Die Abfolge von Transaktionen ist ein Beispiel dieser Art der Trainingsdaten. Beispielsweise tankt eine Person einmal pro Woche, sie kauft alle zwei Wochen Lebensmittel ein und so weiter. Der Algorithmus lernt, dass dies ein normaler Transaktionsablauf ist.

Nach der Durchführung dieser genauen Abstimmung werden Kreditkartentransaktionen möglichst in Echtzeit durch den Algorithmus geprüft. Dieser spuckt dann eine Einschätzung heraus, die die Wahrscheinlichkeit angibt, dass eine Transaktion betrügerisch war (beispielsweise hier: 97 Prozent). Angenommen, das Betrugsauffindungssystem ist so konfiguriert, dass es jede Transaktion blockiert, die eine Wahrscheinlichkeit von über 95 Prozent aufweist, könnte diese Beurteilung sofort eine Abweisung der Karte an dem jeweiligen Verkaufspunkt auslösen.

Der Algorithmus bezieht viele Faktoren ein, um eine Transaktion als betrügerisch einzuordnen: die Vertrauenswürdigkeit des Verkäufers, das Kaufverhalten des Karteninhaber bezogen auf Zeit und Ort, die IP-Adresse, und so weiter. Je mehr Anhaltspunkte es gibt, desto präziser ist die Entscheidung.

Dieser Prozess macht eine rechtzeitige – beziehungsweise eine Echtzeitaufdeckung von Betrug möglich. Kein Mensch kann tausende Daten simultan auswerten oder eine Entscheidung in einem Bruchteil einer Sekunde treffen.

Hier ist ein typisches Szenario. Wenn du zum Kassierer gehst, um im Supermarkt zu zahlen, ziehst du deine Karte durch. Die Transaktionsdetails wie die Zeitangabe, der Betrag, die Identität des Händlers und die Mitgliedsschafsinformationen werden zu dem Aussteller der Karte übermittelt. Diese Daten werden in den Algorithmus eingespeist, der die persönlichen Einkaufsmuster kennt. Passt diese bestimmte Transaktion in das Verhaltensprofil, das aus vielen vergangenen Kaufszenarien und Daten zusammengesetzt ist?

Der Algorithmus weiß sofort, wenn deine Karte in dem Restaurant benutzt wird, in das du jeden Samstagmorgen gehst – oder an der Tankstelle zwei Zeitzonen entfernt von dir zu einer eigenartigen Zeit um 3 Uhr morgens. Er prüft auch, ob die Nutzung deiner Transaktion von der gewöhnlichen abweicht. Wenn die Karte plötzlich zwei Mal an einem Tag für die Auszahlung eines Dispositionskredits verwendet wird, obwohl die vergangenen Daten keine solche Verwendung aufzeigen, wird dieses Verhalten die Betrugswahrscheinlichkeit steigern. Wenn die Betrugswahrscheinlichkeit der Transaktion eine gewisse Schwelle überschritten hat, wird – meist nach einer kurzen Prüfung durch eine reale Person – der Algorithmus mit dem Verkaufssystem kommunizieren und es auffordern, die Transaktion zu verwerfen. Onlinekäufe durchlaufen denselben Prozess.

Bei dieser Art des Systems werden erhebliche menschliche Eingriffe der Vergangenheit angehören. Tatsächlich könnten sie ganz abgeschafft werden, denn die Reaktionszeit ist viel länger, wenn ein menschliches Wesen zu sehr in den Kreislauf der Betrugsauffindung eingebunden ist. Nichtsdestotrotz können Menschen noch eine Rolle spielen – sowohl wenn es darum geht, einen Betrug zu bewerten als auch die Folgen einer verweigerten Transaktion abzuwickeln. Wenn eine Karte mehrmals abgelehnt wird, kann eine reale Person den Kartenbesitzer anrufen, bevor die Karte dauerhaft gesperrt wird.

Computerdetektive in der Cloud

Die reine Anzahl an Finanztransaktionen, die bearbeitet werden müssen, ist im Bereich von Big Data tatsächlich überwältigend. Aber das maschinelle Dazulernen gedeiht auf den Datenbergen – mehr Information lässt nämlich die Genauigkeit des Algorithmus steigen und hilft dabei, Falschmeldungen zu beseitigen. Das kann beispielsweise von verdächtigen Transaktionen ausgelöst werden, die eigentlich legitimiert sind (zum Beispiel durch die Nutzung einer Karte an einem unerwarteten Ort) – zu viele Warnsignale sind genauso schlecht wie gar keine.

Es benötigt eine Menge an Rechenleistung, um sich durch dieses Datenvolumen zu wühlen. Zum Beispiel produziert PayPal jederzeit mehr als 1,1 Petabytes an Daten für 169 Millionen Kundenaccounts. Dieser Überfluss an Daten – ein Petabyte entsprechen zum Beispiel mehr als 200.000 DVDs – hat einen positiven Einfluss auf das maschinelle Lernen des Algorithmus, aber er kann auch eine Hürde sein für die die EDV-Infrastruktur eines Unternehmens.

Und hier kommt das Cloud Computing ins Spiel: Ausgelagerte EDV-Ressourcen können eine wichtige Rolle spielen. Cloud Computing ist größenvariabel und nicht durch die eigene Rechenleistung des Unternehmens limitiert.

Betrugsaufdeckung ist ein Wettrüsten zwischen dem Guten und dem Bösen. Derzeit scheinen die Guten an Boden gutzumachen. Dies geschieht mittels neuer Innovationen der IT-Technologien wie Chip- und PIN-Technologien mit Verschlüsselungsfähigkeiten, Machine Learning, Big Data und natürlich dem Cloud Computing.

Sicherlich werden Betrüger weiterhin versuchen, die Guten auszutricksen und die Grenzen der Betrugsaufklärung herauszufordern. Drastische Änderungen innerhalb der Zahlungsmuster selbst sind eine andere Hürde. Dein Handy ist nun in der Lage, Kreditkarteninformation zu speichern und kann so genutzt werden, um kabellose Zahlungen zu tätigen – was wiederum neue Angriffspunkte liefert. Zum Glück steht die derzeitige Generation der Betrugsaufdeckung den Technologien des Zahlungssystems größtenteils neutral gegenüber.

Dieser Artikel erschien zuerst auf “The Conversation” unter CC BY-ND 4.0. Übersetzung mit freundlicher Genehmigung der Redaktion.


Image „Kreditkarte“ by jarmoluk (CC0 Public Domain)


The Conversation

Schlagwörter: , , , , , , ,
Jungwoo Ryoo

Jungwoo Ryoo

arbeitet am Institut für Informationswissenschaften und Technologie der Pennsylvania State University in Altoona. Er forscht zu Datensicherheit, Softwareentwicklung und Computer-Netzwerke.

More Posts - Website - Twitter - Facebook - Google Plus