Kreditkartenbetrug

Lernender Wächter

d'Lëtzebuerger Land vom 12.06.2015

Wenn das Bestellen von Waren und Dienstleistungen übers Internet immer selbstverständlicher wird, wächst auch das Risiko von Kreditkartenbetrug: Immer öfter gelangen die Kartendaten nicht nur zum Verkäufer, sondern auch in die Hände von Cyberkriminellen, erhob die Europäische Zentralbank (EZB) Anfang vergangenen Jahres in ihrem schon dritten Report on Card Fraud. Innerhalb der Single European Payment Area (Sepa) wurden dem EZB-Bericht zufolge im Jahr 2012 betrügerische Kreditkartentransaktionen im Umfang von 1,33 Milliarden Euro abgewickelt – ein Zuwachs im Volumen um fast 15 Prozent gegenüber dem Jahr zuvor. Und wenngleich zwischen 2008 und 2010 noch mehr betrogen wurde, nimmt laut EZB vor allem der Schaden aus Fällen zu, in denen Kreditkarten nicht physisch genutzt, also weder zum Abheben von Bargeld in einen Geldautomaten noch zum Bezahlen einer Rechnung in ein Lesegerät gesteckt werden: 794 Millionen Euro oder 60 Prozent des Schadensumfangs gingen 2012 auf Bezahlvorgänge per Internet, Brief oder Telefon zurück. 2011 war die Schadensbilanz in dieser Kategorie noch um 21 Prozent kleiner gewesen.

Weil die Wege, Karteninformationen zu erlangen, anscheinend immer mannigfaltiger werden und von erfolgreichem Phishing bei arglosen Computernutzern über die Verbreitung manipulierter Smartphone-Apps bis hin zu Großangriffen auf Server reichen, ist es kein Wunder, dass Kreditkartenbetrug besser auf die Spur zu kommen, ein heißes Thema unter IT-Sicherheitsforschern ist. In Luxemburg wird am Forschungszentrum für IT-Sicherheit und -Zuverlässigkeit (SnT) der Universität an Methoden zur Betrugserkennung gearbeitet. Partner ist das heimische Kartenunternehmen Cetrel.

„Natürlich haben sämtliche Kartenunternehmen Sicherheitsvorkehrungen in Betrieb, große Online-Händler auch“, sagt Alejandro Correa Bahnsen vom SnT. Die klassischen Systeme seien aber „regelbasiert“: Dass wahrscheinlich ein Betrugsversuch vorliegt, wird anhand von Regeln entschieden, die ins Schutzsystem einprogrammiert wurden. Hält dieses eine Transaktion für verdächtig, wird eine Warnung ausgegeben. Woraufhin zum Beispiel mit dem Karteninhaber geprüft wird, ob er den Bezahlvorgang ausgelöst hat oder nicht.

Die Frage ist aber nicht nur, wie zuverlässig eine solche Kontrolle arbeitet. Je strenger sie funktioniert, desto häufiger kann sie „falsch positive“ Betrügereien melden. Was dem Karteninhaber eigentlich nur recht sein kann, denn es zeigt ihm, dass bei seiner Kartenfirma hohe Sicherheitsmaßstäbe gelten. „Es kann aber auch sein, dass ein Kunde falsch positive Meldungen nicht schätzt“, weiß Correa Bahnsen. „Denn auf Betrugswarnungen hin muss er etwas unternehmen. Das Kartenunternehmen ebenfalls: Die Untersuchung jeder Warnung verursacht Kosten und bindet Personal.“

Gemeinsam mit Cetrel entwickelt das SnT deshalb „intelligente“ Sicherheitsalgorithmen, die nicht starr regelbasiert sind, sondern „lernfähig“. Der Unterschied zum klassischen Ansatz besteht darin, dass das SnT-System, einmal mit regelbasiertem Wissen gefüttert, sich selber auf den neuesten Stand bringt, indem es aus neuen Betrugsversuchen lernt und interne Erfahrungsmuster, die es bei der Beobachtung und Auswertung von Transaktionen gesammelt hat, auf den neuesten Stand bringt. Dabei ist komplizierte Mathematik im Spiel, potente Computer sind es auch. „Wir weisen jeder Transaktion bis zu hunderttausend Parameter zu, die unser Maschinensystem mit Mustern vergleicht, die es kennt, und daraus eine Vorhersage trifft.“ Entscheidend dafür, dass das System eine voraussichtlich kriminelle Tat meldet, sei zum Beispiel das Verhalten des unbekannten Kunden unmittelbar ehe er den Bezahlvorgang auslöst. Warum und inwiefern will Correa Bahnsen aber nicht preisgeben: „Das ist zu sensibel.“

Überragendes Ziel der Entwicklung aus dem SnT ist aber nicht allein, möglichst treffsicher jeden Betrugsversuch zu entdecken. Die SnT-Algorithmen sollen nicht zuletzt die Kosten senken helfen, die den Kartenunternehmen aus tatsächlichen und vermeintlichen Betrügereien entstehen. Der mathematische Ansatz der Luxemburger Forscher soll deshalb den optimalen Ausgleich erlauben zwischen Fällen, bei denen noch auf den kleinsten Verdacht reagiert werden muss und auch eine falsch positive Meldung akzeptabel ist, und solchen, bei denen die Alarmglocke zu läuten höchstwahrscheinlich mehr kostet als es Nutzen bringt. Diese kostenoptimale Betrugs-Detek­tion lässt sich maßgeschneidert für den Nutzer einstellen, und zu diesem Aspekt der Betrugsvermeidung eignet das SnT-System sich sein Wissen ebenfalls „on the job“ an. Wie die Dinge liegen, ist es dabei in Laborversuchen schon ziemlich erfolgreich: „Die klassischen regelbasierten Systeme“, berichtet Alejandro Correa Bahnsen, „helfen die monetären Verluste eines Kreditkartenunternehmens aus Kartenbetrug im Schnitt um 40 Prozent zu senken. Mit unserem Ansatz haben wir 80 Prozent geschafft, Kosten für die Untersuchung falsch positiver Meldungen inklusive“.

Peter Feist
© 2017 d’Lëtzebuerger Land