Identitätsdiebstahl: Wie Machine Learning vor Online-Betrug schützt.

Denn je weiter die Digitalisierung des Handels voranschreitet, desto angreifbarer werden Unternehmen und jede*r Einzelne von uns: Die Sicherheitsforscher*innen des Hasso-Plattner-Instituts in Potsdam erfassten 2021 so viele Datenlecks auf deutschen Websites wie nie zuvor. Auch der Diebstahl digitaler Identitäten ist erneut gestiegen. Der Handel mit persönlichen Daten sei nicht nur ein Milliardengeschäft für Silicon-Valley-Riesen wie Google und Facebook, sondern auch für Cyberkriminelle, so das Institut. Allein im E-Commerce schätzen Expert*innen die Verluste durch Online-Betrug 2021 auf weltweit 20 Milliarden US-Dollar. Das entspricht einem Plus von rund 18 Prozent gegenüber dem Vorjahr. Der Identitätsnachweis sei zur größten Herausforderung für Unternehmen aus Bereichen wie dem ECommerce und der Finanzbranche geworden. Betrüger*innen sind immer raffinierter und auf allen Kanälen unterwegs.

Um herauszufinden, wie sich Unternehmen gegen Online-Betrug schützen können, sind wir zu einem Video-Interview mit Frank Heisel verabredet. Frank ist Geschäftsführer von RISK IDENT. Das Unternehmen mit Sitz in der Hamburger Hafencity ist wie EOS Teil der Otto Group und Marktführer für Anti-Fraud-Software im deutschsprachigen Raum. Der Kundenstamm ist vielfältig: Handelskonzerne wie Otto und Breuninger zählen dazu, genauso wie die Deutsche Telekom und Vodafone, der Autovermieter Sixt und die Deutsche Bahn. Im Finanzbereich sichern sich Banken und Payment-Anbieter*innen mit der RISK IDENT-Software ab. Auch EOS Kund*innen profitieren davon. Weltweit sichere RISK IDENT so einen jährlichen Umsatz von insgesamt 80 Milliarden Euro für seine Klient*innen ab, sagt Frank.

Franks Vision: Eine Welt ohne Online-Betrug. Dass das eine Utopie ist, weiß er. „Aber das treibt uns an.“ Die rund 75 Mitarbeitenden von RISK IDENT seien so ein engagiertes Team, weil ihnen bewusst sei, dass sie Gutes tun: „Am Ende schützen wir nicht nur Unternehmen vor Zahlungsausfällen, denn Identitätsdiebstahl kann jeden treffen und damit die Gesellschaft als Ganzes“, sagt Frank. „Diese Art Betrug finanziert auch Terror und die organisierte Kriminalität.“ Aber wie können sich Unternehmen effektiv schützen? 

Die beste Chance, Betrug zu verhindern, ist es, Versuche frühzeitig zu erkennen. Frank erklärt das Prinzip: „Betrüger*innen geben in der Regel mehr als eine Bestellung auf. Sie verwenden verschiedene Identitäten oder E-Mail-Adressen, haben aber nicht unendlich viele Geräte. Mit einem „device fingerprinting“ sehen wir: Da kommt eine Bestellung von Anna, eine von Jan, eine von Paula – aber alle nutzen dasselbe Gerät. Das erkennen wir und können so Betrugsversuche besser identifizieren und prognostizieren.“ 

„FRIDA“ stellt mithilfe von Machine-Learning-Algorithmen Verbindungen zwischen diesen Transaktionsdaten her und legt Muster offen. „Sie“ fragt sich beispielsweise: Habe ich diesen Vornamen in dieser Region in einem Umkreis von XY Metern in Kombination mit diesem Warenkorb schon einmal gesehen?

Denn die meisten Betrüger*innen beweisen erstaunliche Ausdauer darin, Systeme auszutricksen. „Auch wenn sie mehrmals gegen die Wand laufen, irgendwann gelingt es ihnen. Entscheidend ist, dass es nicht 20 Mal mit dem gleichen Vorgehen gelingt.“ Es geht hier also um Schadensbegrenzung. Ein Komplettschutz ist unmöglich. Das ist die bittere Realität. 

FRIDA stellt sich auf die individuellen Herausforderungen in der Betrugserkennung ein und verhindert False Positives, um neben dem Umsatz auch die guten Kund*innen zu schützen. Frank erklärt: „Es dauert nur Millisekunden bis so eine Transaktion verarbeitet ist und Händler*innen ihre Entscheidung treffen können, ob sie die Bestellung annehmen oder ablehnen.“ 

Grundsätzlich müssten sich Unternehmen bei der Betrugsabwehr fragen, wie unbequem sie aus Sicht der Betrüger*innen sein wollen, so Frank. Je höher die Schutzwälle, um Betrug zu minimieren, desto mehr Schritte seien nötig. Das beißt sich natürlich mit dem Ziel der Shops, den Kund*innen ein möglichst schnelles Einkaufserlebnis zu bieten, idealerweise mit diversen Zahlungsoptionen.

Welche Auswirkungen verstärkte Sicherheitsvorkehrungen haben können, merken wir seit einiger Zeit, wenn wir online einkaufen oder Geld überweisen: Denn dann müssen wir oft noch eine Pin oder Tan eingeben. Mit der Zwei-Faktor-Authentifizierung folgen die EU-Staaten strengeren Regeln aus Brüssel, konkret der Zahlungsdienste-Richtlinie PSD2. „Diese zusätzliche Pin ist nicht dramatisch, aber sie kann nerven“, sagt auch Frank. Zudem ist auch dieser Extraschritt nicht zu hundert Prozent sicher. Theoretisch lassen sich auch SMS-Tans abfangen oder nach Diebstahl oder Verlust des Handys missbrauchen. Als Anti-Fraud-Software-Anbieter wolle RISK IDENT nicht zum Bremsklotz in Bestellvorgängen oder Finanztransaktionen werden, also möglichst „unterm Radar fliegen,“ sagt Frank. „Unsere Algorithmen prognostizieren innerhalb von Millisekunden die Betrugswahrscheinlichkeit einer Bestellung.“ Die Banken oder Händler*innen nutzen diese Prognosen, um ihre Risiko-Entscheidung zu treffen. 

Algorithmen und Machine Learning hin oder her, der Mensch spielt in diesem Prozess weiterhin eine Schlüsselrolle. Vor allem in Grenzfällen: „Weil der Mensch in einigen Fällen die Situation besser einschätzen kann, erlauben wir unseren Kund*innen, zwischen Bestell- und Auslieferungsvorgang manuell einzugreifen und selbst einen Plausibilitätscheck durchzuführen“, so Frank. Technologie, Daten und das Know-how der Menschen müssten ineinandergreifen, nur so funktioniere es. „Dass die Künstliche Intelligenz zur alleinigen Lösung wird, wird noch viele, viele Jahre Utopie bleiben.“ 

Während die Bereiche E-Commerce und Telekommunikation zusammen zwar mehr als die Hälfte des derzeitigen Umsatzes von RISK IDENT ausmachen, sieht Frank künftig vor allem im Finanzsektor einen großen Investitionsbedarf bei der Cybersicherheit. Denn die meisten Finanzinstitute digitalisieren ihre Prozesse immer stärker, sodass Verbraucher*innen innerhalb von Sekunden Geld überweisen beziehungsweise empfangen können. „Instant Payment ist die Vision, an der alle Kreditinstitute arbeiten.“ In der Kreditvergabe geht es dabei mitunter um ganz andere Summen als im Onlinehandel: „In Deutschland wird auch mal einen Ratenkredit von 80.000 Euro ganz ohne Sicherheiten ausgegeben“, so Frank. Da kann auf einen Schlag deutlich mehr Geld in falsche Hände geraten.

Für mehr Sicherheit sollen in der EU auch staatliche Programme sorgen, die etwa digitale Ausweisvarianten auf das Smartphone bringen: In Estland kann man bereits mit dem Personalausweis online einkaufen. Ob diese Schritte wirklich mehr Sicherheit bringen? Frank bleibt da skeptisch: Klar, zentrale Datenspeicher machten uns allen das Leben einfacher. „Aber nur bis zu dem Punkt, bis sie in falsche Hände geraten“, sagt er. „Wer sich die ganzen Data Breaches weltweit anschaut, muss davon ausgehen, dass es jederzeit und überall passieren kann“, sagt er. Manchmal würden diejenigen, die ein System mit aufbauten, später auch zu Mit-Täter*innen. 

In Indien etwa sei in den vergangenen Jahren eine zentrale Datenbank gehackt worden. „Das ist der Worst Case.“ Denn bei zentralen Datenbanken ist der Schaden höchstwahrscheinlich noch größer, da die Menge an persönlichen Daten umfassender und vor allem verifiziert ist. 
 

Dass sich Kriminelle im Netz selbst von ausgefeilteren Abwehrmethoden nicht abschrecken lassen, legt auch der jüngste Lagebericht des Bundeskriminalamts (BKA) zu Cybercrime nahe: „Nur noch wenige Cyberkriminelle können heutzutage ihre Taten alleine und ohne wesentliche Unterstützungshandlungen Dritter begehen“, steht da. Stattdessen griffen sie verstärkt auf professionelle Dienstleister aus dem Darkweb zurück. Das Phänomen Cybercrime-as-a-Service basiere „auf der professionellen, lose strukturierten, arbeitsteiligen sowie am finanziellen Gewinn orientierten kriminellen Gemeinschaft der Underground Economy“, so das BKA. „Es ist ein ständiges Katz- und Maus-Spiel“, sagt auch Frank. 

Die Coronapandemie führte dazu, dass wir mehr als je zuvor online und über mobile Kanäle kommunizieren, Geld überweisen und einkaufen. Der jährliche Schaden durch Cyberangriffe wird weltweit auf Billionen von US-Dollar geschätzt. Für Firmen hat sich Online-Fraud zu einem ernst zu nehmenden Kostenfaktor entwickelt. Anders gesagt: Wer Betrugskosten senkt, sichert sich Wettbewerbsvorteile. In einer idealen Welt, so Frank, müsste es eine Firma wie RISK IDENT natürlich gar nicht geben. „Denn eigentlich sind wir ja ein unnützer Wirtschaftszweig“, sagt er. „Aber das Thema Datensicherheit ist und wird nie zu Ende sein.“