Betrugserkennungssoftware plus Authentifizierung
Software gegen falsche Freunde
Starke Authentifizierung versagt dann, wenn ein bereits zugelassener Anwender betrügerisch agiert. Um diese Lücke zu schließen, bieten immer mehr Identity-Managementanbieter auch Betrugserkennungssoftware an.
Noch setzen sich jenseits des Banken- und Versicherungsmarktes starke Authentifizierung oder gar umfassendes Identitätsmanagement nur langsam durch, da engagieren sich die Anbieter dieser Lösungen bereits für eine Technik, die die Anwender-identifizierung ergänzen soll: Betrugserkennung. Sichtbar wurde dies durch die Akquisitionen zweier Spezialanbieter: Ende 2005 erwarb RSA den Fraud-Detection-Spezialisten Cyota, und im Juli 2006 zog Entrust mit dem Kauf von Business Signatures nach. Aber auch andere Unternehmen aus dem Bereich der sicheren Authentifizierung – wie etwa Verisign – zeigen verstärkt ihre Betrugserkennungssysteme vor. Darüber hinaus teilen sich Spezialisten wie The 41st Parameter, Actimize und Cydelity den Markt, aber auch Hersteller integrierter Banking- und Business-Lösungen sowie Anbieter von Billing-Systemen für Telcos und Online-Retailer mit entsprechenden Zusatzfunktionen.
Hinter dem Fraud-Detection-Trend steckt primär ein Compliance-Problem aus den USA. Dort fordert das Federal Financial Institutions Examination Council (FFIEC) von Finanzdienstleistern bis zum Ende des Jahres effektive Maßnahmen gegen Identitätsdiebstahl. Da konsumentenorientierte US-Bankinstitute in den vergangenen Jahren weniger für die sichere Authentifizierung ihrer Kunden getan haben als europäische Banken, suchen sie nun nach Alternativen zu komplexen Identitätsmanagementsystemen oder nach sinnvollen Ergänzungen für kennwortgestützte Personenerkennung. Das Datum, das die FFIEC gesetzt hat, verursacht dabei Hektik. Entrust etwa wirbt folgerichtig fast ausschließlich mit der nach eigenen Angaben einfachen Integration seiner Lösung.
Nicht nur im Bankensektor nützlich
Funktional basiert Fraud Detection auf Anomalieerkennung. Wenn ein Bankkunde, der jahrelang innerhalb seines Kreditlimits operiert und sich seinem Profil nach wie ein normaler Konsument verhält, plötzlich Summen knapp unter dem Limit für eine gesetzlich vorgeschriebene Überprüfung auf Konten in Staaten überweist, die für Geldwäschedienste bekannt sind, schlägt solch ein System Alarm: Hier ist entweder ein guter Kunde zum Kriminellen mutiert oder – weit wahrscheinlicher – ein Betrüger mit gestohlener Identität am Werke. Wenn ein Anwender nach einem Login seine E-Mail- und Postadresse ändert, dann verdächtige Scheckoperationen durchführt und schließlich die alte Adresse wieder einsetzt, ist dies ähnlich verdächtig. Tritt solch ein Muster sogar bei mehreren Konten kurz hintereinander auf, könnte eine groß angelegte Betrugsaktion im Gange sein. Indizien für Fehlverhalten können die Systeme auch bei Transaktionen erkennen, die bei Telekom-Anbietern, Online-Shops jeder Art und für Unternehmen mit hohen internen Finanzbewegungen stattfinden.
Um auf Betrügereien aufmerksam werden zu können, lernt Fraud Detection erst den Rahmen normaler Operationen kennen, wird dann "scharf geschaltet" und reagiert bei Abweichungen. Eine zusätzliche Möglichkeit ist die Fütterung mit Betrugsmustern. Hier kann RSA auf ein internationales Bankennetz, das E-Fraud-Network, verweisen, das sich gegenseitig Betrugsfälle und verdächtige Internetadressen meldet und gegebenenfalls auf Ermittlungen in einschlägigen Kreisen zurückgreift.
Künstliche Intelligenz
Im einfachsten Fall sperrt eine Betrugserkennungslösung verdächtige Transaktionen. Hat sich das System geirrt, kann dies allerdings mehr Schaden verursachen als Nutzen – durch Verprellen eines Kunden oder durch Behinderung interner Abläufe. Betrugserkennung wird deshalb gern mit Authentifizierungserkennung kombiniert oder weist selbst Funktionen auf, die es erlauben, für einzelne Transaktionen neben dem Kennwort etwa die Authentifizierung via Mobiltelefon oder Token einzufordern.
In den USA also hat Betrugserkennung zurzeit große Chancen. Die Anbieter drängen aber auch auf den europäischen Markt – und stoßen damit in einen Bereich vor, in dem fortgeschrittene Authentifizierungstechnik bereits viele Betrugsversuche abwehrt und der Druck der US-Normen nur begrenzte Wirkung hat. Systeme, die sich beim vorsorglichen Datensammeln zurückhalten und primär auf Betrugsmuster reagieren, sind hier aus Datenschutzgründen im Vorteil. Betrugserkennung wird schon betrieben, allerdings meist integriert in Business-Anwendungen oder Billing-Systemen, die mit Data Mining zum Beispiel Fälle von Versicherungsbetrug aufdecken können. Neue Systeme werden nur hier und da von Banken, Telcos und Online-Shops evaluiert.
Wolfram Funk von der Experton Group rechnet deshalb mit einem Markt, der in den nächsten Jahren langsam wächst, weil Fraud Detection das Identity-Management sinnvoll ergänzt. Die Situation könnte sich seiner Meinung allerdings ändern, wenn auch die EU den normativen Druck auf die Finanzwelt erhöht – und dies sei durchaus wahrscheinlich.
Lesen Sie mehr zum Thema
