Sprechen wir über Lösungen zur Betrugsprävention: PSD2-Compliance und vieles mehr

Betrug ist ein permanentes Risiko. Nicht jedes Betrugsüberwachungs-Tool kann mit den sich stets weiterentwickelnden neuen Betrugsmaschen mithalten. Es ist daher wichtig, die richtige Lösung für die Betrugsprävention einzusetzen, und um dies erfolgreich umzusetzen, müssen viele Faktoren berücksichtigt werden.

Die Einhaltung der Vorschriften wird immer eine wichtige Rolle spielen, wenn es darum geht, zu bestimmen, welche Eigenschaften Ihr Betrugsüberwachungs-Tool haben muss. Die revidierten Zahlungsdiensterichtlinien (PSD2) und die damit verbundenen technischen Standards haben die digitale Unternehmenslandschaft im europäischen Raum massiv verändert.

Eine der neuen PSD2-Vorschriften behandelt das Thema der Transaktionsüberwachung. Gemäß den regulatorischen technischen Standards (RTS) zur starken Kundenauthentifizierung (SCA) und sicheren Kommunikation müssen alle Zahlungsdienstanbieter eine sogenannte Transaktionsüberwachung durchführen. Um dies etwas einfacher und benutzerfreundlicher zu gestalten, können laut RTS Ausnahmen gelten, in denen bestimmte Transaktionen von den SCA-Vorschriften ausgenommen werden dürfen – vorausgesetzt, dass eine ordnungsgemäße Transaktionsüberwachung vorhanden ist und verschiedene Bedingungen erfüllt wurden.

Mehr zu diesen Anforderungen zur Transaktionsüberwachung sowie dazu, wie Organisationen von den in den technischen Standards aufgeführten Ausnahmen Gebrauch machen können, haben wir mit Ralitsa Miteva, Business Solutions Manager bei OneSpan, besprochen. Als Expertin für Risikoanalysen und Betrugserkennung erklärt Ralitsa unter anderem, welche Lösungen zur Betrugsüberwachung einen echten Unterschied machen können, wenn es um Betrugsprävention und Kundenvertrauen geht.

PSD2-Anforderungen und Überlegungen zum Thema Betrugsüberwachung

Frage: Fangen wir zunächst mit den Grundlagen an. Was verstehen wir unter dem Begriff „Betrugsüberwachungs-Tool“?

Ralitsa Miteva: Ein Betrugsüberwachungs-Tool ist ein System, das von Betrugsanalysten eingesetzt wird, um Betrugsfälle zu erkennen und diesen vorzubeugen. In der Vergangenheit waren diese Tools mit weniger Funktionen ausgestattet, sie erforderten mehr manuelle Interventionen und arbeiteten weniger proaktiv. IT- bzw. Tech-Stacks für das Bankwesen waren im Silo isoliert, und dies galt auch für die Betrugsüberwachung.

Heutzutage sind Systeme zur Betrugsprävention tendenziell komplexer. Dabei sind sie aber auch agil und einfach zu bedienen. Sie automatisieren Prozesse und arbeiten proaktiv. Eine moderne Lösung zur Betrugserkennung ist selten als Einzel-Tool ausgeführt, sondern integriert verschiedene Technologien, die zusammenarbeiten.
 

Frage: Finanzinstituten (FI) steht eine breite Palette von Instrumenten zur Verfügung. Dies trägt zwar zum Innovationsgeist unter den Entwicklern bei, aber eine zu große Auswahl kann auch die Kaufentscheidung erschweren. Worauf sollten Finanzinstitute achten?

RM: OneSpan hat ein Expertenteam im Einsatz, das über umfassende Fachkenntnisse im Bereich der Betrugserkennung für die Banken- und Zahlungsbranche verfügt. Wir haben eine Reihe von Kernfunktionen identifiziert, über die eine Betrugsüberwachungslösung verfügen sollte, um die neuesten Marktanforderungen zu erfüllen. Eine solche Lösung muss berücksichtigen, wie sich die neue Generation von Endbenutzern typischerweise verhält, welche neuen, komplexen Arten von Angriffen es gibt und wie sich die Gesetzgebung weiterentwickelt.

Wenn es um spezifische Funktionen geht, ist es wichtig zu erwähnen, dass ein solches System die Einhaltung der PSD2 ermöglichen und die damit verbundenen technischen Standards erfüllen muss. Alle erforderlichen Regelsätze und Protokolle sollten sofort verfügbar sein. Die Lösung sollte jedoch nicht nur die PSD2-Anforderungen abdecken, sondern über den gesetzlichen Rahmen hinausgehen. Wenn Sie heute in eine neue Lösung investieren, sollte diese auf absehbare Zeit alle Ihre aktuellen Anforderungen erfüllen und zu den Besonderheiten Ihres Unternehmens passen.
 

Frage: Es scheint, als ob alle Betrugsüberwachungslösungen heutzutage eine Rule-Engine inkludieren, aber nur einige dieser Systeme verschiedene Variationen von Algorithmen für das maschinelle Lernen umfassen. Warum ist es so wichtig, beides zu kombinieren?

RM: Der Vorteil einer Rule-Engine ist bislang unbestritten, wenn es darum geht, bestimmte Sicherheitsrichtlinien, Geschäftsabläufe oder eine Reihe von Bedingungen zu berücksichtigen. Sie kann relativ einfache, bekannte Betrugsmuster erkennen.

Maschinelles Lernen hingegen ist die Zukunft der Betrugsanalyse. Damit kann viel besser skaliert werden und extrem komplexe Muster sowie aufkommende Betrugsmaschen können leichter identifiziert werden.

Für mich ist die Kombination von fortschrittlichen Rule-Engines mit Algorithmen für das maschinelle Lernen – zugeschnitten auf Ihre Bedürfnisse – eine wichtige Maßnahme, die bekannte Betrugsmuster abdecken, bislang unbekannte Betrugsmaschen identifizieren, komplexe Systeme verwalten und die Geschäftslogik managen kann.

Frage: Welche anderen Funktionen spielen eine Rolle?

RM: Die ideale Lösung sollte sich einen mehrschichtigen, kontextsensitiven Online-Sicherheitsansatz zunutze machen, um – gemäß den aktuellen RTS-Anforderungen – komplexe Betrugsangriffe zu erkennen, z. B. solche, die auf eine Infektion mit Schadsoftware zurückzuführen sind.

Dies umfasst mehr als nur die Analyse durch eine fortschrittliche Entscheidungsautomatisierung. Es beginnt damit, zunächst kundenseitige Daten zu erfassen. Wir sammeln Informationen bzw. historische Daten über einen einzelnen Benutzer und seine Aktivitäten während der gesamten Customer Journey über alle Kanäle und Geräte hinweg. Dadurch verschaffen wir uns einen vollständigen Überblick über Benutzer-, Geräte- und Kontoaktivitäten.

Dieser erfasste Datenbereich sollte serverseitig verknüpft und überwacht werden. Ich denke nicht, dass wir über einen modernen Ansatz zur Betrugsprävention sprechen können, ohne all diese Ebenen abzudecken.

Die Lösung sollte zudem Ereignisse in Echtzeit analysieren und angemessen auf diese reagieren können, und zwar nicht nur aus Compliance-Gründen. Zum Thema Compliance werde ich mich übrigens ebenfalls gleich äußern. Mit Tausenden von Transaktionen und steigenden Kundenerwartungen, was schnelle Zahlungen betrifft, ist dies einfach ein Muss. Eine gute Lösung sollte auch in der Lage sein, das Risiko aller Benutzer, Aktionen und Geräte über alle digitalen Kanäle hinweg zu analysieren.

Schließlich ist die Rationalisierung aller Abläufe innerhalb Ihres Betrugspräventions-Teams unerlässlich, um Verzögerungen und Fehler bei Untersuchungen zu minimieren. Dies umfasst Instrumente, die für Nachforschungen eingesetzt werden, und Screening-Tools, die einen umfassenden Überblick aus verschiedenen Perspektiven ermöglichen. Die Fähigkeit, zuverlässige Berichte zu erstellen, ist ebenfalls ein Muss. Die PSD2-Richtlinien sehen umfangreiche Anforderungen vor, was das Melden von Betrugsfällen betrifft. Das bedeutet, dass das Tool sehr flexibel sein sollte, um all jene Daten im Detail bereitzustellen, die die Aufsichtsbehörden benötigen.
 

Frage: Unterhalten wir uns ein wenig über Compliance. PSD2 ist seit geraumer Zeit ein heißes Thema, und Finanzinstitute möchten wissen, warum ein Tool zur Betrugsüberwachung ein wesentlicher Bestandteil einer PSD2-kompatiblen Architektur sein soll. Beginnen wir mit einigen Definitionen. Was beinhaltet die Transaktionsüberwachung im RTS-Kontext?

RM: Gemäß RTS, Artikel 2 bezieht sich der Begriff „Transaktionsüberwachung“ auf verbindliche Mechanismen, mit denen Zahlungsdienstanbieter (PSPs) nicht autorisierte oder betrügerische Zahlungsvorgänge erkennen und verhindern können. Diese Mechanismen sollen gleichzeitig mit einer starken Kundenauthentifizierung gemäß Artikel 97 der PSD2 eingesetzt werden.

Die Mechanismen basieren auf der Analyse von Zahlungsvorgängen. Gemäß den allgemeinen Authentifizierungsanforderungen sollte die Analyse mehrere risikobasierte Elemente berücksichtigen, die zumindest folgende Punkte abdecken:

• Überprüfung/Vergleich mit kompromittierten oder gestohlenen Authentifizierungselementen
• Überprüfung mit bereits bekannten Betrugsszenarien
• Identifizieren von Schadsoftware auf dem für die Authentifizierung verwendeten Gerät
• Abweichung von typischen Transaktionsbeträgen
• Analyse des Geräts/der Software, sofern vom PSP bereitgestellt

Für eine große Anzahl von Banken in Europa ist die Transaktionsüberwachung kein neuer Prozess. Das Festlegen bestimmter, verbindlicher Standards machte den betroffenen Finanzinstituten jedoch zu schaffen. Viele waren sich nicht mehr sicher, ob die von ihnen gesetzten Maßnahmen den Konformitätsanforderungen überhaupt gerecht werden konnten. Meiner Ansicht nach sollten wir diese Situation aber nicht als negativ beurteilen, sondern vielmehr als Chance wahrnehmen, die es uns ermöglicht, Kunden und PSP gleichermaßen zu schützen.
 

Frage: Was ist im RTS-Kontext der Unterschied zwischen „Transaktionsüberwachung“ und „Transaktionsrisikoanalyse“?

RM: Es ist wichtig, hier den „RTS-Kontext“ zu betonen, da die beiden Begriffe außerhalb des RTS-Kontexts oft synonym verwendet werden.

Im Zusammenhang mit PSD2 deckt der Begriff „Transaktionsüberwachung“ den zuvor erörterten Analyseumfang ab. Die Transaktionsüberwachung ist gesetzlich vorgeschrieben und soll den Prozess der starken Kundenauthentifizierung unterstützen.

Die Transaktionsrisikoanalyse hingegen erfordert eine detailliertere Risikobewertung in Echtzeit. Diese Analyse hat einen breiteren Anwendungsbereich als die obligatorische Transaktionsüberwachung, da sie eine Reihe von risikospezifischen Anforderungen enthält, z. B. Informationen zum Standort jener Person, die die Zahlung in Auftrag gibt, und zum Standort des Zahlungsempfängers. Im Minimalfall soll sie als Risikoanalyse fungieren, wenn eine Bank Ausnahmen in Anspruch nehmen möchte, was nur bei Zahlungsdienstleistern in Frage kommt, bei denen das Betrugsaufkommen gering ist.
 

Frage: Was ist eine starke Kundenauthentifizierung und ist sie immer vorgeschrieben?

RM: Kurz gesagt ist eine starke Kundenauthentifizierung (SCA) ein Authentifizierungsvorgang, für den zumindest zwei der folgenden drei Kategorien von Faktoren herangezogen werden: Wissen, Besitz und Inhärenz („etwas, das der Benutzer weiß“, „etwas, über das der Benutzer verfügt“ und „etwas, das den Benutzer repräsentiert“). Diese Faktoren müssen voneinander unabhängig sein. Ein Benutzer muss über die Transaktionsdetails informiert werden, und der Authentifizierungsprozess muss zu einem eindeutigen Code führen, der mit diesen Transaktionsdetails verknüpft ist.

Gemäß Artikel 97 der PSD2 müssen PSP die starke Kundenauthentifizierung (SCA) jedes Mal dann anwenden, wenn Kunden auf ihre Online-Zahlungskonten zugreifen, unabhängig davon, ob sie eine Geldtransaktion durchführen oder etwas anderes erledigen möchten (z. B. einen vertrauenswürdigen Begünstigten hinzufügen). Dies ist auch für alle Aktivitäten vorgeschrieben, die über einen Remote-Kanal ausgeführt werden und ein Betrugsrisiko bergen können, z. B. den Zugriff auf ein Bankkonto über ein mobiles Gerät. In einigen Fällen können PSP von der Anwendung von SCA ausgenommen sein.
 

Frage: Welche potenziellen SCA-Ausnahmen gibt es?

RM: Die regulatorischen technischen Standards sehen eine Reihe von Fällen vor, für die unter bestimmten Bedingungen keine SCA erforderlich ist. Im Allgemeinen gibt es zwei Arten von Ausnahmen: fixe Ausnahmen und solche, die auf einer Transaktionsrisikoanalyse basieren.

Zu den fixen Ausnahmen zählen unter anderem bestimmte Transaktionen, die geringe Beträge umfassen, das Aufrufen von Kontoinformationen, eine Transaktion auf ein eigenes Konto oder Überweisungen an vertrauenswürdige Begünstigte sowie wiederkehrende Zahlungen (wie Abonnements).

Es gibt auch eine Reihe risikospezifischer Bedingungen, die Ausnahmen aufgrund eines geringen Risikograds und einer niedrigen Betrugsquote ermöglichen.

Die Ausnahmen werden ausführlich in unserem vor Kurzem erschienenen Whitepaper erörtert: PSD2-konforme Betrugsüberwachung mit OneSpan Risk Analytics.

Frage: Warum ist es wichtig, ein geeignetes Betrugserkennungs-Tool im Einsatz zu haben, wenn bereits die SCA in die Customer Journey integriert ist?

RM: Eine geeignete Lösung zur Betrugsüberwachung bietet ein vorgefertigtes Paket mit bestimmten Regelwerken und Berichterstattungsfunktionen. Eine solche Lösung deckt die obligatorischen Anforderungen an die Transaktionsüberwachung ab und unterstützt Sie dabei, zu beurteilen, ob Sie jene Bedingungen erfüllen, die Sie zur Inanspruchnahme einer SCA-Ausnahme – jetzt und in der Zukunft – berechtigen. Sie geht jedoch weit über die Compliance hinaus und stärkt Kundenvertrauen und Flexibilität über die gesamte Customer Journey hinweg.
 

Frage: Compliance ist in der Tat ein wesentlicher Entscheidungsfaktor bei der Wahl des richtigen Betrugsüberwachungs-Tools, aber das ist noch lange nicht alles. Sie haben bereits einige Funktionen erwähnt, die sicherstellen, dass eine Organisation nicht nur die Vorschriften einhält, sondern auch einen angemessenen Schutz gegen die gängigsten Betrugsmaschen bietet. Was sind weitere Funktionen, die Sie von einem Betrugsüberwachungs-Tool erwarten würden?

RM: Ich denke, dass viele Betrugsüberwachungslösungen die Bedeutung und Besonderheiten des mobilen Kanals unterschätzen. Viele Anbieter überwachen diesen Kanal zwar, nutzen jedoch in einigen Fällen möglicherweise nicht die gesamte Bandbreite der verfügbaren Daten. Einige Anbieter verfügen möglicherweise über keinen sicheren Kanal, mit dem die Integrität von Daten gewährleistet werden kann, die von der Clientseite übertragen werden.

Angesichts der zunehmenden Bedeutung des Mobile Bankings müssen wir in der Lage sein, die Herausforderungen dieses Kanals besser zu bewältigen. Angriffe, die auf mobile Kanäle abzielen, werden immer komplexer und können ohne den Einsatz einer fortschrittlichen Lösung nicht immer identifiziert werden. Was würde zum Beispiel passieren, wenn Sie von Mobilgeräten gesammelte Daten analysieren möchten, die jedoch bereits kompromittiert wurden, bevor sie Ihren Server erreichen?

Eine solide Lösung zur Betrugsüberwachung sollte sich auch in den Prozess der adaptiven Authentifizierung integrieren lassen. Sie sollte dazu in der Lage sein, sofort auf sich ändernde Bedrohungen zu reagieren, um eine reibungslose und sichere Benutzererfahrung zu gewährleisten. Denken Sie daran, dass eine gute Benutzererfahrung eines der wesentlichen Auswahlkriterien ist, wenn sich Kunden für ein Finanzinstitut entscheiden. Eine reibungslose und dennoch sichere Customer Journey über alle digitalen Kanäle hinweg ist ein Muss. Auf Reibungspunkte sollte der Benutzer nur dann stoßen, wenn seine Handlungen über das akzeptable Sicherheitsniveau hinausgehen und daher als risikobehaftet bewertet werden. Eine moderne Lösung, die mit adaptiver Authentifizierung verknüpft ist, berechnet das Risiko und löst auf dieser Grundlage die am besten geeignete Authentifizierungsmethode aus.
 

Frage: Das Produktangebot von OneSpan umfasst Risikoanalysen, eine Lösung zur Betrugsüberwachung. Hat diese Lösung das Zeug, als Betrugsanalyst zu fungieren und gleichzeitig die Aufgaben eines Compliance-Managers zu erfüllen?

RM: Ich bin fest davon überzeugt, dass die Lösung diese Erwartungen bestens erfüllt. Sie enthält alle Funktionen, über die wir bereits gesprochen haben, darunter das vorkonfigurierte PSD2-Paket und vieles mehr. All dies macht OneSpan Risk Analytics zum unverzichtbaren Instrument bei der Rationalisierung des täglichen Betriebs. Das Produkt lässt sich in vorhandene Systeme sowie in eine Vielzahl von Anwendungen von Drittanbietern integrieren. Es trägt dazu bei, das Kundenvertrauen während der gesamten Customer Journey zu stärken und fungiert damit als eine der Grundlagen, auf denen eine großartige Benutzererfahrung beruht.
 

Frage: Vielen Dank, Ralitsa. Wo können die Leser mehr zu den Themen erfahren, die in unserem Gespräch behandelt wurden?

RM: Jeder, der an den Funktionen eines Tools zur Betrugsüberwachung interessiert ist, sollte folgendes Whitepaper lesen: Käuferleitfaden zur Bewertung von Tools zur Betrugserkennung.

Wir haben außerdem ein neues Whitepaper herausgebracht, das sich mit den Anforderungen an die Transaktionsüberwachung gemäß den technischen Standards von PSD2 beschäftigt, einschließlich der zuvor genannten Ausnahmen: PSD2-konforme Betrugsüberwachung mit OneSpan Risk Analytics.

Ich würde unsere Leser auch gerne dazu einladen, sich unser Webinar anzusehen.