Eine schicke Hose, ein gutes Essen im neuen Restaurant, der Kurztrip über das Wochenende oder schlicht und einfach der Wocheneinkauf im Supermarkt. Kleinere und große Beträge mit der Kreditkarte zu bezahlen ist selbstverständlich. Im Jahr 2015 wurden laut Statista in Deutschland mehr als 950 Millionen Transaktionen mit ihnen durchgeführt, über 2,6 Millionen pro Tag. Unter ihnen sind allerdings auch illegale Transaktionen: Weil Kreditkarten gestohlen wurden oder Zugangsdaten ausgespäht und missbraucht werden, entstehen für Kunden und Banken Jahr für Jahr hohe Verluste. Nach Angaben des Portals Cardscore beläuft sich der Schaden weltweit auf jährlich rund 20 Milliarden Euro.

Bemerkt ein Kunde den Diebstahl seiner Karte, wird er den Verlust melden. In der Regel haftet dann zwar die Bank für alle danach entstehenden Schäden, doch bis dahin kann der Missbrauch der Karte bereits massive Einbußen zur Folge haben. Ähnlich verhält es sich, wenn »nur« die Kreditkarten-Daten eines Kunden entwendet werden. In diesem Fall ist der Verlust oftmals besonders hoch, weil die (teilweise) Plünderung des Kontos erst beim nächsten Blick auf den Kontostand entdeckt wird. Und wer kontrolliert schon jeden Tag seinen Kontostand? Zwar haftet auch in dieser Situation oftmals die Bank, weil sie meist das Risiko für Kreditkartentransaktionen trägt. Trotzdem aber bleiben beide Parteien massiv geschädigt zurück: Die Kunden und die Bank.

Automatische Betrugserkennung

Gemeinsam mit dem Softwareunternehmen Paymint AG, das auf das Aufspüren von Kreditkartenmissbrauch spezialisiert ist, hat Stefan Rüping vom Fraunhofer-Institut für Intelligente Analyse- und Informationssysteme IAIS das Betrugserkennungssystem »MINTify rule« entwickelt. Das Besondere daran: Weil MINTify rule mit data-mining Verfahren arbeitet, können bekannte Betrugsfälle analysiert werden, um daraus selbstständig Muster abzuleiten. So kann das System besonders effektiv agieren. Auffälligkeiten, etwa wenn die Karte unerwartet häufig belastet oder plötzlich im Ausland eingesetzt wird, erkennt das System. Es »lernt« durch den Vergleich mit bisherigen Fällen, dass bei bestimmten dieser Unregelmäßigkeiten die Wahrscheinlichkeit eines Betrugs ansteigt und meldet es der betroffenen Bank. »Dieses Verfahren ist zwar bereits seit einigen Jahren erfolgreich im Einsatz«, sagt Rüping. Nun aber wurde es nochmals deutlich verbessert.

Eingebautes Wissen über die Welt

So haben die Forscher die Selbstlern-Funktion optimiert: »Mittlerweile agiert das System bereits so selbstständig, dass sich die Algorithmen immer intelligenter selbst anpassen«, betont Rüping. Der Algorithmus lernt aus den Betrugsfällen, die er analysiert und leitet Regeln ab. Dadurch wird er mit jedem neuen Betrugsfall besser. Die Software hat dabei auch von den Experten gelernt und viele Parameter, die früher noch manuell eingestellt werden mussten, funktionieren jetzt automatisch. »Das kommt vor allem kleinen Banken zugute, die aufgrund der geringeren Datenbasis mehr manuelle Anpassungen vornehmen mussten als große Banken, die aus mehr Betrugsfällen schöpfen können, um Regeln zu erkennen«, erläutert Rüping.

Zum anderen integrierte das Team statt reiner Statistik nun Detailwissen in den Algorithmus, aus dem Regeln abgeleitet werden können. Die einzelnen Regeln sind kompakt und einfach, etwa, ob ein Land ein Urlaubsland ist oder bis zu welchem Betrag eine Transaktion unbedenklich ist. Das Besondere ist, dass der Algorithmus die Regeln selbstständig, automatisch zu komplexen Regelketten verknüpft und die Entscheidungswege stets nachvollziehbar sind. Warum wird ein Vorgang als ‚möglicherweise betrügerisch‘ und jener als ‚unverdächtig‘ eingestuft? »Die Muster, warum unsere Software eine Transaktion als Betrug kategorisiert und eine andere nicht, müssen zumindest für Experten klar verständlich sein«, betont Rüping.

Umsichtige und schnelle Entscheidungen

Ziel war es aber nicht nur, die Regeln herauszuarbeiten und zu optimieren, nach denen das System vorgeht. Das System sollte auch deutlich schneller werden, um mehr Daten pro Fall verarbeiten zu können. Zusätzlich hat das Team aber noch einen weiteren Kontrollschritt eingeführt, mit dem, so Rüping, »alle derzeit denk- und umsetzbaren Voraussetzungen erfüllt sind, um mit Hilfe von MINTify rule einen Großteil aktueller Betrugsversuche mit Kreditkarten zu erkennen.« (jmu)