Kapitel 4. Bewertung und Investitionen zur Betrugsprävention
Diese Arbeit wurde mithilfe von KI übersetzt. Wir freuen uns über dein Feedback und deine Kommentare: translation-feedback@oreilly.com
Geld hält die Welt in Schwung...
John Kander und Fred Ebb1
Das A und O der Betrugsprävention liegt in der Identifizierung von Betrugsfällen (durch Betrugsanalyse, Modellierung, Reverse Engineering usw.) und in der Schadensbegrenzung - und darin, die Reibungsverluste für gute Kunden so weit wie möglich zu vermeiden. Um diese Bemühungen zu unterstützen, ist ein ganzes Bündel von Systemen, Instrumenten und Investitionen in den Abteilungen erforderlich, auf die sich dieses Kapitel konzentriert.
Je sorgfältiger du darauf achtest, dass dein Rahmenwerk den Bedürfnissen deines Teams und der Struktur deines Unternehmens entspricht, desto effektiver wird es deine Arbeit zur Betrugsprävention unterstützen.
Außerdem ist es wichtig, die Betrugsbekämpfungsabteilung innerhalb des Unternehmens angemessen zu positionieren. Dein Team wird am besten funktionieren, wenn es eng mit verschiedenen anderen Abteilungen zusammenarbeitet, und du bekommst eher die benötigten Ressourcen, wenn die Geschäftsführung deine Arbeit und deine Leistungen für das Unternehmen versteht. Auch wenn es nur am Rande mit dem Kern der Arbeit zu tun hat, ist es viel wichtiger, als viele Teams erkennen, und es ist genauso wichtig, in diese Beziehungen und Aufklärungsarbeit zu investieren wie in Analysen und Untersuchungen.
Arten von Lösungen zur Betrugsprävention
Lösungen zur Betrugsprävention sind keine Einheitslösung Art der Diskussion. Es hat wenig Sinn, darüber zu streiten, welches die "beste" Lösung oder das "beste" Werkzeug zur Betrugsprävention ist. Alle Optionen haben unterschiedliche Vor- und Nachteile. Die Frage ist: Was ist das Beste für deine Situation und deine Ziele?
Dieser Abschnitt befasst sich mit den wichtigsten Kategorien von Lösungen und Tools, die du als technische Grundlage für dein System verwenden kannst. Bedenke jedoch, dass diese technische Grundlage auf der Erfahrung und dem Fachwissen von Betrugspräventionsexperten sowie auf der Forschung und den Erkenntnissen von Betrugsanalysten beruhen muss. Betrugsprävention ist kein Beruf, den man einfach von der Stange kauft und wieder vergisst.
Regel-Engines
Rules Engines sind das traditionelle Standby der Betrugsprävention. Das Prinzip der Regelmaschinen ist einfach: Deine Transaktionen oder Online-Aktivitäten fließen durch ein System, das bestimmte Merkmale herausfiltern kann. Du kannst eine Regel erstellen, die besagt, dass jede Transaktion über 200 $ immer manuell überprüft werden soll, oder dass Logins aus einem bestimmten geografischen Gebiet immer überprüft werden sollen, oder sogar Aktivitäten aus einem bestimmten Land abgelehnt werden sollen (was zu einer bedauerlichen Anzahl von Fehlalarmen führen würde).
Du kannst Regeln aufstellen, die eine Vielzahl von Faktoren berücksichtigen, z. B. Art des Artikels, Preis des Artikels, Zeitzone, geografischer Standort, Adressdaten, Telefondaten, E-Mail-Daten, Tageszeit, Gerätedaten, Browserdaten und so weiter. Es gibt auch eine Vielzahl von Konsequenzen: Du kannst automatisch genehmigen oder ablehnen, zur manuellen Überprüfung senden, automatisch eine Zwei-Faktor-Authentifizierung (2FA) verlangen und so weiter.
Der Nachteil ist, dass Regeln in der Regel einen eher pauschalen Ansatz zur Betrugsbekämpfung darstellen: Selbst wenn du in letzter Zeit viele betrügerische Transaktionen aus Nigeria erlebt hast, willst du wirklich alle Transaktionen von dort blockieren? Natürlich solltest du verschiedene Regeln miteinander kombinieren, um einen differenzierteren Ansatz zu verfolgen, aber das hat immer noch einen ziemlich pauschalen Effekt.
Die Regeln hängen auch vollständig von deinen Bemühungen und denen deines Teams ab. Sie werden nicht aktualisiert, um Änderungen im Kundenverhalten oder in den Betrugstaktiken zu berücksichtigen, es sei denn, du aktualisierst sie. Bestehende Regeln bleiben bestehen, auch wenn sie nicht mehr relevant sind, es sei denn, du entfernst sie - was dazu führen kann, dass veraltete Regeln später für Verwirrung sorgen.
Auf der anderen Seite sind Regeln einfach zu handhaben, treten schnell in Kraft und geben deinem Team ein Gefühl der Kontrolle. Wenn sich die Dinge schnell ändern, ist es wertvoll, mit Regeln arbeiten zu können, damit dein Team schnell und entschlossen auf sich schnell verändernde Umstände reagieren kann. Das hat mehr als ein Team während der COVID-19-Pandemie erlebt.
Rules Engines können im eigenen Haus entwickelt werden, so dass sie genau auf deine Bedürfnisse zugeschnitten sind und du die volle Kontrolle darüber hast, wie dein System aufgebaut ist und welche Daten es enthält. Sie können auch von einem Anbieter bezogen werden, was bedeutet, dass sie schnell in Betrieb genommen werden können und für dich mit den neuesten technologischen Entwicklungen auf dem Laufenden gehalten werden sollten, ohne dass du ständig in das System investieren musst. Viele Teams kombinieren Aspekte der internen und der vom Anbieter bezogenen Optionen.
Maschinelles Lernen
Wir werden hier nicht viel darüber sagen, wie maschinelle Lernsysteme funktionieren, denn das behandeln wir ausführlicher in Kapitel 5, in dem es um die Betrugsmodellierung geht. Stattdessen werden wir das Thema hier nur anreißen, um maschinelles Lernen in den Kontext der Betrugsbekämpfung zu stellen.
Das Konzept ist einfach: Maschinen können darauf trainiert werden, Transaktionen oder Aktivitäten auf der Grundlage früherer Beispiele als betrügerisch oder legitim zu erkennen, und sie können dann genau vorhersagen, ob sich ein neues Beispiel als betrügerisch oder legitim herausstellen wird.
Ein Hauptvorteil ist, dass maschinelle Lernsysteme sich schnell an neue Betrugstricks anpassen können. Im Gegensatz zu manuellen Prüfern sehen sie alle Daten, nicht nur einen kleinen Ausschnitt, und sie müssen nicht erst mit Kollegen Rücksprache halten und dann mühsam die beste Regel ausarbeiten, die sie hinzufügen können. Sie erkennen auch Muster, die Menschen wahrscheinlich übersehen, und können jeden einzelnen Fall sehr differenziert bewerten, im Gegensatz zu dem pauschalen Ansatz einer Regelmaschine.
Zu den Nachteilen gehört, dass diese Systeme dazu neigen, eine Blackbox zu haben; es kann schwierig sein zu wissen, warum sie bestimmte Entscheidungen treffen oder welche Faktoren sie berücksichtigen. Das kann für Teams, die gerne wissen, was vor sich geht, unangenehm sein und stellt ein Risiko dar, wenn es darum geht, Voreingenommenheit zu vermeiden. Außerdem kann es schwierig sein, die Maschine zu korrigieren, wenn sie Fehler macht, und es kann dauern, bis sich ein Modell an Veränderungen anpasst, die aus heiterem Himmel eintreten und nicht zu den Variablen passen, für die es trainiert wurde (wie wir z. B. während der COVID-19-Pandemie gesehen haben). Das Training eines neuen Modells braucht ebenfalls Zeit.
Darüber hinaus bedeuten einige der Herausforderungen des maschinellen Lernens bei der Betrugsprävention (auf die wir in Kapitel 5 näher eingehen), dass zu ihrer Bewältigung Fachwissen unerlässlich ist - das aber mit einem reinen maschinellen Lernmodell nur schwer erfolgreich eingesetzt werden kann, insbesondere wenn das Betrugsteam in der Lage sein will, dies unabhängig zu tun.
Hybride Systeme
Hybride Modelle kombinieren maschinelles Lernen auf irgendeine Weise mit Regeln. Das kann bedeuten, dass du mit einem Regelsystem beginnst und maschinelles Lernen für bestimmte Zwecke wie die Mustererkennung hinzufügst (eine Maschine kann oft Muster erkennen, die ein Mensch übersehen könnte). Oder es könnte bedeuten, dass du ein maschinelles Lernsystem als Basis verwendest und Regeln hinzufügst, wenn sich die Dinge schnell ändern oder um neue Forschungsergebnisse deines Teams zu berücksichtigen.
Ein hybrides Modell hat sich in den letzten Jahren bei den meisten Betrugsabteilungen als das beliebteste herauskristallisiert, weil es die Vorteile von Regeln und maschinellem Lernen in einem System kombinieren kann. Wenn sie von Hybrid sprechen, meinen verschiedene Unternehmen und Anbieter sehr unterschiedliche Dinge - und spiegeln ein unterschiedliches Gleichgewicht zwischen Regeln und maschinellem Lernen wider - daher ist es wichtig, dies in Diskussionen zu klären, wenn es für dich relevant ist.
Tools zur Datenanreicherung
Wenn auf deiner Website eine Transaktion oder Kontobewegung stattfindet, hast du eine Reihe von Daten, mit denen du arbeiten kannst. Einige Informationen erhältst du direkt vom Kunden: Name, E-Mail, vielleicht Telefonnummer oder Adresse und Kreditkartennummer oder andere Zahlungsmittel. Wahrscheinlich hast du auch einige Informationen, die du sammelst, wie z. B. IP-Adresse, Geräteinformationen, Browserinformationen usw.
Mit Datenanreicherungstools kannst du jeden dieser Datenpunkte in ihr System eingeben und erhältst zusätzliche Informationen aus Drittquellen oder einfach nur, weil sie diese Informationen bereits gesehen haben. Viele dieser Tools können direkt in dein eigenes System integriert werden, sodass die Anreicherung der Daten einfach und in einigen Fällen sogar automatisiert ist.
Es gibt eine große Anzahl von Tools zur Datenanreicherung. Einige konzentrieren sich auf bestimmte Datenpunkte, die die einzigen sind, die dein Team ihnen zur Anreicherung schicken kann - E-Mail, Gerät, IP, Adresse, Verhalten -, während andere einen ganzheitlicheren Ansatz verfolgen. Einige stellen bestimmte Arten von Daten zur Verfügung, d.h. unabhängig davon, ob du eine E-Mail, ein Telefon oder ein Gerät schickst, kannst du von ihnen erwarten, dass sie dir weitere Informationen über ein soziales Profil, eine Kreditwürdigkeit oder ein anderes Spezialgebiet schicken. Andere bieten eine Reihe von Daten als Antwort an.
Diese können sehr wertvoll sein, um deine eigenen Informationen zu ergänzen, vor allem, wenn du einen neuen Kunden hast oder wenn ein Kunde neue Informationen hinzufügt oder verwendet. Allerdings ist nicht jedes Tool das richtige für dich.
Du musst den Return on Investment (ROI) berücksichtigen: Wie viel trägt ein bestimmtes Tool zu deiner Genauigkeit bei? Viele Unternehmen gewähren dir eine Probezeit, um dies herauszufinden, oder akzeptieren zunächst einen kurzfristigen Vertrag, damit du das Tool testen kannst. Verschiedene Unternehmen haben unterschiedliche Bedürfnisse. Die Tatsache, dass Verhaltensdaten bei der Betrugsbekämpfung absolut unverzichtbar waren, als du noch bei einer Bank gearbeitet hast, bedeutet nicht, dass sie bei einem Bekleidungshändler genauso wertvoll sind. Du musst entscheiden, ob das, was du bekommst, den Preis wert ist, den du dafür bezahlst.
Ebenso sind einige Tools in bestimmten Regionen stärker als andere, und du musst dich darüber informieren, bevor du unterschreibst. Ein bestimmtes Tool ist vielleicht für Nordamerika gut geeignet, hat aber in Japan oder Brasilien praktisch keine Reichweite. Je nach Zielgruppe kann das eine Rolle spielen oder auch nicht.
Außerdem stellt sich die Frage nach der Aktualität. Da viele dieser Daten von Dritten stammen, vor allem von Datenmaklern, kann es schwierig sein, ihre Aktualität zu gewährleisten. Menschen ziehen um, bekommen neue Telefonnummern, wechseln die Firma und aktualisieren ihre Kreditkarten. Der Austausch mit anderen in der Betrugsbekämpfungsbranche kann hier sehr wichtig sein: Die Community hat Wissen zu teilen und ist in der Regel sehr bereit dazu. Wir möchten dich ermutigen, diese Ressource zu nutzen.
Konsortialmodell
Betrugsbekämpfer/innen sind ungewöhnlich bereit, miteinander zusammenzuarbeiten, auch über Unternehmen und Branchen hinweg. Das liegt in gewisser Weise an der Art des Auftrags. Andere Abteilungen wie Marketing, Vertrieb, Finanzen, Produkte, Logistik usw. stehen im Wettbewerb mit anderen Unternehmen und den entsprechenden Abteilungen in diesen Unternehmen. Oft bedeutet ihr Erfolg Ärger oder Frustration für die entsprechenden Abteilungen in anderen Unternehmen. Bei der Betrugsbekämpfung ist das nicht der Fall. Betrugsbekämpfer haben einen gemeinsamen Feind: Betrüger. Sie konkurrieren nicht gegeneinander, sondern gegen den gemeinsamen Feind.
Als Teil dieses ständigen Kampfes bündeln Betrugsbekämpfer/innen ihr Wissen und tauschen Informationen über aktuelle Trends, neue Betrugstechniken und Datenpunkte aus, die bekanntermaßen mit Betrug in Verbindung stehen. Ein Großteil dieser Zusammenarbeit findet auf Konferenzen und Branchenveranstaltungen sowie in regelmäßig stattfindenden Händlertreffen statt. Der direkte Datenaustausch erfolgt manchmal sehr informell, z. B. über eine Gruppen-E-Mail mit angehängten Tabellen, und manchmal indirekt, z. B. wenn Händler in einer Branche es vorziehen, alle denselben Anbieter für Betrugsprävention zu nutzen, damit sie indirekt von den Erfahrungen der anderen profitieren können.
Die Nutzung eines Konsortialmodells ist eine Möglichkeit, den Datenaustausch formaler und direkter zu gestalten. Verschiedene Betrugspräventionsteams laden ihre Betrugsdaten an eine zentrale Stelle hoch, auf die alle Teams zugreifen und sie in ihre eigenen Systeme integrieren können. Man könnte sich das wie eine gemeinsame Ablehnungsliste vorstellen, aber in einem großen Maßstab.
Einige Konsortien werden von Dritten oder einer Gruppe von Händlern betrieben, nur um das Konsortium zu gründen und zu erhalten. Andere entwickeln sich als Nebenprodukt einer Betrugspräventionslösung. Wenn eine Lösung von vielen Händlern, Marktplätzen oder Banken genutzt wird, sieht und speichert die Lösung Daten und Analysen aus vielen verschiedenen Quellen. Jedes Unternehmen, das die Lösung nutzt, profitiert effektiv von diesem zufälligen Zusammenschluss. Viele Betrugspräventionsdienste können bezeugen, dass der Netzwerkeffekt sie groß gemacht hat, weil sie in der Lage sind, einen einzigen Angreifer zu sehen, der sich zwischen Banken, Einzelhändlern, Werbetreibenden, Börsen und so weiter bewegt. DoubleVerify im Bereich der Betrugsprävention in der Werbetechnik, Forter und Riskified im Bereich des E-Commerce sowie Cyota (von RSA übernommen und jetzt als Outseer ausgegliedert), IBM Trusteer und Biocatch im Bereich des Bankenschutzes sind nur einige Beispiele.
Cyota ist ein gutes Beispiel für den Netzwerkeffekt in Aktion. Uri Rivner, Mitbegründer des innovativen AML-Startups Regutize (und Mitbegründer von BioCatch), hat Cyota (in seiner Funktion als Vizepräsident für internationales Marketing) dabei geholfen, die Ideen hinter der risikobasierten Authentifizierung und dem eFraud Network nicht nur zu verwirklichen, sondern zu einer anerkannten Branchenpraxis zu machen. Uri bemerkte:
Cyota ebnete den Weg, und Unternehmen wie BioCatch brachten neue Wissenschaftsbereiche genau dann ins Spiel, als die Branche sie am meisten brauchte. BioCatch begann damit, biometrische Verhaltensdaten wie Mausbewegungen, Tippmuster und die Art und Weise, wie man ein mobiles Gerät hält und bedient, zu sammeln. Anfangs lag der Schwerpunkt auf der Erstellung von Verhaltensprofilen und dem Erkennen von Anomalien, die darauf hindeuten könnten, dass jemand anderes im Online-Konto des Nutzers agiert, aber nachdem wir die Technologie in Betrieb genommen hatten, entdeckten wir etwas Erstaunliches. Die Untersuchung der Arbeitsweise von Cyberkriminellen lieferte uns eine riesige Menge an Daten, die niemand zuvor gesehen hatte - und durch die Zusammenarbeit mit großen Banken hatten wir gerade genug Beispiele für betrügerisches Verhalten, um die Interaktionen und Verhaltensmuster von Betrügern wirklich zu verstehen. So konnten wir das typische Verhalten von Betrügern und die von ihnen verwendeten Tools wie Fernzugriff modellieren, was in Verbindung mit dem, was wir über das Nutzerverhalten wussten, die Aufdeckung von Betrug 20 Mal genauer machte als die bloße Betrachtung von Nutzerprofilen.
Uri nennt als Beispiel die Erkennung von Fernzugriffsangriffen: "Wenn du das Gerät einer anderen Person über das Internet fernsteuerst, wird deine Hand-Augen-Koordination durch die Latenzzeit erschwert und verzögert; mit einer ausreichend sensiblen Verhaltensanalyse kann dies sofort erkannt werden." Uri fügte hinzu, dass der Austausch von kriminellen Verhaltensmustern in der gesamten Branche die Aufdeckung enorm erleichtert.
In der Welt des E-Commerce sind Konsortialmodelle ebenso hilfreich, denn Betrüger verwenden E-Mail-Konten, Telefonnummern und so weiter gerne auf verschiedenen Websites. Diese betrügerischen Praktiken zielen darauf ab, ihren ROI zu maximieren (denn das Einrichten von Konten kostet Zeit). Daher kann ein Konsortialmodell für Unternehmen eine effektive Möglichkeit sein, ihre Systeme vor Datenpunkten zu schützen, die bereits auf anderen Websites verbrannt wurden.
In gewisser Weise ist der Beitritt zu einem Konsortium wie eine besondere Art der Datenanreicherung, die speziell auf das ausgerichtet ist, wonach du suchst und wovor du dich schützen willst.
Daten des Konsortiums nutzen
Konsortialdaten können sehr hilfreich sein, vor allem dann, wenn Unternehmen innerhalb einer Branche alle dasselbe Konsortium nutzen, da sich Betrüger oft auf bestimmte Branchen spezialisieren. Allerdings gibt es bei diesem Modell auch einige Vorbehalte.
Erstens haben die Daten der Ablehnungsliste eine Verzögerung eingebaut: Du entdeckst nicht, dass eine E-Mail-Adresse problematisch ist, bis eine Rückbuchung eintrifft, was Tage, Wochen oder Monate nach der Verwendung der Adresse sein kann. Betrugsbekämpfer sagen: "Eine Ablehnungsliste ist eine gute Möglichkeit, die Betrüger des letzten Monats zu erwischen". Sie ist potenziell wertvoll, denn die Betrüger einer Website vom letzten Monat können heute deine sein, aber es ist möglicherweise zu spät, um noch nützlich zu sein. Dessen musst du dir bewusst sein und darfst das Konsortium nicht als Allheilmittel betrachten.
Zweitens kann das Konsortialmodell Teams dazu verleiten, E-Mail-Adressen, Telefonnummern usw. als "gut" oder "schlecht" zu betrachten, was ungenau und irreführend ist. Eine E-Mail-Adresse ist einfach nur eine E-Mail-Adresse. Es kommt darauf an, wie sie verwendet wird. E-Mails, die zum Beispiel durch eine Kontoübernahme (ATO) kompromittiert werden, sind an sich nicht problematisch. Sie haben sozusagen nur eine "schlechte Phase" durchgemacht. Ähnlich verhält es sich mit physischen Adressen: Die Tatsache, dass ein Ort eine Zeit lang von Betrügern benutzt wurde, sagt nichts über den Ort selbst aus. Vielleicht handelt es sich um ein Büro oder ein großes Wohnhaus mit einem Concierge - die meisten Menschen in dem Gebäude sind legitime Kunden und du willst sie nicht den Betrügern in die Schuhe schieben. Vielleicht war es eine Zeit lang ein "Drop House" (ein Ort, der von Kriminellen als Auslieferungsort oder zur Speicherung von gestohlenen oder illegalen Waren genutzt wird), aber jetzt sind die Betrüger weitergezogen und legitime Kunden wohnen dort. Vielleicht gehörte die Telefonnummer früher einem Kriminellen. Es ist sogar möglich, dass eine kompromittierte Kreditkarte immer noch von dem echten Kunden verwendet wird, dessen Bestellungen angenommen werden sollten. Und so weiter.
Im Allgemeinen kannst du E-Mail-Adressen und Telefonnummern einer Risikoprüfung unterziehen, um offensichtliche Risikoprobleme zu erkennen (z. B. ist die E-Mail-Adresse nur einen Tag alt oder die Telefonnummer ist eine nicht festgelegte Voice-over-IP-Nummer, d. h. eine kostenlose Internetnummer).
Datenpunkte sind nicht schlecht. Benutzer können schlecht sein. Identitäten können schlecht sein. Auf diese musst du aufpassen und sie identifizieren. Konsortialdaten können dir dabei helfen, solange du nicht verwirrt bist, was sie dir sagen. Mehr zu diesem Thema erfährst du in Kapitel 15.
Es gibt noch einen dritten Punkt in Bezug auf das Konsortialmodell, der eher eine Einschränkung als ein Vorbehalt ist. Konsortien sind nützlich, um Daten von Abstiegslisten auszutauschen: die Betrugsdaten, die mit betrügerischen Aktivitäten verbunden sind. Im Hinblick auf Datenschutzerwägungen und rechtliche oder behördliche Beschränkungen fällt dies bequem in die Kategorie der Verhinderung illegaler Aktivitäten, aber nicht immer. Dieselben Überlegungen hindern die meisten Unternehmen jedoch daran, Informationen über gute Kunden auf ähnliche Weise zu teilen, selbst wenn sie dazu bereit wären, was die meisten aus Wettbewerbsgründen nicht tun würden.
Der Unterschied zwischen dem Konsortialmodell und dem standardmäßigeren Datenanreicherungsmodell besteht darin, dass bei der Datenanreicherung, wenn Unternehmen die Daten ihrer Nutzerinnen und Nutzer teilen, um in Verbindung damit mehr zu erfahren, die Daten mit einer vertrauenswürdigen dritten Partei geteilt werden: dem Datenbroker oder Drittanbieter. In einem Konsortium werden sie direkter mit anderen Online-Unternehmen geteilt, von denen einige Konkurrenten sein können. Es ist schön, dass konkurrierende Unternehmen bereit sind, Betrugsdaten miteinander zu teilen, um gemeinsam gegen die Betrüger vorzugehen, die ihr gemeinsamer Feind sind. Aber natürlich schränkt das die Art der Zusammenarbeit ein, denn es ist auch wichtig, einem Konkurrenten keinen Vorteil zu verschaffen, indem man Daten teilt, die nicht direkt mit den Betrügern zu tun haben.
Anbieterlose Konsortien
Eine interessante Alternative wurde vor kurzem entwickelt im Rahmen dessen, was das Technologieforschungs- und Beratungsunternehmen Gartner den Privacy-Enhancing Computation Trend nennt. Bei diesem Modell kann das Konsortium alle Arten von Wissen - sowohl über gute als auch über schlechte Nutzer/innen - bündeln, da keine der persönlichen Nutzer/innen-Daten tatsächlich an andere Unternehmen oder Dritte weitergegeben werden. Aus diesem Grund wird der Trend manchmal auch als providerlos bezeichnet, da der Drittanbieter aus der Gleichung entfernt wird. Die sensiblen Nutzerdaten verlassen nicht den Besitz des Unternehmens, das sie überprüfen will.
Diese Form des Zusammenschlusses beruht auf einer Technik zur Verbesserung der Privatsphäre, wie z. B. homomorphe Verschlüsselung, Mehrparteienberechnung, Null-Wissens-Beweise und so weiter. In einem interessanten Papier des Weltwirtschaftsforums wird detailliert beschrieben, wie jede dieser Techniken funktioniert, und es werden Beispiele für den Einsatz bei Finanzdienstleistungen genannt. Aber die Grundidee ist nicht schwer zu begreifen.
Stell dir vor, du und ein Freund wollt herausfinden, ob eure Bankkarten die gleiche CVV-Nummer haben (den dreistelligen Sicherheitscode auf der Rückseite). Die Wahrscheinlichkeit, dass ihr sie habt, liegt bei etwa 1:1.000, es ist also keineswegs unmöglich. Ihr wollt euch gegenseitig nicht verraten, wie eure Nummer lautet, denn ihr seid Betrugsanalysten und wisst, wie riskant das wäre. Ihr könntet es einer vertrauenswürdigen dritten Person sagen, aber dann müsstet ihr ihr wirklich vertrauen, und als Betrugsanalysten seid ihr eher vorsichtig, wenn es um Vertrauen und Sicherheit geht.
Eine Idee wäre, dass du mehrmals gemeinsam würfelst und die Würfe addierst oder multiplizierst, um eine große Zufallszahl zu erhalten. Mit einem Taschenrechner addierst du diese große Zahl zu deinem CVV und erhältst eine noch größere Zahl. Nun könnt ihr beide diese große Zahl einem Dritten mitteilen, der euch sagen kann, ob ihr übereinstimmt.
Die dritte Partei erhält keine Informationen, die über Übereinstimmung/Nicht-Übereinstimmung hinausgehen; sie kann deine CVV-Nummern nicht erfahren, weil sie die Zufallszahl nicht kennt, die du und dein Freund beim Würfeln erhalten haben. Du und dein Freund könnt die CVVs des anderen nicht erfahren (es sei denn, ihr stimmt überein), weil ihr euch eure endgültige Zahl nicht mitteilt. Dies ist eine zugegebenermaßen stark vereinfachte Version der Technologien zur Verbesserung der Privatsphäre, mit denen Unternehmen herausfinden können, ob die von ihnen gesichteten Nutzerdaten von den anderen Unternehmen des Konsortiums als vertrauenswürdig eingestuft werden - oder umgekehrt, ob sie von ihnen als betrügerisch angesehen werden.
Das Modell des anbieterlosen Konsortiums ist zwar noch neu, aber es wurde bereits in die Praxis umgesetzt: Identiq, ein Netzwerk zur Identitätsüberprüfung, das es Unternehmen ermöglicht, ihre Daten gegenseitig zu nutzen, um Identitäten zu überprüfen, ohne persönliche Nutzerdaten auszutauschen. Auch andere Unternehmen denken darüber nach, wie PETs zur Identitätsüberprüfung oder zur Betrugsprävention eingesetzt werden können. (Shoshana Maraney, eine der Autorinnen dieses Buches, arbeitet derzeit bei Identiq und ist fasziniert von den Möglichkeiten der Zusammenarbeit, die der anbieterlose Trend für die Betrugsbekämpfung bietet).
Der anbieterlose Ansatz ist eine interessante Weiterentwicklung der Tools zur Datenanreicherung und zum Konsortium, insbesondere vor dem Hintergrund der zunehmenden Datenschutzbestimmungen auf der ganzen Welt. Er bietet auch interessante Möglichkeiten, um das Wissen darüber zu bündeln, welchen Kunden man vertrauen kann, anstatt nur die, denen man nicht trauen kann.
Aufbau eines Research Analytics Teams
Um das Beste aus den Lösungen und Tools zu machen, die du auswählst, brauchst du ein fähiges Research-Analytics-Team, das sicherstellt, dass du immer auf die spezifischen Bedürfnisse deines Unternehmens und das Verhalten deiner Kunden eingehst. Selbst für ein relativ kleines Team ist es wichtig, dass du mit ein paar echten Fachleuten beginnst: Leute, die sich schon seit einiger Zeit mit Betrugsbekämpfung beschäftigen und ein gutes, umfassendes Verständnis sowohl für die granulare Ebene - worauf bei der Überprüfung einzelner Transaktionen zu achten ist - als auch für die Makroebene haben , d.h. erkennen, welche Trends weitreichende Auswirkungen haben und dieses Wissen zum Schutz des Unternehmens einsetzen. Bei der Betrugsforschung und -analyse sind zwei immer besser als einer. Betrugsanalytiker/innen profitieren enorm davon, dass sie ihre Intuitionen miteinander abgleichen, Brainstorming betreiben und gemeinsam an Herausforderungen arbeiten können.
Solange dein Team von erfahrenen Fachleuten geleitet wird, kannst du andere Teammitglieder für Juniorpositionen einstellen. Erfahrung im Umgang mit Daten ist von Vorteil, aber statistisches Fachwissen ist nicht notwendig, solange die Bewerber/innen Eignung zeigen und bereit sind, zu lernen. Mit der Zeit kannst du sie darin schulen, Anomalien in den Daten deines Unternehmens zu erkennen und ein Gespür dafür zu entwickeln, wenn bei einer Transaktion etwas nicht stimmt.
Es ist eine gute Idee, neue Mitarbeiter/innen mit manuellen Überprüfungen zu beginnen, damit sie ein Verständnis für typische Transaktionen und Interaktionen mit der Website entwickeln und das Profil deiner Kund/innen kennenlernen - und natürlich auch ein Gefühl für die Betrugsangriffe und Betrüger/innen bekommen, mit denen dein Team konfrontiert ist. Genauso wichtig ist es aber auch, das Team in der Lückenanalyse zu schulen, d.h. die tatsächlichen Ergebnisse mit den Vorhersagen zu vergleichen und Stichproben zu nehmen und dann zu überprüfen, um die Ursache für alle blinden Flecken zu finden, die zu Leistungslücken geführt haben. Ermutige das Team, darüber nachzudenken, was an deinen Modellen geändert werden könnte, um die Fähigkeit des Systems zu verbessern, sowohl Betrug zu erkennen als auch Reibungsverluste zu vermeiden. Die Analyse von Betrugsfällen ist keine Routinearbeit. Du solltest die Analysten darin schulen, nach Mustern außerhalb einzelner Transaktionen zu suchen, Wege zu finden, dieses Wissen zu bestätigen und zu nutzen, und die gewonnenen Erkenntnisse in dein System einzubauen.
In Bezug auf die Teamkultur ist die Förderung der Kreativität genauso wichtig wie die offensichtlichen Tugenden der Datenanalyse und sorgfältigen Untersuchung. Du möchtest, dass dein Team über verschiedene Arten von Datenquellen nachdenkt, die es nutzen könnte, um Hypothesen zu bestätigen oder zu verwerfen, dass es neue Wege findet, um vorhandene Daten oder Werkzeuge zu nutzen, und dass es in der Lage ist, verschiedene Möglichkeiten gleichzeitig im Kopf zu haben.
Aus diesem Grund ist es wichtig, nicht darauf zu bestehen, dass Betrugsanalysten konsequent konservativ sind. Es stimmt zwar, dass die Rückbuchungen niedrig gehalten werden müssen, aber es gibt immer einen kleinen Spielraum, um neue Tools oder Techniken auszuprobieren, die, wenn sie erfolgreich sind, deine Ergebnisse verbessern können, auch wenn du manchmal Pech hast und sie nach hinten losgehen. Wenn du die Analysten dazu bringst, sich auf die Transaktionen zu konzentrieren, die sie übersehen haben - die Rückbuchungen, die sie nicht gestoppt haben -, werden sie sehr konservativ werden und deine Genehmigungsquote wird sinken. (Wenn du möchtest, kannst du ausprobieren, ob das auch auf dein Team zutrifft. Erfahrungsgemäß scheinen die Ergebnisse ziemlich einheitlich zu sein. Wenn sich dein Team ausschließlich auf Rückbuchungen konzentriert, ist das nicht gut für den Umsatz deines Unternehmens.) Teams müssen sich darauf konzentrieren, sowohl Falschmeldungen als auch Rückbuchungen zu verhindern, um das Gleichgewicht zu halten.
Genauso sollte die Teamstruktur so flach wie möglich gehalten werden. Strenge Hierarchien schränken die Bereitschaft der Mitarbeiter ein, zu experimentieren und neue Wege vorzuschlagen. Es ist auch wichtig, die Teammitglieder an die positiven Seiten ihrer Arbeit zu erinnern (z. B. die reibungslose Abwicklung von Kundenaufträgen, den Schutz des Unternehmens vor Verlusten oder die Lösung schwieriger Probleme), wenn die negativen Seiten der vielen kriminellen Aktivitäten sie zu sehr bedrücken. Das ist vor allem in Unternehmen wichtig, die häufiger von Betrugsopfern hören, wie Banken, Kryptowährungsunternehmen und Geschenkkartenfirmen, kann aber auch in anderen Branchen eine Herausforderung sein.
In diesem Zusammenhang ist es wichtig, den Wert der Bottom-up-Analyse zu erwähnen, wie sie in Ohad Samets Buch Introduction to Online Payments Risk Management (O'Reilly) erläutert wird. Die Welt des Online-Zahlungsverkehrs hat sich seit dem Erscheinen des Buches erheblich weiterentwickelt, aber die Grundprinzipien der Ausbildung und der Vorgehensweise, die für Betrugsteams beschrieben werden, sind heute noch genauso relevant wie damals, als das Buch geschrieben wurde. Samet legt die Bedeutung von induktiven Untersuchungen und Schlussfolgerungen dar. Betrugsanalysten sollen viele Fallstudien (von Transaktionen, Anmeldungen, Kontoeröffnungen usw. - was auch immer für dein Unternehmen relevant ist) untersuchen und dann sowohl die legitimen als auch die betrügerischen Geschichten für jede einzelne herausfinden, indem sie die sichtbaren Daten abgleichen. Der nächste Schritt ist natürlich, weitere Quellen zu finden, die jede Möglichkeit unterstützen oder ablehnen. Von dort aus können Betrugsanalysten auf ihre Erfahrung mit Fallstudien zurückgreifen, um groß angelegte Heuristiken vorzuschlagen, die mit der Datenbank des Unternehmens abgeglichen werden können.
Es ist besonders wichtig, die Aufmerksamkeit auf diese Bottom-up-Analyse zu lenken, da das Top-down-Modell mit einem regressionsbasierten Ansatz in vielerlei Hinsicht instinktiv für den Anwendungsfall der Betrugsbekämpfung naheliegender ist. Unternehmen haben schließlich so viele Daten - was sagen sie dir also? Was lässt sich daraus ableiten oder planen? Der Top-down-Ansatz ist natürlich notwendig, und wir werden ihn in Kapitel 5 erwähnen. Aber Tatsache ist, dass Betrug oft in kleinen Mengen geschieht und dass Betrüger immer versuchen, das Verhalten guter Kunden nachzuahmen.
Du musst beide Herausforderungen unter einen Hut bringen, und das geht am besten, indem du deine Mitarbeiter, einschließlich ihrer kreativen Fähigkeiten, möglichst effektiv einsetzt. Uri Arad, Vice President of Product bei Identiq, erzählt in seinem Interview im Fraudology-Podcast von seiner fast zehnjährigen Erfahrung in der Betrugsbekämpfung bei PayPal:2
Der datenbasierte Ansatz mit maschinellem Lernen und Statistiken ist großartig, wenn es darum geht, das große Ganze zu erfassen. Und der auf Geschichten basierende Ansatz, bei dem sich Menschen mit einzelnen Fällen befassen, gibt dir den Einblick in die Details, die wir brauchen, um wirklich zu verstehen, was vor sich geht. Wenn du beides zusammen nimmst, ist das extrem leistungsstark.
Zusammenarbeit mit dem Kundensupport
Die Zusammenarbeit mit und die Unterstützung von anderen Abteilungen in deinem Unternehmen ist generell wichtig, aber in vielen Fällen hat das Betrugspräventionsteam eine besondere Beziehung zum Kundensupport, und wo dies nicht der Fall ist, sollte es das vielleicht tun.
Der Kundensupport steht an vorderster Front, wenn es um die Interaktion der Verbraucher mit deinem Unternehmen geht. Das bedeutet auch, dass sie am ehesten in direktem Kontakt mit den Betrügern stehen, die versuchen, dein Unternehmen zu bestehlen. Die Schulung des Kundensupports konzentriert sich eher auf die Unternehmensrichtlinien und die Unterstützung der Kunden, um sicherzustellen, dass die Kunden ein gutes Erlebnis haben, als auf die Identifizierung und Abwehr von Betrügern. Die Betrugsabteilungen sollten sicherstellen, dass auch dieser wichtige Aspekt abgedeckt und regelmäßig aktualisiert wird, um den neuen Betrugstrends gerecht zu werden.
Diese Zusammenarbeit hat zwei Teile. Erstens können Betrugsbekämpfer/innen den Kundendienstmitarbeiter/innen helfen, die Tricks zu verstehen, mit denen Betrüger/innen versuchen, sie zu täuschen: von Anrufen, um eine Adresse zu ändern, nachdem eine Transaktion genehmigt wurde, über professionelle Rückerstattungsbetrügereien bis hin zu ATO-Versuchen. Kundenbetreuer/innen, die nicht darin geschult sind, keine sensiblen Nutzerdaten oder sogar Unternehmensinformationen weiterzugeben, z. B. welche Systeme intern verwendet werden, können zu einem schwachen Glied in der Sicherheits- und Betrugspräventionskette werden. Die Abwehr von Angriffen auf der Ebene des Kundensupports schützt das gesamte Unternehmen vor Betrug und vor Sicherheitsangriffen im Allgemeinen.
Zweitens: Wenn eine enge Feedbackschleife eingerichtet ist, können die Erfahrungen des Kundensupports in das Wissen der Betrugsteams über Kunden und Trends einfließen. Unternehmen, die nicht so aufgestellt sind, dass sie diese Verbindungen herstellen können, merken vielleicht monatelang oder sogar jahrelang nicht, dass sie von einem ernsthaften Rückerstattungsbetrug betroffen sind, weil die Informationen, die darauf hindeuten (wie z. B. die Fähigkeit der Mitarbeiter, die Stimmen bestimmter Betrüger am Telefon und die von ihnen verwendeten Skripte zu erkennen), im Kundensupport verbleiben und nicht in die Wissenssysteme des Betrugsbekämpfungsteams integriert werden.
Verlust und Auswirkungen messen
Wie wir bereits in Kapitel 3 erwähnt haben, wurden Betrugspräventionsteams früher daran gemessen, wie niedrig sie die Rückbuchungen für das Unternehmen halten konnten. Der einzige relevante Leistungsindikator (KPI) war die Anzahl der erhaltenen Rückbuchungen - in der Regel in Dollar, manchmal aber auch in Prozent der Transaktionen gemessen. Das hat eine zwingende Logik. Diese Rückbuchungen sind die offensichtlichsten Betrugskosten für ein E-Commerce-Unternehmen. Auch die Regeln der Kartennetzwerke unterstützen diesen Ansatz: Unternehmen, deren Rückbuchungen über 1 % liegen, müssen unter normalen Umständen mit Konsequenzen wie Bewährungsauflagen, Geldstrafen oder sogar dem Verbot, bestimmte Kartenmarken zu verarbeiten, rechnen.
Tatsächlich ist die Messung der tatsächlichen Betrugsverluste und der Wirkung des Betrugsbekämpfungsteams jedoch komplexer, wie viele Unternehmen in den letzten Jahren feststellen mussten. Dies hat die Festlegung von KPIs, die Messung von Verlusten und die Messung der Wirkung des Betrugsbekämpfungsteams noch schwieriger gemacht - nicht zuletzt deshalb, weil ein Teil der effektiven Arbeit darin besteht, sicherzustellen, dass die Entscheidungsträger des oberen Managements Betrug, Betrugsbekämpfung und den relevanten Kontext verstehen.
Heutzutage wollen Unternehmen die Rückbuchungen in der Regel nicht auf ein absolutes Minimum reduzieren. Natürlich ist es wichtig, deutlich unter den von den Kartenunternehmen festgelegten Schwellenwerten für Rückbuchungen zu bleiben, mit einer komfortablen Fehlertoleranz für den Fall, dass du plötzlich von einem unerwarteten Betrugsring oder etwas Ähnlichem getroffen wirst, aber es gibt immer noch einen großen Unterschied zwischen diesem Ziel und dem Versuch, die Rückbuchungen auf Null zu reduzieren. Wenn du dich zu sehr auf die Minimierung von Rückbuchungen konzentrierst, führt das zu strengen Richtlinien, die wahrscheinlich zu einer hohen Anzahl von Falschmeldungen führen, die schließlich eine weitere Form von Verlusten für das Unternehmen darstellen, die nach allgemeiner Auffassung oft höher sind als Rückbuchungen wegen Betrugs, manchmal sogar um einiges höher. Falschmeldungen sind leider sehr schwer zu berechnen und erfordern eine kontinuierliche Untersuchung der abgelehnten Transaktionen und die Bereitschaft, auch einige "Grauzonen" durchzulassen, um zu sehen, ob sie betrügerisch sind oder nicht.
Tipp
Es ist wichtig, dass das obere Management den Kompromiss zwischen Rückbuchungen und Fehlalarmen versteht und dass dies Teil des Prozesses ist, um angemessene KPIs festzulegen und die Wirkung des Teams zu messen. Hier kann eine gewisse Aufklärungsarbeit notwendig sein, und die Verantwortlichen für die Betrugsprävention sollten dies als einen wesentlichen Teil ihrer Arbeit betrachten. Wenn die Vermeidung von Fehlalarmen ein KPI für dein Team sein soll, muss klar sein, welche Berechnungen damit verbunden sind.
Bei der Auswahl der Kennzahlen, auf die sich die Abteilung konzentrieren sollte, solltest du bedenken, dass du die KPIs nicht in einem Vakuum festlegen kannst. Legt dein Unternehmen mehr Wert auf Präzision oder Geschwindigkeit? Das wird sich auf deine Richtlinien für manuelle Überprüfungen auswirken. Welches Gleichgewicht solltest du in Bezug auf Rückbuchungen und Falschmeldungen anstreben? Das hängt eng damit zusammen, wie sehr du dich auf das Kundenerlebnis konzentrierst, und mit der Art deines Produkts. Welches Maß an Reibung ist akzeptabel? Das hängt von deinem Markt und deiner Branche ab. Um realistische Ziele zu setzen, die mit den Prioritäten des gesamten Unternehmens übereinstimmen, muss die obere Führungsebene darüber aufgeklärt werden, wie Betrug und Betrugsprävention in das Gesamtunternehmen passen, und es muss besprochen werden, wie sie die Rolle deines Teams bei der Unterstützung der allgemeinen Prioritäten sieht.
Ein Benchmarking mit Branchendurchschnitten ist ebenfalls wichtig. Die Betrugsraten, Herausforderungen und sogar Rückbuchungen auf einem Geschenkkartenmarktplatz unterscheiden sich stark von denen eines Bekleidungshändlers. Eine Bank hätte wiederum ein ganz anderes Profil - und Neobanken (auch als reine Internetbanken bekannt) und traditionelle Banken haben möglicherweise andere Normen und Erwartungen. Die Geldwäschebekämpfung (AML) ist eine ganz andere Geschichte (und hat eine andere Art von Fehlerkalkulation, die sich auf die regulatorischen Anforderungen bezieht). Du kannst deinen eigenen Verlust nicht realistisch einschätzen, wenn du ihn nicht im Kontext der gesamten Branche, zu der du gehörst, verstehst. Wenn du 0,6 % betrügerische Rückbuchungen in einer Branche hast, in der normalerweise 0,3 % vorkommen, befindest du dich in einer ganz anderen Lage als ein Team mit 0,6 % Rückbuchungen in einer Branche, in der normalerweise 0,8 % bis 0,9 % vorkommen.
Leider sind Benchmarks oft schwer zu ermitteln, da viele dieser Informationen von den Unternehmen lieber geheim gehalten werden. Umfragen wie die Global Fraud Survey des Merchant Risk Council (die oft in Zusammenarbeit mit CyberSource durchgeführt wird) oder der LexisNexis True Cost of Fraud Report können dir einen guten Einblick in die Kennzahlen verschiedener Branchen geben, auch wenn diese Umfragen nicht sehr detailliert sein können. Auch informelle Gespräche mit Betrugsbekämpfern aus anderen Unternehmen geben dir ein gutes Gefühl dafür, wo du stehst. Diese Art von Informationen ist auch wichtig, wenn du mit der oberen Führungsebene sprichst und sie aufklärst.
Auch die Messung der Auswirkungen ist schwierig. Der Wert einer verhinderten betrügerischen Transaktion ist nicht der einzige Betrag, der hier eine Rolle spielt. Hier sind einige andere Faktoren, die du berücksichtigen musst:
Das tatsächliche Ausmaß des Betrugs - deine Betrugsrate - istniedriger, als es wäre, wenn du dein Unternehmen nicht effektiv schützen würdest. Wenn dein gesamtes Team in den Urlaub fahren würde (oder seine Arbeit schlechter machen würde), würden Betrüger das schnell herausfinden und die Betrugsrate wäre viel höher. Überleg mal, wie schnell sich Betrügerringe auf eine Schwachstelle stürzen, wenn sie erst einmal entdeckt wurde; so wäre es auch in größerem Umfang und ohne Korrektur. Du sparst dem Unternehmen also weit mehr als die Betrugsfälle, die du verhinderst. Es gibt eine Menge potenzieller Betrugsfälle, die nie auftauchen, weil du das Unternehmen zu einem schweren Angriffsziel machst. Das ist schwer zu messen, aber wenn du Beispiele von Betrugsringen nimmst und hochrechnest, kannst du den Punkt veranschaulichen. Manchmal liest du in Betrügerforen von Unternehmen, die versuchen, eine Reihe von Stellen für die Betrugsbekämpfung zu besetzen; Betrüger mögen das, weil sie wissen, dass die Abteilung überlastet ist. Sie werden dann wahrscheinlich angreifen. Diese Art von Diskussionen veranschaulicht auch den Punkt.
Bei den meisten Transaktionen, insbesondere bei physischen Gütern, fallen zusätzliche Kosten an, z. B. für den logistischen Aufwand, die Kosten für den Ersatz des Artikels und die Nichtverfügbarkeit des Artikels für andere Kunden. Diese Dinge sind in dem Multiplikator enthalten, den LexisNexis verwendet, um zu berechnen, wie viel jeder Dollar, der durch Betrug (oder verhinderten Betrug) verloren geht, für das Unternehmen tatsächlich bedeutet. In der Regel ist es mindestens das Dreifache des Betrags, der mit dem direkten Verlust durch Rückbuchungen verbunden ist. Die gleiche Analogie gilt für die Eröffnung von Online-Konten bei Banken. Es kann weitaus teurer sein, gefälschte Bankkonten zu schließen (aufgrund von Betriebsverlusten), als der Dollarbetrag der tatsächlichen Betrugsverluste.
Wenn dein Team gegen Betrug auf Kontoebene, wie die Übernahme von Konten, gefälschte Bewertungen oder geheime Absprachen auf einem Marktplatz vorgeht, schützt du den Ruf des Unternehmens auf sinnvolle und wertvolle Weise und hast zweifellos eine Wirkung, auch wenn sich diese nur schwer mit einer Zahl messen lässt. Du kannst jedoch Zahlen zu den verhinderten gefälschten Bewertungen, zu den vor Hackerangriffen geschützten Konten usw. vorlegen, und es ist wichtig, dass du diese Zahlen der Geschäftsleitung präsentierst. Wenn deine Wirkung weit über den Kassenbereich hinausgeht, ist es wichtig, dass sie sichtbar ist. Möglicherweise gibt es verwandte KPIs, die du in Betracht ziehen solltest und die auf dieser Art von Kennzahlen basieren.
Rechtfertigung der Kosten für Investitionen in die Betrugsbekämpfung
Es kann frustrierend sein, aber die Realität ist, dass du immer die Anzahl der Mitarbeiter, das Budget und die Investitionen in neue Tools oder Technologien rechtfertigen musst. Selbst wenn du weißt, dass du gute Arbeit leistest und im Branchenvergleich gut abschneidest, wissen deine Vorgesetzten das wahrscheinlich nicht. Und selbst wenn sie es wissen, müssen sie in der Lage sein, dies vor Vorstandsmitgliedern, Aktionären und anderen Interessengruppen zu rechtfertigen.
Zuallererst brauchst du Zahlen. Hier sind nur einige der wichtigsten Zahlen:
Deine Betrugsrate oder die Anzahl der Angriffe als Prozentsatz der gesamten Transaktionen oder Aktivitäten. Vielleicht möchtest du diese Zahl in verschiedene Arten von Angriffen aufschlüsseln.
Die Anzahl der von dir gestoppten Betrugsversuche, sowohl in Prozent der Gesamtzahl der Angriffe als auch im Dollarwert.
Die Höhe des gefährdeten Dollarbetrags im Vergleich zu den tatsächlichen Verlusten (z. B. hast du potenzielle Transaktionsverluste in Höhe von 5 Mio. USD, aber dank deines Betrugsteams und deiner Instrumente betrugen die tatsächlichen Verluste nur 75.000 USD).
Deine Rückbuchungsrate.
Deine Quote erfolgreicher Rückbuchungsanfechtungen.
Deine manuelle Überprüfungsrate, d.h. wie viele Vorgänge oder Aktivitäten du manuell überprüfst, in Prozent der gesamten Vorgänge oder Aktivitäten.
Der Prozentsatz der manuell überprüften Fälle, die genehmigt werden.
Die durchschnittliche Geschwindigkeit der manuellen Überprüfung.
Falls zutreffend, Zahlen zu Missbrauch auf Kontoebene wie Gutscheinmissbrauch, Verluste durch Überweisungsbetrug, Peer-to-Peer-Betrug (P2P), gefälschte Bewertungen und mehr, die dem Ergebnis und/oder dem Ruf des Unternehmens schaden.
Du willst vermitteln, wie viel du dem Unternehmen jedes Jahr (oder Quartal, je nachdem) einsparst. Du musst deine Führungskräfte dazu bringen, deine Arbeit im Kontext des großen Ganzen zu sehen. Bring sie dazu, sich vorzustellen, wie das Leben ohne ein Betrugsteam aussehen würde - denn es wäre nicht schön.
Wenn du diese Situation geschaffen hast, kannst du sie mit deinen Tools und der Anzahl der Mitarbeiter/innen in Verbindung bringen. Wenn dein manuelles Prüfungsteam schnell und gründlich (und akkurat) arbeitet, kannst du Zahlen vorlegen, wie es wäre, wenn das Team kleiner oder, wenn du die Zahl der Mitarbeiter erhöhen willst, größer wäre. Wenn du mit deinem hybriden System den Eintritt des Unternehmens in einen neuen Markt mit geringen Rückbuchungen, wenig Reibungsverlusten und wenig Falschmeldungen unterstützt hast, solltest du diesem System (und deinem Team, das es ausgewählt hat) Anerkennung zollen. Wenn du ein neues Tool haben willst, messe, wie die Ergebnisse in dem betreffenden Bereich aussehen würden, wenn du es hättest.
Einiges davon ist eine jährliche, halbjährliche oder vierteljährliche Aufgabe. Aber um den Grundstein für den Erfolg zu legen, musst du dafür sorgen, dass das gesamte Unternehmen und vor allem die obere Führungsebene fortlaufend informiert wird. Du kannst es dir nicht leisten, das zu vernachlässigen.
Abteilungsübergreifende Beziehungen
Abteilungen für Betrugsbekämpfung arbeiten oft in einer Art Silo innerhalb ihres Unternehmens. Die Herangehensweise und die Art der Arbeit, die zu dieser Aufgabe gehört, kann anderen Teilen des Unternehmens sehr fremd erscheinen. Eine Ausnahme bilden die Abteilungen für Vertrauen und Sicherheit und für Cybersicherheit, und es kann sich lohnen, in enge Beziehungen zu diesen Teams zu investieren, die mit ähnlichen Gegnern, Sorgen und Angriffen konfrontiert sind. Wie Uri Lapidot, Senior Product Manager of Risk bei Intuit, sagte:
Betrugsteams können durchaus wertvolle Informationen austauschen, die den Teams für Cybersecurity und Vertrauen und Sicherheit helfen können, und umgekehrt. Darüber hinaus überschneiden sich die Interessen und Prioritäten der Teams oft, und durch die Zusammenarbeit können die Ressourcen und das Wissen der einzelnen Abteilungen optimal genutzt werden. Es ist für alle Beteiligten wichtig, in engem Kontakt zu bleiben und sich regelmäßig abzustimmen.
Die Distanz zwischen der Betrugsbekämpfung und den Abteilungen außerhalb der Cybersecurity oder des Vertrauens- und Sicherheitsbereichs ist jedoch ein Problem. Du kannst nicht in deiner Komfortzone bleiben. Betrugsbekämpfer sollten die Bedeutung von abteilungsübergreifenden Beziehungen nicht unterschätzen.
Wenn andere in deinem Unternehmen deine Arbeit nicht verstehen, was du tust oder wie du es tust, ist das eine Gelegenheit zur Weiterbildung. Du kannst "Lunch and Learn"-Sitzungen veranstalten oder in Einführungskursen für neue Mitarbeiter/innen das Einmaleins des Betrugs vermitteln. Betrug ist faszinierend, und zwar nicht nur für Betrugsanalytiker/innen, solange du das Thema auf deine Zuhörer/innen und dein Unternehmen beziehst und einige Geschichten aus dem wirklichen Leben verwendest, um deine Argumente zu veranschaulichen.
Wie wir bereits gesagt haben, geht es bei der Betrugsprävention vor allem darum, die richtige Balance (oder den richtigen Kompromiss) zwischen Kundenerfahrung und Risikoaversion zu finden. Es gibt viele andere Abteilungen, die von dieser Entscheidung betroffen sind, darunter das Marketing, der Vertrieb, die Produktabteilung und der Kundensupport. Wenn du sie ignorierst, werden sie weiter meckern und dich für einen Haufen Pessimisten halten. Wenn du sie in die Herausforderungen und Kompromisse einbeziehst und dafür sorgst, dass sie im Laufe der Zeit den Gesamtzusammenhang aus deiner Sicht verstehen, werden sie gemeinsam mit dir nach praktikablen Lösungen suchen. Sie werden sich auch daran erinnern, die Abteilung für Betrugsbekämpfung in Diskussionen einzubeziehen, wenn es darum geht, einen neuen Markt zu erschließen, oder sie werden dich im Voraus über ein Gutscheinprogramm oder einen Blitzverkauf informieren, den sie planen.
Wir haben von vielen Betrugsanalytikern gehört, dass sie oft als Letzte von solchen Dingen erfahren und dass sie manchmal zu spät davon erfahren - nämlich dann, wenn die Zahl der Falschmeldungen (oder neuen Betrugsfälle) bereits stark angestiegen ist. In Abwandlung von Hanlons Rasiermesser gilt: Unterstelle niemals Böswilligkeit, was sich durch Unwissenheit hinreichend erklären lässt. Sie haben es dich nicht wissen lassen, weil sie nicht wussten, dass du es wissen musst. Und es gehört zu deinen Aufgaben, dafür zu sorgen, dass sie das auch in Zukunft wissen.
Andere Abteilungen wissen nicht viel über Betrugsprävention. Du musst sie aufklären, damit sie verstehen, wie ihre Arbeit mit deiner zusammenhängt, damit sie glauben, dass du auf dasselbe Ziel hinarbeitest wie sie, und damit sie zusammenarbeiten wollen, um den Erfolg des Unternehmens zu sichern.
Um zu verdeutlichen, warum es so wichtig ist, abteilungsübergreifende Partnerschaften zu entwickeln, sprach Tal Yeshanov, Leiterin der Abteilung für Risiko- und Finanzoperationen bei Plastiq, über ihre Erfahrungen, wie die Zusammenarbeit mit den Marketingteams so wertvoll für den Erfolg ihres Betrugsteams war:
Letztendlich versuchen deine Marketing- und Betrugsteams beide, die Frage zu beantworten: "Wer ist dieser Nutzer?" Das Endziel ist unterschiedlich und die KPIs sind unterschiedlich, was diese wichtige Wahrheit verschleiern kann, aber Tatsache ist, dass die gemeinsame Nutzung einiger Daten über die Nutzer, wie IP, Gerät, Zeitzone, Spracheinstellungen, E-Mail, Telefon, Kontolalter, Transaktionsvolumen, Transaktionsgeschwindigkeit usw., beiden Teams helfen kann, ihre Arbeit zu verbessern. Sobald die Teams erkennen, dass ihre Arbeit und ihre Ziele gar nicht so unterschiedlich sind, sind sie oft gespannt darauf, was sie gemeinsam erreichen können.
Betrugs- und Marketingteams müssen einfach zusammenarbeiten. Die Aufgabe des Marketings ist es, die Nutzer/innen auf die Produkte und Funktionen aufmerksam zu machen. Wenn Marketingteams Kampagnen starten, vor allem wenn sie erfolgreich sind, bedeutet das, dass die Nutzer/innen kommen und Geschäfte abschließen werden. Das Marketingteam entscheidet über die Botschaft, den Rabatt oder die Werbeaktion, den Zeitpunkt (meist um die Feiertage herum) und den Umfang der Kampagne (wie oft, wie lange und für wen). All diese Dinge wirken sich auf die Risikoteams aus und sie sollten zusammenarbeiten, um eine Strategie zur Bewältigung des erhöhten Transaktionsvolumens zu haben.
Tal nannte auch ein paar Dinge, auf die man achten sollte, um zu zeigen, wie eng die Themen Marketing und Betrug miteinander verwoben sind:
- Die Gesamtzahl der Transaktionen wird steigen
- Das bedeutet, dass mehr Nutzer Bestellungen aufgeben werden. Stelle sicher, dass die Betrugsteams angemessen besetzt und geschult sind.
- Der Dollarwert jeder Transaktion kann steigen
- Das bedeutet, dass die Nutzer/innen möglicherweise mehr Geld ausgeben, um eine Aktion zu nutzen oder sich dafür zu qualifizieren. Achte darauf, dass du Regeln, Modelle und Workflows anpasst, um dies zu berücksichtigen, damit Falschmeldungen auf ein Minimum reduziert werden.
- Das Verhalten der Nutzer wird sich ändern
- Statt einen Artikel zu kaufen, kaufen sie vielleicht drei, statt nach Hause zu liefern, liefern sie an einen Freund, oder statt von zu Hause aus bestellen sie vielleicht vom Flughafen oder einem Hotel aus (vor allem, wenn es um die Feiertage herum ist, wenn die Leute auf Reisen sind). Wie wir bereits erwähnt haben, müssen die Betrugsabteilungen die Trends der Vergangenheit beobachten und mit dem Marketing sprechen, um sicherzustellen, dass sie diese Veränderungen berücksichtigen, damit die legitimen Nutzer/innen nicht den Systemen zum Opfer fallen, die die Betrüger/innen abfangen sollen.
- Die Art der Transaktion kann unterschiedlich sein
- Vielleicht hat ein/e Nutzer/in bisher nur eine bestimmte Art von Produkten gekauft, aber mit einem Anreiz kann er/sie sich dazu entschließen, auch andere Dinge zu kaufen. Stelle sicher, dass dein Betrugs- und dein Marketingteam wissen, was der jeweils andere tut.
Strategie der Datenanalyse
Die Datenanalyse entscheidet über Erfolg oder Misserfolg bei der Betrugsprävention. Es ist einfach, sich auf den unmittelbaren Analysebedarf zu konzentrieren: die Transaktionen, Anmeldungen und so weiter, die jetzt durch das System fließen. Das ist wichtig und in vielen Fällen ist es das, womit die meisten Teammitglieder die meiste Zeit verbringen. Aber wenn du nie darüber hinaus blickst, wird das deinen Horizont einnehmen und du wirst ständig mit Feuerbekämpfung beschäftigt sein. Strategie ist wichtig, damit du verstehst, wie dein Team an die Herausforderungen herangeht und wie du es verbessern kannst, um bessere Ergebnisse zu erzielen. Dafür musst du dir Zeit nehmen, auch wenn viel los ist, denn es ist vielleicht nicht dringend, aber sehr wichtig.
Je nachdem, welche Prioritäten du als Abteilung und als Unternehmen setzt, wirst du vielleicht einen anderen Ansatz für deine Datenanalysestrategie wählen. Aber es gibt zwei Punkte, die wir hervorheben wollen, die im Großen und Ganzen relevant sind. Der erste ist, dass du in deinen Quartalsplänen die richtigen Verbindungen zwischen deiner Automatisierung und deinem menschlichen Fachwissen herstellen musst.
Diese sollten nicht getrennt voneinander durchgeführt werden. Du erhältst die besten Ergebnisse, wenn sie sich gegenseitig anleiten. Du wirst zum Beispiel das meiste aus deinen Machine-Learning-Modellen herausholen, wenn du einen Fachexperten regelmäßig die Merkmale überprüfen lässt, die sich daraus ergeben. Viele dieser Merkmale werden aussagekräftig sein, aber manchmal sind sie entweder zufällig oder beziehen sich auf einen Trend, den du in einem relevanten kulturellen oder sozialen Kontext verstehst, den die Maschine nicht kennt. In diesen Fällen musst du dafür sorgen, dass die Maschine die Merkmale entweder ignoriert oder sie entsprechend abändert, um Betrug zu verhindern, ohne dass es zu Fehlalarmen kommt.
In ähnlicher Weise sollten die Teams regelmäßige Brainstorming-Sitzungen einplanen, um komplexe Funktionen zu erforschen, zu entwickeln und dann zu testen, die sich auf Fälle beziehen, die zu selten oder zu kompliziert sind, als dass das Modell sie erkennen könnte. Zu selten ist offensichtlich, und das Material, um solche Fälle zu erkennen, kann aus deinen eigenen Stichproben oder aus der Zusammenarbeit mit Kundendienstteams stammen. Nimm zum Beispiel Internetcafés in Entwicklungsländern. Bei Flügen, die dort gebucht werden, ist die Wahrscheinlichkeit eines Betrugs größer. Aber was ist, wenn die Person an der Tastatur mit der Persona übereinstimmt, die du dir von einem internationalen Reisenden gemacht hast? Dann ist das eigentlich ein gutes Zeichen. Menschen sind kompliziert. Ein Modell, das durch zu viele gemischte Signale (sowohl gute als auch schlechte) verwirrt ist, wird dies einfach als nicht aussagekräftig für die eine oder andere Seite werten. Aber ein menschlicher Experte kann die Informationen im Kontext verstehen und sicherstellen, dass sie richtig verwendet werden.
Der zweite Punkt, den wir hervorheben möchten, ist die Bedeutung der Zusammenarbeit mit den Kundensupport-Teams als Teil deiner Datenanalysestrategie. Mit der richtigen vertrauensvollen Beziehung und regelmäßigem Kontakt können dir diese Teams die bestmöglichen Hinweise geben, wenn du nach Betrugstrends suchen willst. Wenn du erfährst, dass der Kundensupport eine Reihe von Kunden hatte, die eigentlich 80-jährige Frauen sein sollten, deren Anrufe aber immer von einem jungen Mann entgegengenommen wurden, kannst du dieses Wissen in dein System einspeisen und diese Transaktionen kennzeichnen.
Arbeite mit dem Kundenserviceteam zusammen, um eine Liste mit verdächtigen Vorfällen und den Betrugsindikatoren, die sie hören oder sehen, zu vereinbaren. Füge dann eine Schaltfläche in ihr System ein, mit der sie in Echtzeit melden können, wenn so etwas passiert, indem sie den entsprechenden Indikator aus einem einfachen Dropdown-Menü auswählen. Je einfacher du es ihnen machst, dir zu helfen, desto mehr Hilfe wirst du bekommen und desto mehr Daten wirst du erhalten. Dein Team kann dann nach Mustern suchen. Es wird keine riesige Menge an Daten sein, die du in ein automatisiertes Modell einfügen kannst, aber es werden genug sein und sie werden sorgfältig genug ausgewählt, um die Zeit deines Betrugsteams wert zu sein. Ein Experte für den Bereich kann herausfinden, ob es sich um einen Zufall oder die Spitze des Eisbergs eines Betrugs handelt.
Tipp
Achte darauf, dass du das Kundendienstteam benachrichtigst, wenn ihre Beiträge dir geholfen haben. So baust du eine gute Beziehung auf und es ist wahrscheinlicher, dass sie dir auch in Zukunft helfen wollen. Und man weiß ja nie: Vielleicht inspiriert es den einen oder anderen dazu, selbst Betrugsanalytiker zu werden.
Betrugs-Tech-Strategie
Deine Betrugsstrategie hängt stark von deinem Budget und den Ressourcen ab, die dir für die Einführung neuer Tools zur Verfügung stehen. Wie bei der Datenanalysestrategie gibt es auch hier ein paar allgemein relevante Punkte, die wir hervorheben möchten.
Erstens sollte deine Betrugstechnologie-Strategie strategisch sein. Integriere nicht irgendetwas, nur weil es lustig, glänzend und clever klingt. Es kann all das sein, aber wenn es etwas tut, was dein Unternehmen nicht wirklich braucht, machst du dein System nur noch komplizierter, und das ohne Grund. Selbst wenn dein Unternehmen bereit ist, neue Technologien auszuprobieren, um zu sehen, was es gibt, solltest du die wirklichen Schwächen deiner aktuellen Situation analysieren und versuchen, Lösungen dafür zu finden, anstatt nach dem zu suchen, was am aufregendsten klingt.
Im Gegensatz dazu sollten Teams, die Schwierigkeiten haben, das Budget oder die Ressourcen für neue Technologien aufzubringen, sich nicht davon abhalten lassen, sich auf ihre Schwächen zu konzentrieren und Zeit und Forschung in Tools zu investieren, die einen messbaren Einfluss auf sie haben könnten. Selbst wenn es mehr als ein Jahr dauert, bis du das Werkzeug bekommst, das du schon vor Monaten gebraucht hast - wenn es das richtige für dich ist, macht es das Warten nicht weniger relevant, wenn du es erst einmal hast. Und du musst ein Auge darauf haben, was es gibt, damit du, sobald du die Gelegenheit hast, das bekommst, was du brauchst.
Zweitens musst du bei der Entwicklung deiner technischen Strategie sicherstellen, dass du alle Bereiche deines Systems abdeckst. Du musst in der Lage sein, regelbasierte taktische Maßnahmen zu ergreifen, um bestimmte Betrüger oder Ringe sofort zu stoppen oder dich spontan an sich schnell ändernde Umstände anzupassen. Vielleicht möchtest du auch maschinelles Lernen einsetzen. In diesem Fall solltest du sicherstellen, dass du auch die dazugehörige Wartung planst, um neue Trends und damit verbundene Attribute zu erkennen. In diesem Zusammenhang solltest du flexibel bleiben. Wenn du zum Beispiel viel in dein Team und deine Technologie für maschinelles Lernen investiert hast und sie wirklich gut funktioniert und deine Data-Science-Partner dir helfen, Probleme zu lösen, über die du dir schon seit Jahren den Kopf zerbrichst, ist das großartig. Aber vergiss nicht, dass du auch in der Lage sein musst, Regeln zu nutzen, um dich kurzfristig anzupassen (wie zum Beispiel zu Beginn der COVID-19-Pandemie, als sich die Dinge so schnell in vielerlei Hinsicht änderten). Es ist besser, eine einfache Regel zu schreiben, um zu warten, bis dein Modell trainiert werden kann, als sich ganz auf dein normalerweise ausgezeichnetes maschinelles Lernsystem zu verlassen und dann überrumpelt zu werden.
Achte darauf, dass du eine Vielzahl von Werkzeugen und Herangehensweisen zur Verfügung hast, damit du das Werkzeug einsetzen kannst, das für die jeweilige Aufgabe am besten geeignet ist. Du liebst vielleicht deinen Hammer, aber das bedeutet nicht, dass jedes Problem ein Nagel ist.
Drittens: Wenn du über deinen technischen Bedarf nachdenkst, erinnere dich daran, die gesamte Customer Journey zu betrachten, von der Kontoerstellung über die Anmeldung bis hin zur Transaktion oder Aktion und mehr. Wenn nötig, setze Prioritäten, welche Elemente am dringendsten zusätzliche Unterstützung oder Hilfsmittel benötigen, und kümmere dich zuerst um diese (aber vergiss den Rest nicht).
Das gilt auch für die Teile einer Zahlung, die dein Unternehmen nicht kontrolliert. Vergewissere dich, dass du die Situation mit deinen Authentifizierungsabläufen verstehst, und wenn du hier den Kürzeren ziehst, suche nach Lösungen, die dir helfen können. Wie üblich gibt es oft einen Kompromiss in Bezug auf die Reibungsverluste für die Nutzer/innen, wobei die Reibungsverluste erhöht werden, um die Zahl der Falschmeldungen zu verringern, und das sollte Teil deines Verständnisses der Unternehmensprioritäten in Bezug auf das Kundenerlebnis sein. Wenn du daran interessiert bist, Betrügern das Leben schwer zu machen, indem du sie zwingst, mehr Daten durch Authentifizierungsprozesse bereitzustellen (und damit zu verbrauchen), kann das auch für deine technische Strategie von Bedeutung sein.
Überlegungen zum Datenschutz
Betrugsprävention und andere Maßnahmen zur Aufdeckung von und zur Verhinderung krimineller Handlungen sind von vielen Datenschutzüberlegungen ausgenommen, die andere Branchen und Abteilungen einschränken. In Erwägungsgrund 47 der EU-Datenschutzgrundverordnung (DSGVO) heißt es zum Beispiel: "Die Verarbeitung personenbezogener Daten, die für die Betrugsbekämpfung unbedingt erforderlich ist, stellt ebenfalls ein berechtigtes Interesse des für die Verarbeitung Verantwortlichen dar." Ähnlich verhält es sich mit dem California Privacy Rights Act (CPRA), der besagt, dass die Betrugsbekämpfung eine Ausnahme vom Recht auf Löschung darstellt, "soweit die Verwendung der personenbezogenen Daten des Verbrauchers für diese Zwecke vernünftigerweise notwendig und verhältnismäßig ist".
Der Gesetzgeber folgt natürlich einer zwingenden Logik: Wenn die Betrugsbekämpfung nicht von den Beschränkungen des Datenaustauschs ausgenommen wird, würde dies den Betrügern in die Hände spielen, da es viel schwieriger wäre, Diebe bei der Arbeit zu identifizieren, da jedes Unternehmen nur mit seinen eigenen Daten arbeiten könnte und zusätzlich alle zusätzlichen Informationen oder Aufschlüsse, die es durch die Zusammenarbeit mit anderen Gruppen unter Verwendung von Technologien zur Verbesserung des Datenschutzes gewinnen könnte. Tools zur Datenanreicherung und in vielen Fällen sogar Drittanbieter von Lösungen wären nicht mehr von Nutzen, was die Bemühungen zur Betrugsaufdeckung lähmen würde. Auch das Recht, von einem Unternehmen, das über deine Daten verfügt, deren Löschung zu verlangen, wie es durch Gesetze wie die DSGVO eingeführt wurde, wird durch die Erfordernisse der Betrugsprävention sinnvoll gemildert, denn wenn Betrüger erfolgreich die Löschung ihrer Daten verlangen könnten, wären sie bei ihrem nächsten Versuch viel schwerer zu erwischen. Die Regulierungsbehörden haben nicht die Aufgabe, Betrügern das Leben leichter zu machen (zumindest nicht absichtlich).
Aus all diesen Gründen ist es wahrscheinlich, dass künftige Datenschutzgesetze, auch solche, die den Datentransfer zwischen verschiedenen Ländern regeln, ähnlich verfahren und die Betrugsbekämpfung von vielen ihrer Forderungen ausnehmen werden. Das bedeutet jedoch nicht, dass die Betrugsbekämpfungsabteilungen davon nicht betroffen sind. Die Teams, die sich auf die DSGVO vorbereiten, werden sich daran erinnern, dass die Struktur und die Durchsuchbarkeit der verwendeten Datenbanken dem Recht auf Zugang, gegebenenfalls dem Recht auf Löschung usw. entsprechen müssen. Außerdem müssen Verfahren eingeführt werden, mit denen die Betrugsteams feststellen können, wann den Anträgen auf Löschung sicher entsprochen werden kann. Auch die Identitätsprüfung, die notwendig ist, um sicherzustellen, dass es sich bei der Person, die ihre Daten anfordert, auch wirklich um die betreffende Person handelt, kann Aufgabe des Betrugsbekämpfungsteams sein.
Darüber hinaus findest du in den oben zitierten Verordnungen die Begriffe "unbedingt erforderlich", "vernünftigerweise erforderlich" und "verhältnismäßig". Die Auslegung dieser und ähnlicher Begriffe an anderen Stellen der Verordnung ist enorm wichtig, um festzulegen, was Betrugsbekämpfer mit den Daten der Nutzer tun dürfen und was nicht. Das ist ein gefundenes Fressen für Juristen, aber als Teil dieser Diskussion müssen Betrugsbekämpfungsteams in der Lage sein zu erklären, welche Daten sie verwenden, warum sie sie brauchen und was sie damit machen. Das sollte man auch bedenken, wenn man über neue Tools zur Datenanreicherung nachdenkt.
Es ist wichtig, dass die Betrugsbekämpfungsteams mit dem Rechtsteam ihres Unternehmens zusammenarbeiten, um sicherzustellen, dass alles nicht nur im Einklang mit den jeweiligen lokalen Gesetzen geschieht, sondern auch so, dass es gegen künftige Änderungen abgesichert ist. Eine gründliche Prüfung, welche Daten an welche Anbieter gesendet werden, und eine kluge Analyse der Notwendigkeit verschiedener Beziehungen zu Datenmaklern können ebenfalls von Nutzen sein. Es ist wichtig zu wissen, wie dein Team in Bezug auf die gemeinsame Nutzung von Daten und die Gesetzgebung steht, damit du überzeugend argumentieren kannst, wenn du deine Praktiken zur gemeinsamen Nutzung von Daten verteidigen musst.
Neue Bedrohungen ohne unnötige Reibungsverluste erkennen und bekämpfen
Ein Großteil der täglichen Arbeit eines Betrugsteams konzentriert sich auf den unmittelbaren Moment: welche Aktivitäten oder Transaktionen betrügerisch sind, welche Muster oder Betrugstrends oder -techniken diese Woche auftauchen und wie man ein Gleichgewicht zwischen Reibung und Betrugsprävention für die Kunden findet, die man gerade hat.
Die Erforschung neuer Bedrohungen bleibt jedoch unerlässlich. Erstens kann ein neuer Trick, wenn er lange unentdeckt bleibt, für das Unternehmen enorm kostspielig sein. Zweitens führen panische Reaktionen auf überraschende Bedrohungen, wenn sie schließlich entdeckt werden, oft zu großen Reibereien und Geschäftseinbußen. Drittens erinnerst du dich daran, wie wichtig es ist, der oberen Führungsebene dein Fachwissen zu demonstrieren. Es ist wichtig zu zeigen, dass du mit den Entwicklungen Schritt hältst und nicht erst Monate später von einer neuen Bedrohung erfährst, wenn der Rest der Gemeinschaft bereits darüber spricht.
Forschung ist in der Theorie oft sehr gut, aber sie kann unter dem Druck dringenderer Probleme auf der Strecke bleiben. Um dies zu vermeiden, lohnt es sich, bestimmte Personen auszuwählen, die bestimmte Bereiche deiner eigenen Daten eine bestimmte Anzahl von Malen pro Monat oder Quartal untersuchen, und andere Teammitglieder zu benennen, die Foren, Artikel und Newsletter in der Betrugsbekämpfungs-Community im Auge behalten. Regelmäßige wöchentliche Treffen für diejenigen, die manuelle Überprüfungen durchführen, sind ebenfalls wertvoll, um Diskussionen zu ermöglichen, die neue Muster ans Licht bringen können. Wenn du diese Aktivitäten als feste Termine in den Kalender des Teams einträgst, kannst du verhindern, dass sie versehentlich verschwinden.
Wenn neue Bedrohungen identifiziert werden, ist es natürlich wichtig, sich daran zu erinnern, dass die Aufdeckung und Prävention mit so wenig Reibung wie möglich für die guten Nutzer/innen erfolgen sollte. In solchen Situationen ist es immer verlockend, überzureagieren und sich zu sehr auf die risikoscheue Seite des Spektrums zu begeben. Daher kann es sich lohnen, ein Verfahren für den Umgang mit neuen Bedrohungen zu entwickeln, das auch die Reibung berücksichtigt.
Mit neuen Tools zur Betrugsbekämpfung auf dem Laufenden bleiben
So wie sich neue Betrugstechniken im Laufe der Zeit weiterentwickeln, entwickeln auch die Anbieter von ständig neue Tools, um sie zu bekämpfen. Wie bei neuen Bedrohungen lohnt es sich, eine oder mehrere Personen in deinem Team zu haben, deren Aufgabe es ist, regelmäßig neue Tools zu recherchieren, damit dein Team nicht die neueste Option verpasst, die genau dem Bedarf entspricht, den du gerade entdeckt hast. Einige besonders große Betrugsteams haben eine Person, die diese Aufgabe übernimmt.
Es ist natürlich wichtig, dass du jedes Tool für sich und im Vergleich zu deinen bestehenden Tools und Systemen sorgfältig bewertest. Inwieweit wird das neue Tool deine Genauigkeit bei der Aufdeckung von Betrug erhöhen oder die Reibungsverluste verringern? Teste die Ergebnisse immer im Vergleich zu deinem aktuellen System. Auch wenn ein Tool noch so gut ist und von vertrauenswürdigen Branchenkollegen empfohlen wird, kann es sein, dass es für deine Bedürfnisse und dein Risikoprofil nicht geeignet ist.
Zusammenfassung
In diesem Kapitel wurden die Rahmenbedingungen für ein erfolgreiches Betrugsbekämpfungsteam erläutert. Das von dir verwendete System, die Struktur deines Teams, deine Beziehungen zu anderen Abteilungen, Überlegungen zum Datenschutz und das Verfolgen neuer Entwicklungen im Bereich Betrug und Betrugsprävention sind wichtige Elemente, um in deinem Unternehmen eine effektive Betrugsbekämpfung aufzubauen und durchzuführen. Das nächste Kapitel ist in gewisser Weise ein Begleitkapitel zu diesem Kapitel, in dem es um Modellierungsmöglichkeiten, Herausforderungen und Lösungen für die Betrugsbekämpfung geht. Für viele Teams wird dies eine ebenso wichtige Voraussetzung für die Betrugsbekämpfung sein, obwohl die Art des Modells von den Herausforderungen und der Branche abhängt, in der du tätig bist.
1 John Kander und Fred Ebb, "Money", in Cabaret, Musik von John Kander, Text von Fred Ebb, Buch von Joe Masteroff (1966).
2 Karisse Hendrick, "A 21st Century Approach to Enabling Merchant Collaboration (w/ Uri Arad at Identiq)", 10. Juni 2021, in Fraudology, produziert von Rolled Up Podcast Network, podcast.
Get Praktische Betrugsprävention now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
