„Leider wird mir nicht immer geglaubt, wenn ich vor Betrug warne”

Carmen Honacker ist eine Veteranin im Kampf gegen Betrug. Die gebürtige US-Amerikanerin begann ihre Karriere auf dem Gebiet vor 20 Jahren bei Yahoo, als ihr die Aufgabe von ihrem Vorgesetzten einfach so auferlegt wurde. Sie baute anschließend ein Team aus Betrugsjägern auf und arbeitete sich in das Thema ein. Nachdem sie beim Gaming-Studio Sqare Enix gearbeitet hatte, wurde sie Beraterin für Betrugsprävention. Nach Station bei Ebay leitete sie die Globale Betrugsstrategie bei Playstation. Ein Job bei Booking.com führte sie nach Europa, bevor sie zum Hamburger Softwareanbieter Risk Ident kam. 

Frau Honacker, die Bafin warnt gerade immer wieder vor neuen Betrugsmaschen.  Sind Unternehmen im Finanzsektor besonders anfällig? 

Banken und Finanzdienstleistern sind gefährdeter, weil sie mehr zu verlieren haben als andere Unternehmen. Da muss schon eine gewisse Sorgfalt walten. Die Regulierung zwingt sie außerdem dazu. Die ganzen Regeln zu Geldwäschebekämpfung, Underwriting und Know-Your-Customer (KYC) schützen sie aber nicht vor Betrug. 

Gerade Fintechs wollen schnell skalieren. Bedeutet das zwangsläufig immer, dass Betrugsprävention darunter leidet?

Die neuen Identifikationsmethoden ermöglichen, dass viele Menschen in kurzer Zeit Konten eröffnen können. Im Finanzbereich ist eine gewisse Friktion bei der Kontozulassung durchaus angebracht. Ich finde es deshalb nicht schlimm, wenn es länger als fünf Minuten dauert, ein Konto zu eröffnen. Aber festzustellen, ob eine Person die ist, für die sie sich ausgibt, ist erst der Anfang. 

Wie kann man dem schneller auf die Schliche kommen?

Schlau ist es, ein komplettes Profil aller „guten” Konten zu erstellen. Wie verhalten sie sich im Normalfall? Wie eröffnen sie ihr Konto? Wie lange dauert das? Wenn die ersten Daten anfallen, also wenn das Konto anfängt zu arbeiten, dann müssen Unternehmen sich die Muster anschauen. Aufgrund dessen können sie Anomalien erkennen. Etwa wenn jeden Monat die Miete abgeht, aber keine Stromrechnung.  Das ist nicht leicht zu erkennen, weil Betrüger:innen besonders in dieser Branche sehr schlau vorgehen. 

Haben Sie ein Beispiel? 

In einem Fall, den ich erlebt habe, täuschten Betrüger:innen über Social Media Frauen eine Beziehung vor. Die Betrüger:innen haben sie dazu überredet, ihre Daten herzugeben. Dann haben sie in ihrem Namen Geschäftskonten eröffnet, um damit Geld zu waschen. In solchen Fällen ist es besonders schwierig, den Betrug zu erkennen, schließlich handeln hier anscheinend echte Personen. In solchen Fällen müssen wir also nur anhand des Verhaltens, aufgrund der Website des angeblichen Geschäfts, den Mustern der Geldflüsse oder der angeblichen Person hinter dem Konto erkennen, dass es sich um einen Identitätsmissbrauch handelt. 

Um die Konten dann zu sperren.

Richtig. Nur ist es sehr traurig, weil wir den Opfern mitteilen mussten, dass ihre vermeintlichen Partner Betrüger:innen waren und nicht existieren. Wir mussten ihnen also nahelegen, mit ihnen Schluss zu machen. Das war nicht immer ganz einfach, weil viele noch daran glaubten, dass diese Personen sie liebten und heiraten wollten. Sie haben sich auch sehr oft geweigert. Das Konto haben wir dann trotzdem geschlossen. Das sind menschliche Dramen, die sich da abspielen. Dass so etwas erkannt wird, ist aber längst nicht garantiert, denn es gibt auch erhebliche Defizite.  

Die Bafin moniert regelmäßig die Betrugs- und Geldwäscheprävention. 

Die Regeln der Bafin haben mit der tatsächlichen Wehrhaftigkeit wenig zu tun, weil sie sich vor allem auf KYC konzentrieren. Und auch Antragsbetrug fällt komplett durchs Raster: Wenn jemand mit falschen Angaben oder einer fremden Identität einen Kredit oder ein Darlehen beantragt, ist das kein Geldwäsche-Problem, das ist Betrug. Bei den Vorschriften kratze ich mir teilweise am Kopf, denn sie bedeuten nicht, dass tatsächliche Muster von Betrug häufiger gefunden werden. Echte Betrugsmuster, wie Velocity-Auffälligkeiten, Geräte-Fingerprints oder Verhaltensanomalien stehen in keiner BaFin-Vorschrift. Da müssen die Banken schon selbst drauf kommen, haben aber teilweise noch nicht den Ernst der Lage erkannt. Es wird sich einfach zu wenig darum gekümmert, was hinterher passiert. Das merke ich auch daran, dass mir nicht immer geglaubt wird, wenn ich vor Betrug warne. 

Warum?

Es kommt auf die Firma an. Wenn sich die Verluste, die durch den Betrug für das Unternehmen entstehen, noch nicht verwirklicht haben, scheuen viele davor, einzugreifen – sie sehen dann häufig nur die Umsätze. Tausende Konten aufgrund eines Verdachts zu schließen, wird als größeres Geschäftsrisiko gesehen als der Betrug. Viele Betrüger:innen wissen, wie Unternehmen in solchen Situationen denken. Sie wissen oft genau, wie weit sie gehen können.   

Wie überzeugen Sie Banken davon, mehr Wert auf Prävention zu legen?

Ich muss die Kosten klar aufzeigen. Oft klagen einzelne Abteilungen darüber, dass sie Budgets für die Prävention nicht durchbekommen. Ich halte dann eine Präsentation vor den Entscheider:innen. Danach sitzt das Geld für Prävention lockerer. Ein Problem ist, dass die Betrugspräventionsteams in ein Silo gesteckt werden. Sie müssen aber überall im Unternehmen integriert sein, im Marketing, Vertrieb, Finanzen. Dort müssen sie erklären, was und warum sie es tun und warum es für die Abteilungen einen konkreten Vorteil hat. 

Was können speziell Banken tun?

Wie in den oben beschriebenen Fällen mit der „freundlichen” Kontoübernahme glauben Banken, dass sie nicht das Recht haben, einzugreifen und fürchten sich vor Konsequenzen. Sie klären außerdem zu wenig über Investment- und Romance-Scams auf. Das haben viele vernachlässigt. Wenn es dann passiert, kriegt es kein Mensch mit, auch nicht die Betroffenen.

Einige Banken warnen mittlerweile vor solchen Betrügereien – auch die Bafin setzt mehr auf Aufklärung.  

Im Moment erreicht diese Aufklärung aber keine große Öffentlichkeit. Ältere Personen, eine der anfälligsten Gruppen für Betrug, sehen die Warnungen nicht unbedingt auf Instagram und Facebook. Man müsste über Fernsehen oder Radio gehen. Im Vereinigten Königreich gab es eine super Kampagne gegen Phishing, die den Betrug um über 60 Prozent gesenkt hat. Das kostet aber mehr als ein Newsletter oder ein Post. Es müssten sich mehrere Finanzinstitute zusammenschließen, um das zu finanzieren. Das probieren wir jetzt gerade. 

Wie wichtig wird KI? 

KI ist schon lange im Spiel bei der Betrugserkennung. Der Großteil unserer Betrugsprävention läuft bereits über Machine-Learning-Modelle. Sie kann Anomalien schneller über große Datenmengen erkennen. Ob Transaktionen mit demselben Gerät, der gleichen Adresse oder der gleichen E-Mail ausgeführt werden. Die KI steuert dann verdächtige Transaktionen oder Konten aus, wenn sie nicht sicher ist. Sie hat dann aber schon genug Hinweise gesammelt, damit ein Mensch entscheiden kann, ob es sich um Betrug handelt – die KI wird dadurch wiederum schlauer.

Sehen Sie hier in Zukunft die größten Gefahren durch Betrug für Fintechs? 

Im Gegensatz zu den meisten Leuten habe ich keine Riesenangst. Der Grund dafür ist, dass KI so eine Art sechster Sinn fehlt. Selbst wenn alles normal aussieht und eine KI anders entscheiden würde, haben erfahrene Betrugsjäger:innen so ein Bauchgefühl, wenn sie ein Muster erkennen. KI kann noch nicht das Verhalten von Verdächtigen im Ganzen interpretieren. Andererseits werden Betrüger:innen durch KI immer besser. Aber ich bin mir sicher, das können wir auch.

Vielen Dank für das Gespräch.