Prophylaxe mit Fraud Management

Marco Marchesi ist CEO der Security-Beraterin Ispin AG, Bassersdorf. www.ispin.ch

Bei Wirtschaftskriminellen handelt es sich häufig um normale Mitarbeiter, Vertreter des Managements, um Kunden, Lieferanten oder andere Aussenstehende. Ungenügende Kontroll- und Security-Systeme, schlecht umgesetzte Informations- und IT-Sicherheitskonzepte sowie reger Datenaustausch zwischen internen und externen Stellen, leisten den Betrügereien aktiv Vorschub.

Die Infrastrukturen - dazu zählen Serverfarmen, Telekomsysteme, alle Mobilgeräte sowie SIM- und Kreditkarten - müssen gegen technischen Missbrauch geschützt werden. Bei nicht berechtigten Zugriffen auf Datennetze und Da-tenbanken könnten Firmen-geheimnisse ausspioniert, Patent- und Technologiedaten veräussert oder Provisionsbetrügereien getätigt werden.

So, wie die Polizei gegen Einbruch und Betrug die Vermeidung von Schwachstellen empfiehlt, ist in der IT Fraud Management (FM) nötig. Wobei damit weniger das Stopfen von Lücken und das Verwalten von Fehlern gemeint ist, als vielmehr die Analyse der Daten in Echtzeit und die daraus abgeleiteten Massnahmen. Die Eindringlinge sollen erkannt und bekämpft werden, bevor die Computersysteme befallen sind.

Fraud Management listet alle organisatorischen und technischen Massnahmen auf, die zur Erkennung - und Vermeidung - unzulässiger Handlungen beitragen. Selbstverständlich muss dies im Rahmen der geltenden Gesetze geschehen. In der Praxis unterscheidet man Subscription Fraud, Technical Fraud und Internal Fraud.

Meist stehen in der Prävention technische und organisatorische Massnahmen im Vordergrund. Für Fraud Detection werden ausgeklügelte Algorithmen eingesetzt, um relevante Daten auszuwerten und Missbrauchsprofile zu erstellen und zu analysieren. Im E-Commerce-Bereich muss es möglich sein, Fraud Detection und Prevention in Echtzeit einzusetzen, um das Übel an der Wurzel packen zu können und den Betrug noch während des Versuchs zu erkennen.

Fraud-Management-Systeme erkennen potenzielle Betrüger anhand von Verhaltensmustern. Wird ein solches Muster festgestellt, aktiviert sich ein gestaffeltes Steuerungssystem. Die Massnahmen reichen beispielsweise bei einer Kreditkartentransaktion von einer simplen Warnung bis hin zur sofortigen Sperrung der Karte.

Fraud-Management-Systeme sind lernfähig. Anhand der Transaktionsdaten eines Kreditkartenmissbrauchs werden neue Verhaltensmuster herausgefiltert, die künftig beim Aufspüren von Verdächtigen von unschätzbarem Wert sind.

In den heute zur Verfügung stehenden Lösungen ist der Fraud-Detection-Service transparent und für den Schutz von Daten und Kunden überaus hilfreich. Der Dienst spürt erschlichene Logins und Transaktionsbetrügerein in Echtzeit auf, ohne das Website-Erlebnis eines legitimen Benutzers dabei einzuschränken.

Durch die nicht-invasive Methode sind keinerlei Änderungen der Internetseite erforderlich. Die Technologie bleibt für den Verbraucher bis zur Entdeckung eines Betrugsfalls unsichtbar. Erkennt das System eine auffällige Transaktion, können die rechtmässigen User ihre Identität zum Beispiel schnell über ein automatisches System bestätigen. Dieses kann die Benutzer etwa dazu auffordern, sich über zusätzliche Credentials wie Einmalpasswörter, eindeutige Fragen und Antworten oder Kundendienstanrufe auszuweisen.

Security-GAUs, wie sie jüngst in Deutschland auftraten, unterstreichen die Wichtigkeit von Fraud-Management-Systemen. Zwar ist deren Einführung mit Aufwand verbunden und bedarf der sorgfältigen organisatorischen Integration als Querschnittfunktion. Voraussetzung für ihre Wirkungskraft ist aber, dass sie von der Linie über die Fachbereiche bis hin zum Management eines Unternehmens mitgetragen und aktiv gefördert werden.