Veröffentlicht: 16.10.2024

Digital Banking: neue Wege der Betrugsprävention
Das Wettrüsten zwischen organisierter Kriminalität und Betrugsermittlerinnen und -ermittlern verläuft asymmetrisch. Die Zusammenarbeit der Kriminellen innerhalb der Syndikate funktioniert reibungslos. Die Bemühungen von Banken und Zahlungsdienstleistern zur Betrugsbekämpfung und zum Datenaustausch scheitern dagegen häufig an Hürden wie Beschränkungen beim Datenaustausch und Compliance-Problemen. Den Finanzinstituten steht jedoch ein neuer Mechanismus zur Verfügung, der ihnen bei der Betrugsbekämpfung zugutekommen kann.
Einleitung
Finanzinstitute agieren in Systemen, in denen der Rechtsrahmen in Bezug auf Daten und deren sichere Verarbeitung datenbasierte Innovationen behindert. Dass diese Hindernisse überwunden werden können, zeigen Methoden, die sich unter dem Oberbegriff „Privacy Enhancing Technologies“ (PETs) zusammenfassen lassen. Diese Technologien zum Schutz der Privatsphäre können Banken und anderen Finanzinstituten bei der effizienten Zusammenarbeit und Betrugsbekämpfung im Rahmen der bestehenden Datenschutzbestimmungen und gleichzeitig bei der Förderung von Geschäftsinnovationen behilflich sein.

Ein Konflikt: Datenschutz oder Innovation?
Finanzinstitute haben viel investiert, um ihre Fähigkeiten zu verbessern. Sie haben neue Verfahren eingeführt und ihre Datenanalyseprozesse und -anforderungen verändert. Dies gibt ihnen die Möglichkeit, den Wert ihrer Daten auszuschöpfen.
Der Schutz der Kundendaten ist für Finanzinstitute essenziell. Strenge Datenschutzgesetze können jedoch manchmal zu Problemen mit dem Schutz der Privatsphäre führen. Diese ergeben sich aus den Einwilligungen, die der Kunde oder die Kundin zum Zeitpunkt der Datenerhebung eingeholt und erteilt hat. Das gilt sowohl für den Verwendungszweck der Daten als auch für ihre Weitergabe (oder Nicht-Weitergabe). Eine Zustimmung für noch nicht entwickelte Dienste einzuholen, ist schwierig, noch dazu, wenn mehrere Institutionen beteiligt sind.
Selbst wenn die Daten rechtmäßig verwendet werden können, müssen bei ihrer Verarbeitung umfangreiche Anforderungen in Bezug auf Sicherheit und Vertraulichkeit erfüllt werden. Diese hohen Anforderungen sind ein entscheidendes Argument dafür, Datenschutz- und Sicherheitsprozesse von Anfang an gezielt in neue datenbasierte Produkte zu integrieren. Denn nur dann ist die für Innovationen notwendige Flexibilität gegeben.
Mithilfe von PETs lassen sich Fragen nach der rechtmäßigen Nutzung von Kundendaten und der Sicherheit der Datenverarbeitung klären. PETs verfolgen unterschiedliche Ansätze, um die Vertraulichkeit der Informationen zu gewährleisten. Entscheidend ist, dass durch PETs Erkenntnisse aus den Daten gewonnen werden können, ohne die Privatsphäre des oder der Einzelnen zu gefährden. So wird die Durchführung von Analysen unter Wahrung der persönlichen Daten gewährleistet.
“Die Betrugsprävention im digitalen Zeitalter erfordert, dass Finanzinstitute ihre Maßnahmen nicht länger isoliert voneinander durchführen. PETs ermöglichen den sicheren Austausch von Daten und das Aufbrechen von Silos, während gleichzeitig die Privatsphäre der Kundinnen und Kunden geschützt wird.“
Chairman of the “AI” & “Data Privacy in the Age of AI” Expert Groups, Mobey Forum
Technologien zum Schutz der Privatsphäre (PETs) im Überblick
Es gibt verschiedene PET-Konzepte, die unterschiedliche technologische Lösungen zur Bewältigung des Datenschutzproblems beinhalten1. Die wichtigsten Ansätze sind:
-
Verschlüsselte Analyse
Privacy Enhancing Technologies (PETs) ermöglichen es, Erkenntnisse aus Daten zu gewinnen, ohne die Privatsphäre der Einzelpersonen zu gefährden. Dieser Ansatz erlaubt die sichere Analyse sensibler Informationen und gewährleistet, dass die Daten während des gesamten Prozesses geschützt bleiben. Die beiden Schlüsseltechnologien, die der verschlüsselten Analyse zugrunde liegen, sind Fully Homomorphic Encryption (FHE) und Confidential Computing. FHE ist eine kryptografische Technik, die es erlaubt, Berechnungen direkt auf verschlüsselten Daten durchzuführen, ohne diese vorher entschlüsseln zu müssen. Dadurch bleiben sensible Informationen jederzeit verschlüsselt, selbst während der Verarbeitung auf dem Server oder der Plattform, die die Analyse durchführt. Auch die Ergebnisse der Analyse bleiben verschlüsselt und können nur von einer autorisierten Partei entschlüsselt werden, was einen durchgängigen Schutz der Daten gewährleistet. Confidential Computing ist eine Cloud-Computing-Technologie, die Daten während der Verarbeitung schützt. Es setzt auf sogenannte Trusted Execution Environments (TEEs), die Daten nur für die Dauer der Berechnung entschlüsseln und gleichzeitig vor unbefugtem Zugriff durch Betriebssysteme, Anwendungen oder Cloud-Anbieter schützen. TEEs stellen sicher, dass die Daten innerhalb des spezifischen Analyseumfelds sicher und unverändert bleiben. Zusammen bilden FHE und Confidential Computing die Grundlage der verschlüsselten Analyse, die eine sichere Datenverarbeitung ermöglicht und gleichzeitig die Privatsphäre während des gesamten Analyseprozesses wahrt.
-
Anonymisierte Datenverarbeitung
Hierbei kann eine kryptografische Technik zum Einsatz kommen, die es mehreren Parteien ermöglicht, die verschlüsselten Daten gemeinsam zu berechnen. Diese Methode erlaubt die gemeinsame Analyse von Daten, ohne dass diese weitergegeben werden, und wird als Secure Multiparty Calculation (MPC oder SMPC; sichere Mehrparteienberechnung) bezeichnet. Es ist auch möglich, mehrere Versionen eines zentralen Modells zu verwenden, die an die entsprechenden Quellen verteilt werden können, wo sie trainiert werden und lokal arbeiten. Dieser Ansatz wird als Föderales Lernen bezeichnet. Föderales Lernen ist eine Methode des Maschinellen Lernens (ML), auch bekannt als Kollaboratives Lernen, die es ermöglicht, Modelle über dezentrale Geräte oder Datenquellen hinweg zu trainieren, während die lokalen Rohdaten privat bleiben und niemals ausgetauscht werden.
-
Hochdimensionale Anonymisierung
Auch hier gibt es zwei mögliche Implementierungen. Die erste besteht darin, synthetische Daten zu erstellen, die mithilfe von KI reale Daten imitieren. Diese Daten weisen alle Merkmale realer Daten auf, sind aber nicht mit personenbezogenen Datenpunkten verknüpft. Die zweite Möglichkeit besteht in der Verwendung von Algorithmen, deren Ergebnisse so gestaltet sind, dass nicht festgestellt werden kann, ob die Daten einer Person im ursprünglichen Datensatz enthalten waren oder nicht. Dies wird als differenzieller Datenschutz bezeichnet.
“Die Wahl einer passenden Technologie zur Verbesserung des Datenschutzes erfordert ein tiefes Verständnis der spezifischen betrugsbezogenen Herausforderungen, die eine Bank zu bewältigen hat. Häufig besteht die beste Lösung darin, mehrere PETs zu kombinieren, um eine umfassende Betrugsbekämpfungsstrategie zu entwickeln.“
Chairman of the “AI” & “Data Privacy in the Age of AI” Expert Groups, Mobey Forum

Die Qual der Wahl: ein strategischer Ansatz zur Betrugsprävention
Banken sollten sorgfältig abwägen, welche Art von PET (oder auch mehrere Arten) sie einsetzen wollen. Finanzinstitute müssen ihre Entscheidungen von Fall zu Fall treffen und dabei berücksichtigen, welche Form von Betrug vorliegt, mit welchen Daten sie arbeiten und wie sie mit Partnerorganisationen kooperieren. Zudem haben die Banken möglicherweise eigene interne Compliance-Anforderungen, die zu berücksichtigen sind.
Folgende Fragen sollten gestellt werden:
- Wessen Daten müssen von wem verarbeitet werden?
- Muss die Beziehung zwischen den Analyseergebnissen und den betroffenen Personen in den Eingabedaten aufrechterhalten werden?
- Sollen Daten von mehreren Verantwortlichen gemeinsam verarbeitet werden?
- Wie komplex sind die Berechnungen und wie kritisch sind nichtfunktionale Aspekte wie Latenzzeiten?
- Ist eine dezentrale Verarbeitung, bei der jeder Datenpartner seinen Beitrag zum Erkenntnisgewinn leistet, eine praktikable Option?
- Und wenn ja, sollten alle Beteiligten Zugang zu den Analyseergebnissen haben?
Es müssen auch Entscheidungen über die Verwendung von Plug-and-Play-Optionen getroffen werden und darüber, ob die Entwicklung intern oder von einem Technologiepartner mit Sicherheitsexpertise durchgeführt werden soll.
Die Optionen einer Bank sind nicht auf eine bestimmte Art von PETs beschränkt, sondern können auch kombiniert oder gemischt eingesetzt werden.

Fallbeispiel: sichere Mehrparteienberechnung
Um Transaktionsdaten zu analysieren und Anomalien zu erkennen, die auf betrügerische Aktivitäten hindeuten, setzten die Rabobank und ABN AMRO Secure Multi-Party Computation2 (SMPC) ein. Mit vielversprechenden Ergebnissen: Die Aufdeckungsrate komplexer Betrugsversuche, die zuvor nur schwer zu erkennen waren, stieg deutlich an.
Erreicht wurde dies durch den Austausch verschlüsselter Daten und deren gemeinsame Analyse, um betrügerische Muster zu erkennen, ohne sensible Informationen preiszugeben. Die Privatsphäre der Kundinnen und Kunden konnte gewahrt und die gesetzlichen Anforderungen erfüllt werden, da die tatsächlichen Daten während des Berechnungsprozesses nie offengelegt wurden.
Durch die Zusammenführung der Daten konnten die Banken Betrugsmuster erkennen, die isoliert betrachtet möglicherweise nicht erkennbar gewesen wären. Dies verbesserte die Genauigkeit und den Umfang der Betrugserkennung.
Fazit
Die Finanzdienstleistungsbranche steht an einem Wendepunkt.
Moderne Datenverarbeitungstechnologien und künstliche Intelligenz erfordern eine umfassende Zusammenarbeit mit einer größeren Anzahl von Akteuren. Gleichzeitig sehen sich Finanzinstitute mit immer komplexeren Datenschutzbestimmungen konfrontiert, die durch den Verbraucherschutz bedingt sind. Die zentrale Herausforderung besteht darin, Daten effektiver zur Betrugserkennung zu nutzen, ohne den Datenschutz zu gefährden.
Um einen Ausweg aus dem Konflikt „Innovation versus Datenschutz“ zu finden, müssen Finanzinstitute einen neuen Ansatz wählen. PETs sind dabei ein wichtiges strategisches Instrument. Die verschiedenen Ansätze, die unter dem Begriff „Technologien zum Schutz der Privatsphäre“ zusammengefasst werden, können einzeln oder in Kombination eingesetzt werden, um Betrug zu bekämpfen – ein Thema, das im Zahlungsverkehr und im Bankensektor immer wichtiger wird.
Die Zusammenarbeit zwischen Kriminellen funktioniert reibungslos. Die Bemühungen der Banken zur Betrugsbekämpfung und zum Informationsaustausch sind nach wie vor uneinheitlich und lückenhaft. PETs beseitigen Hindernisse und erleichtern es den Banken, sich im Kampf gegen Finanzkriminalität zu verbünden. Durch den Einsatz dieser fortschrittlichen Technologien können die Institute von einer isolierten Arbeitsweise zu kollektiven, sicheren Lösungen übergehen. Dadurch wird nicht nur die Betrugserkennung verbessert, sondern auch die Privatsphäre der Kundinnen und Kunden geschützt. Der Kampf gegen Finanzkriminalität wird durch eine neue Ära der Zusammenarbeit und Innovation neu gefochten.
Key Takeaways
- PETs in die Prozesse von Finanzinstituten zu integrieren, ist eine strategische Notwendigkeit. Durch den Einsatz von PETs können Finanzinstitute ihre Betrugserkennung verbessern, die Einhaltung von Datenschutzbestimmungen sicherstellen und das Vertrauen ihrer Kundinnen und Kunden erhalten.
- Finanzinstitute müssen ihre Kräfte bündeln und kollektive Informationen austauschen. Nur so können sie organisierten kriminellen Netzwerken einen Schritt voraus sein. PETs bieten ein Instrument, dies im Rahmen bestehender Datenschutzbestimmungen zu tun.
- Finanzinstitute sollten sorgfältig prüfen, welche PETs oder welche Kombination von PETs für sie geeignet sind, je nach ihren Zielen, technischen Möglichkeiten und Kooperationspartnern.
-
The Digital Banking Blindspot, Mobey Forum 2021
-
TNO, Rabobank and ABN AMRO work on privacy-friendly data analysis, March 2021
Diesen Artikel teilen
Verpassen Sie nicht die neusten Artikel von G+D SPOTLIGHT: Wenn Sie unseren Newsletter abonnieren, bleiben Sie immer auf dem Laufenden über aktuelle Trends, Ideen und technische Innovationen – jeden Monat direkt in Ihr Postfach.