Analytics für Compliance

In-Memory erkennt Muster von Betrügern

24.06.2015 von Martin Stolberg
Mit In-Memory-Technologien lassen sich Analysen schneller und gezielter in Compliance-Bereichen wie Betrug und Geldwäsche durchführen. Dafür sollte man existierende Sicherheitsparadigmen überdenken.
  • Um komplexe Prozesse im Betrugsmanagement transparent zu machen, müssen Unternehmen Massendaten aus unterschiedlichen Quellen kombinieren
  • Ein modernes Präventionsmodell kehrt die Perspektive um: vom Sender auf den Empfänger einer Transaktion sowie die Bewertung von Online-Zugangs- und Transaktionsdaten.
  • Eine In-Memory-Lösung wertete in vier Minuten zehn Millionen Kunden sowie einer Milliarde Transaktionen aus. Eine konventionelle Lösung braucht bis zu fünfzig Stunden.
  • Mit einem Dreistufenplan lassen sich Hürden bei der Einführung von In-Memory leichter überwinden

Die Unternehmensverantwortlichen für Informationssicherheit, Risiken und Compliance haben naturgemäß unterschiedliche Sichtweisen auf Gefahren, die auf den Umfang ihrer Aufgabenbereiche und mithin ihrer unterschiedlichen persönlichen Haftung zurückzuführen ist. Allen gemein ist jedoch die Datensicht: Im Falle von externem Betrug und strafbaren Handlungen geht es immer auch um Kunden-, Transaktions-, Produkt- und Authentifizierungsdaten.

Um innerhalb von Unternehmen parallele Logiken in der Prävention zu verhindern, braucht es eine konsistente Risikoanalyse, synchronisierte Präventions- und Kontrollmaßnahmen und - mit am wichtigsten - die Möglichkeit, Handlungsmuster von Betrügern schnell zu erkennen und zu bewerten.

Massendaten in Echtzeit abgleichen

Das Erkennen von Handlungsmustern gleicht der Suche nach der Nadel im Heuhaufen. Neben der expliziten regelbasierten Prüfung von bekannten Handlungsweisen können neue Verhaltensmuster gut durch den Abgleich mit erwarteten Mustern erkannt werden. Sind alle Geschäftstätigkeiten berücksichtigt, lassen sich Kunden auf Basis ihrer Verhaltensweise in verschiedene Gruppen einteilen.

Durch die Prüfung einzelner geschäftlicher Transaktionen gegen das Muster einer Vergleichsgruppe werden zwar gute Ergebnisse erzielt, diese sind aber teilweise fehlerbehaftet. Um das Risiko eines nicht identifizierten Betrugsversuchs so gering wie möglich zu halten wird ein gewisser Satz an sogenannten "False Positives" akzeptiert. Dieser liegt meist bei Werten bis zu zwei Prozent, bezogen auf das gesamte Transaktionsvolumen.

Modernes Präventionsmodells

Den entscheidenden Mehrwert eines modernen Präventionsmodells liefern die Perspektivenumkehr vom Sender auf den Empfänger einer geschäftlichen Transaktion und die verknüpfte Bewertung von Online-Zugangs- und Transaktionsdaten. Dazu ist eine parallele Verarbeitung granularer Informationen erforderlich.

Zeitersparnis um den Faktor 1200 durch In-Memory

Sopra Steria Consulting hat 2013 auf Basis einer In-Memory-Datenbank einen "Proof of Concept" durchgeführt, bei dem ein konventionelles Anti-Financial-Crime-Regelwerk bestehend aus 150 einzelnen Regeln implementiert wurde. Diese Lösung bewältigte in vier Minuten die Auswertung der Monatsverarbeitung von zehn Millionen Kunden sowie einer Milliarde Transaktionen. Eine konventionelle Lösung basierend auf relationaler Datenbanktechnologie benötigt dazu bis zu fünfzig Stunden. Allein der Transfer auf eine In-Memory-Technologie brachte eine Zeitersparnis um den Faktor 1200.

Derartige Beschleunigung eröffnet die Möglichkeit, von der bekannten Tages- und Wochenendverarbeitung abzuweichen und zeitnahe oder sogar Echtzeitverarbeitung in Angriff zu nehmen: Um eine komplette Tagesendverarbeitung durchzuführen, wurden etwa elf Sekunden benötigt, für das Transaktionsvolumen einer Viertelstunde nur noch 0,4 Sekunden.

Wesentliche Bereiche der IT-Compliance
1. Informationsschutz zur Wahrung der Vertraulichkeit
(insbesondere Zugriffsschutz, siehe § 9 BDSG)
2. Gewährleistung der technischen und organisatorischen Verfügbarkeit
(insbesondere Notfall-planung und Wiederanlaufmöglichkeit durch Redundanz)
3. Schutz der Datenintegrität
(Programmintegrität durch Change Management und Maßnahmen zur Erhaltung der Datenin-tegrität, z.B. Virenschutz)
4. Stabilität und Sicherheit der IT-Prozesse
5. Gewährleistung der physischen Sicherheit
6. Datenaufbewahrung und –archivierung
7. Mitarbeitermanagement im Hinblick auf IT-Sicherheit (Awareness)
8. Wirksames IT-Management durch alle Phasen (Plan-Do-Check-Act)
9. Kontrolle der ausgelagerten Bereiche (Outsourcing)
10. Materieller Datenschutz

Komplexe BetrugsmethodenUmfassende Regelwerke erforderlich

Die steigenden Compliance-Anforderungen und die damit einhergehenden Gegenmaßnahmen wirken zunehmend: So weichen einfache Betrugsmuster komplexeren Methoden, bei denen viele Akteure zusammenwirken. Komplexe Betrugsmethoden verlangen ausgereifte Detektions- und Präventionsmuster. Die verbesserte Feststellung krimineller Handlungen und ihre Abgrenzung gegenüber legitimen Verhalten sind nur möglich, wenn sich der Kontext hinreichend beurteilen lässt.

Um beispielsweise im Bereich Betrugsmanagement komplexe Prozesse transparent zu machen, müssen Unternehmen - je nach Branche - Massendaten aus den unterschiedlichsten Quellen wie zum Beispiel Personenanzahl, Flugbuchungen und Hotelzimmerreservierungen kombinieren.

Umfassende Regelwerke erforderlich

Eine solche Auswertung lässt sich nur mit umfassenden Regelwerken durchführen, unter anderem mit der Fähigkeit zur Analyse von Beziehungsnetzwerken. Tendenziell verlängern sie die Laufzeiten und produzieren mehr Auffälligkeiten. Dadurch steigt die Anzahl der echten Treffer und die Quote der Fehlalarme wird schlechter.

Um dies zu verhindern, sind strengere Regeln mit komplexerer Bedingungsstruktur beziehungsweise Kontra-Indikatoren erforderlich. Sie kennzeichnen legitimes Verhalten und erhöhen die Produktivität der Investigation.

Die Laufzeiten steigen eventuell prohibitiv an und die zeitliche Distanz zwischen betrügerischer Aktion und Entdeckung wird größer. Das schränkt die Handlungsmöglichkeiten zur Schadensminderung ein.

Dreistufige Einführung von In-Memory

Die beauftragten Unternehmensverantwortlichen für Informationssicherheit, Risiken und Compliance sind nicht immer in der Lage, die Möglichkeiten von In-Memory-Datenbanken zu erkennen. Denn die fehlende Ex-ante-Transparenz über den erzielbaren Nutzen stellt eine große Hürde dar. Durch eine dreistufige Einführung lässt sich diese leichter überwinden, wenn auf jeder Stufe Transparenz über die erschlossenen Vorteile und die Investition herrscht:

Stufe1 : Technologie-Transformation

Die existierende konventionelle Technologie-Infrastruktur wird durch die neue Infrastruktur ersetzt und die bestehende Prüflogik eins zu eins abgebildet. Dadurch müssen bestehende Prozesse nicht oder nur wenig verändert werden. Investments und Friktionen bleiben gering, die Akzeptanz der Anwender ist hoch.

Stufe 2: Fortgeschrittene Prüflogik

Die konventionelle Regelbasis wird erweitert sowie geschärft und Kontra-Indikatoren werden eingeführt. Dazu ist kein spezielles Know-how notwendig. Die Zahl der verifizierten Treffer wird erhöht und die "False Positives" reduziert. Die Qualitätsoptimierung sorgt für Effizienzgewinne und spart Kosten.

Stufe 3: Paradigmenwechsel

Ergänzend oder ersetzend werden neue Analyse- und Prüfmethoden eingesetzt. Die Kundensegmentierung erfolgt auf Basis des Transaktionsverhaltens, die Entdeckung wird um Mechanismen der selbstständigen Musteridentifikation ergänzt. Mit Methoden der Predictive Analytics lassen sich Verdachtsmomente sammeln und prognostizieren. Riskante Transaktionen können vor ihrer Ausführung in einen zusätzlichen Prüfungs- und Autorisierungsprozess übergeleitet werden. Der Schadenseintritt wird verhindert. Dazu ist neues methodisches Know-how notwendig, das während der ersten beiden Stufen aufgebaut werden kann.

Mit dieser Vorgehensweise lassen sich Nutzenpotenziale der In-Memory-Technologien schrittweise erschließen und Investitionen sowie Prozessänderungen "schlank" halten. Durch die Performanz der In-Memory-Technologien können Entdeckung, Investigation, Case-Management und Reporting verschiedener Sachgebiete in einer Anwendung integriert werden.

Fazit

Die neuen digitalen Zugangskanäle sowie die Endgeräte eröffnen sowohl Kunden als auch Betrügern neue Handlungsmöglichkeiten. Zugunsten der Bedienbarkeit verzichten viele Unternehmen darauf, einzelne Geräte ihrer Kunden zu autorisieren. Mit Hilfe von Informationen wie "User Agent" und Geotargeting lassen sich im Zusammenhang mit Kunden- und Produktraten betrügerische Merkmale erkennen.

In Kombination mit einem "Security-Information-Event-Management-System" (SIEM), das Log-Informationen auf Basis verhaltensbasierter Muster prüft, steigt die Erkennungsrate deutlich an. Durch den Aufbau eines umfangreichen Datenpools und einer flexiblen Verarbeitung lassen sich aktuelle und zukünftige Anforderungen erfüllen.

Glossar zu Big Data und Data Analytics
Predictive Analytics
das Treffen von Prognosen durch die Analyse von Daten. Im Gegensatz zur Analyse historischer Zusammenhängen und Erkenntnissen; auch durch die Analyse von Daten, die möglicherweise urächlich nicht miteinander in Zusammenhang stehen (Quelle: Bitkom)
Open Source
quelloffene Werke, zum Beispiel Software bei der man den Quellcode erhält (Quelle: Bitkom)
Open Data
Konzept zum Zugang zu hoheitlichen Daten zu jedermann, beispielsweise Auskunft über die bei einer Meldestelle gespeicherten Daten über einen Bürger und die Einrichtungen, an die die Daten übermittelt worden sind. (Quelle: Bitkom)
Metadaten
Daten zur Beschreibung von Daten, unter anderem, um Datenmodelle zu entwickeln. (Quelle: Bitkom)
Mahout
wörtlich: Elefantentreiber; hier: eine Apache-Komponente zum Aufbau von Bibliotheken für das Machine Learning MapReduce Verfahren zur Datenverwaltung und Indizierung (Quelle: Bitkom)
Machine Learning
Oberbegriff für die künstliche Generierung von Wissen aus Erfahrung: Ein künstliches System lernt aus Beispielen und kann nach Beendigung der Lernphase verallgemeinern. Das System „erkennt“ Gesetzmäßigkeiten und kann somit auch unbekannte Daten beurteilen. (siehe Wikipedia). (Quelle: Bitkom)
Lustre
Linux-basierendes Betriebssystem für den Betrieb von Cluster-Architekturen (Quelle: Bitkom)
Lambda-Architektur
Eine konstruktiv nutzbare Vorlage für den Entwurf einer Big-Data-Anwendung. Die in der Architektur vorgesehene Modularisierung spiegelt typische Anforderungen an Big-Data-Anwendungen wider und systematisiert sie. (Quelle: Bitkom)
In-Memory
Bei In-Memory werden die Daten nicht physisch auf Datenträger gespeichert und wieder ausgelesen, sondern im Arbeitsspeicher gehalten und dadurch mit sehr hoher Geschwindigkeit verarbeitet. (Quelle: Bitkom)
HANA
Ursprünglich: High-Performance Analytical Appliance; ein von SAP entwickeltes Produkt zum Betrieb von Datenbanken im (sehr großen) Hauptspeicher eines Computersystems (Quelle: Bitkom)
Hadoop
Open-Source-Version des MapReduce-Verfahrens, in verschiedenen Distributionen erhältlich. (Quelle: Bitkom)
Fraud Detection
Erkennung von Betrugsversuchen durch die Analyse von Transaktionen und Verhaltensmustern (Quelle: Bitkom)
Eventual Consistency
Eine Schnittmenge des CAP-Modells hinsichtlich der ereignisbezogenen Konsistenz von Modellen. (Quelle: Bitkom)
Data Science
Datenkunde: die Kenntnis bzw. Anwendung neuer Verfahren zur Arbeit mit Daten und Informationen, z.B. Verwendung semantischer Verfahren oder die Erschließung neuer Datenquellen (Sensordaten) und die Erarbeitung von Mustern oder statistischen Verfahren zur Auswertung solcher Daten. (Quelle: Bitkom)
Data Mining
Anwendung statistischer Methoden auf sehr große Datenmengen, bspw. Im Gegensatz zur manuellen Auswertung über Funktionen eines Tabellenkalkulationsprogrammes (Quelle: Bitkom)
Data Management
Methoden und Verfahren zur Verwaltung von Daten, oft über Metadaten (Daten, die Daten beschreiben) (Quelle: Bitkom)
Customer Analytics
Gewinnung von Erkenntnissen über das Kundenverhalten (überwiegend in Consumer-orientierten Unternehmen), beispielsweise mit dem Ziel der Entwicklung massenindividualisierter Produkte und Dienstleistungen (Quelle: Bitkom)
CEP
Sammelbegriff für Methoden, Techniken und Werkzeuge, um Ereignisse zu verarbeiten, während sie passieren. CEP leitet aus Ereignissen höheres Wissen in Form von komplexen Ereignissen ab, d. h. Situationen, die sich nur als Kombination mehrerer Ereignisse erkennen lassen (vgl. Wikipedia). (Quelle: Bitkom)
Complex Event Processing (CEP)
Complex Event Processing (CEP, Verarbeitung komplexer Ereignisse) ist ein Themenbereich der Informatik, der sich mit der Erkennung, Analyse, Gruppierung und Verarbeitung voneinander abhängiger Ereignisse beschäftigt. (Quelle: Bitkom)
CEPH
ein Dateisystem, das gleichzeitig Objekte, Dateien und Datenblöcke verwalten kann (Quelle: Bitkom)
CAP-Theorem
Laut dem CAP-Theorem kann ein verteiltes System zwei der folgenden Eigenschaften erfüllen, jedoch nicht alle drei: C = Consistency = Konsistenz, A = Availability = Verfügbarkeit, P = Partition Tolerance = Partitionstoleranz (siehe Wikipedia)
Business Intelligence
Gewinnung von Erkenntnissen über Zusammenhänge zwischen Informationen aus polystrukturierten Daten aus unterschiedlichsten Quellen (Quelle: Bitkom)
Broker
Makler/Buchmacher, hier: Rolle des Übermittlers von Daten zwischen Quelle und Anwender Business Analytics Ermittlung von Kennzahlen für Unternehmen, durch die Analyse größerer Datenmengen mit dem Ergebnis neuer Erkenntnisse aufgrund einer breiteren Datenbasis. (Quelle: Bitkom)
Big Data
die Gewinnung neuer Informationen – die in kürzester Zeit sehr vielen Nutzern zur Verfügung stehen müssen – mittels enorm großer Datenbestände aus unterschiedlichsten Quellen, um dadurch schneller wettbewerbskritische Entscheidungen treffen zu können. (Quelle: Bitkom)
Analytics Appliance
vorkonfigurierte oder paketierte Lösungen aus Hardware und Software für die Koordinierung von polystrukturierten Daten, die Ausführung von Analysen und die Präsentation der Erkenntnisse. (Quelle: Bitkom)
Analytics Analyse
Gewinnung von Erkenntnissen durch komplexe Abfragen auf polsystrukturierte Daten, Datenbanken und Data-Warehouses mit spezifischen Abfragesprachen wie SQL oder Pig. (Quelle: Bitkom)