Geldwäscheprävention mit KI

"Ein Wettrennen mit dem organisierten Verbrechen"

Heinrich Vaske ist Editorial Director a.D. von COMPUTERWOCHE, CIO und CSO.
Geldwäsche verursacht jährlich Schäden in Milliardenhöhe. Das Startup HAWK:AI setzt dem kriminellen Treiben Künstliche Intelligenz und Machine Learning entgegen - und will Finanzinstituten dabei jede Menge Geld einsparen.
Um Geldwäsche vorzubeugen, setzt das Startup HAWK:AI auf neue Technologien. Im Interview verrät CEO Tobias Schweiger, wie das im Detail funktioniert.
Um Geldwäsche vorzubeugen, setzt das Startup HAWK:AI auf neue Technologien. Im Interview verrät CEO Tobias Schweiger, wie das im Detail funktioniert.
Foto: ronstik - shutterstock.com

Geldwäsche ist ein internationales Problem - und doch entwickelte sich speziell Deutschland zu einem Hotspot für Money Laundering, was in Teilen auch einer lückenhaften Gesetzgebung geschuldet ist. Verbrecherorganisationen wie die italienische Mafia erkannten schnell die Schlupflöcher, die ihnen insbesondere das Geschäft mit Immobilien eröffnete. Die Bundesregierung will diesem Treiben unter anderem mit der seit dem 1. Januar 2020 wirksamen Novelle des Geldwäschegesetzes begegnen.

Doch im Kampf gegen die Geldwäsche kommen neben regulatorischen auch technologische Waffen zum Einsatz: Das StartupStartup HAWK:AI beispielsweise setzt dem Money Laundering Künstliche Intelligenz (KI) und Machine Learning (ML) entgegen. Das soll einerseits der Bekämpfung des organisierten Verbrechens zuträglich sein, andererseits auch den Banken viel Geld sparen, die bisher ganze Heerscharen von Spezialisten beschäftigen, um Geldflüsse zu analysieren und Fehlalarme abzuarbeiten. Alles zu Startup auf CIO.de

Das Startup ist durch Business Angels finanziert. Diese kommen aus dem Fintech- und Payment-Processing-Bereich - und haben Unternehmen in diesem Umfeld in führender Rolle geleitet. Jetzt wird es darum gehen, mit einem klassischen VC die nächste Finanzierungsrunde anzugehen.

Im COMPUTERWOCHE-Interview erläutert HAWK:AI-CEO und -Mitbegründer Tobias Schweiger, wie Geldwäsche funktioniert, welche Gegenmaßnahmen möglich sind und welchen Beitrag sein Unternehmen dazu leisten kann.

"Ein Problem, das nicht vernünftig angegangen wird"

Mit Ihrem Startup bieten Sie eine KI-basierte SaaS-Lösung für die Geldwäscheprävention an. Wo sehen Sie Ihre Marktlücke?

Tobias Schweiger: Die derzeit eingesetzten, oft veralteten Systeme für die Geldwäscheprävention produzieren viel zu viele "False Positives", also Fehlalarme. Tausende von Mitarbeitern in den Banken müssen mühevoll all diese Fälle von Hand durcharbeiten. Die Institute sind ja gesetzlich zu einem wirksamen Risikomanagement und zu Sicherungsmaßnahmen verpflichtet.

Hier setzen wir an. Wir filtern Verdachtsfälle automatisiert aus und vermeiden Fehlalarme. So haben die Banken einen großen Kostenvorteil. Der zweite Punkt ist die bessere Erkennungsrate von krimineller Geldwäsche. Mit Machine Learning finden wir heraus, wo Kunden vom Normalverhalten abweichen und Bankmitarbeiter näher hinsehen sollten.

Geldwäsche ist ein weltweites Problem. Können Sie die Dimension deutlich machen?

Schweiger: Da sind verschiedene Zahlen im Umlauf. Weltweit werden nach Schätzungen des Internationalen Währungsfonds zwischen zwei und fünf Prozent der Bruttoinlandsprodukte gewaschen, das wäre ein Betrag zwischen 1,2 und 2,9 Billionen Dollar. Es gibt Zahlen von der UN, die besagen, dass nur zwischen 0,2 und einem Prozent davon erkannt werden. Für Deutschland gibt es verschiedene Schätzungen, das Volumen liegt demnach zwischen 50 und 110 Milliarden Euro jährlich. Es ist ein gesellschaftliches Problem, das nicht vernünftig angegangen wird.

Wie groß ist der Kostenaufwand für die Banken, der durch Fehlalarme entsteht?

Schweiger: Lexisnexis spricht von 83 Milliarden Dollar, die von der Finanzwirtschaft in Europa Jahr für Jahr aufgewendet werden müssen. Das liegt vor allem an den wenig intelligenten Systemen und der hohen Fehlerrate, die dort aufläuft. Die Credit Suisse zum Beispiel hat zwischen 800 und 1000 Mitarbeiter, die diesen Prozess bearbeiten. Bei Standard Chartered sollen es sogar über 3000 Mitarbeiter sein, die zum großen Teil Fehlalarme abarbeiten. Es geht also um Kosteneffizienz für Banken und Zahlungsdienstleister.

Tobias Schweiger, CEO und Mitgründer von HAWK:AI.
Tobias Schweiger, CEO und Mitgründer von HAWK:AI.
Foto: HAWK:AI

Welche Muster sind es, die bei Geldwäsche automatisiert erkannt werden können?

Schweiger: Die Kriminellen gehen in drei Stufen vor. Beim Einspeisen wird Geld aus einem kriminellen Vorgang, etwa dem Drogenverkauf, in das Finanzsystem überführt ("Placement"). Man versucht, das Geld so auf ein Bankkonto zu bekommen, dass es idealerweise nicht auffällt. Der zweite Teil ist die Verschleierung ("Layering"): Durch das Hin- und Herüberweisen oder das Aufteilen der Gelder auf unterschiedliche Konten wird versucht, die Herkunft zu verschleiern. Das Dritte ist die Zusammenführung ("Integration"): Das Geld wird an irgendeiner Stelle wieder so zugänglich gemacht, dass der Kriminelle es verwenden kann, beispielsweise um eine Immobilie zu kaufen.

Diese drei Aspekte finden grundsätzlich immer statt. Entsprechend gibt es Stellen, an denen sich solches Verhalten feststellen lässt. Bei der Einspeisung geht es regulatorisch oft um Bargeld-Einzahlungsschwellen. Die Systeme reagieren dann zum Beispiel, wenn Cash-Einzahlungen in einer Größenordnung von über 10.000 Euro stattfinden. Die Banken können sich überlegen, ob sie diese Schwellwerte in bestimmten Regionen oder für Kunden und Kundengruppen nach unten setzen. Dabei entstehen aber häufig immer Fehlalarme, denn wenn die Oma dem Enkel 10.000 Euro für den Autokauf überweist, schlägt das System an. Es ist also sehr schwierig, hier etwas gut zu erkennen.

Wie wird Geldwäsche verschleiert?

Schweiger: Bei der Verschleierung geht es darum, die kriminelle Herkunft des Geldes zu verwischen. Das geschieht oft über Scheinfirmen, die weltweit gegründet werden. Große Beträge werden über viele internationale Kanäle, Banken, Firmen und Privatpersonen verteilt. Das zu erkennen ist komplex. Wie lässt sich feststellen, dass diese Verteilungen zusammenhängen und zu einem Vorgang gehören?

Eine wichtige Rolle spielen hier die "Money Mules". Das sind Mittelsmänner, als Lastesel bezeichnet, die diese Gelder verteilen. Das kann ein Firmenverbund sein oder einfach nur ein Netzwerk aus Studenten. Die bekommen 50 Euro und haben dann den Auftrag, Gelder in kleinen Portionen zu überweisen und zu verteilen. Das ist nur dann einfach zu erkennen, wenn man all diese Konten gleichzeitig überwachen kann. Das ist etwas, was wir ermöglichen: übergreifend über verschiedene Finanzinstitute solche Anomalien aufdecken.

Und wie funktioniert die Zusammenführung?

Schweiger: Dabei geht es darum, das gewaschene Geld in den legalen Wirtschaftskreislauf zurückzuführen. Die Anlage muss ja irgendwo wieder zu Bargeld gemacht oder auf irgendeinem Konto zusammengeführt werden. Um das zu erkennen, arbeiten die Banken ebenfalls mit Volumenregeln und Schwellwerten.

Es gibt also verschiedene Ansatzpunkte und Vorgehensweisen. Unter den Kriminellen gibt es viele intelligente Experten. Es sind ja nicht alles nur Drogendealer, die mal eben 5000 Euro waschen wollen. Das sind richtig professionelle Organisationen. Die denken genauso wie wir über maschinelles Lernen und Künstliche Intelligenz nach, um ihrerseits einen Vorsprung herauszuholen. Da ist ein Wettrennen mit dem organisierten Verbrechen im Gange.

Wie lassen sich Unregelmäßigkeiten über verschiedene Finanzinstitute hinweg erkennen?

Schweiger: Eine nationale oder weltweite Institution, die solche Ermittlungen übergreifend vornimmt, gibt es noch nicht. Das wird sich aber wahrscheinlich bald ändern. Es gibt in Deutschland etwa eine Ankündigung von BaFin und dem Zoll, der zentralen Meldebehörde für deutsche Verdachtsfälle, sich mit den 13 oder 14 größten Banken im Land zusammenzutun und ein übergreifendes Datenzentrum aufzubauen. Diese Idee gibt es auf dem Papier, doch sie ist noch nicht ausgegoren und technisch umgesetzt. Ähnliche Konzepte werden beispielsweise auch in den Niederlanden angedacht.

Wir würden mit so einem Konsortium gerne die technologische Grundlage schaffen, aber erst einmal bedienen wir noch einzelne Banken. Jedes Institut muss ja eine Software zur Geldwäscheprävention im Einsatz haben. Diese lösen wir ab oder ergänzen sie. Die Tatsache, dass wir als Cloud-Unternehmen und Plattformbetreiber die Daten an einer zentralen Stelle zusammenführen, jeweils pro Institut separiert und datenschutzgerecht, hilft uns übergreifende Analysen zu fahren.

"Die Bank ist in der Verantwortung"

Es gibt ja seit vielen Jahren erfolgreiche Bankdienstleister wie Fiducia oder Finanzinformatik…

Schweiger: Mit solchen Dienstleistern sind wir teilweise im Gespräch. Das wäre durchaus eine langfristige Strategie, zusammen mit einer Fiducia die Spinne im Netz für alle Volks- und Raiffeisenbanken zu sein. Gleiches gilt für die Finanzinformatik auf der Sparkassenseite und ein Stück weit auch für den Bankverlag, der mit den kleineren Privatbanken zusammenarbeitet. Alle drei wären Traumpartner für uns.

Software für Geldwäscheprävention gibt es seit vielen Jahren. Kommen Sie als Startup in einen solch abgeschirmten Markt überhaupt hinein?

Schweiger: Technische Vorschriften oder eine vorgeschriebene Abnahme durch die BaFin gibt es nicht. Die Bank ist in der Verantwortung, das richtige System für ihr Risikoprofil auszuwählen. Sie nutzt in den meisten Fällen Standardsoftware. Es gibt im deutschsprachigen Raum drei oder vier Platzhirsche am Markt, deren Produkte häufig eingesetzt werden. Das sind 20 oder 30 Jahre alte Unternehmen mit On-premise-Systemen, die meist ausschließlich regelbasiert arbeiten. Und dann gibt es kleinere Herausforderer wie uns, die cloud-basiert aufgestellt sind, mit Machine-Learning-Lösungen kommen und einen Realtime-Ansatz verfolgen.

Natürlich gibt es notwendige Integrations- und Testphasen, um unser System mit den Systemen der Bank zu verbinden. In diesem Zuge wird die HAWK:AI Lösung parametrisiert, Machine-Learning-Modelle werden trainiert. Das Ergebnis ist eine deutlich kleinere Zahl an Verdachtsfällen, in Verbindungen mit relevanten Anomalien, die herauskommen. Beides gilt es dann bankseitig weiterhin manuell richtig zu bearbeiten - mit erwartbaren Effizienzgewinnen und einer besseren Adressierung des Compliance-Risikos.

Auf welcher Datenbasis trainieren Sie Ihre Algorithmen?

Schweiger: Für uns sind drei große Datentöpfe wichtig: Der größte Block, gemessen in Giga- und Terabytes, sind die Transaktionsdaten. Wie sehen die Eingangs- und Ausgangsüberweisungen pro Konto aus? Dabei interessiert uns der komplette Transaktionsstrom. Das ist einfach für uns, weil SEPA-Überweisungen standardisiert erfolgen.

Der zweite Topf sind die Stammdaten der Kunden, CRM- oder KYC-Daten (Know your customer, Anm.d.Red.). Banken müssen ja verpflichtend bestimmte Sorgfaltsmaßnahmen durchführen, wenn ein Neukunde ein Konto einrichtet. Bei einer Firma müssen sie beispielsweise prüfen, wem sie letztendlich, gegebenenfalls anteilig, gehört. Ultimate Beneficial Ownership ist hier der Fachbegriff. Banken erfassen den Kunden und entscheiden, in welches Risiko-Cluster er fällt.

Der dritte Datenblock sind historische Fälle. Wie wurden bestimmte Themen in der manuellen Beurteilung gesehen? Wurden sie als Verdachtsfälle bestätigt oder verworfen? Mit welcher Begründung? Daraus können Systeme lernen.

Wie gehen Sie konkret vor, wenn Sie Fehlalarme bei ihren Bankkunden reduzieren wollen?

Schweiger: Wir stellen anhand dokumentierter Vorgänge fest, wie die Bank in der Vergangenheit mit Verdachtsfällen umgegangen ist. Dann analysiert unser System, ob sich solche oder ähnliche Verdachtsfälle künftig automatisiert erkennen und behandeln lassen. So reduzieren wir die False Alerts. Das Verfahren hier ist Supervised Machine Learning: Ich schaue mir das menschliche Verhalten an und leite daraus das optimale Vorgehen für kommende Fälle ab.

Transaktions- und Stammdaten werden dafür nicht gebraucht?

Schweiger: Doch, ich kann diese Daten auch mit in die Analyse nehmen. In dem Fall schaue ich mir den Kunden in seinem Verhalten an: Was für Eingangs- und Ausgangsüberweisungen hat er, etwa Gehaltszahlungen, Raten, Miete, Unterhalt - was auch immer. Ich habe also Kontenprofile, die ich in meine False-Positive-Analyse einbeziehen kann. So lassen sich bestimmte Sachen automatisieren, die bisher manuell stattgefunden haben. Fehlalarme tauchen nämlich oft rund um bestimmte Kunden und Konten immer wieder auf. Ich kann mir also ein Bild auf Kundenebene machen und automatisieren.

Am Anfang schaffen wir einen Effizienzgewinn von 20 bis 30 Prozent pro Kunde, mit der Zeit steigt er auf bis zu 70 Prozent. Das gelingt, weil die eingesetzten Systeme in der Vergangenheit vergleichsweise schlecht waren, da sie pauschal über alle Kunden hinweg harte Schwellwerte angewendet haben.

Was Sie hier tun, ist ja von der Komplexität her überschaubar. Es geht um einen regelbasierten Datenabgleich. Können Sie auch ganz neue Anomalien entdecken?

Schweiger: Sie haben recht, das Reduzieren von Fehlalarmen ist von der Komplexität her überschaubar. Ein rein regelbasierter Datenabgleich ist es aber in keinem Fall, wie lernen ja auf Einzekontenebene aus dem Verhalten des Kontoinhabers und etwaiger Verdachtsfälle. Am Ende sind es vielschichtige Entscheidungsbäume, die dabei herauskommen. Die Anomalie-Detection nach der Sie fragen ist die andere Seite der Medaille. Hier gibt es keine menschliche Historie als Ausgangspunkt. Ich versuche aus dem Blauen heraus mit Blick auf einzelne Kunden oder Kundensegmente Abweichungen vom Normalverhalten zu entdecken.

Kunden lassen sich ja gruppieren, man kann beschreiben, wie Segmente typischerweise ticken. Das macht man eher mit Unsupervised- beziehungsweise Deep-Learning-Verfahren: Wir erzeugen über einen definierten Zeitverlauf hinweg ein Kundenprofil, das ist unser Hintergrundbild. An diesem messen wir dann die nächste Transaktion. Das machen wir teilweise tatsächlich mit Bilderkennungsverfahren aus dem Machine-Learning-Bereich. Passt ein Verhalten in das Bild, das ich von diesem Kunden habe? Wenn es nicht passt, stelle ich eine Anomalie fest und ein Mitarbeiter schaut auf den Verdacht.

Dieses Bild des Normalzustands, das etwa monatliche Gehaltseingänge, Raten, Mieten oder Ähnliches einbezieht, lässt sich auch auf der Netzwerkebene nutzen. Man sieht, woher das Geld kommt und wohin es geht, und es fällt auf, wenn sich in diesem Netzwerk etwas verändert. Neue Überweiser werden sichtbar. Manche tauchen auf und verschwinden gleich wieder - das sind Indizien, dass etwas nicht in Ordnung ist und geprüft werden sollte. Es gibt also ein Hintergrundbild vom Normalverhalten, gegen das wir bestimmte Transaktionen messen.

Schlägt das System jedes Mal Alarm, wenn ein Unbekannter Geld überweist?

Schweiger: Nein, nicht grundsätzlich. Es gibt Anomalien, die tauchen nicht nur einmal, sondern häufiger auf. Die gruppiert man dann und beschreibt sie. In der menschlichen Begutachtung sagt dann der Mitarbeiter: Das sieht hier aus, als ob mehrere Leute über einen längeren Zeitraum in einem Hochrisikoland Autos kaufen und wieder verkaufen - nur als Beispiel. Solch einem Geldwäschemuster kann ich einen Namen geben. So entstehen Muster, die wir in einem Pattern Repository vorhalten. Banken können hier strukturieren, kategorisieren und Vorfälle in unterschiedlichen Teams bearbeiten. Wichtig an der Anomalie-Erkennung ist aber, dass sie funktioniert, ohne dass ich vorher weiß ob sie in ein bestimmtes Muster fällt.

Ohne den Menschen geht also nach wie vor nichts…

Schweiger: Das stimmt, die Menschen müssen am Ende mit den Auffälligkeiten umgehen und Entscheidungen treffen. Es wird aber eine Veränderung geben. Das stumpfe Abarbeiten von Fehlalarmen durch Tausende von Mitarbeitern wird es nicht mehr lange geben. Stattdessen wird es Hunderte von gut ausgebildeten, intelligenten Experten geben, die dann auch eine ganz andere Beziehung zu den Exekutivbehörden haben werden, um auch kompliziertere Themen zeitnah zu beleuchten.

Zur Startseite