Atos Worldline zur neuen Präventionslösung Fraud Rule Cycle

Interview aus dem Kartensicherheit Premium Newsletter Ausgabe März 2012

Die Atos Worldline GmbH bietet Banken und Sparkassen Lösungen im Betrugs- und Risikomanagement bei Kreditkartentransaktionen an. Im Bereich Echtzeitprävention hat sie sich vor kurzem neu orientiert. kartensicherheit.de sprach mit Thomas Zimmermann, Head of Fraud & Risk Management bei Atos Worldline, über das Auswahlverfahren und -ergebnis.

kartensicherheit.de: Wie war die Ausgangslage bei Atos, als man sich für eine Veränderung in den technischen Präventionsmaßnahmen entschied?

Thomas Zimmermann: Atos Worldline GmbH hatte 2010 ein neues Autorisierungssystem, Worldline Pay (WLP) Front-Office, eingeführt und damit auch die technischen Grundlagen geschaffen, den WLP Online Watcher für die Betrugserkennung in Echtzeit einzusetzen.
Beide Systeme sind Softwareentwicklungen aus der Wordline Pay-Produktgruppe von Atos. Jetzt war es technisch möglich, noch viel präziser in das Autorisierungsgeschehen einzugreifen.

Wir haben aber in den vergangenen zwei Jahren gelernt, wie unterschiedlich die Erwartungen und Bedürfnisse einzelner Kreditinstitute hinsichtlich der Betrugsbekämpfung sind. Institute haben einen ganz eigenen „Risikoappetit“ und einen individuellen Anspruch an die Servicequalität.

Bei Echtzeitprävention geht es aber immer um eine Abwägung beider Aspekte: Sicherheit einerseits und Kundenzufriedenheit auf der anderen Seite. Die Messkriterien für diese Abwägung muss jede Bank im Rahmen ihrer Credit&Risk Policy betrachten und auch selbst festlegen. Diese Entscheidung kann nicht an ein System oder einen Dienstleister übertragen werden. Entsprechend können Regeln, die der einen Bank gefallen, nicht automatisch für andere Banken angewandt werden.

Außerdem sollte das Konzept des vollständigen Fraud Rule Cycles beachtet werden. D.h., dass jede Regel zunächst simuliert wird, bevor sie eingesetzt werden darf. Sobald die Regel aktiv ist, wird sie permanent hinsichtlich ihrer Ergebnisse überwacht, um dann eventuell angepasst zu werden.

Wegen der Vielzahl verschiedener Banken, für die wir tätig sind, und der noch größeren Anzahl einzelner Kartenprodukte, war bald klar, dass wir dieses Thema nicht operativ lösen sollten. Wir haben deshalb nach einer Lösung gesucht, die uns erlaubt, auf Basis historischer Daten in einem weitestgehend automatisierten Prozess möglichst optimale Regeln für die Echtzeitprävention zu errechnen.

Wie fand die Analyse und Bewertung der geeigneten Systeme statt? Wer hat Ihnen geholfen?

Wir haben uns fünf unterschiedliche Lösungen angesehen und mit drei Anbietern auch entsprechende Blindtests durchgeführt. Dabei konnten wir auch lernen, welche Lösung sich für eine Kombination mit unseren eigenen Systemen am besten eignet.
 
Es war uns dabei auch wichtig, ein Verfahren zu finden, das prinzipiell auch auf andere Geschäftsfelder übertragbar ist, weil auch unsere eigenen Systeme grundsätzlich multikanalfähig ausgelegt sind. Außerdem haben wir eine Releaseplanung für unsere eigenen Systeme und wollten eine Lösung finden, mit der eine gemeinsame Co-Evolution möglich ist.

Letztlich gab es für uns nur einen Anbieter mit einer wirklich komplementären Lösung. Wir haben uns für den Anbieter PAYMINT AG in Frankfurt entschieden, der ein statistisches Verfahren verwendet, das vom Fraunhofer-Institut für Intelligente Analyse- und Informationssysteme IAIS entwickelt wurde.

Wie hoch war der Aufwand in Ihrem Haus für das Projekt?

Insgesamt in vernünftiger Größenordnung. Nachdem die Anbieterentscheidung getroffen war, haben wir nur noch etwa drei Monate für die Implementierung gebraucht. Seit Oktober 2011 ist das System live!

Wie ist die Funktionsweise der neuen Prävention und wie effektiv ist sie?

Unser neuer bankspezifischer Service, "real-time fraud detection (FRC)", ist eine Ergänzung zu unserem bewährten Risk Control Service, der ja verstärkt auf die Analyse von Datenabgriffen und CPPs setzt.

Wenn man bereits eine Präventionsqualität erreicht hat, in der schon mehr als 80% aller betrügerischen Transaktionen frühzeitig erkannt und abgelehnt werden, ist es natürlich schwierig, noch Regeln zu finden, die vor allem den Rest erwischen. Aber genau das ist unser Anspruch.

Die Resultate sind erstaunlich gut. Viele Regeln haben eine hervorragende False-Positive-Rate von deutlich unter 1:1. So gab es zum Beispiel eine Regel, die eine Detection Rate von 12,5 % erreicht (das ist immerhin ein Achtel des Gesamtbetrugs dieser Bank) und dabei eine Treffgenauigkeit von 1:0,34 hatte.

Wie finden die laufenden Anpassungen statt und wie hoch sind die Aufwendungen zur Kontrolle der Aktualität von eingestellten Parametern?

Wir kalkulieren aktuell alle Regeln der teilnehmenden Institute wöchentlich vollständig neu. Dabei stellen wir fest, ob alte Regeln noch effektiv sind und welche neuen Regeln gebraucht werden.

Benötigt man Fachpersonal? Wenn ja, welche Fähigkeiten?

Nur bedingt. Das System kann von unseren Fraud-Experten einfach bedient werden. Eine spezifisch mathematische oder statistische Vorbildung ist nicht erforderlich.

Fraud Experten sind natürlich auch weiterhin unabdingbar. Schließlich findet das System die Regeln auf Basis statistisch relevanter Daten. Bei ganz aktuellen Sachverhalten liegt aber meist noch keine statistische Relevanz vor und es gilt, alle verfügbaren Erkenntnisse ad hoc in eine Sofortstrategie umzusetzen (Beispiel neuer CPP).

Welche Vorteile haben die Banken und Sparkassen hierdurch?

Der Vorteil unserer Lösung liegt darin, dass die Fraud-Muster-Erkennung automatisiert, mittels expliziter Wissensrepräsentation erfolgt. Bei der expliziten Wissensrepräsentation liegt die Information, wie betrügerische Kreditkartentransaktionen erkannt werden können, in Form von lesbaren Regeln vor. Die ermittelten Regeln basieren auf historischen Daten.

Banken und Sparkassen können sicher sein, dass wir die statistisch optimalen Regeln finden, die hinsichtlich ihrer Treffergenauigkeit auch die Ansprüche des jeweiligen Instituts erfüllen. D.h. maximale Betrugserkennung bei minimaler Störung der Kunden und das eben in Echtzeit. Das von PAYMINT AG angebotene und vom Fraunhofer-Institut IAIS entwickelte Verfahren garantiert genau das.

Wir bieten interessierten Instituten, die ihre Betrugserkennung nicht an uns übertragen haben, jetzt auch die Dienstleistung „Regelerstellung“ an. Dazu brauchen wir nur anonymisierte Transaktionsdaten (Autorisierungen und Betrugstransaktionen) und können damit Regeln für jedes beliebige Präventionssystem erstellen.

Wie sehen Sie das Fazit der geänderten Präventionsstrategie?

Es ist immer richtig, bestehende Prozesse und Lösungen zu hinterfragen und gegebenenfalls zu verändern. Wir haben hiermit eine vielversprechende und zukunftsfähige Ergänzung zu unserem bewährten Risk Control Service gefunden und damit einen wesentlichen Meilenstein für die Weiterentwicklung unseres Dienstleistungsangebots im Betrugs- und Risikomanagement für Banken und Sparkassen erreicht.

Herr Zimmermann, vielen Dank für das Gespräch.