Analysesoftware Prüfverfahren gegen Kreditkarten-Datenklau

Mit der Software »MINTify rule« lassen sich Betrugsversuche bei Kreditkartentransaktionen schnell aufdecken
Mit der Software »MINTify rule« lassen sich Betrugsversuche bei Kreditkartentransaktionen schnell aufdecken

Kreditkartenbetrüger haben oft leichtes Spiel, um an die streng geheimen Zugangsdaten der Besitzer zu gelangen – auch ohne die Karten zu stehlen. Eine von Fraunhofer-Forschern entwickelte Prüfsoftware soll Banken künftig helfen, gewollte von betrügerischen Abbuchungen zu unterscheiden.

Nur darauf aufzupassen, dass die Kreditkarte im Portemonnaie steckt und sie bei der Bezahlung nicht aus der Hand zu geben, reicht mittlerweile nicht mehr aus, um seinen Kontostand vor fremdem Zugriff zu schützen. Trickbetrügern reichen meist Kartennummern und -daten. Kartenlesegeräte können ohne das Wissen des Verkäufers oder des Restaurantbesitzers mit Trojanern verseucht sein, die die Daten unbemerkt an Dritte weiterleiten. Und auch bei Bezahlungen im Internet weiß der Kunde nicht, auf welche Abwege seine Daten geraten.

Ist es zu ungewollten Abbuchungen gekommen, muss der Kunde meist nur bei seiner Bank anrufen, um das Geld zurück zu bekommen. Die Kreditinstitute selber bleiben allerdings oft auf den Kosten sitzen.

Daher erstellen Banken mittlerweile so genannte »Wenn-Dann-Regeln« für die Buchungsvorgänge: Etwa »Wenn die Buchung aus dem Ausland erfolgt und einen gewissen Betrag übersteigt, verhindere die Buchung«. Auf dem Display des Bezahlgerätes erscheint dann nach der Online-Abfrage bei der Bank der Hinweis, dass die Buchung nicht erfolgreich durchgeführt werden konnte. Bisher schauen sich die Mitarbeiter die Betrugsfälle von Hand an und erstellen dazu die jeweiligen Regeln. Bei der riesigen Anzahl von Betrugsdelikten gelangt dieses Verfahren jedoch schnell an seine Grenzen.

Rasantes Prüfverfahren

Hier setzt die Software »MINTify rule« an, die Forscher des Fraunhofer-Instituts für Intelligente Analyse- und Informationssysteme IAIS gemeinsam mit ihren Partnern des Unternehmens PAYMINT entwickelt haben. Sie hilft den Bankmitarbeitern, die passenden Regeln zu erstellen.

»Unsere Software analysiert die jeweils aktuellen Buchungen, die in der Datenbank des Kreditunternehmens gespeichert sind«, erklärt Dr. Stefan Rüping, Gruppenleiter am IAIS. »Je nach Größe des Unternehmens können das eine Million Datensätze pro Monat oder auch eine Million pro Stunde sein. Für diese Buchungen sucht die Software unter allen möglichen Regeln die zehn bis hundert besten heraus. Das Besondere: Wir können garantieren, dass das Programm die besten aller Regeln findet.«

Der gesamte Vorgang dauert nicht länger als eine halbe bis maximal eine Stunde. Auf Dauer soll das System noch schneller werden – das Ziel der Forscher ist es, die gesamte Prozedur in wenigen Minuten zu durchlaufen. Dann wäre die Software auch für Aktienhäuser interessant.

»Vier Betrüger, ein Kunde«

Wie viel Sicherheit sich die Bank für welche Kartenart wünscht und wie viele nicht-bediente Kunden sie dafür in Kauf nimmt, muss sie in einer Quote vorgeben. Denn je mehr Betrüger gestoppt werden, desto mehr echte Kunden werden vor dem Problem stehen, nicht bezahlen zu können. Wünschenswert ist sicherlich die Quote »Alle Betrüger stoppen, keinen Kunden« – realistisch ist sie dagegen noch nicht. Passender wäre beispielsweise »Vier Betrüger, ein Kunde«. Mit dieser Angabe kann »MINTify rule« mit der Analyse loslegen und die optimalen Regeln heraussuchen.

»Irgendwann kommt heraus, ob eine Aktion legal war oder nicht«, erläutert Rüping. »Aus diesen Daten kann die Software lernen. Zudem sind die Regeln, die die Sicherheitsanwendung findet, gut nachvollziehbar: Die Mitarbeiter können die gefundenen Regeln daher – wenn gewünscht – zunächst überprüfen oder auch ungesehen freischalten.«

Bei einigen Banken sowie einem europäischen Zahlungsabwickler wird »MINTify rule« bereits eingesetzt und schützt dort viele Millionen Kreditkarten. Doch auch in anderen Bereichen kann die Anwendung helfen, beispielsweise könnte sie Ärzte in Krankenhäusern bei der Auswahl der Medikamente unterstützen.