Bedeutung von Fraud in bankbetrieblicher Praxis (Teil 2)

Wenn Du mich einmal betrügst, ist es Deine Schuld; betrügst Du mich zweimal, liegt die Schuld bei mir.
Anaxagoras, 499 – 427 v. Chr. griechischer Philosoph aus Klazomenai, Freund des Perikles
„Kreditbetrüger leimen reihenweise Banken“, „Bande ergaunert hohe Kredite von der Bank – In knapp drei Monaten hat eine Bande 363.000 Euro erbeutet“ – Schlagzeilen wie diese zu Kreditantragsbetrug haben in kurzer Vergangenheit in Medien und Polizeimeldung stark zugenommen. Kriminelle Delikte unterliegen in der Regel ähnlichen und vermeidbaren Mustern, bei denen die Täter mithilfe des Internets Personalausweise und Gehaltsabrechnungen fälschen und damit von einer Bank hohe Kredite erschleichen. Opfer sind aber auch zahlreiche oft mittellose Menschen, die sich von den Betrügern überreden ließen, ihre Identität für den Betrug preiszugeben, so ein Sprecher der Wuppertaler Staatsanwaltschaft. Der Umgang mit Schäden aus kriminellen Handlungen stellt für die Risikosteuerung eine große Herausforderung dar. Neben dem offensichtlich entstandenen finanziellen Schaden können schwerwiegende Image- und Reputationsschäden oder sogar Auswirkungen auf die Liquidität der Bank entstehen. Bereits im Artikel „Bedeutung von Fraud in bankbetrieblicher Praxis – Teil 1: Einordnung in relevante Felder von Regulatorik und Gesamtbanksteuerung“ wurde Kreditantragsbetrug in die Felder Management operationeller Risiken, Compliance und IT-Security eingeordnet, die Bedeutung des Internen Kontrollsystems dargestellt und die Notwendigkeit präventiver Kontrollen erläutert. Angemessene Kontrollen für Kreditantragsbetrug können in einem ersten Schritt automatisiert und toolgestützt durchgeführt werden.

 

zeb hat sich dem Management von Risiken aus Kreditantragsbetrug angenommen und will dem enormen Risikopotenzial – gemeinsam mit den deutschen Finanzinstituten und Bürgel Wirtschaftsinformationen – über das Deutsche Schutz Portal für Finanzdienstleister, kurz DSPortal, entgegentreten und Abhilfe schaffen.

Motivation DSPortal

Typischerweise stellt das Adressrisikomanagement einer Bank im Kreditantragsprozess lediglich auf das Risiko eines Kreditausfalls ab und ist dabei nicht schnittstellenfrei zum bislang größtenteils unbekannten Betrugsrisiko. Zudem sind die Methoden zur Verhinderung des Ausfallrisikos nicht wirksam zur Verhinderung von Betrug, da sich diese über real existierende Kunden und nicht über fiktiv aufgebaute oder geraubte Identitäten herleiten. Fiktive Identitäten werden heutzutage durch die Betrüger hoch professionell und mit großem Aufwand gezüchtet: Über gefälschte Ausweise und falsche Lohnbescheinigungen werden beispielsweise Mobilfunkverträge abgeschlossen und Girokonten eröffnet, um in der Folge die Existenz der fiktiven Person durch Ihre Konten von externen Auskunfteien wie z. B. der SCHUFA belegbar zu machen.

Über das DSPortal soll insbesondere die Erkennung fiktiver Identitäten, z. B. durch eine Musterüberprüfung von schnell aufeinanderfolgenden Kreditanträgen oder Einträgen in der SCHUFA möglich gemacht werden. Im Falle eines Identitätsdiebstahls können sich zudem Verbraucher selbst als Opfer beim DSPortal melden, um sich selber weitere Problemen und anderen Instituten Schaden zu ersparen.

Wesentliche Ziele des DSPortals sind die spürbare Reduzierung der Schäden und der Schutz von Privatpersonen bei Identitätsmissbrauch. Das DSPortal basiert auf dem Prinzip eines Datenbankkonsortiums: Alle teilnehmenden Banken melden auffällige Sachverhalte und können die Eingaben aller Teilnehmer bei Auffälligkeiten abrufen. Plausibilitätsprüfungen, manuelle Prüfung und entsprechende Aussteuerung führen zu einer effektiven Verminderung des bestehenden Betrugspotenzials.

Management von Kreditantragsbetrug und Nutzenpotenziale

zeb unterstützt partnerschaftlich die Integration des Systems in die interne Prozesslandschaft der Banken und liefert mit maßgeschneiderten Dunkelfeldanalysen eine optimale Nutzung. Eine größtmögliche Potentiazhebung ist durch die nachstehend skizzierte Integration einer „Regelprüfung Betrug“ in die bestehenden Kreditantragsprozesse der Institute gegeben.

FraudAbbildung 1: Skizzierter Kreditantragsprozess inkl. Möglichkeit zur Einbindung einer regelbasierten Betrugsprüfung

Neben den bewährten Bestandteilen von beispielsweise Dokumentenprüfung, Scoring, Sicherheitenbewertung und Prüfung der Kapitaldienstfähigkeit im Rahmen der Kreditgenehmigungsprozesse setzt die ergänzende „Regelprüfung Betrug“ auf Dunkelfeldanalysen und eine regelbasierte Aussteuerung von Verdachtsfällen für eine intensivierte Prüfung.

Die regelbasierte Aussteuerung ist dabei integraler Bestandteil des DSPortals und des nachstehend illustrierten zeb-Frameworks zu Dunkelfeldanalysen. Das Framework vereinigt diesbezüglich eigens für Betrug entwickelte Methoden und Aussteuerungsregeln, um den Durchlass für eine Intensivprüfung über die Aussteuerungsquote zu steuern und optimieren.

FraudAbbildung 2: zeb-Framework zu Dunkelfeldanalysen

Über die Strenge des angewendeten Regelwerks können Fallzahlen und Prüfungsaufwand ergebnisorientiert gesteuert werden. Für jede Austeuerungsregel wird unter der gegebenen Parametrisierung eine Aussteuerungsquote ermittelt. Die Optimierung der Aussteuerung wiederum geschieht unter der Nebenbedingung von empirischen und zukünftig zu erwarteten „false/positive rates“ für das Regelwerk. „False/positive rates“ geben die Trefferrate und -wahrscheinlichkeit der Austeuerungsregeln an, d. h., sie beantworten die Frage, in wie vielen Fällen eine Aussteuerung zum Erfolg führt. Im Optimierungsproblem sind die „false/positive rates“ daher zur bestmöglichen Schadensverhinderung unter den eingesetzten Regeln und Ressourcen mit einzubeziehen.

Portfolioanalysen – Dunkelfeldanalyse

Die Begriffe „Hellfeld“ und „Dunkelfeld“ (ggf. über Dunkelziffer aus polizeilichen Statistiken bekannt) setzen sich diesbezüglich typischerweise wie folgt zusammen:

Hellfeld – bereits bestätigte Betrugsfälle: Eine Identifikation und Bestätigung von Betrugsfällen kann  durch Aufdeckung im Prüfprozess, durch Opferrückmeldung (Kunde) oder aktive Prüfung von Ausfällen erfolgen. Bestätigte Betrugsfälle und Schäden werden im Risikocontrolling eines Instituts erfasst und über „operationelle Risiken“ abgebildet sowie idealerweise in „OpRisk-Datenbanken“ historisiert

Dunkelfeld – unbestätigte Fälle mit „offensichtlichem“ Schaden: Eine Indikation von Betrugsfällen (Anzahl und Schadenshöhe) kann über Ausfall- und Verlustdaten erfolgen. Täter die bereits kurz nach Kreditantrag bzw. Kreditvalutierung ausfallen oder rückständig werden, sind in der Regel ein trennscharfer Indikator für Betrug: „Der Kunde hat zum Zeitpunkt des Kreditabschlusses ggf. bereits gewusst, dass er seine Ratenzahlung/Tilgung nicht vertragsgemäß erbringen kann“

Dunkelfeld – unbestätigte Betrugsfälle ohne „offensichtlichem“ Schaden: In Kreditportfolios sind häufig Betrugsfälle vorhanden, die durch die Institute nicht erkannt werden bzw. wurden, da sie zu keinem „offensichtlichen“ Schaden führen. Typisches Beispiel hierfür ist der Konditionsbetrug: Durch Falschangabe von Beruf, Gehalt, Familienstand etc. können bessere Antragsscores erschlichen werden, die zu einem für den Betrüger vorteiligem Pricing und (und nicht risikogerechten) Kreditkonditionen führen können („adverse Selektion“). Ebenso kommt es durch Übernahme der Identität eines Familienmitglieds häufig zum sogenannten „Family Fraud“, bei dem dann aus Scham und Angst vor Strafverfolgung durch den Geschädigten weitergezahlt wird.

Das im zeb Framework illustrierte Regelset kann ebenfalls für „Dunkelfelduntersuchungen“ herangezogen werden, dessen Ziel es ist, bisher nicht erkannte historische Betrugsfälle zu identifizieren und damit Erkenntnisse über das Gesamtaufkommen strafbarer Handlungen sowie über das institutsinterne Verlust- und Schadenspotenzial zu gewinnen. In Kombination mit einer Schätzung der Verlustgrößen aus dem „Hellfeld“ an bereits identifizierten Straftaten und dem erhellbaren Dunkelfeld lässt sich zudem ein Businesscase und eine Wirtschaftlichkeitsrechnung für neue Methoden zur Betrugsabwehr ermitteln und quantifizieren.

zeb liefert Mehrwert

zeb besitzt umfassende Erfahrung typischer Bankprozesse, die notwendige Erfahrung, um die Prozess-Exzellenz der Institute sicherzustellen und kann weiterhin durch tiefgehendes  Methoden-Know-how einen hinreichenden Individualisierungsgrad gewährleisten.

Für eine Erhellung des Dunkelfelds und daraus resultierende Risikomitigation bietet zeb institutsspezifisch zugeschnittene Beratungsleistungen: Diese umfassen neben einer individuellen Konzeption der Analysen und Regeln sowie der Selektion von relevanten Portfolios auch die Prozessintegration, Unterstützungsleistungen zur technischen Implementierung und Konzeption von Reports, Validierung sowie dem grundlegenden Historienaufbau.

Im Rahmen einer Vorstudie kann zudem ein verkürzter Risikomanagementprozess (Risikoidentifikation – Risikomessung – Risikosteuerung) für Betrugsrisiken durchlaufen werden. Wesentliche Ziele und Ergebnistypen der Vorstudie sind eine Ersteinschätzung zur Betrugsanfälligkeit des Instituts und zur Wirtschaftlichkeit des Vorhabens „Einbindung Regelprozesses Betrug“. Herzstück ist die Ermittlung eines Kosten-Nutzen-Kalküls und der erwarteten Gewinnschwelle (Break-even-Point) über:

FraudAbbildung 3: Break-even-Point-Analyse und zu betrachtende Aspekte

Vermeidung von Schäden und Reputationsrisiken durch negative Schlagzeilen

Der Slogan „auch schlechte PR ist gute PR“ oder „zumindest besser als gar keine PR“ geistert häufig durch Medien und Marketingabteilungen von aufstrebenden Unternehmen. Unabhängig von der öffentlichen Präsenz sollten Negativschlagzeilen zu Fraud (wie eingangs aufgelistet) der Albtraum eines jeden Bankvorstands oder Managers sein:

Betrug und Kundenrisiken im Bankgeschäft sorgen tagtäglich – und häufig bereits morgens noch vor dem ersten Kaffee – für das böse Erwachen: Dieses ist in der Regel durch ein medialen Sturm sowie den umgangssprachlichen Shitstorm in sozialen Netzwerken geprägt (und das ganz ohne mühselige PR-Arbeit). Nach zeb-Meinung sollte solchen drohenden Unwettern nicht nur aus medialem Interesse und wegen Reputationsrisiken entgegengesteuert werden. Aussitzen und Hoffen führen nicht selten zum Schiffbruch. Über ein geeignetes Framework und Regeln zur Mitigation von Fraud lassen sich Verluste durch Betrug und „nicht versicherte Sturmschäden“ bereits im Vorfeld vermeiden.

Siehe auch

Sprechen Sie uns gerne an!

Jan-Hendrik Stosshoff

Autor Office Münster

Artikel teilen

Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

BankingHub-Newsletter

Analysen, Artikel sowie Interviews rund um Trends und Innovationen
im Banking alle 2 Wochen direkt in Ihr Postfach