#568: Fraud Benchmark 2026: Warum falsche Ablehnungen Banken dreimal teurer kommen als Betrug
Shownotes
Jede Bank misst Betrugsverluste anders – mit eigenen Definitionen, eigenen Schwellen, eigenen Erfolgsgeschichten. Der neue „State of Fraud Performance"-Report von Feedzai schafft erstmals einen echten Like-for-Like-Vergleich, basierend auf neun Billionen US-Dollar bewertetem Zahlungsvolumen. Ein Befund sticht heraus: Falsche Ablehnungen kosten Banken bis zu dreimal mehr als der eigentliche Betrug.
Themen dieser Folge
- Value Detection Rate vs. False Positive Rate: Die zwei Kennzahlen, auf die es wirklich ankommt
- KI-Wettrüsten: Stimm-Klone, synthetische Identitäten und Fraud-as-a-Service
- RiskFM: Das erste Tabular Foundation Model für Risikoentscheidungen
- PSD3 und PSR: Mehr Bankenhaftung auch bei autorisierten Zahlungen
- Verification of Payee: Was der IBAN-Namensabgleich im EU-weiten Rollout bedeutet
- SEPA-Echtzeitüberweisung: Wenn das Reaktionsfenster von Stunden auf Sekunden schrumpft
Wer haftet, wenn ein Kunde durch Social Engineering selbst überweist? Marius Trotz gibt eine ehrliche Antwort aus dem Maschinenraum – und eine klare Empfehlung an Risk- und Compliance-Verantwortliche.
Viel Spaß beim Hören!
Transkript anzeigen
00:00:02: Nicht nur News, sondern Hintergründe.
00:00:24: Freitagmorgen ist es noch relativ früh.
00:00:26: Ich sitze hier mit meinem ersten Kaffee und freue mich sehr, dass mein Gast zu der frühen Stunde die Zeit gefunden hat.
00:00:33: Ja worum soll's heute gehen?
00:00:34: Was ist unser Thema?
00:00:36: Es geht wenn ihr unseren Blog verfolgt habt um Betrug!
00:00:39: Denn die Branche misst Getrugsverluste seit vielen, vielen Jahren.
00:00:43: aber jede Bank... Das natürlich auch irgendwie ein bisschen anders.
00:00:47: Wer wirklich gut ist und wer nicht, das lässt sich aber glaube ich von außen tendenziell schwer beurteilen oder auch kaum sagen.
00:00:53: Und genau hier setzt unter anderem der State of Fraud Performance Report von Fizai an, der Ende April vorgestellt wurde oder er veröffentlicht wurde und es ist die erste branchenweite Versuch, Banken in einem Like for like Vergleich einzuerben.
00:01:06: Also was heißt das?
00:01:07: auf Basis von neun Billionen US-Dollar bewerteten Zahlungsvolumen pro Jahr?
00:01:12: Und diese Folge, die wir so jetzt aufnehmen das ist der Abschluss.
00:01:15: Ich habe es eben gesagt unserer Themenwoche Cyber Security also eine Woche in der wir uns um das Bedrohensbild für Banken und Zahlungsdienstleistern gekümmert haben und man genau einen Blick drauf geworfen haben über die Herausforderungen für Kundinnen, was das bedeutet.
00:01:32: Und alle Beiträge findet ihr natürlich auf unserem Blog Permanent Banking könnt ihr gerne noch ein Lach lesen.
00:01:37: wir verlinken natürlich auch alles und wir freuen uns sehr dass Viehzeit diese Woche als Partner unterstützt hat und passend dazu spreche ich heute eben zum Abschluss dieser Woche mit jemandem der dieses Thema nicht nur aus der Vogelperspektive sieht sondern Ja tatsächlich aus dem Maschinenraum selbst, also aus Projekten in den Banken ihre Fraud Systeme tatsächlich umbauen.
00:01:58: und deswegen sage ich Guten Morgen herzlich willkommen Marius Trotz.
00:02:02: er ist European Payments Lead bei Vizei.
00:02:04: Und Marius ich freue mich sehr dass du die Zeit findest.
00:02:07: Hallo freut mich ja
00:02:08: Marius, bevor wir sozusagen in das Thema in den Report einsteigen möchte ich natürlich einmal dich unseren Hörerinnen vorstellen und am besten machst du es natürlich selbst.
00:02:18: Also die Frage wer bist Du was machst Du als European Play Payments Leads?
00:02:24: Natürlich noch angeschlossen.
00:02:25: Die Frage, wie bist du eigentlich in dieses Feld gekommen?
00:02:27: War das schon immer so dein Interesse oder deinen... Wo du gesagt hast, dass es etwas wofür ich brenne und du bist ja sozusagen an der Schnittstelle zwischen Banken, der Technologie und eben der Finanzkriminalität irgendwie.
00:02:39: Ja also ich bin meister als ich seit vier etwas mehr als fair, jetzt bei FeedSci und in meiner aktuellen Rolle.
00:02:46: Aber ich bin unseren strategischen Kunden in Europa zusammen und begleite ein paar unserer Initiativen hier mit Fokus auf die EU, weil gerade im Bereich Payments Fraud etc.
00:02:56: sehr viel passiert.
00:02:58: Ja wir sind nicht schwenken gekommen.
00:03:00: also tatsächlich fand ich der Crime war immer so ein bisschen der Fokus auch vorher in der Beratung.
00:03:06: das ist natürlich ein spannendes Thema d.h.
00:03:07: da springt man erst mal drauf auch als Zufall irgendwo ergeben, dass man so ein bisschen der Bankenwelt geblieben ist über die Projekte und dann hat sich so in Richtung Technologie bewegt wo das natürlich immer ein Thema war was einen bebleitet hat.
00:03:19: Ja vor allem auch ein Thema was glaube ich nie zu Ende ist ne?
00:03:22: Also man hat ja irgendwie ständig etwas zu tun an dem Umfeld.
00:03:26: Und du sitzt... Ich habe es eben gesagt in deiner Rolle ja nicht im sagen wir mal klassischen Showroom sondern du sitzt ja tatsächlich auch mit Banken oder saßt v.a.
00:03:34: auch immer am Tisch.
00:03:36: Wie sieht denn bei dir so eine typische Woche aus.
00:03:38: Also wenn du uns einmal so einen kleinen Sneak-Peek gibst und wo greift dein Job oder dein tägliches Arbeiten denn tatsächlich in diese Bankenrealität ein?
00:03:50: Ja, also die typische Woche basiert natürlich, besteht auch sehr viel in Terminen heutzutage vieler von Remote.
00:03:58: aber im Kern wird es werden wirklich die konkreten Themen und Probleme besprochen, die die Banken haben.
00:04:07: im Bereich vor Prevention.
00:04:08: Was soll erreicht werden, was soll eingesetzt werden?
00:04:10: Was sehen die Kunden?
00:04:12: aber auch dann weil es ja auch darum geht Technologie am Ende zu nutzen.
00:04:15: auch vieles drum herum Zu besprechen ist IT-Sicherheit.
00:04:19: Wie wird's umgesetzt?
00:04:20: Das Implementierungsprojekt, weil sowas natürlich immer ein Investment is'n Change in der Organisation also diese ganzen Themen.
00:04:26: und dann geht es auch viel darum die Experten zusammenzubringen, weil es nie eine Person gibt, die alle Fragen beantworten kann.
00:04:32: Sie muss das sehr gut orchestrieren dass wirklich dann alle Bereich abgeklappert werden damit dann so was auch vereinbart werden kann, Projekt gestartet werden kann.
00:04:39: und genauso siehts im Projekt dann auch aus.
00:04:40: nur noch konkreter wirklich mit einer noch dringlicheren Deadline
00:04:46: Und du hast es selber ja eben schon angerissen.
00:04:48: Du kommst eigentlich aus dem Beratungsumfeld und hast so Compliance-Transformationsprojekte und regulatorische Audits auch begleitet, bevor du dann sozusagen auf die Anbieterseite gewechselt bist?
00:05:00: Was hatte ich denn vor allem an diesem Wechsel gereizt?
00:05:03: also wie ist das dazu gekommen?
00:05:05: oder vielleicht sogar am Anfang besonders überrascht wenn du sozusagen ein bisschen auf der anderen Seite stehst?
00:05:11: Ja also gute Frage!
00:05:13: Also im Prinzip Früher viel, schon immer im Bereich.
00:05:18: Also per Forensic Services war so der Fokus viel im Bereich jetzt klassische Sonderuntersuchungen, interner Fraud die ganzen Themen und das ist dann ja damals als der Fokuss ein bisschen geschiftetes in Richtung Geldwäsche-Sanktionen da es natürlich eingerutscht wurde.
00:05:32: Dann war man viel da unterwegs hat viel gesehen wie so eine Bank tickt und wie kompliziert es auch sein kann dort Entscheidungen durchzusetzen weil es auch ein sehr reguliertes Umfeld ist und Technologie war immer dabei.
00:05:43: Das sind dritt bestimmte Tools eingesetzt werden, war immer klar und wurde immer mehr und mehr.
00:05:48: KI war dann immer schon so ein Thema aber ist dann auch wirklich konkreter geworden.
00:05:52: man sieht natürlich viel da gibt es die Juristen, es gibt die Experten vom Fachbereich und dass die Tools, die Dietiler alle reden miteinander und manchmal ist das dann bisschen schwierig die zusammenzubringen gemeinsam mit Scheidung zu treffen da so dazwischen zu sein das fand ich interessant.
00:06:08: Man sieht die Banken, man sieht was in der Beratung passiert man sieht das regulatorische Die Technologie, das war mal so ein bisschen verschlossen und es hat mich immer sehr gereizt.
00:06:17: Also bei jetzt auch muss man nicht sehr weitsichtig sein um zu wissen dass das mal spannend wird in der Zukunft, das Thema Technologie.
00:06:26: Und ja ich habe mich dann einfach gereizten und habe entschieden mal auch in die Ecke zu schauen.
00:06:31: was mich überrascht hat würde ich sagen war, dass es doch sehr viel Annahmen gibt die man selber trifft wie Dinge funktionieren und dann lernt man auch das funktioniert auch anders.
00:06:42: Und viele Dinge die man dachte die einfach sind oder ob man sich gefragt hat warum ist das eigentlich so schwer?
00:06:47: Hat man dann verstanden warum's so schwer ist und hat ein viel besseres Verständnis dafür bekommen warum?
00:06:51: Technologie und die Umsetzung.
00:06:54: von der Tite hat man sehr groß unterfangen, dass man das sehr genau angehen muss.
00:06:57: Also auf jeden Fall auch wenn es... Wobei ich möchte nicht ausschließen, dass Berater keine Techies sein können.
00:07:03: Ach, Techie auf jeden fall im Herzen!
00:07:07: Hast du denn in deiner Beratungszeit?
00:07:09: Ich weiß jetzt nicht genau wie lange sie war schon irgendwas über Banken gelernt, dass dir heute auch in deiler jetzigen Rolle viel geholfen hat oder viel hilft in dem Moment
00:07:20: Also definitiv.
00:07:25: Ich war in einer Beratung, wo ich auch dann auf Großprojekten war die über lange Zeit gehen, wo man da wirklich mehr oder weniger bei so einer Bank länger ist und da Teil von wird und einfach sieht wie es funktioniert Und mal gesehen haben wie die Dynamik ist, die Gremien die man durchlaufen muss, die Vorschriften, die Prozesse dass auch in Deutschland sehr spezifische, aber auch generell für die Bankenbranche spezifik ist.
00:07:48: Das einfach mal zu verstehen hilft einem dann auch total wenn man auf der anderen Seite wechselt zu verstehen warum manche Dinge eben gar nicht so einfach sind obwohl sie rein technologisch einfach wären.
00:07:59: Aber weil es eben Regeln Prozesseorganisation politische Dynamiken gibt muss man da dann einfach ein bisschen Geduld haben und anders rangehen das würde ich sagen bis heute
00:08:09: Für die Leute noch nicht so genau kann.
00:08:13: Also Fizal ist in Portugal gegründet worden, also es eine europäische Kompanie von Menschen die aber eigentlich zuvor im Umfeld von europäischer Raumfahrt gearbeitet haben, also aus einer Welt, die so ein bisschen Echtzeitskalierung und Zuverlässigkeit wo diese Themen existenziell sind.
00:08:34: Spürst du jetzt, also in den Jahren bei eurer täglichen Arbeit oder ist es heutzutage im Unternehmen immer noch eigentlich eine coole Geschichte und so ein bisschen Gründungsmythos?
00:08:49: Also man sieht's insofern, also wenn man sich jetzt das mal anschaut.
00:08:53: So einen Satellitenstaat, Satellitennlaufband, Simulation Das ist ja... Wenn man sich das überlegt was da passiert Es müssen super viele Daten und Informationen gesammelt werden Und auf beiseite dieser Informationen müssen Entscheidungen getroffen, die mit einem Anomalien erkannt werden und dann muss nachrüstiert werden.
00:09:14: Da gibt es kein Zurück.
00:09:15: also weil das passiert in dem Moment und da muss in den Moment Entscheidungen kommen.
00:09:17: Man kann nie sagen stopp mal kurz ausgefallen, wir müssen mal zurückspulen, denn jetzt geht ja immer weiter.
00:09:22: Diese Echtzeitkomponente findet sich natürlich heute auch noch wieder und man vergleicht das mit dem Zahlungsverkehr sehr ähnlich.
00:09:29: Weil dort Bezahlung wenn ich bezahle, wenn zum Payment kommt eine Kartenzahlung
00:09:33: etc.,
00:09:33: das passiert eben hier und jetzt und das passiert tausendfach in der Sekunde Und da müssen in dem Moment Entscheidungen getroffen werden.
00:09:39: Das ist jetzt Thema zum Thema heute, Fraud oder nicht Fraud und da gibt es kein Zurück.
00:09:45: Und das darf auch nie ausfallen.
00:09:46: Es muss immer weitergehen.
00:09:48: Das muss super zuverlässig sein.
00:09:50: Und diese Herausforderung, die das an Technologie stellt, die ist immer noch die gleiche.
00:09:56: Insofern ist dann eine große Ähnlichkeit.
00:09:58: Natürlich ist der Anwendungsfall jetzt unterschiedlich und kommt den beiden Bereichen noch mehr dazu aber die Herausforderung ist ja gleich und somit ist es implizit doch heute noch immer wieder Mit dabei.
00:10:08: Und jetzt fünfzehn Jahre später, ich weiß nicht wie lange du ganz konkret jetzt schon bei dem Unternehmen bist kannst du und willst dir irgendwas erzählen?
00:10:17: Wie sich sozusagen dieser Shift bewegt?
00:10:19: ja zu dem Themenfeld wo ihr jetzt agiert?
00:10:22: also das ist vor meiner Zeit gewesen.
00:10:24: Ich denke, es hat sich einfach im Ergeben, dass das ein guter Anwendungsfall ist für den Bereich aufgrund der technologischen Gemeinsamkeiten.
00:10:31: aber das war vor meinerzeit.
00:10:33: Als ich da war, waren schon klar der Fokus auf Fraud oder auf Financial Crime und das war schon über einen längeren Zeitraum so und wurde dann immer weiter verfeinert und spezifiziert eben diesen Anwendungshall.
00:10:45: Wie sieben ist, denn je nach Anwendingsfall gibt's noch Feinheiten und da muss es darauf ausgerichtet werden.
00:10:49: Aber wie gesagt, das Grundsichttechnologisch Problem, das wiederholt sich
00:10:53: Ja, es ist auf jeden Fall eine superspannende Gründergeschichte.
00:10:56: Also müsste man vielleicht auch nochmal intensiver reingehen zu sehen was so ein technologisches Mindset wohin sozusagen das entwickeln kann und auch wenn es jetzt unterschiedliche Themenfelder sind, mit einer Kompanie machen kann.
00:11:11: Auch in unserem Umfeld.
00:11:12: Dann lass uns doch mal ein bisschen intensiver in unser eigentliches Thema einsteigen!
00:11:16: Ich habe es eben an der Anmoderation gesagt.
00:11:18: Pfizer hat Ende April den ersten State of Fraud Performance Report veröffentlicht also einen Benchmark der Banken in vier Performance-Stufen einsortiert basierend auf einer globalen Datenbasis von neun Billionen US Dollar bewerteten Zahlungsvolumen pro Jahr.
00:11:35: Was war denn für dich?
00:11:36: So ein bisschen das größte AHA-Erlebnis oder eine Erkenntnis, wenn du so ein bisschen in die konkreten Zahlen dieses Reports schaust.
00:11:45: Also ihr habt euch ja wahrscheinlich viel damit beschäftigt?
00:11:47: Ja also ich muss sagen für mich selber es war wir wussten dass es diese Aufzeichnung gibt und wie man diese Unterteilung treffen kann.
00:11:58: Das heißt insofern kein... großes Aha-Erlebnis.
00:12:02: Jetzt habe ich denke, was interessant ist einfach und das auch in dem Report erwähnt, dass einerseits das Thema wie viel erkennt man?
00:12:10: Und die andere Frage ist eben auch nicht nur das, was man nicht erkennt, sondern was man fälzlicherweise stoppt, das zwangsläufig mit dazugehört, dass das eben auch hohe Kosten verursacht.
00:12:19: Ist natürlich etwas, was in der Branche besprochen wird aber es geht ihm oft mehr um über die Branche hinaus darum, wie gefreut wird verhindert oder entdeckt Aber dass das andere auch Kosten mit sich bringt, wenn man da ein bisschen zu viel anhält.
00:12:32: Der Fokus darauf finde ich sehr interessant.
00:12:37: Der Reporter misst ja tatsächlich zwei zentrale Kennenzahlen also.
00:12:41: die erste ist sozusagen the Value Detection Rate der Anteil der gesamten versuchten Betrugsvolumens den so eine Bank tatsächlich erkennt, hast du ja eben schon gesagt.
00:12:51: Und der Zweite ist die False Positive Rate also das Verhältnis fähiglich blockiert lietima Transaktion zu jedem Betrug.
00:12:59: Weil kannst du das uns nochmal bitte ein bisschen verständlicher erklären?
00:13:03: Also für Leute, die tatsächlich nicht in ihrer täglichen Arbeit mit diesen Begrifflichkeiten, mit diesen Zahlen operieren oder sich damit beschäftigen... also warum genau diese beiden Kennzahlen?
00:13:16: Und warum habt ihr vielleicht nicht andere sozusagen erhoben?
00:13:20: Ja, also diese beiden sind die Kennzahlen.
00:13:23: Die jetzt in dem Bereich aber grundsätzlich wenn es darum geht Klassifizierung zu treffen ist was richtig klassiziert und falsch klassifiziert sind Insofern ein gewisser Standard.
00:13:32: Aber eben auch wenn man drauf schaut was das im Kern so ein System macht Das geht darum ist er Ken Fraud oder es gibt an dass etwas eventuell Fraud ist und dann wird es ihm nach hinten bestätigt.
00:13:42: Man kann ihn genau überprüfen lag es richtig oder eben nicht?
00:13:46: Und deswegen ist das sehr vergleichbar.
00:13:48: Das relativ klar definiert ist, man kann es vergleichbare machen über viele Institute hinweg.
00:13:55: und insbesondere also was hier eine Feinheit ist, dass man sagt, man schaut nicht nur auf wie viel... Wie ist der Anteil der betrügelsche Transaktionen die erkannt wurde?
00:14:04: Sondern der Gesamtbetrag über diese Transaktion hinweg.
00:14:07: Weil jetzt geht's darum, wieviel Fraud in der Zahlenmenge, in der Geldmenge wurde verhindert.
00:14:14: Und natürlich die False Positive Rate ist hier auch, weil das miteinander in Verbindung steht.
00:14:18: Wenn man dann so ein Modell hat, will man mehr erkennen muss man eventuell auch mehr Fehler in Kauf nehmen.
00:14:24: und dieses Gleichgewicht dieser beiden Zahlen ist eben entscheidend, weil es unterscheidet also wie Banken das Managern, wie groß der Spread dazwischen ist, unterschaltet eben verschiedene Klassen von Banken.
00:14:34: Es gibt natürlich noch viele andere Kennzahlen Und die werden also wahrscheinlich in den nächsten Jahren dann standardisierter werden.
00:14:42: Aber aktuell wäre es so, dass viel nicht vergleichbar ist und auch sehr sensibel ist, wo vielleicht Banken dann gar nichts so sich vergleichen wollen weil das aus dem Kontext heraus dann noch nicht immer gut aussieht vielleicht.
00:14:52: Wo es gar nicht so schlimm ist.
00:14:54: Wie kommt so ein hohes Volumen an Betrug zustande?
00:14:57: Ja ich meine es ist... Also jetzt innerhalb einer Bank und generell ich mein es ist schließt viel Geld Es wird viel bezahlt jeden Tag und wir kaufen jeden Tag ganz viele Kleinigkeiten mit der Karte hier und da.
00:15:13: Und das ist für Fortser gerade jetzt alles Digitales eine super Möglichkeit, mit Kleinigkeiten hier wieder skaliert auf Leute zuzugehen, irgendwas anzubieten, dass sich nur mal was reinfallen in kleinen so wie großen Beträgen geldfältigerweise überweisen oder counts übernommen werden.
00:15:30: Das geht dann sehr schnell hoch.
00:15:33: So treibt es die Zahl Das betrugst natürlich nie höher.
00:15:37: Es geht immer schneller, genauso wie alles digitalisiert wird in der legitimen Geschäftswelt ist das auch für die Betrüger sehr spannend und geht immer schneller.
00:15:47: Ja, es ist weiterhin immer für mich total spannend.
00:15:50: Also wie gesagt das ist nicht mein Kernfeld aber ich meine letztendlich wissen genau dass du gerade gesagt hast die Banken und trotzdem kommen halt einfach diese Riesenzahlen.
00:15:59: also man rennt ja sozusagen immer den Betrügern sozusagen hinterher und das wird sich ja wahrscheinlich in Zeiten von KI nochmal potenzieren.
00:16:08: Aber da kommen wir gleich noch mal drauf.
00:16:10: Im Port, ich habe den mir natürlich angeguckt, steht tatsächlich ein Satz und zwar falsche Ablehnung kosten Banken bis zu dreimal mehr als der eigentliche Druck durch die entgangene Umsätze.
00:16:21: Also Beschwerden und auch natürlich abgewanderte Kunden, die da dranhängen Wenn du mit einem riskverantwortlichen bei einer Bank darüber sprichst ist dieser Zusammenhang im Haus angekommen oder messen viele Banken intern immer noch fast ausschließlich so Erkennungsraten?
00:16:40: Also es ist voll, also ich würde sagen in den Gesprächen ist es total angekommen.
00:16:44: Es ist den klar bewusst weil am Ende des Tages gibt's ja dann, es gibt Klar Regeln wie schnell so was abzuerbeiten ist und wenn viele Transaktionen fälschlicherweise gestoppt werden oder generell zu viele, also es gibt die Forstpositive Rate aber auch eine generelle Interventionsrate, Alert Rate, wie viel generell gestopft wird, weil auch wenns echter fraud ist muss es halt bearbeitet werden.
00:17:05: Und wenn das zu hoch ist, dann hat die Organisation der Teil der Organisation, die dafür verantwortlich ist, die abzuarbeiten ein Problem.
00:17:12: Dann müssen die Leute schneller mehr arbeiten und dann wird es knapp.
00:17:16: Und deswegen ist das ein riesen Thema.
00:17:18: Ich würde sagen, ihm in den Detailgesprächen immer mit dabei.
00:17:21: Also klar, man will erkennen, aber man muss auch das im Rahmen möglich machen, dem man als Organisation bewerkstelligen kann um es ganz plakativ auszudrücken.
00:17:33: Klar, man kann sehr viel Freude erkennen wenn man jede zweite Transaktion anhält aber da brauchen wir auch eine ganze Menge Leute die das dann theoretisch abarbeiten und das ist natürlich vollkommen unrealistisch und genau das muss man sehr im Auge behalten.
00:17:45: deswegen ist immer ein Thema.
00:17:48: Also das heißt es ist tatsächlich eigentlich fast menschliche Komponente oder die man durch Menschen sozusagen verhindern könnte?
00:17:59: Ich denke nicht, weil natürlich wenn man jetzt unendlich viele Ressourcen zur Verfügung hat in Form von Mitarbeitern, Analysten die sich das anschauen.
00:18:08: Klar kann man das lösen aber das ist ja nicht realistisch aus reiner Kostenperspektive und diese Menge an Mitarbeiter kann man ja gar nicht aufbauen.
00:18:17: Das heißt natürlich arbeitet man hier auch mit viel Prozessoptimierung KI in der Fallbearbeitung und helfen, um das dann schneller die Fälle geschlossen werden können.
00:18:25: Und Schulung usw.
00:18:26: Im ersten Fall geht es natürlich darum möglichst gut und vielfroh zu erkennen und dabei das im Verhältnis zu möglichst wenigen Transaktionen, die gestoppt werden.
00:18:35: Das ist in erster Linie, dass man gar nicht sich so viel erst anschauen muss.
00:18:39: Du hast eben das Stichwort Interventionsrate gesagt.
00:18:43: Der Report nutzt hier eine fixe Interventionsrat von Null Komma ein Prozent sozusagen für den Vergleich also die Schwelle, bei der nur ein Promille aller Transaktionen überhaupt so eine Prüfung auslöst.
00:18:58: Warum ist es denn genau diese Schwelle?
00:18:59: Und was würde sich sozusagen den Verändern oder das Ranking sozusagen der Banken ändern wenn man das hoch setzt zum Beispiel Null Komma Fünf oder sogar vielleicht auf einen Prozent?
00:19:12: also erst mal würde ich sagen Der Wert ist der, den wir jetzt mit unseren Kunden gesehen haben.
00:19:16: Das hat sich einfach ein Wert, der sich gezeigt hat als einer sehr gerne erreicht wird, der sehr gut ist.
00:19:23: Und es muss ein Wert festgelegt werden ums vergleichbar zu machen.
00:19:26: Wenn man nicht die Interventionsrate und die Detection hat gemeinsam anschaut dann das Beispiel ich kann jeden fort erkennen.
00:19:36: Ich muss einfach nur jede Transaktion anhalten.
00:19:39: Das ist natürlich dann nicht hilfreich für die Operation des Geschäfts quasi.
00:19:44: Das heißt du musst jetzt immer in Gemeinsamkeit sehen.
00:19:49: sagen wir mal, man hat jetzt eine Risikostrategie bestehend.
00:19:52: Peri-Regelnlisten
00:19:53: usw.,
00:19:54: und wenn man da an der Empfindlichkeit einer Schwelle ein bisschen dreht natürlich kann man dann, wenn man mehr durchlässt, dann geht die Intervationsfahrt runter.
00:20:08: aber natürlich geht auch die Detection Rate ein bisschen runter weil man nur bei ganz simpel gesprochen, bei irgendeiner Amount war ich schon als meine Betragsschwelle dreht.
00:20:15: Wenn man dann natürlich strenger wird runter schraubt und früher anhält, ja dann erhält man mehr an.
00:20:20: Er kennt auch mehr fraud.
00:20:22: das heißt es gibt da einen gewissen tradeoff jetzt innerhalb einer festgelegten risikostrategie die man hat.
00:20:29: und klar wenn jetzt innerhalb dieser dann das hochgeschraubte werden würde durch etwas dann würden im bank auch mehr kennen muss aber natürlich mit mehr alerts umgehen können und dass ist dann auch eher eine strategische entscheidung der bank.
00:20:42: weil's auch um die frage geht Was für eine Bank möchte ich sein?
00:20:45: Ich habe mich nicht so aufstellen, dass ich auch viele Kunden zugehe.
00:20:48: Dass sich das bewerkstelligen kann.
00:20:50: oder nehme ich mehr Friction in Kauf oder weniger Friction und lasse es zu, dass die Kunden eben auf mich zukommen?
00:20:56: was ist und helft ihnen dann.
00:20:58: Das ist dann ne größere Frage.
00:21:01: Also bei fraud ist ja eigentlich der erst mal das wichtigste Thema den zu erkennen.
00:21:05: aber ich glaube noch wichtiger ist eben die Zeit bis zu dieser Erkennung.
00:21:11: Ich jetzt in eurem Report noch nicht so richtig gefunden habe oder vielleicht hab ich es auch überlesen, aber wenn wir gerade ein bisschen auf dieses Instant Payment-Zeitalter schauen indem wir uns ja befinden dann reden wir ja nicht mehr von Stunden sondern tatsächlich von Sekundenbruchteilen.
00:21:25: Wie wichtig ist denn aus deiner Sicht die Geschwindigkeit sozusagen als eigene Dimension neben Erkennungs und diesen false positive Rate die du eben angesprochen haben?
00:21:34: Und messst ihr das in euren Projekten intern also jetzt unabhängig vom Report
00:21:42: also definitiv und ich glaube das ist jetzt da nicht drin, weil es einfach eine technische Grundvoraussetzung ist die besprochen wird.
00:21:50: Also das heißt so eine Entscheidung des Systems muss in im Millisekundenbereich getroffen werden.
00:21:57: man hat ein gewisses Zeitbudget weil so eine Zahlung muss in einem gewissen Zeitrahmen von wenigen Sekunden abgeschlossen sein und das Ford System hat dann ein gewisses Budget wenige hundert Millisekunden muss dann eine Entscheidung getroffen werden.
00:22:13: Und das muss gegeben sein, weil wenn es länger braucht, kann die Entscheidung nicht berücksichtigt werden.
00:22:17: Insofern steht das gar nicht zur Debatte, die Geschwindigkeitsfrage.
00:22:22: Das muss gewährleistet sein.
00:22:24: Aber wie gesagt wirst du wahrscheinlich auch in deiner Beratungszeit gemacht haben immer darauf hinzuweisen dass eben das ausschlaggebende Argument ist, eben die Zeit der Erkennung?
00:22:39: Ja, ja schon.
00:22:40: Aber an der Stelle muss man wirklich sagen da wissen die Banken sehr genau wie viel Zeit sie haben und deswegen ist das klar festgelegt.
00:22:47: Da mit der Zeit muss man dann entsprechend arbeiten.
00:22:50: also es muss natürlich genug Zeit da sein.
00:22:52: Man kann nicht jetzt so ganz ganz ganz fünf Millisekunden haben dass es dann einfach technisch nicht mehr umsetzbar oder schwierig umsetzen war.
00:23:01: aber die Bank ein bisschen sehr genau.
00:23:02: Das ist eine technische Anforderung und da geht man ins Gespräch und das klärt man dann.
00:23:07: Das ergibt sich so aus dem Produkt des Instant Payments oder der Reinkartenzahlung heraus von alleine.
00:23:14: Euer Report hat ja sozusagen ein Ranking aufgemacht, also das heißt es gibt sehr gute Banken und vielleicht banken die etwas schlechter abschneiden.
00:23:22: Wir müssen jetzt keine Namen hier nennen.
00:23:24: Das kann man ja auch selber nachlesen.
00:23:26: Ich würde gerne einmal so ein bisschen raushören was die Spitzenbanken denn anders machen als andere?
00:23:32: Und du hast natürlich vermutlich in deiner Rolle sowohl auf der Beratungsseite als auch in deiler jetzigen Rolle Banken natürlich auf verschiedenen Performance-Stufen gesehen und begleitet.
00:23:44: Wenn du jetzt also ein bisschen an die Spitze denkst, also die Based-in-Class Häuser tatsächlich auch im Sinne des Reports.
00:23:51: Was machen sie denn zum Beispiel in den ersten dreißig Tagen anders oder erst drei Tage eines Projekts anders als das vielleicht andere machen?
00:24:01: Also kannst du uns dann bis hin einen Blick in die Arbeit geben ins Verständnis ja genau damit wir einfach ein bisschen abgeholt sind.
00:24:10: Ja ich denke Also, dreißig Tage ist tatsächlich in so einem Projekt nicht so viel Zeit.
00:24:16: Du
00:24:16: kannst auch erweitern auf Monate?
00:24:19: Aber grundsätzlich es ist schon wenn man sich überlegt oder die Frage stellt wie was ist zu Beginn eines Projekts wichtig?
00:24:27: oder was war das für ein Projekt?
00:24:30: und ich denke wichtig ist da immer die Bank Klass, wo die Reise hingehen soll und entsprechende Ressourcen auf das Projekt gesetzt werden.
00:24:42: Und die Entscheidung getroffen wurde, dass man das wirklich vollständig umsetzen möchte und dem ein komplettes Projekt im zur Seite stellt.
00:24:52: Und dann wirklich kollaborativ mit dem Anbieter und eventuell anderen externen, die da noch der Weise in Zusammenarbeit und das vorantreibt und nicht die Erwartung irgendwie besteht dar, das kommt jetzt die Probleme, also da kommt ein Tool und das kann etwas einfach umsetzen.
00:25:09: Weil es ist ja eine sehr komplexe Integration dann auch vor allem auf der Bankseite und die sich dem bewusst sind und auch schon so angefangen was sie wollen wo sie hinwollen aus der Freud-Perspektive wie Sie das für sich strategisch aufstellen diesen grundsätzlichen Schritt weiter Warum das so ist, da gibt es dann ganz viele verschiedene Gründe.
00:25:29: Das hat sich um eine Budgetfrage größeres Instituts, wo steht das Institut und was auch für ein regulatorisches Umfeld besteht?
00:25:39: Wenn wir über das Thema Betrug... sprechen, dann reden wir ja über Betrug bei laufenden Konten ganz oft.
00:25:45: Aber es gibt ja viel früher auch manchmal schon eine Eintrittstür die so ein bisschen auch komplementiert ist.
00:25:50: Wir reden von Account Takeover also ein bisschen die Übernahme von bestehenden Kontnen.
00:25:55: Es gibt der Onboarding-Betrug wenn Identitäten gefälscht oder geklaut werden gerade auch bei Contour-Eröffnung und das wird in Häusern ja manchmal auch noch ein bisschen unterschiedlich behandelt.
00:26:10: Jetzt nochmal aus deiner Projektperspektive, wie weit gehört das zusammen?
00:26:14: Also muss man die Fälle, wie sie als Betrug betrachtet werden immer als gemeinsames sehen oder trennt man trotzdem immer noch die Felle.
00:26:22: also verstehen die Banken dass es da unterschiedliche Eintrittstore gibt eines Betrugs weiß?
00:26:29: Ja ich decke alle Banken verstehen das und sehen das auch ganz klar.
00:26:33: Und sind da auch sehr hinterher, ich denke es ist von der also die technische Umsetzung das alles zusammenzuführen weil es ja sehr verschiedene Bereiche sind noch an unterschiedliche Typologien von Fällen und doch anders bearbeitet werden müssen.
00:26:46: aber alle haben es verstanden, aber es muss organisiert so viel passieren das zusammen zu führen dass da einerseits miteinander gesprochen wird aber auch Tools miteinander sprechen.
00:26:55: Das heißt das ist jetzt ein Weg dem man geht.
00:26:57: Der Trend zeigt ganz klar in die Richtung Und das auch mit Blick auf jetzt vor allem das Thema KYC.
00:27:05: Wen lässt man überhaupt in die Bank rein?
00:27:08: Also,
00:27:08: d.h.,
00:27:09: die Frage nicht nur ist mein Kunde Opfer sondern ist mein kunde vielleicht doch Täter?
00:27:12: oder beziehungsweise Finanzagent Money Mule Dieser Schiff der zeigt sich jetzt schon wenn man jetzt auch auf die kommende PSD-III, PSR schaut wo man im letzten Draft sieht dass der Fokus auch in Richtung Nicht nur der ausgehenden Zahlung geht, sondern auch der eingehenden Zahlungen.
00:27:29: So wie wir das in Großbritannien sehen die haben es ja auch umgesetzt was er auch zeigt.
00:27:33: okay man schaut eben nicht nur an wo fließt das Geld hin?
00:27:36: Sondern wer von meinem Kunden bekommt Geld ist mein Kunde da irgendwie mit rein verwickelt und das ist natürlich dann noch eng verzahnt mit den lass ich rein in die Bank, vorne KYC.
00:27:48: Auch wenn das nicht immer hilft, weil manchmal sind es Kunden, die ganz normal eben Kunden geworden sind und dann später passiert was aber?
00:27:53: dass alles irgendwie zusammenhängen, gesamtzeitlich betrachtet werden muss um einfach auch dann, wenn so ein Fall Eintritt zu verstehen, was weiß ich hier?
00:27:59: Und was vorher passiert.
00:28:01: da ist es hilfreich, wenn man nicht von verschiedenen Abteilungen hat und Tools und das alles nicht zusammengeführt ist.
00:28:07: Ist aber ein Weg der gegangen werden muss, weil es ist absolut nicht einfach das alles zusammenzuführen.
00:28:12: Du hast eben gesagt, man muss die unterschiedlich betrachten.
00:28:16: Das heißt du würdest sagen bei beiden Angriffsvektoren gerade wenn man auf die deutschen Banken guckt ist der eine nicht dringlicher als der andere sondern die sind sozusagen gleich messbar wichtig.
00:28:32: Ich denke es hängt sehr stark mit da zusammen weil natürlich auch das gerade passiert viel digital Das heißt, das Geld fließt ab.
00:28:43: Ich wird irgendwo hingeschickt und dann gibt es einem Fänger dieses Geldes.
00:28:47: Und deswegen muss auf beides geschaut werden.
00:28:48: ich denke ja beide ist gleich wichtig.
00:28:51: der Fokus östern mal so mal so je nachdem hängt ein bisschen vom Institut habe aber beides gehört zusammen.
00:29:00: Banken müssen natürlich auch einfach ihr Fraudsystem erstellen.
00:29:05: Das heißt, sie implementieren natürlich auch Systeme und müssen natürlich auch viel mit Daten arbeiten.
00:29:11: also wenn wir auf das Thema Implementierung gucken.
00:29:15: gibt's da Datenquellen die Banken so ein bisschen unterschätzen?
00:29:18: Also wenn du so modernes Fraudsystem wie es gut gebaut sein muss eingeführt wird sehen viele Häuser eigentlich erst was vielleicht nicht gut läuft oder ob gut genutzt wird, wenn das System sozusagen schon implementiert ist.
00:29:38: Wie
00:29:38: kannst du da ein bisschen Einblick geben vor allem so in diesem Prozess?
00:29:43: Ja also ich denke mittlerweile ist es so dass viele die meisten eigentlich sehen genau was an oder wissen was an Daten eventuell genutst werden sollte oder kann.
00:29:53: Es ist ein bisschen unterschiedlich verzeilt wie vieles eben schon tun und was ich jetzt sagen würde ist also zwei Punkte.
00:29:58: Also das eine ist tatsächlich das Thema auch die eingehenden Zahlung in Echtzeit Prüfen, was wie gesagt in Großbritannien seit knapp eineinhalb Jahren viele schon machen müssen.
00:30:12: Weil da eben jetzt auch die Bank des Empfängers... in gewissen Fällen mithaftbar gemacht werden kann, dass auch diese Datenströme eben analysiert werden und was einerseits operativ schwierig ist.
00:30:23: Weil da auch dann eventuell Zahlungen stoppt werden oder irgendwas mit dem Kunden gemacht werden muss aber auch rein technologisch.
00:30:28: Es ist eine ganze Menge an Daten.
00:30:29: es muss korreliert werden, da muss sich jemand Gedanken machen über die Logiken, die dahinter stehen.
00:30:35: Wenn man sich das so anschaut wie sich das mit der PSR entwickelt oder wahrscheinlich in Europa auch ähnlich.
00:30:41: Das heißt, die, die das schon machen und sich da schon hin entwickelt haben, die stehen gut dar und andere müssen nachziehen weil eben im L-System klassisch ist dass nicht abdecken kann oder es nicht in Echtzeit in der Regel läuft und keine Entscheidungen trifft über Systeme, über Transaktionen dem Moment.
00:30:58: Und das andere ist auch etwas was viele schon machen aber eben andere nicht, was auch gute Gründe hat.
00:31:05: Weil es vielleicht gar nicht unbedingt notwendig war wird nur jetzt eher notwendig im Augenblick auf die PSR.
00:31:10: und das ist alles so etwas dass digital angeht wenn der Kunde sich in das System ein in die App einloggt mit welchem Gerät?
00:31:18: Welches Netzwerk?
00:31:19: sind da?
00:31:19: irgendwie eine Malin irgendwelche Malware steckt dahinter?
00:31:22: gibt's da irgendwelchen Ungereimtheiten oder lockt sich jemand auf einmal von mehreren Geräten ein zu sehr kurzen Zeiten?
00:31:29: diese ganzen Informationen werden in vielen Teilen schon genutzt.
00:31:32: aber das eben zusammenzuführen, weil das auch einfach viel Informationen liefert wenn dann eine Entscheidung an der Punkt der Transaktion getroffen wird.
00:31:40: Kann es dabei helfen besser und mehr zu erkennen?
00:31:43: Und gleichzeitig auch mehr zu verhindern was eigentlich okay wäre oder was man sonst angehalten hätte.
00:31:49: Da passiert gerade mehr.
00:31:51: also da sind wir grad viele Gespräche und dafür viel passieren in den nächsten Jahren.
00:31:57: Du hast gerade das Thema klassische Logik angesprochen.
00:32:00: Also eigentlich würde man ja denken, mehr Erkennung bedeutet mehr fälschlich blockierte Transaktionen.
00:32:06: und aber euer Report der widerspricht so ein bisschen dieser Logik.
00:32:11: also vielleicht gehen wir da mal drauf ein wenn du Banken aus dieser sagen wir mal klassischen Trade Off Halle herausführen solls was sind denn so zwei drei konkrete Hebel die man so ein bißchen anders anpacken sollte in dem Moment?
00:32:26: Also ich denke, dieser Trade-off existiert.
00:32:28: Wenn man sich jetzt wirklich an dem Daten und den Regelwerk nichts verändert außer vielleicht eben einer Schwelle sozusagen wie wir eben hatten mit dem Betrag dann ist das natürlich so.
00:32:37: wenn ich weniger niedrige Beträge nur zulasse dann habe ich natürlich den Fall da sich mehr anhalt, mehr erkenne und bei einem anderen ist es dann genau andersrum wenn ich in die andere Richtung drehe.
00:32:48: aber wenn ich mir anschaue was mache ich denn in meiner Risikostrategie Detection Strategie Na klar, wenn ich jetzt zum Beispiel als das Beispiel von eben und das denke ich ist ein gutes Beispiel der Punkt was passiert vor der Transaktion?
00:33:00: Ja die Daten die ohnehin in einer gewissen Form vorliegen.
00:33:03: Wenn der Kunde sich in die App einloggt.
00:33:04: Wenn da bestimmte Risikoindikatoren schon vor liegen.
00:33:09: Die kann ich dann zum Zeitpunkt der Transakktion nutzen.
00:33:12: ja als einfaches Beispiel eben in Richtung ist da vielleicht ein Bot gerade aktiv, weil das ist nicht ganz menschlich was da jetzt im Browser passiert.
00:33:23: Ja dann wirft es also dass ein ganz anderer Blick auf die Transaktion wenn man die Information hat oder Gerät was man noch nicht gesehen hat oder da ist irgendwas mit dem Gerät etwas merkwürdig Das Netzwerk ist unüblich das wird noch nie genutzt.
00:33:36: Die Uhrzeit ist vollkommen ungewöhnlich zu dem diese spezielle Geräte in dem Wi-Fi genutzen wird etc.
00:33:42: Die Informationen helfen in die Richtung mehr zu erkennen.
00:33:45: aber gleichzeitig auch wenn eine Transaktionen alleine ein bisschen verdächtig aussieht, aber dann schaut man sich eben im Digitalen das an übliches Gerät.
00:33:54: Übliches Netzwerk gar kein Anomalien.
00:33:56: da gibt es einem vielleicht mehr Sicherheit zu sagen ah sollte schon passen
00:34:00: und...
00:34:01: Das ist so ein Bereich und natürlich muss ich auch sagen ganz klar... Unabhängig davon welche Daten jetzt verwendet werden.
00:34:08: das Thema KI also es ist ja im Bereich fraud natürlich und gar nicht als Marketingbegriff weil das wurde schon verwendete.
00:34:15: bevor wir groß von AI AI, KI etc.
00:34:18: gesprochen haben wurde das dort verwendet und es ist nachgewiesen in vielen Implementierungen weltweit, dass es eben funktioniert, dass KI da einfach die Beiderichtung, dass die Erkennung sowie auch die Post-Positivraten entsprechend verbessert.
00:34:38: Da muss man dann eben reingehen und das ist ja jetzt der Weg.
00:34:41: also das ist keine Bank fragt nicht danach.
00:34:44: Also es ist jetzt nicht mehr etwas so vor Zurück gescheut wird.
00:34:47: Ja, es ist ja leider immer die Crocs.
00:34:48: Du hast auf der einen Seite durch KI eine Verbesserung in diesen Ordeten.
00:34:53: Auf der anderen Seite aber durch KI kommt halt auch Free Fraud rein oder anderer Fraud den man natürlich im Modell dann wieder erkennen muss.
00:35:03: Noch mal ein anderes Thema, euer Report... empfiehlt natürlich kontinuierliche modellprüfung.
00:35:11: was banken aber eigentlich machen ist so ein bisschen periodischer audits eigentlich und ich glaube natürlich im deutschen bankenkontext ist das auch kein triviales thema nämlich du hast die aussicht also die barfin die erwartet immer stabile und natürlich auch dokumentierte modelle.
00:35:26: Wie lässt sich denn so ein bisschen diese Spannung in einem Projekt operativ auflösen?
00:35:30: Also du hast Modellagelität auf der einen Seite und Modellgovernance auf der anderen Seite.
00:35:34: Also wie löst man das so ein bißchen auf?
00:35:39: Ich denke, es lässt sich auflösen weil ich glaube die wenn man von kontroerlicher Modellüberprüfen spricht oder in dem Report davon gesprochen gehts darum einerseits immer zu wissen okay wie stehe ich da, wie performt das Modell Und dann die Möglichkeit zu haben, weil sich ja eben auch... Also Freud verändert sich schnell.
00:35:58: Man möchte neue Daten verwenden, man möchte ein bisschen was schrauben an den Modellen und man möchte einfach nur sich anpassen, weil Freud sich immer schneller verändert.
00:36:05: Das heißt nicht nur das Modell muss gut sein, dass man jetzt hat, sondern muss in der Lage sein, schnell wieder das Model zu erweitern oder die gesamte Risikostrate regeln
00:36:13: etc.,
00:36:13: muss man eben schnell reagieren.
00:36:15: Bei Modellen ist es eben so, dass kein trivialer Prozess da gibt's die Governance Regeln, die bestehen wie das gemacht werden muss.
00:36:22: Meistens müssen dann erst mal historische Daten wieder geladen werden.
00:36:26: Dann muss man sich das anschauen und dann wird das Modell gebaut.
00:36:29: Da muss es getestet werden, da muss sichergestellt werden dass das überhaupt performt den Echtzeit weil nicht jedes Modell einfach auch in diesen millisekunden Entscheidungen trifft.
00:36:38: und das muss alles funktionieren.
00:36:39: und wir konzentrieren uns eher darauf um die Möglichkeit zu haben dass dieser Zyklus sehr loop dass der schnell ablaufen kann, dass diese ganzen operativen Tätigkeiten die der Science Tätigkeiten so automatisiert werden können.
00:36:53: Natürlich sind Menschen dabei aber das was Zeit kostet reduziert wird im Aufwand sodass man sich dann wirklich auch fokussieren kann schnell wieder ein neues Modell live zu kriegen und ich dabei an alle Regeln hält, was die Dokumentation angeht, Governance, die Reports zu schreiben.
00:37:09: Das ist immer klar.
00:37:10: Was ist das für ein Modell und da alles entsprechend dokumentiert ist?
00:37:13: Und dass es eben in schnelleren Zyklen abläuft.
00:37:18: Ich würde tatsächlich im nächsten Blog einmal so ein bisschen intensiver auf das Thema AI gucken.
00:37:24: Du hast ja eben auch schon gesagt also GenAI, also Modelle, die Texte stimmen Bilder selbst erzeugen können.
00:37:30: Die haben eben also das Betrugproblem ich will nicht sagen in den letzten Ja doch in den letzten anderthalb Jahren schon massiv beschleunigt.
00:37:41: Wenn du nochmal so zurückkommst, welche konkreten Angriffsmuster siehst du denn heute bei Kundenprojekten die es vor anderthhalb Jahren vielleicht noch gar nicht gab?
00:37:51: Ist eben auch das was ich ja gemeint habe dieser Gap der da entsteht.
00:37:56: Ich denke also mit Gen AI hat sich natürlich ganz viel verändert Und man kann sehr genau mitbeobachten in den Tools, die wir jetzt nutzen oder so sehen.
00:38:06: Gerade Blick auf Deepfakes oder also das Generieren von Bildern, Videos, Stimmen
00:38:11: etc.,
00:38:12: wie gut das mittlerweile funktioniert und wie schnell sich das weiterentwickelt.
00:38:15: und genauso schnell kann es eben besser verwendet werden von Betrügern um im Stimmen zu klonen, im Videochats zu imitieren aber eben auch Dokumente zu fälschen etc.
00:38:27: Das nimmt sehr stark zu.
00:38:30: und in Verbindung damit Also die Fraud-Zahlen steigen, auch die Professionalisierung einfach wie schnell Betrüger gehen.
00:38:36: Wie gut organisiert vorgegangen wird?
00:38:39: Wie sehr sich dann auch wieder so Strukturen bilden wo Services oder Produkte im Bereich Fraud verkauft werden.
00:38:45: also eben so ein Genai Tool für Fraud oder einen Agents sogar für Fraut der dann was fein macht.
00:38:53: Wie wir es nutzen und produktiver zu sein benutzen ist auch die Betrüge allein aus dem Grund weil's so profitabel ist.
00:38:59: Was aber auch eben spannend ist, dass nicht nur das neue Tool zu rendet werden sondern auch vor achtzehn Monaten gab es bestimmte Methode zum bestimmten Bereich wo dann bestimmter Trend ausgenutzt wurde.
00:39:15: und heute haben wir jetzt zum Beispiel bald Dann mit Blick auf den Sommer, bald Fußball-WM.
00:39:20: Das ist ein spannendes Thema und das man dann sich genau daran anpasst.
00:39:23: Ah, Fußball- WM!
00:39:24: Leute wollen Tickets?
00:39:25: Das ist so ein Thema.
00:39:27: Dann kann man schnell eine Fake Website erstellen oder andere Fake Anzeigen um dann eventuell gute Angebote zu machen die natürlich fake sind und Leute fallen drauf ein weil sie Tickets haben.
00:39:37: also dieses... Es wird sich immer wieder neu angepasst an das was in der Welt passiert um Menschen eben zu täuschen.
00:39:43: Und deshalb natürlich vor achtzehn Monaten nicht gesehen.
00:39:44: Das wird jeden Monat immer wieder etwas Neues sein und mit der Zeit gehen.
00:39:49: Und das bedrohliche an der ganzen Sache.
00:39:55: Die Täter in heute sind ja nicht mal so einsame Hacker, sondern eine ganze Wertöpfungskette, die dahinter steht.
00:40:03: Du hast es eben schon gesagt, wir reden auch von solchen Organisationen, also Fraud as a Service richtig und das ist tatsächlich ein krasser realer Markt geworden.
00:40:13: Stuhlende Identitäten, fertige Fishing Kits und auch das hast du eben schonmal gesagt dieses Money New Recruiting.
00:40:22: und wenn du jetzt nochmal aus euren Daten sprichst oder darauf noch mal guckst, wie professionell ist denn eigentlich die Gegenseite heutzutage wirklich?
00:40:32: Also was bedeutet das so ein bisschen für die... also musste ich ja als Bank auch verteidigen.
00:40:36: Gibt es da eine richtig gute Strategie der Banken?
00:40:40: Ich würde sagen am Ende ist es so, dass die Organisierte Kriminalität dahinter wird immer professionalisierter und fast schon in Industrie.
00:40:51: Die haben natürlich einen Vorteil weil sie können KI nutzen, weil es ja in gewissen Art und Weise jetzt demokratisiert ist.
00:40:58: Es ist für alle zugänglich.
00:41:00: Sie können vollkommen global agieren und müssen sich für viele Sachen nicht interessieren wie Menschenrechte, Arbeitsrechte IP von irgendwelchen Softwareprodukten die sie nutzen moralische Prinzipien
00:41:12: etc.,
00:41:12: die haben sich auf eins festgelegt das ist Profitmaximierung und Datenschutz ist sowieso egal und das ist natürlich leider für ein legitimes Unternehmen Problem, weil die müssen sich an viele Regeln halten was ja auch gut so ist falls natürlich nachhaltigere Art und Weise es im Leben zu sein um zu existieren als Unternehmen.
00:41:33: Aber das wirkt natürlich auch dass man die Banken viel tun müssen um mit herzukommen um KI-Einzusetzung oder Sicher eins setzt nachhaltige einzelnen Regelkonform etc.
00:41:44: da gibt es Es gibt jetzt nicht die eine richtige große Strategie, um das zu bewältigen.
00:41:50: Was man eben sieht ist dass natürlich die mehr investieren, mehr Expertise aufbauen in dem Bereich und zusammenführen verschieden aus verschiedenen Bereichen wie eben das dem Juristischen einerseits aber dann natürlich auch wirklich Experten spezialisiert auf die verschiedenen Themenbereich im Bereich Fraud Typologien.
00:42:10: Und das kombinieren vor allem auch ganz konkreter Data Science Expertise, also Menschen die sich mit KI auskennen, die im Day-to-day quasi daran arbeiten immer wieder die Strategie anzupassen.
00:42:19: Das ist das Entscheidende!
00:42:20: Es gibt nicht die eine Strategie, sondern die Strategies sind immer wieder in der Lage zu sein schnell zu reagieren und die Tools dafür zu haben.
00:42:25: Die, die sich so aufstellen, haben nur gute Verteidigungsstrategie weil wir wissen nicht was in zwei Monaten die neuen Strategien der Betrüger sind.
00:42:34: man muss da sehr dynamisch sein
00:42:36: Das heißt sowas wie Stimmklone, synthetische Identitäten oder dieses Echtzeitfishing was natürlich viel stattfindet.
00:42:45: Ist das schon Massenphänomen also was die Banken auch sehen?
00:42:49: Oder ist es immer noch so ein Täter-Pofil spezialisierter Tätergruppen?
00:42:56: Also ich denke als ob es jetzt generell einen Massenphenomen ist.
00:43:02: schwer zu sagen aber ich würde sagen es wird mehr und mehr definitiv nicht das Werkzeug einzelner spezialisierter Tätergruppen.
00:43:09: Es ist immer Teil von dieser größeren Organisation, die dieses Service in Anspruch nehmen hängt auch immer so ein bisschen wieder von dem der Region ab wie einfach es mit synthetischen Identitäten zu agieren.
00:43:23: und natürlich ist es in bestimmten sprachlichen Region, sprach nach einem sehr einfacher Stimmklone zu erzeugen und Videoklone etc.
00:43:35: als in anderen Bereichen oder in anderen Regionen.
00:43:38: aber es nimmt natürlich grundsätzlich zu.
00:43:40: gerade auch im Bereich KYC sieht man dass das mehr und mehr genutzt wird.
00:43:46: also das ist kein Werkzeug eines spezialisierter Tätergruppens sondern ein Service Dev von der breiteren organisierten Kriminalität, die da weltweit agiert und für der auch wirklich in vielen Bereichen gewarnt wird.
00:43:57: Seit mir ein Jahr einen Interpol-Europrogramm viel rausgegeben dazu.
00:44:03: Das sollte man dann den sich sehr ernst nehmen.
00:44:07: Also die Banken müssen sich in jedem Fall wappnen und vor allem auch verteidigen.
00:44:11: Und gerade was die Verteidigungsseite angeht, ihr habt im Frühjahr das Risk Foundation Modell also kurz risk FM vorgestellt.
00:44:19: Und nach eurer Aussage ist das sogenannte Tabular Foundation Model, also so ein Grundlagenmodell, dass speziell auf tabularische Finanzdaten wie beispielsweise Transaktionkontodatenverhaltensmuster trainiert.
00:44:32: Und wenn wir jetzt mal aus der Sicht der Implementierung gucken, was erinnert das Sohnmodell oder euer Modell denn ganz konkret an der Arbeit von so Risk- und Compliance Teams?
00:44:44: Oder was macht es besser viel mehr.
00:44:48: Also ich denke also ist ja die Grundzugunde legende Technologie.
00:44:53: Ich würde sagen es ändert jetzt nicht so viel in der Art und Weise wie sie arbeiten weil die Idee ist ja dass es quasi ein ... ein Modell ist, was die Bankeninstitut... ... die Möglichkeit gibt, Insights zu bekommen.
00:45:08: Also kann ich jetzt einfach Daten?
00:45:09: Das ist kein Datenschereing sondern... ...Insights in Form von mathematischen Abstraktionen, Fraud-Patterns,... ...die schon mal über eine breite Community hinaus gesehen wurden und die sie vom Tag eins dann auch sehen können, nutzen können.
00:45:21: Und so mit Teil eines Intelligence-Sharings sind sozusagen.
00:45:26: Insofern... hilft Ihnen das im positiven Sinne, dass Sie jetzt darauf zurückgreifen würden, dass sie die Möglichkeit haben von Tag eins KI zu nutzen ohne dass Sie zwangsläufig historische Daten, die ja nicht immer in idealer Qualität vorliegen bereitstellen müssen und gleichzeitig auch in der Lage sind Patterns zu erkennen.
00:45:44: Und Forttypologien zu erkennen, die Sie so selber noch nicht gesehen haben und doch jetzt nicht antizipieren hätten können.
00:45:52: Das verändert sich.
00:45:53: RISC-FM ist jetzt die zugrunde liegende Technologie aus der Templar Foundation Models.
00:45:57: Das Forschungsprojekt ist das, was viele in dem Bereich machen – es ist quasi ein nächstes Schritt.
00:46:01: Es ist etwas, was wir grundsätzlich so schon haben als einen Score wo wir auf Basis von traditionellen Machine Learning federated learning eben auch schon so einen Score anbieten, wo Banken im Prinzip von der Community Intelligence muss man von unseren Kunden quasi profitieren können und dort eben ohne dass sie Rohdaten teilen, ohne dass irgendwie die Kunden identifizierbar sind
00:46:28: etc.,
00:46:28: diese Fraudmuster auch schon erkennen können.
00:46:33: Wir brauchen ja, um vorzuerkennen auch immer Datenquellen.
00:46:37: Also gerade für die moderne Betrugserkennung und ich glaube diese Liste an Datenquenzen führt mittlerweile immer länger.
00:46:44: also wir haben Verhaltensbiometrie.
00:46:46: wie schnell jemand tippt wischt werden so eine Geräteintelligenz Kontextdaten Auch von Drittanbietern.
00:46:55: Wo ist in einem Implementierungsprojekt die Linie denn zwischen zum sinnvollen Risikosignal einer Überwachungsplattform oder wer in einer Bank zieht, oder anders gefragt.
00:47:08: Wie zieht denn die Bank so eine Linie zwischen diesen Gefälle?
00:47:13: Oder hat sie diesen Schmeingrad viel mehr?
00:47:16: Also ich würde sagen, die Datenpunkte zu den Datenpunkten, die du genannt hast – in der Frage für die war das immer in Ordnung, sie in dem Kontext zu nutzen und es ist ja auch wichtig jetzt Gerade in der Finanzindustrie ist es keine Branche, in der man jetzt einfach mal sagt, oh, man probiert mal aus.
00:47:36: Was man mit Daten so machen kann?
00:47:37: Es war immer regulierend.
00:47:39: Es wurde immer sehr genau drauf geschaut und das ist doch wichtig zu betonen.
00:47:42: Das kann ich jetzt nach einigen Jahren in dem Bereich sagen die Banken sind unglaublich hinterher sicherzustellen dass sie wirklich nur die Daten nutzen, die in dem Sinne wie es notwendig ist.
00:47:54: also da nicht zu viel gemacht wird.
00:47:56: aber um zurückzukommen auf die Daten die du genannt hast schon immer in Ordnung ist, vorher zu tun.
00:48:01: In Europa nutzen viele diese Daten für die Ford-Erkennung.
00:48:05: In UK ist es vollkommen nach Standard und es wird jetzt mit der kommenden PSR stehen – diese Datenkategorien auch mehr oder weniger als Empfehlung mit drin, dass diese doch genutzt werden sollen.
00:48:18: Das heißt, die Frage, die sonst in meinem Raum steht, war, ist notwendig?
00:48:21: Ist unser Fordproblem groß genug, das wir diese Daten nutzen müssen?
00:48:26: Datenschutz, die Compliance-Abteilung oder auch das Floor Team.
00:48:31: Und was ist möglich?
00:48:32: Das war immer die Frage dies jetzt hinfällig weil jetzt wird es wirklich empfohlen.
00:48:36: Weil's der Standard in der Branche war hat man drauf geschaut und macht es eher zur Regel beziehungsweise Empfehlung dass diese Daten genutzt werden.
00:48:43: Das heißt die Frage bei den Datenpunkten hinsichtlich der Linie die sonst im Raum stand hinsichtliche Notwendigkeit nicht ob erlaubt ist viel weniger.
00:48:53: Die besteht gar nicht mehr.
00:48:55: Wir sind ja tatsächlich mitten oder wir schließen jetzt unser Cyber Security Week und wir sprechen natürlich immer so ein bisschen von dem Fraud, der Frautbetreuung die von außen kommt.
00:49:05: Aber ganz oft ist es ja... oder ich will nicht sagen ganz oft, aber oft ist es ein Teil des Betrugs.
00:49:10: Es sitzt ja auch im Haus selbst also beispielsweise durch unaufmerksame oder komplementierende Mitarbeitende, durch interne Datenflüsse, Social Engineering.
00:49:23: spielt das Thema in Projekten vor allem die du begleitet hast denn eigentlich eine Rolle?
00:49:29: Also spricht man darüber oder ist das so eine komplett separate Welt und vom Fraudmanagement abgekoppelt?
00:49:36: Also es kommt vor, dass man darüber spricht aber ich würde sagen das ist grundsätzlich abgekoppelt weil's sehr anders betrachtet wird und auch ganz andere Systeme betreffen würde.
00:49:46: Ganz andere Kontrollen, ganz andere Prozesse und noch ganz andere Vorgehensweisen und das wird dann sehr sehr anders behandelt.
00:49:55: Das heißt ist mal ein Thema aber grundsätzlich jetzt nichts dominierendes.
00:50:02: Wir haben jetzt tatsächlich viel über Systemimplementierung gesprochen, über das was Banken halt auf der technologischen Ebene tun können.
00:50:11: Aber es gibt natürlich auch Fraud-Betrug oder Fraud Prevention-Fee mehr die über regulatorik mittlerweile kommt und vielleicht Schiff mir einmal noch kurz dahin.
00:50:23: Also es gibt dir, du hast ja auch bisschen schon gesagt oder vorweggenommen in deinen Antworten die dritte EU-Tallungsdienstrichtlinie also die PSD III und die dazu gehörige Zahlungsdienzverordnung, die PSR verschieben so ein bisschen die Bankenhaftung.
00:50:39: Künftig sollen Banken für autorisierte Zahlungen haften wenn Kunden, Opfer von sozusagen fraud werden Wenn jemand glaubhaft ihrer Bank ausgibt und sie zur Überweisung bewegt.
00:50:51: Wie weit sind denn deutsche Banken da in die konkrete Vorbereitung eingebettet, wo es sich zu diesen ganzen Projekten noch großen Nachholbedarf?
00:51:00: Also ich weiß du bist jetzt kein Anwalt oder kommst nicht aus der regulatorischen Welt aber das ist ja ein bisschen wahrscheinlich auch Teil deines Alltags.
00:51:10: Ja absolut also ich würde sagen alle haben auf dem Schirm und es wird seines bewusst, dass da jetzt einiges auf die Branche zukommt.
00:51:18: Weil Fraud oder Fraud Prevention eine große Kategorie ist, die damit behandelt wird insbesondere in der PSR.
00:51:26: Ich denke also Nachholbedarf würde ich nicht nennig sagen.
00:51:29: einfach, da ist jetzt einige zu tun mit Blick auf die Fristen, die jetzt bestehen und das was zu erwarten ist, Ja, also ganz klar.
00:51:41: Man kann gut da auf Großbritannien gucken, weil die haben das schon so eingeführt... Also dass es ein entsprechendes Reimbursement Model dort gibt.
00:51:48: Da gibt's einiges zu tun, weil ist natürlich wichtig wird okay festzulegen.
00:51:53: wie bearbeitet man so einen Fall?
00:51:55: Wie geht man auf den Kunden zu?
00:51:56: Wie hält man da die Fristen ein?
00:52:01: gibt man dem Kunden Prozesta sehen, sprechen und Sachen einreichen kann.
00:52:05: Wie entscheidet man dann?
00:52:06: Da geht es ja auch um die Frage Fahrlässigkeit oder Robefahrlässigkeiten beim Kunden.
00:52:11: Wie weiß man dem Kunden nach was man gemacht hat
00:52:13: etc.,
00:52:13: aber bei der Haftungsfrage geht das tatsächlich auf den neuen Draft-Shout, der im April rausgekommen ist, noch ein bisschen weiter.
00:52:20: eventuell wird er auch da angesprochen eben dass wenn das Transaktionsmögliche in der Ausgehenden oder bei der Eingehenszahlung nicht entsprechend funktioniert, dass dann entsprechende Haftung Probleme entstehen rein über die Fraudtypologie und das Impassionation Thema hinaus.
00:52:35: Da kommt einiges auf die Bank zu, wirklich das Nachvollziebe alles umzusetzen, Prozesse implementiert zu haben und genug Mitarbeiter hier das stemmen können, um dem gerecht zu werden – und das ist eine große Aufgabe!
00:52:51: Mit der PSD-III kam ja auch letztes Jahr, ich weiß gar nicht.
00:52:56: Ich glaube im Juli letzten Jahres bin mir gar nicht mehr sicher.
00:52:59: aber sozusagen der verpflichtende Iber namensabgleich also die Variation of Perrier was heißt das?
00:53:05: die Bankvorauslösung einer Überweisungen immer der vom Kunden an ging mit dem Fängername ob der sozusagen zur Kontonummer passt Das klingt eigentlich erstmal simpel, aber gerade wenn man EU-weit betrachtet oder den Grow Up betracht ist es schon auch ein komplexes Thema.
00:53:25: Ist das für diese Fraud Prevention oder auch für Haftung dienlich?
00:53:32: Oder seht ihr das in Umsetzungsprojekten oder in der öffentlichen Debatte und dass da auseinander geht?
00:53:38: dieses Thema?
00:53:40: Also, ich meine auch das Gute ist in diesem Fall auch.
00:53:44: Man kann sehen also es ist ja teilweise schon umgesetzt.
00:53:46: jetzt kommen natürlich noch mal mehr dazu mit dem was was in der PSR drin steht.
00:53:51: aber wenn man eben auf Großbritannien schaut die haben's ja auch umgesetzt und da sieht man dass es natürlich hilft weil wir sehen das ja auch jetzt schon bei Beweisungen.
00:54:02: man kriegt einen Hinweis und das kann natürlich abschrecken.
00:54:06: Aber jetzt weiß Also jeder, der zum Beispiel in meinem Bereich Sanction Screening gearbeitet hat.
00:54:11: Das Abgleich von Namen, das hört sich immer sehr einfach an und ist aber tatsächlich in der Praxis kompliziert weil gerade wenn ich jetzt bestimmte Namen schreibe, solche spanische Namen da gibt es dann mehrere Doppelnamen, da geht's dann eventuell umlaute Sonderzeichen etc.
00:54:27: oder bei Firmen wo dann oft es zum Partial Match kommt Und das ist dann kein Nomatch, kein Match, ein Partialmatch und es ist meistens eben PartialMatch.
00:54:35: natürlich kann man immer noch sagen, es ist schreckt ab.
00:54:38: Weil wenn ich jetzt eh schon zweifel und dann sehe ich das so was anderes jetzt, dann hilft das.
00:54:45: aber man sieht auch dass eine gewisse Müdigkeit eintritt oder Fatigue bei Endkunden oder generell weil's ebenso oft Partial Matches gibt und dann ist das andere.
00:54:57: einerseits ja manche Fraud-Szenarien nehmen dann ab, weil es einfach wirklich schwieriger ist für die Betrührer zu erklären warum das jetzt nicht passt.
00:55:05: Andererseits ist es aber so, dass ein Betruger der es schafft die man zu überzeugen, zwanzigtausend Euro zu überweisen.
00:55:12: Der wird einen Weg finden dann jemandem zu überzeugern warum da jetzt irgendwas nicht passt und deswegen ist das eine hilfreiche Maßnahme aber eben nicht zwangsläufig DIE Maßnahme die alles lösen würde.
00:55:25: Aber das gilt für alles im Bereich fraud.
00:55:27: Es muss viele Kontrollen geben die sich gegen solche Ergänzen auch manchmal bisschen überschneiden um da flexibel zu sein.
00:55:35: Also ihr seid ja ein europäisches Unternehmen.
00:55:37: Das heißt, ihr guckt natürlich auch auf unterschiedlichste Märkte oder habt da zumindest auch Einblick.
00:55:43: und wenn man so'n bisschen auf Betrug guckt, der stoppt ja weder an der Ladensgrenze noch irgendwie... also nicht an der Landenthege oder auch nicht an die Landesgrenze.
00:55:54: Wenn wir aber tatsächlich über dann so Strafverfolgen sprechen, dann hört das ja irgendwie dann doch an der Landesgrenzer aus.
00:56:01: Also wenn eine Transaktion nach Deutschen Bank weiß ich, von Lettland nach Asien fließt.
00:56:09: Was passiert denn da eigentlich tatsächlich?
00:56:11: Also welche Mechanismen funktionieren denn gerade in dieser Fraud Prevention denn grenzüberschreitend eigentlich?
00:56:19: also gibt es da Bruchstellen.
00:56:21: was seht ihr sozusagen in euren geobachten?
00:56:24: das ist da sozusagen wirklich noch schmerzhaft.
00:56:26: man sagt er müsste eigentlich noch viel gemacht werden.
00:56:32: Tools hängt ein bisschen davon ab, in wo wir liegen.
00:56:34: Das gibt natürlich dann die Ebene bei einer Bank.
00:56:36: Da schaut die Bank auf sich selbst und was rausgesendet wird, was ihr hält.
00:56:40: Dann gibt es jetzt auch immer mehr den Schiff hinzu.
00:56:43: zu so Netzwerken übergreifenden Scores mit einem Zallungspelmen-Processor der mehrere für mehrere Banken zahlprozessiert hat man netzwerkblick oder auch so.
00:56:55: reine Zahlungsnetzwerke können dann da auch noch mehr Blick liefern, sodass man dann immer besser noch sieht okay wo geht es hin und hat den Blick ins Netzwerk.
00:57:03: Den die Bank sonst nicht hat über entsprechende Scores so dass jeder beteiligt in der Kette sein Beitrag leistet also auf Basis dessen was er sehen kann.
00:57:12: Aber klar jeder sieht aber nur so viel wie er sehen Kann.
00:57:15: Es gibt kein gesammtätliches industrieweites Transaktions Monitoring.
00:57:20: Das heißt, das ist schwierig.
00:57:21: Und wenn dann das Geld wirklich abfließt vor allem außerhalb Rausers die EU in bestimmte Juristikationen und dann geht es ja meistens relativ schnell?
00:57:29: Da ist die Strafverfolgung natürlich.
00:57:31: Das ist schwierig und das sind vielen Bereichen Problemen auch im Bereich Fraud.
00:57:37: ich denke Es wird wie vieles aktuell wird daran gearbeitet dass mehr zu sterilisieren.
00:57:42: man sieht eben Interpol arbeitet sehr intensiv daran immer mehr dazu zu veröffentlichst gibt auch mehr koordinierte Aktion Aber es bleibt eine Herausforderung.
00:57:50: Also wir sehen jetzt nicht direkt die Strafverfolgen, wie das abläuft.
00:57:53: aber von dem was man liest, was man so mitbekommt, das bleibt ein Problem und muss aber global angegangen werden weil's eben kein lokales Problem ist.
00:58:03: Wenn du so'n bisschen auf das deutsche Banken-Ökosystem gerade natürlich auch aus seinen Projekten, aus euren Arbeitenschaus also wir haben Corporate Banks, Großbanken, genossenschaftliche Banken, Sparkasten, Direktbank, Neobanken.
00:58:16: Wenn wir die alle kerstern und aufs Fraudmanagement heute gucken, also wer ist denn im FraudManagement davor Reiter?
00:58:26: Also kannst du das zum einen sagen, also wo ist die Differenzierung?
00:58:30: Und woran liegt es dass man eben vorbereiter wird.
00:58:33: Es sind dann die Größe, es ist die Technologie.
00:58:36: was eben gesagt Thema Geld spielt natürlich auch eine Rolle.
00:58:40: Ist es so Risikokultur oder möglicherweise sogar manchmal liegt es ja sogar an den Personen selber?
00:58:45: ne die anderen Schlüsselstellen sitzen diese Themen vorantreiben ganz Massiv.
00:58:50: Ja, ich muss die dankweiligen Antwort geben und sagen das ist eine Kombination aus allen Faktoren.
00:58:56: Ich glaube man kann schwer sagen es ist jetzt die spezifische Art von Bank die ein Vorteil hat weil ich denke man kann immer was finden wenn man sich den Neobank anschaut.
00:59:05: klar die sind technologisch ein bisschen moderner aufgestellt aber der mit der Regel ziemlich viel was sie machen müssen gleichzeitig und nicht so eine große Mannschaft, dass da dann die Prioritäten anders sein können.
00:59:15: Das kann dann.
00:59:15: einerseits können Sie sehr gut aufgestellt sein.
00:59:17: gibt Fälle wo Sie denn aus dem Grund das hier sehr klein sind noch wird schwieriger.
00:59:22: Dann ist immer eine Budget Frage.
00:59:23: aber ich denke die Punkte die du genannt hast vor allem jemand, der es vorantreibt.
00:59:29: Also das ist wirklich Leute, die sagen wir haben entschieden jetzt, wir machen das und ich setze es durch und bringe es durch die entsprechenden Gräbenen und habe auch das politische Kapital in dem Institut es durchzudrücken weil es eben ein großer Wandel für eine Bank.
00:59:41: ja also es geht eben darum implementierten neue Technologie, das gehört natürlich auch dazu.
00:59:48: Da müssen dann alle mit dabei sein.
00:59:50: Natürlich muss Datenschutz kommen IT Security
00:59:52: etc.,
00:59:53: müssen dabei sein es müssen IT Ressourcen da sein der Fachbereich muss es absegen und die die das gut organisieren können Die sind erfolgreich noch das Backing sozusagen haben von der vom Senior Management.
01:00:06: Das ist meistens so ein Erfolgstreiber.
01:00:10: Und es am Ende natürlich auch eine Frage des Budgets, denn wie so vieles ohne das entsprechende Budget, das Geld für die Leute und für die Technologie, für die Kursourcen
01:00:19: etc.,
01:00:20: ist das nicht umsetzbar?
01:00:22: Aber das heißt wenn ich das so raushöre zwischen den Zahlen dann ist deine Empfehlung macht das Budget auf jeden Fall locker für sowas.
01:00:31: Ich mein man muss immer scha... Man muss natürlich immer die Frage stellen und das ist ja das eigentlich Gute im Bereich For Prevention, was bei anderen Compliance Use Cases ein bisschen schwieriger ist.
01:00:40: Dass man relativ gut eine Business Case aufmachen kann.
01:00:45: Gerade jetzt mit Blick auf die, was jetzt an Liability-Regeln noch hinzukommt, kann man sich relativ das durchrechnen und sagen okay, was ist das Budget?
01:00:55: Was ich nutzen zu fügen habe um trotzdem am Ende noch einen Wert für das Institut zu schaffen Neben so Softenfaktoren, was glaube ich jetzt immer mehr ein Thema wird, weil das auch mehr in die öffentliche Debatte rückt.
01:01:08: was das Thema Reputation angeht, weil er möchte als Bank einfach nicht die Bank sein, die in den News ist.
01:01:14: Weil sie einen Kunden nicht geholfen hat, weil sie ein riesen Ford-Problem hat.
01:01:18: Weil dann stellt sich die Frage ja, der Bank ist dafür da, denn das Geld des Kunden zu schützen und wenn das nicht mehr sichergestellt ist auch wenn die öffentliche Debatte da manchmal dann bisschen schwierig ist, ist es egal?
01:01:28: Dann hat die Bank ein Problem und das sollte natürlich vermieden werden.
01:01:31: Das heißt, da gibt's viele Wege wie wirklich da auch ein gutes Verständnis vom erwarteten Budget.
01:01:40: Man feststellen kann sozusagen um diese Entscheidung zu treffen, dass man das macht.
01:01:44: Was jetzt eigentlich gerade gesagt?
01:01:46: also was banken ja total?
01:01:48: Also wofür die da sind?
01:01:49: Geld zu verwalten für die Kunden.
01:01:51: Was damit einhergehend ist natürlich das Thema Vertrauen, dass genießen Banken.
01:01:56: wenn aber natürlich ein Kunde-Kundin Opfer von Betrug wird und das Geld weg ist dann kippt natürlich erstmal dieses Vertrauen in die Bank und Studien zeigen auch, dass so ein erheblicher Teil der Betrugsöpfer im Anschluss dann auch die Bank wechseln oder möglicherweise auch ernsthaft darüber nachdenken wie ernst nehmen Banken denn diesen Vertrauenschaden?
01:02:15: Es ist etwas was Ja, im Haus sozusagen gewahr ist und... Ist das ein Thema was man typischerweise auch noch mal ein bisschen mehr auf der Agenda haben würde oder treiben müsste eigentlich?
01:02:29: Also ich würde sagen also ich meine es ist jetzt so eine Vision.
01:02:34: Ich sehe dass das immer wenn man so Anfragen bekommt und dann auch wirklich so größere Also richtig dann der Einkauf auf einen zukommt, dass es ein größerer Prozess ist.
01:02:43: Ist das auch meistens so ein Leitbild?
01:02:46: Dass man sagt, man möchte die Bank sicherer machen und die Kunden schützen für die Kunden da sein und also für den Entkunden eine gute Erfahrung ermöglichen gleichzeitig, weil sie diese Spannungsfeld in dem agieren.
01:03:00: Das ist immer ein Thema Ja, und ich würde es total bestätigen.
01:03:06: Ich würde sagen also ist natürlich immer wieder dann sehr aufgebauscht in der öffentlichen Debatte weil dieses Bank macht viel mehr als jetzt nur das Geld von Privatkunden zu verwalten.
01:03:15: aber Das ist nur dass wie die meisten Menschen Die Bank sehen weil das ist die Beziehung die sie zu einer bank meistens haben Es ist das Konto das dort geführt wird und dort liegt das Geld und das soll sicher sein Und es zeigt sich in Studien, dass wenn das nicht richtig gemacht wird, dass das ein Problem werden kann.
01:03:33: Weil natürlich gibt's immer die Frage, was ist Fahrlässigkeit?
01:03:37: Wann hab ich zu naiv?
01:03:39: Das ist eine Frage, die man diskutieren muss auch.
01:03:44: Also
01:03:44: der Kunde fragt das dann oder die Bank...
01:03:47: Nein, also die generelle Frage in der öffentlichen Debatte.
01:03:51: Wo fängt Eigenverantwortung an und wo hört sie auf?
01:03:53: Das ist eine wichtige Frage.
01:03:55: Und wer wäre in der Kette das verantwortlich?
01:03:58: Nur um das abschüchtern würde ich zumindest sagen... Also wenn mir sowas passiert und ich überweise sehr viel Geld dann habe ich erstmal ein Problem.
01:04:08: Egal, warum ist das hier sehr unangenehm?
01:04:10: Weil es entweder meine finanzielle Existenz gefährdet oder es mir einfach sehr peinlich ist und ich bin überfordert.
01:04:16: Und dann brauche ich Hilfe in dem Moment.
01:04:20: Natürlich die Bank kann da nicht alle Probleme für einen lösen.
01:04:22: Die ist natürlich auch begrenzt aber dann kann man so oder so damit umgehen.
01:04:26: Wenn ich dann das Gefühl habe wir würden nicht geholfen, niemand finde ich da wird zu schnell das Gefühl geben es wäre ja meine Schulden gibt jetzt keine Hilfe.
01:04:33: was würde ich als Kunde tun?
01:04:35: Ich würde sehr wahrscheinlich wenn Ich würde mir nicht geholfen, ich werde woanders hingehen.
01:04:41: Weil ja, ich habe das Gefühl die Bank war nicht für mich da in der schwersten Zeit und das muss natürlich vermieden werden.
01:04:48: Es gibt natürlich Grenzfälle aber das ist ganz wichtig weil so steht im dieser Vertrauensschaden und das sind so Fälle die auch dann öffentlich werden wo es dann schnell zu einem größeren Problem werden kann.
01:04:59: Und dass wird jetzt durch diese öffentliche Debatte rund um PSR und was dahin zukommt mit Liability noch wichtiger.
01:05:07: Ja, mit Fraud kommt natürlich dann auch letztlich oder wenn Fraud passiert ist so ein bisschen die Verantwortungsfrage.
01:05:12: Also wenn wir vielleicht auf ein konkretes Beispiel gehen, wenn ein Kundin durch Social Engineering dazu gebracht wird, eine Überweisung möglicherweise selbst auszulesen, ist das dann deiner Meinung primär Versagen von Banksystem?
01:05:27: Ist es ein bisschen Versagen auch von Kundenaufklärung der ja... selber haftbar gemacht werden könnte oder ist es so ein Zusammenspiel aus beiden?
01:05:36: Und noch anschließende Frage, wenn wir ... Du hast eben PSD-III gesagt.
01:05:42: Die setzt natürlich auch eine gewisse Haftung voraus.
01:05:48: Ändert sich das sozusagen mit der PSD III nochmal?
01:05:52: Ja also ich würde sagen grundsätzlich für die Frage wäre es verantwortlich oder wäre es schuld.
01:05:57: Ich denke dass Da muss man klar sagen, das hängt von dem jeweiligen Fall ab.
01:06:01: Und es gibt natürlich noch viel mehr als jetzt nur den Kunden und die Bank.
01:06:08: Es geht auch um die Frage, wo wurde der Kunde kontaktiert?
01:06:11: aus einer Social Media Plattform auf einem Online-Marktplatz?
01:06:14: Das sind auch Akteure, die eine Aufgabe haben oder Telekommunikationsanbieter, die alle spielen eine Rolle.
01:06:20: Der Fokus ist gerade ganz klar auf den Banken.
01:06:25: Natürlich, und das war lange die Sicht.
01:06:26: Und ich denke, dass es im deutschen Raum immer mal wieder die Sicht wie so nach näher wäre, wer darauf reinfällt der selber schuld.
01:06:33: Ich glaube, das hat man sagt man schnell aus zwei Perspektiven.
01:06:38: einerseits weil man in der Branche arbeitet viel mehr sensibilisiert ist für das Thema.
01:06:44: Andererseits wenn man gar nicht weiß, wie gut diese Techniken davor mittlerweile sind und mit KI
01:06:52: etc.,
01:06:52: ist das mittlerweile sehr gut, dass selbst jeder davon betroffen werden kann.
01:06:56: Es gibt halt für jeden einfach dann eine entsprechende Technik, wie man sich überreden kann.
01:07:00: Das fällt jeder darauf rein.
01:07:03: Der Punkt ist eben nur es hat jeder Menschen Konto und nicht jeder ist diese Gefahren bewusst.
01:07:09: Nicht jeder hat die Hintergrund, nicht jeder versteht was in der Bankenwelt passiert, wie's abläuft ganz einfach.
01:07:14: Es gab auch sehr viele vulnerable Gruppen unsere Großeltern Eltern, die das vielleicht nicht mehr so ganz hinterher sind und diesen definitiv Doof, die wissen es einfach nicht anders und werden ausgenutzt.
01:07:24: Und wenn dann der Bank sieht und dem System erkennen kann okay das ist verdächtig im Vergleich zu anderen Fällen Dann ist eine gewisse Verantwortung da und man sollte auch dann was gepflegt werden.
01:07:35: Aber wie gesagt das muss aber alles in Gesamtheit betrachtet werden.
01:07:38: Was ist genau passiert?
01:07:39: wann wurde was gemacht?
01:07:39: Wie oft ist schon passiert immer wieder um dann zu fangen wer jetzt hier wirklich schuld.
01:07:45: Es soll sich nur nicht so schwarz-weiß geführt werden, weil ich denke dafür sind die Betrüger mittlerweile viel zu professionell.
01:07:51: Und dafür passiert es einfach viel zu oft?
01:07:53: Also ich glaube wir könnten über das Thema ... Weil das ja auch einfach so vielschichtig und komplex ist also noch mindestens die gleiche Zeit füllen.
01:08:03: Aber wenn mir ein bisschen zum Schluss kommen... Wenn du Marius heute sozusagen eine einzige Empfehlung und das ist wirklich sehr komprimiert an Mai Beispielsweise ein Risk- und Complianceverantwortlichen in einer deutschen Bank, in der Bankenbranche selber aussprechen dürfte es.
01:08:22: Welche wäre das?
01:08:23: Also vielleicht auch hier was du selber aus deiner eigenen Erfahrung, aus euren Projekten, aus deine Arbeit sozusagen siehst.
01:08:31: Ja also ich würde sagen in den aktiven Austausch gehen und wirklich intensive Gespräche nicht nur klassisch anfangen stellen lassen die Requirements da muss man selbst wissen was ist das Problem was ich lösen möchte, was sind die Probleme, die ich sehe?
01:08:47: Ford klar war auch prozessual.
01:08:48: Was möchte ich erreichen als Institut und dann wirklich in intensiven Austausch gehen und sich hinterfragen.
01:08:55: Also nicht nur sagen so will ich das und so passiert es dann sondern wirklich in den Austauschen ins Gespräch gehen weil es ist komplexer Change Prozesse und Technologie zu implementieren und auch im Ford Management etwas umzubauen da wirklich in dem Austausche gehen viel das Gespräch zu suchen eher früher als zu spät Das hilft in der Regel immer.
01:09:15: Und wenn wir jetzt doch mal so ein Blick in die Glasskugel geben, also wir haben eben mal gesagt was sich in den letzten anderthalb Jahren auch gerade mit KI geändert hat.
01:09:23: Wenn wir jetzt sozusagen nach vorne gucken nochmal anderthalf Jahre, wenn man so ein typisches Implementierungsprojekt sieht?
01:09:32: Was wird in anderthhalb Jahren anders sein und wo wird man oder woran wir es zu vielleicht persönlich merken ob die Branche so ein bisschen den Umbruch der ja ganz klar stattfindet irgendwie, ich weiß nicht ob geschafft hat aber zumindest irgendwie sehr gut mitbegleitet hat.
01:09:50: Ja sich man hat es glaube ich auch in den letzten Jahren grundsätzlich schon gesehen dass einfach der der Reifegrad in den Gesprächen deutlicher wird also das ist viel mehr klar sein wird was will ich als Institut wo will ich hin?
01:10:04: Was sind meine Anforderungen und dass es nicht mehr so generalistisch ist wie es vielleicht in der Vergangenheit der letzten fünf Jahre war sondern Natürlich auch mit Hilfe der PSR, wo klar vorgeschrieben ist was zu tun ist.
01:10:14: Deutlich klarer festgeschriebenes.
01:10:16: da wollen wir hin und noch die Gespräche auf einer ganz anderen Ebene anfangen Und ich glaube die Banken werden sehr viel mehr Expertise im Bereich Data Science AI aufbauen Was dann auch nochmal die Gespräch in eine ganz andere Richtung führt.
01:10:29: Ich glaube das wird passieren Also dass es zwangsläufig wird jetzt alle hingepuscht.
01:10:33: mich sehe auch diese Entwicklung und ich denke Das wird in den nächsten vierzehnzehnte Monaten dann sehr sichtbar sein.
01:10:39: Dann treffen wir uns doch einfach spätestens dann nochmal hier an selber Stelle und gucken mal, wie gerade so der Stand ist.
01:10:46: Aber zumindest für heute sage ich erst einmal ganz herzlichen Dank über Marius.
01:10:50: Vielen Dank für den Einblick ein bisschen tatsächlich aus dem Maschinenraum darüber was im Fraudmanagement gerade bei deutschen Banken passiert.
01:11:00: Vielen dank in jedem Fall dass du dir die Zeit genommen hast.
01:11:03: Na vielen Dank!
01:11:04: Ja und wenn euch natürlich die Folge gefallen hat, freuen wir uns natürlich sehr.
01:11:08: Wenn ihr uns liked, abonniert, teilt euren Kollegen gerade die vielleicht an entsprechenden Stellen arbeiten weiterleitet weil ich glaube hier kann man wirklich relevante und interessante Insights bekommen.
01:11:21: Wir packen natürlich alle wichtigen Sachen in unsere Show Notes, also gerade Euren Report.
01:11:25: Packen wir noch mal da rein auch die Artikel, die sozusagen über die Woche erschienen sind In unserer Cyber Security Weeks sind wirklich tolle und interessante Fachbeiträge.
01:11:34: Ich sage nochmal ganz, ganz großen Dank an Vizei dass ihr die Themenwoche als Partner unterstützt habt Und uns sozusagen durch die Woche begleitet habt.
01:11:42: ich würde sagen Als abschlüßende Worte ja alle bleibt wachsam und vor allem messt die richtigen Dinge.
01:11:49: Und ich sage vielen Dank fürs Zuhören und bis zum nächsten Mal!