14.07.2020

Mit Graphtechnologie Betrügern einen Schritt voraus

Covid-19 Subventionsbetrug

Mit Graphtechnologie Betrügern einen Schritt voraus

Covid-19 Subventionsbetrug

Falschen Identitäten auf der Spur. | © ipopba - stock.adobe.com
Falschen Identitäten auf der Spur. | © ipopba - stock.adobe.com

Im Rahmen der Corona-Krise steigen die Betrugsversuche um finanzielle Soforthilfen zu Lasten der rechtmäßigen Empfänger. Unter Angabe falscher Informationen und Identitäten erschleichen Betrüger sich Gelder vom Staat. Banken kennen diese Art von Betrugsmasche nur zu gut und setzen schon seit längerem zur Betrugsaufdeckung auf Graph-Analytik.

Um in Krisenzeiten Unternehmen so schnell wie möglich finanziell unter die Arme greifen zu können, ist das Antragsverfahren für Corona-Soforthilfen fast so unkompliziert wie der Gang zum Geldautomaten. Aufgrund von Kontaktbeschränkungen werden die Anträge ausschließlich digital gestellt. Doch nicht alle Behörden sind optimal auf den digitalen Bürger vorbereitet. Betrüger wissen von der Fehleranfälligkeit dieses Schnellverfahrens und beantragen für teilweise erfundene Firmen Gelder. Allein in Berlin ist dadurch bis Ende Mai ein Schaden von rund 4 Millionen Euro entstanden. Dabei agieren die Betrüger nicht allein. Angehörige eines Berliner Familien-Clans stehen beispielsweise im Verdacht, im großen Stil Anträge eingereicht und Corona-Soforthilfen abkassiert zu haben. Beim Abgleich von Wohn- und Geschäftsadressen mit den Daten der Investitionsbank Berlin (IBB) stieß die Berliner Kriminalpolizei auf über 250 Anträge, die die gleiche Handvoll an Adressen nutzten.

Die Betrugsversuche in Berlin sind keine Einzelfälle. Bei der Financial Intelligence Unit (FIU), der deutschen Anti-Geldwäscheeinheit, sind im April innerhalb von vier Wochen rund 2300 Verdachtsmeldungen mit den Stichworten „Covid-19“ und „Soforthilfe“ eingegangen. Die Meldungen kommen direkt von den Banken, die Transaktionen beobachten und mit Hilfe von Datenanalytik-Tools verdächtige Vorfälle, Ausreißer und Muster identifizieren. So können auffällig hohe Zahlungseingänge auf ein Konto beispielsweise wichtige Hinweise liefern, um kriminellen Aktivitäten und Geldwäsche frühzeitig einen Riegel vorzuschieben.


Falschen Identitäten auf der Spur

Kreditinstitute, Versicherungen und Banken sind es gewohnt, Transaktions- und Personendaten miteinander abzugleichen und zu überprüfen. Denn ähnlich wie beim Antrag auf finanzielle Hilfsmittel, verwenden Betrüger auch bei der Erstellung von Konten (oder Kreditanträgen) oftmals synthetische Identitäten. Dabei handelt es sich um gestohlene Informationen von realen Personen, wie Personalausweis, Wohnadresse, Telefonnummer und E-Mail-Adresse, die anschließend neu zu einer fiktiven Persona zusammengesetzt werden.

Abb. 1: Synthetische Identitäten nutzen gestohlene Daten von echten Personen. © Neo4j

Um solche künstlichen Personen zu entlarven, reichen herkömmliche Lösungen zur Betrugsaufdeckung nicht aus. Diese verwenden für die Analyse diskrete Daten, die jeweils nur zwei bis drei Informationen auf einmal in Beziehung setzen können, wie Name, Wohnadresse oder Bankkonto. Das ist zwar nützlich, um einzelne Täter zu fassen, greift jedoch zu kurz, wenn es darum geht gemeinsame Merkmale von Netzwerken von Betrügern aufzudecken. Darüber hinaus werfen die Systeme auch eine alarmierende Anzahl an falsch-positiven Ergebnissen aus, was sich bei falschen Anschuldigungen negativ auf die Kundenbeziehung auswirken kann. Die meisten Systeme zur Betrugsaufdeckung basieren auf relationalen Datenbanken. Informationen werden in vorgegebenen Tabellen und Spalten gespeichert.  Bei größeren und unstrukturierten Datenmengen stoßen sie allerdings schnell an ihre Grenzen. Abfragen gestalten sich als zu aufwändig und die Antwortzeiten ziehen sich in die Länge. Ganz zu schweigen von der Tatsache, dass diese Systeme versuchen, Betrug ohne wirklichen Kontext aufzudecken. Banken und Behörden brauchen jedoch die Möglichkeit, eine Spur von einem Konto zum anderen zu verfolgen, um festzustellen, wie Aktivitäten miteinander verbunden sind.

Graphtechnologie und Algorithmen zum Einkreisen von Verdachtsfällen

Im Gegensatz zu relationalen Datenbanken bilden Graphdatenbanken nicht nur einzelne Daten ab (z. B. Person, Kontonummer, Wohnadresse), sondern auch deren Beziehungen untereinander (z. B. „wohnhaft in“, „beantragt“, „verwandt mit“). Damit bildet das Datenmodell Zusammenhänge wie „Kontonummer B gehört zu Person A wohnhaft in Adresse C“ realitätsnah ab. Daten und Beziehungen werden als „Knoten“ und „Kanten“ bezeichnet. Beiden kann eine beliebige Anzahl von qualitativen oder quantitativen Eigenschaften zugewiesen werden, z. B. der Zeitraum einer Überweisung oder bestimmte Identifikationsformen wie Personalausweis oder Telefonnummer. Diese Art der Darstellung gibt auch komplexe Zusammenhänge verständlich und anschaulich wieder.

Abb. 2: Verdächtige Cluster von Personen mit gemeinsamen Identitätsmerkmalen, wie E-Mail-Adresse und Telefonnummer, abgebildet im Visualisierungstool Neo4j Bloom. © Neo4j

Um die vorhandenen Datensätze und Beziehungen schnell und präzise analysieren zu können, kommen in Graphdatenbanken wie Neo4j Graph-Algorithmen zum Einsatz. Ihre mathematischen Berechnungen sind speziell auf Beziehungen ausgelegt. Eines der bekanntesten Algorithmen ist „PageRank“, das von Google genutzt wird, um Suchergebnisse anhand ihrer Priorität zu sortieren. In einer Graphdatenbank findet PageRank wichtige Knoten (Objekte) anhand ihrer Beziehungen und veranschaulicht sie mit Hilfe des Visualisierungstools Bloom. Für die Betrugsaufdeckung im Bankwesen, wird der Algorithmus über den Graphen gelegt und identifiziert wichtige bzw. einflussreiche Kunden, die am Ende von unzähligen Geldtransaktionen sitzen. Knoten mit einem hohen PageRank Score erscheinen in der Ansicht größer und fallen somit sofort ins Auge. Somit lassen sich Analysen und Untersuchungen auf bestimmte Personen priorisieren.

Ein weiterer wichtiger Algorithmus ist „Weakly Connected Components“, bei dem Sub-Graphen aufgedeckt werden, die anhand von gemeinsamen Identitätsmerkmalen (z. B. Telefonnummer, Adresse) eine Gemeinschaft bilden. Zum Beispiel besitzen Person A und Person B dieselbe Telefonnummer und bilden dadurch eine Gemeinschaft. Jedoch sind sie nicht in derselben Adresse wohnhaft, was auf eine Anomalie hinweist und als möglicher Betrugsversuch gekennzeichnet werden kann. Ein Analyst kann auf diese Weise gemeinsam mit Betrugsexperten auffällige Aktivitäten unter Verwendung synthetischer und gestohlener Identitäten identifizieren. Diese so genannten versteckten Zusammenhänge liefern wertvolle Hinweise bei der Suche nach Betrügern.

Transparenz und Compliance: „Know-Your-Customer“

Ein gutes Beispiel für Betrugsaufdeckung ist Dun and Bradstreet (D&B). Das Technologie- und Datenunternehmen setzt Graphtechnologie ein, um mit sogenannten „Know-Your-Customer“-Abfragen die wirtschaftlichen Eigentümer eines Unternehmens schneller zu überprüfen und so Compliance-Vorgaben zu erfüllen. Vor Einführung des graphbasierten Systems erforderte die Recherchen hochqualifiziertes Personal und eine einzige Abfrage konnte Mitarbeiter bis zu 15 Tage lang beschäftigen. Durch den Einsatz von Graphen können Organisationen Kundenprüfungen jetzt schneller und genauer durchführen und so Betrug und andere Straftaten aufdecken.

Ähnlich wie bei D&B könnten auch Behörden solche Abfragen nutzen, um die Rechtmäßigkeit von Anträgen zu überprüfen und verdächtigen Informationen nachzugehen. Dazu gehört z. B. die Gründung eines Kleinunternehmens kurz nach der Bekanntgabe von Auszahlungen staatlicher Soforthilfen. So lässt sich schnell ermitteln, ob das Unternehmen tatsächlich auch den Betrieb aufgenommen hat und somit Anspruch auf Soforthilfe besteht oder nicht.

Schnelle und genaue Datenanalysen in Echtzeit sind wesentliche Voraussetzungen für die Bekämpfung von Betrug – ob beim Antrag auf Corona-Soforthilfen oder bei einem Kredit bei der Bank. Bei der wachsenden Menge an Daten sowie den schnelllebigen und immer neuen Betrugsversuchen, ist das keine leichte Aufgabe für Behörden und Finanzdienstleister. Um Betrügern einen Schritt voraus zu bleiben, lohnt sich daher der Einsatz von Graph-Analytik.

 

Dirk Möller

Area Director of Sales CEMEA, Neo4j
n/a