"Die Arbeitsweise der Kriminellen im Untergrund verändert sich permanent"
Im Interview: Natalie Kelly
“Betrüger stürzen sich auf das schwächste Glied”
Chief Risk Officer von Visa Europe skizziert die Cyber-Bedrohungslage für Zahlungsdienstleister und ihre Kunden
“Die Arbeitsweise der Kriminellen im Untergrund verändert sich permanent”, konstatiert Natalie Kelly, Chief Risk Officer von Visa Europe. Im Interview der Börsen-Zeitung erläutert sie, wie sich das Vorgehen der Betrüger entwickelt und was sich dagegen unternehmen lässt.
Frau Kelly, wo sehen Sie derzeit die größten Bedrohungen für Zahlungsdienstleister, Händler und Kunden?
Lassen Sie mich Ihnen eine Gegenfrage stellen. Wenn Sie 100 Dollar mit Ihrer Visa-Karte bezahlen, welcher Anteil davon ist im Schnitt von Betrug betroffen?
Vielleicht nicht einmal ein Dollar?
Es sind 7 Cents – das ist eine der niedrigsten Betrugsraten aller Bezahlformen. Wenn Menschen an Betrug denken, gehen sie von einer hohen Zahl aus. Aber das entspricht nicht der Realität. Pro 100 Dollar sind es im Schnitt nur 7 Cents. Zur Sicherung des Zahlungsökosystems tragen Modelle wie Visa Advanced Authorization (VAA) bei. Das war unser erstes KI-Modell, das wir seit den 90er Jahren betreiben. Es wertet bei jeder aktiven Kartennutzung 500 Risikoattribute in Echtzeit aus, um einzuschätzen, ob die Transaktion genehmigt oder abgelehnt werden sollte. Darüber hinaus kommen neue Sicherheitstechnologien wie Strong Customer Authentication (SCA) und Tokenisierung zum Einsatz. Wir bauen unsere Cybersicherheitsinfrastruktur kontinuierlich aus und haben in den letzten fünf Jahren rund 10 Mrd. Dollar in Prävention und Sicherheit investiert.
Dennoch sind es immer noch 7 Cents.
Weil die Betrüger sich auf das schwächste Glied stürzen, die Verbraucher. Ich kaufe viel bei einer großen E-Commerce-Plattform, und ich bekomme teilweise fünf SMS pro Tag, in denen es heißt: „Ihr Konto wurde gesperrt. Bitte klicken Sie auf diesen Link oder laden Sie jenes Programm herunter.“ Zudem gibt es alle möglichen Varianten von Enkeltrick-Betrug. In Großbritannien gab es vor einiger Zeit eine Menge Betrugsversuche im Bereich Phishing, z.B. mit Bezug zu den Lebenshaltungskosten: „Der Winter steht vor der Tür. Wenn Sie hier klicken und dieses Dokument herunterladen, sparen Sie 400 Dollar auf Ihre Energierechnung.“
Zur Person: Natalie Kelly ist seit über 22 Jahren bei Visa und wurde im August zur Chief Risk Officer bei Visa Europe ernannt. Zuvor hatte sie bei dem amerikanischen Zahlungsdienstleister verschiedene Führungspositionen inne, unter anderem als Senior Vice President Global Risk. Vor ihrem Eintritt bei Visa arbeitete Kelly als Senior Officer bei der Southtrust Bank (heute Wells Fargo). Im Jahr 2022 wurde sie von der Fachzeitschrift “American Banker” als eine der einflussreichsten Frauen im Zahlungswesen ausgezeichnet. Kelly hat einen Bachelor of Science in Commerce and Business Administration von der University of Alabama. Sie ist verheiratet und hat drei Kinder. Derzeit befindet sich ihre Familie im Prozess des Umzugs nach London.
Es gibt also alle erdenklichen Arten von Betrügereien. Was lässt sich dagegen unternehmen?
Unsere Sicherheitsstrategie hat drei Schwerpunkte: die Weiterentwicklung unserer zuverlässigen und widerstandsfähigen Sicherheitsinfrastruktur, den Schutz dieser Infrastruktur sowie den Einsatz neuester Technologien zur Erkennung und Vorbeugung von Betrug. Wir haben ein Risikoteam aus 1.000 Cybersecurity-Spezialisten, mit eigenem Team in Europa. Dessen Aufgabe es ist, sich um alle Parteien im Zahlungsökosystem zu kümmern. Und dieses ist vielschichtig, denn wir haben uns mittlerweile von einem Vier-Parteien-Modell zu einem Viel-Parteien-Modell entwickelt, bestehend aus Fintechs, Zahlungsdienstleistern und allem, was dazwischenliegt.
Was wissen Sie über die Vorgehensweise der Kriminellen im Untergrund?
Die Arbeitsweise der Kriminellen im Untergrund verändert sich permanent. Wir bei Visa haben weltweite Dark-Web-Intelligence-Teams. Und die haben beobachtet, dass die Betrüger vor der Pandemie eher in ihren eigenen Bahnen geblieben sind. Es gab diejenigen, die auf Man-in-the-Middle-Angriffe gegen Banken spezialisiert waren. Dann gab es diejenigen, die gefälschte Karten für die Bargeldabhebung am Geldautomaten herstellen. Daneben dann noch die Kuriere, die zu den Geldautomaten gingen, um das Geld abzuheben. Und dann gab es – ich nenne es mal – die Dark-Web-Orchestrationsschicht, die alles zusammenbrachte.
Was verbirgt sich dahinter?
Im Dark Web gibt es Seiten, die wie ein normaler Online-Shop mit Warenkorb und Bewertungssystem aussehen. Es kann dort bewertet werden, wie erfolgreich die verschiedenen Betrüger vorgegangen sind, welche Art von Kartendaten sie übermittelt haben, ob diese gültig waren und ob sie funktioniert haben. Betrüger erhalten beispielsweise bessere Bewertungen, wenn den Bankdaten ein offizielles Ausweisdokument beigefügt war.
Bei all den Angriffen von außen, wie stellen Sie sicher, dass Ihr Netzwerk zuverlässig funktioniert?
Wenn Sie heute eine Visa-Karte einsetzen, kann sie unser Netzwerk über 27 verschiedene Routen sicher und effizient durchlaufen. Das Ganze natürlich so schnell wie möglich samt der 500 Transaktionsattribute, von denen ich gesprochen habe. Die Rückmeldung erfolgt im Schnitt in weniger als 5 Millisekunden. Wir haben zudem ein Netzwerk aus über 16 Millionen Kilometern privater Kommunikationsleitungen. Das ist genug, um die Welt 400-mal zu umrunden. So erreichen wir eine Uptime von 99,999%. Die Kapazitäten, die wir aufgebaut haben, stellen wir unseren Kunden und Partnern zur Verfügung. Hierzu haben wir kürzlich etwas eingeführt, das wir „Risk as a Service“ nennen.
Ein schönes Schlagwort. Was verbirgt sich dahinter?
„Risk as a Service“ ist ein Bündel aus Dienstleistungen für unsere Partner zur Prävention und Bekämpfung von Betrug. Unser Angebot wird dabei auf die Anforderungen des jeweiligen Kunden zugeschnitten. So können wir beispielsweise Anomalien in unserem globalen Netzwerk aufspüren, was auch Anomalien in den Daten unserer Kunden einschließt, so dass wir sie vor potenziellen Angriffen schützen können, die nicht einmal unsere Kunden sehen können. Zudem überprüfen wir beispielsweise proaktiv Websites von Händlern auf Sicherheitslücken und können dasselbe für kartenausgebende Banken tun.
Mit “Kunden” meinen Sie hier die kartenausgebenden Banken und andere Institute wie die Acquirer, die die Händler an Ihr Zahlungsnetzwerk anbinden?
Genau. Und auch einige Fintechs, Zahlungsaggregatoren und so weiter. Wir betrachten jeden, der im Zahlungssystem involviert ist, als Teil unseres Ökosystems. Unser Netzwerk verbindet alle miteinander.
Erfolgt die Integration von „Risk as a Service“ über eine API?
Für diese Lösung ist überhaupt keine Integration erforderlich. Wir können das alles für unsere Kunden erledigen. Sie müssen uns nur mitteilen, wie hoch ihre Risikobereitschaft für Betrug ist.
Wie erhalten Sie Einblick in die Vorgänge bei diesen Zahlungsdiensten?
Wir sehen uns auf Netzwerkebene alle Transaktionen an, und wenn wir ein anormales Verhalten feststellen, können wir darauf reagieren. Wie wir reagieren, hängt davon ab, was der Kunde vorher festgelegt hat. Also, ob er nur eine Warnmeldung erhalten möchte oder will, dass wir etwas für ihn blockieren. Wenn der Kunde einen bestimmten Schwellenwert definiert hat und dieser überschritten wird, betrachten wir dies als eine Anomalie, können eingreifen und den Vorgang stoppen. Und für Kunden, die Karten ausgeben, haben wir ein sogenanntes Visa Payments Threat Lab, mit dem wir die gesamte Umgebung des Emittenten von vorne bis hinten nachbilden können, um festzustellen, ob es Angriffe von Mittelsmännern gegeben hat, die ihnen möglicherweise nicht bekannt waren.
So können Sie live sehen, was in deren Umgebung passiert?
Ja, damit können wir durchgehen, wie eine Transaktion abgewickelt wird und ob es Lücken gibt. Zudem haben wir ein Tool, das sich eCommerce Threat Disruption nennt. Das ist für Acquirer und den Handel, und wir können uns damit die Zahlungsseiten von Händlern anschauen und sehen, ob es irgendwelche Schwachstellen gibt. Wenn ich also eine Transaktion bei einem Händler tätige oder online Aktien kaufe, wird diese Transaktion ganz normal abgewickelt und der Händler erhält seinen Betrag. Aber es könnte eine Schadsoftware dazwischen eingeschleust sein, die diese Informationen ausspäht. Wir können solchermaßen kompromittierte Punkte aufspüren und Händlern über ihre Acquirer Hinweise geben, Webseiten zu patchen. Unser Ziel ist es dabei immer, Visa-Zahlungen „bulletproof“ zu machen.
Visa hat 10 Mrd. Dollar für Cybersicherheit ausgegeben. Könnten Sie uns Zahlen nennen, was Sie in den nächsten fünf Jahren ausgeben werden?
Wir werden nie aufhören, in Cybersicherheit zu investieren, denn unsere Marke steht für Vertrauen, und das erwarten die Menschen von uns. Ich glaube nicht, dass diese Zahlen in Zukunft sinken. Eher werden sie steigen. Jeder, der in unser Geschäft einsteigen will, muss bereit sein, in dieser Größenordnung zu investieren, um seine Infrastruktur sicher zu halten.
Und die Bedeutung der Biometrie in all diesen Zahlungssystemen?
Ich denke, gerade die biometrische Freigabe von Zahlungen ist ein Schlüssel für mehr Sicherheit und Bequemlichkeit beim Bezahlen. Ich freue mich auf den Tag, an dem Passwörter abgeschafft und durch Biometrie ersetzt werden, denn ich habe so viele Dinge, für die ich mir im Moment Passwörter merken muss.
Das Interview führten Tobias Fischer und Franz Công Bùi.