Lassen Sie mich Ihnen eine Gegenfrage stellen. Wenn Sie 100 Dollar mit Ihrer Visa-Karte bezahlen, welcher Anteil davon ist im Schnitt von Betrug betroffen?

Es sind 7 Cents – das ist eine der niedrigsten Betrugsraten aller Bezahlformen. Wenn Menschen an Betrug denken, gehen sie von einer hohen Zahl aus. Aber das entspricht nicht der Realität. Pro 100 Dollar sind es im Schnitt nur 7 Cents. Zur Sicherung des Zahlungsökosystems tragen Modelle wie Visa Advanced Authorization (VAA) bei. Das war unser erstes KI-Modell, das wir seit den 90er Jahren betreiben. Es wertet bei jeder aktiven Kartennutzung 500 Risikoattribute in Echtzeit aus, um einzuschätzen, ob die Transaktion genehmigt oder abgelehnt werden sollte. Darüber hinaus kommen neue Sicherheitstechnologien wie Strong Customer Authentication (SCA) und Tokenisierung zum Einsatz. Wir bauen unsere Cybersicherheitsinfrastruktur kontinuierlich aus und haben in den letzten fünf Jahren rund 10 Mrd. Dollar in Prävention und Sicherheit investiert.

Weil die Betrüger sich auf das schwächste Glied stürzen, die Verbraucher. Ich kaufe viel bei einer großen E-Commerce-Plattform, und ich bekomme teilweise fünf SMS pro Tag, in denen es heißt: „Ihr Konto wurde gesperrt. Bitte klicken Sie auf diesen Link oder laden Sie jenes Programm herunter.“ Zudem gibt es alle möglichen Varianten von Enkeltrick-Betrug. In Großbritannien gab es vor einiger Zeit eine Menge Betrugsversuche im Bereich Phishing, z.B. mit Bezug zu den Lebenshaltungskosten: „Der Winter steht vor der Tür. Wenn Sie hier klicken und dieses Dokument herunterladen, sparen Sie 400 Dollar auf Ihre Energierechnung.“

Unsere Sicherheitsstrategie hat drei Schwerpunkte: die Weiterentwicklung unserer zuverlässigen und widerstandsfähigen Sicherheitsinfrastruktur, den Schutz dieser Infrastruktur sowie den Einsatz neuester Technologien zur Erkennung und Vorbeugung von Betrug. Wir haben ein Risikoteam aus 1.000 Cybersecurity-Spezialisten, mit eigenem Team in Europa. Dessen Aufgabe es ist, sich um alle Parteien im Zahlungsökosystem zu kümmern. Und dieses ist vielschichtig, denn wir haben uns mittlerweile von einem Vier-Parteien-Modell zu einem Viel-Parteien-Modell entwickelt, bestehend aus Fintechs, Zahlungsdienstleistern und allem, was dazwischenliegt.

Die Arbeitsweise der Kriminellen im Untergrund verändert sich permanent. Wir bei Visa haben weltweite Dark-Web-Intelligence-Teams. Und die haben beobachtet, dass die Betrüger vor der Pandemie eher in ihren eigenen Bahnen geblieben sind. Es gab diejenigen, die auf Man-in-the-Middle-Angriffe gegen Banken spezialisiert waren. Dann gab es diejenigen, die gefälschte Karten für die Bargeldabhebung am Geldautomaten herstellen. Daneben dann noch die Kuriere, die zu den Geldautomaten gingen, um das Geld abzuheben. Und dann gab es – ich nenne es mal – die Dark-Web-Orchestrationsschicht, die alles zusammenbrachte.

Im Dark Web gibt es Seiten, die wie ein normaler Online-Shop mit Warenkorb und Bewertungssystem aussehen. Es kann dort bewertet werden, wie erfolgreich die verschiedenen Betrüger vorgegangen sind, welche Art von Kartendaten sie übermittelt haben, ob diese gültig waren und ob sie funktioniert haben. Betrüger erhalten beispielsweise bessere Bewertungen, wenn den Bankdaten ein offizielles Ausweisdokument beigefügt war.

Wenn Sie heute eine Visa-Karte einsetzen, kann sie unser Netzwerk über 27 verschiedene Routen sicher und effizient durchlaufen. Das Ganze natürlich so schnell wie möglich samt der 500 Transaktionsattribute, von denen ich gesprochen habe. Die Rückmeldung erfolgt im Schnitt in weniger als 5 Millisekunden. Wir haben zudem ein Netzwerk aus über 16 Millionen Kilometern privater Kommunikationsleitungen. Das ist genug, um die Welt 400-mal zu umrunden. So erreichen wir eine Uptime von 99,999%. Die Kapazitäten, die wir aufgebaut haben, stellen wir unseren Kunden und Partnern zur Verfügung. Hierzu haben wir kürzlich etwas eingeführt, das wir „Risk as a Service“ nennen.

„Risk as a Service“ ist ein Bündel aus Dienstleistungen für unsere Partner zur Prävention und Bekämpfung von Betrug. Unser Angebot wird dabei auf die Anforderungen des jeweiligen Kunden zugeschnitten. So können wir beispielsweise Anomalien in unserem globalen Netzwerk aufspüren, was auch Anomalien in den Daten unserer Kunden einschließt, so dass wir sie vor potenziellen Angriffen schützen können, die nicht einmal unsere Kunden sehen können. Zudem überprüfen wir beispielsweise proaktiv Websites von Händlern auf Sicherheitslücken und können dasselbe für kartenausgebende Banken tun.

Genau. Und auch einige Fintechs, Zahlungsaggregatoren und so weiter. Wir betrachten jeden, der im Zahlungssystem involviert ist, als Teil unseres Ökosystems. Unser Netzwerk verbindet alle miteinander.

Für diese Lösung ist überhaupt keine Integration erforderlich. Wir können das alles für unsere Kunden erledigen. Sie müssen uns nur mitteilen, wie hoch ihre Risikobereitschaft für Betrug ist.

Wir sehen uns auf Netzwerkebene alle Transaktionen an, und wenn wir ein anormales Verhalten feststellen, können wir darauf reagieren. Wie wir reagieren, hängt davon ab, was der Kunde vorher festgelegt hat. Also, ob er nur eine Warnmeldung erhalten möchte oder will, dass wir etwas für ihn blockieren. Wenn der Kunde einen bestimmten Schwellenwert definiert hat und dieser überschritten wird, betrachten wir dies als eine Anomalie, können eingreifen und den Vorgang stoppen. Und für Kunden, die Karten ausgeben, haben wir ein sogenanntes Visa Payments Threat Lab, mit dem wir die gesamte Umgebung des Emittenten von vorne bis hinten nachbilden können, um festzustellen, ob es Angriffe von Mittelsmännern gegeben hat, die ihnen möglicherweise nicht bekannt waren.

Ja, damit können wir durchgehen, wie eine Transaktion abgewickelt wird und ob es Lücken gibt. Zudem haben wir ein Tool, das sich eCommerce Threat Disruption nennt. Das ist für Acquirer und den Handel, und wir können uns damit die Zahlungsseiten von Händlern anschauen und sehen, ob es irgendwelche Schwachstellen gibt. Wenn ich also eine Transaktion bei einem Händler tätige oder online Aktien kaufe, wird diese Transaktion ganz normal abgewickelt und der Händler erhält seinen Betrag. Aber es könnte eine Schadsoftware dazwischen eingeschleust sein, die diese Informationen ausspäht. Wir können solchermaßen kompromittierte Punkte aufspüren und Händlern über ihre Acquirer Hinweise geben, Webseiten zu patchen. Unser Ziel ist es dabei immer, Visa-Zahlungen „bulletproof“ zu machen.

Wir werden nie aufhören, in Cybersicherheit zu investieren, denn unsere Marke steht für Vertrauen, und das erwarten die Menschen von uns. Ich glaube nicht, dass diese Zahlen in Zukunft sinken. Eher werden sie steigen. Jeder, der in unser Geschäft einsteigen will, muss bereit sein, in dieser Größenordnung zu investieren, um seine Infrastruktur sicher zu halten.

Ich denke, gerade die biometrische Freigabe von Zahlungen ist ein Schlüssel für mehr Sicherheit und Bequemlichkeit beim Bezahlen. Ich freue mich auf den Tag, an dem Passwörter abgeschafft und durch Biometrie ersetzt werden, denn ich habe so viele Dinge, für die ich mir im Moment Passwörter merken muss.