Im InterviewEd McLaughlin, Mastercard

„KI ist keine Strategie“

Die Cybergefahren im Zahlungsverkehr nehmen stetig zu. Ed McLaughlin, Chief Technology Officer von Mastercard, skizziert, welche Chancen etwa künstliche Intelligenz oder Quantum Computing bieten und warum eine kritische Auseinandersetzung damit zwingend ist.

„KI ist keine Strategie“

Im Interview: Ed McLaughlin

"KI ist keine Strategie"

Der Chief Technology Officer von Mastercard zu den Cyberbedrohungen der Zukunft und technologischen Abwehrmöglichkeiten

Die Bedrohungslage im Zahlungsverkehr verändert sich fortlaufend. Ed McLaughlin, Chief Technology Officer von Mastercard, erläutert im Interview, welche Handlungsoptionen etwa künstliche Intelligenz oder Quantum Computing bieten können und warum eine kritische Auseinandersetzung mit solchen Technologien zwingend ist.

Herr McLaughlin, was sind aus Ihrer Sicht derzeit die größten Cyberbedrohungen für Zahlungsdienstleister, Händler und Kunden?

Wir sehen eine fortlaufende Eskalation in der Anzahl, Art und Raffinesse der Angriffe. Und wir reagieren entsprechend. Die gleichen Tools und Techniken, die den Angreifern zur Verfügung stehen, sind auch den Verteidigern zugänglich. Betrug ist ein Wettkampf, in den wir viel Zeit und Geld investieren, damit die Systeme geschützt sind.

Welcher Bereich ist hierbei besonders hervorzuheben?

Ein interessanter Bereich ist die soziale Manipulation, das sogenannte Social Engineering. Das schwächste Glied in jedem System ist oftmals der Mensch. Und die Raffinesse bei Phishing-Angriffen, Betrugsversuchen durch vermeintliche Freunde oder Personen aus dem Berufsleben, hat sehr zugenommen.

Was lässt sich neben permanenter Aufklärung dagegen tun?

Hier kommen der Nullhaftungsschutz und der Verbraucherschutz von Mastercard ins Spiel, denn wir bieten den Verbrauchern eine Möglichkeit, die viele andere Zahlungsmethoden nicht haben. Es gibt teuflisch clevere Leute, leider. Ich wünschte, sie würden ihre Fähigkeiten für gute Dinge nutzen, anstatt das auf der schlechten Seite zu tun. Und leider sind Menschen immer anfällig für das richtige Angebot und den richtigen Angriff.

Hat sich die Bedrohungslage verändert und inwiefern?

Betrug verschiebt laufend seine Linien. Je mehr wir die Transaktionsseite des Systems absichern, desto mehr verlagert sich der Betrug in Richtung soziale Manipulation und Kontoübernahmen. Menschen erstellen oder eröffnen neue dubiose Konten. Sie richten den Angriff also nicht auf das Zahlungssystem selbst, sondern visieren Ziele weiter oben im Prozess an. Identitätsdiebstahl, Betrug bei Kontoeröffnungen und einige andere sind große Bereiche. Zur Abwehr arbeiten wir mit Finanzinstitutionen, Kunden, Strafverfolgungsbehörden und anderen zusammen. Es gibt ein bemerkenswert ausgeklügeltes Ökosystem, das sich aus Personen entwickelt hat, die sich auf Exploits spezialisieren und Informationen extrahieren. Dann gibt es Broker, die sie verkaufen, und andere, die versuchen, sie zu Geld zu machen. Manche haben sich darauf spezialisiert, auf die Anmeldeinformationen von Verbrauchern zuzugreifen, und andere, die den direkten Angriff auf das System monetarisieren. Bei vielen dieser Akteure handelt es sich übrigens um solche mit Unterstützung von Staaten.

Haben diese Aktivitäten seit Beginn des Ukraine-Kriegs zugenommen?

Ich würde keinen direkten Zusammenhang dazu herstellen, dass es seit Beginn des Ukraine-Krieges eine Zunahme einer bestimmten Art von Angriffen gegeben hat. Es gab sicherlich viele Cyberaktivitäten, und sie nehmen weiter zu, gerade in Bezug auf Geschwindigkeit und Raffinesse. Aber ob sie mit einem bestimmten geopolitischen Ereignis zusammenhängen oder einfach die allgemeine Situation betreffen, ist schwer zu sagen.

Welchen Einfluss auf die Bedrohungslage haben große Sprachmodelle auf Basis generativer künstlicher Intelligenz wie etwa ChatGPT?

Die Möglichkeit, maßgeschneiderte Phishing- oder soziale Manipulationsangriffe mithilfe von skalierbaren großen Sprachmodellen oder Sprachgenerierung durchzuführen, ließ sich bislang noch nicht so häufig in freier Wildbahn erkennen. Aber das ist sicherlich zu erwarten. Es ist eine der unbeabsichtigten Konsequenzen. Neue Technologien sind weder gut noch schlecht, aber auch nicht neutral. Jede neue Technologie wird sowohl für die Durchführung als auch zur Verhinderung von Angriffen verwendet werden.

Welche Chancen bietet der Einsatz von künstlicher Intelligenz?

Es ist nicht nur die KI, sondern die Verbindung mit erhöhter Konnektivität, die zu einem exponentiellen Anstieg, einer Explosion an verfügbaren Daten geführt hat. Und diese Daten können wir verwenden, um neue Erkenntnisse zu gewinnen und KI-Engines zu betreiben. Damit können wir Dinge tun, die zuvor nicht möglich waren. Wir haben in den letzten Jahren mit maschinellem Lernen schon viel erreicht und unsere Systeme intelligenter gemacht. Jetzt kommen neue Möglichkeiten durch generative KI und Potenziale in Bereichen wie dem Quantencomputing. All dies schafft erstaunliche Chancen, kann aber auch erhebliche Bedrohungen darstellen. Deshalb müssen wir uns mit den neuen Technologien auseinandersetzen. Aber bei all der Technologie, über die wir sprechen: Agilität ist kein Ziel, APIs sind keine Antwort, die Cloud ist kein Ziel, und Gott weiß, KI ist keine Strategie. Es sind einfach erstaunliche Dinge, die unglaubliche Möglichkeiten bieten. Aber es geht darum, diese Dinge auf die richtige Weise zu nutzen.

Was meinen Sie damit?

Die Frage ist, wie wir Technologien einsetzen. KI ist für Mastercard an sich nichts Neues. Seit über einem Jahrzehnt setzen wir leistungsstarke KI-Technologien und -Techniken ein. Forbes hat im Jahr 2019 die Decision-Management-Plattform von Mastercard zur Innovation des Jahres erklärt. Darin haben wir 13 verschiedene KI-Engines eingesetzt, um das Netzwerk intelligenter und sicherer zu machen. Es ist im Wesentlichen ein Supercomputer, den wir aus handelsüblicher Hardware zusammengestellt haben. Der verfügt über ein riesiges In-Memory-Grid, das Milliarden von Kartenprofilen enthält. Und über 200 analytische Vektoren, die in Echtzeit von den durch das Netzwerk fließenden Transaktionen aktualisiert werden, um in weniger als 15 Millisekunden anspruchsvolle Entscheidungen zu treffen und die Transaktionen und das Netzwerk zu verbessern. Der Effekt davon ist, dass wir im letzten Jahr über 10 Mrd. Dollar an Betrug verhindert haben. Aber es ging uns nicht nur darum, Betrug zu stoppen.

Sondern?

Wir wollten auch sicherstellen, dass all die legitimen Transaktionen reibungsloser ablaufen. Daher haben wir, während wir von regelbasierten auf KI-basierte Systeme umgestellt haben, eine dreifache Zunahme bei der Betrugsprävention und eine sechsfache Zunahme bei den korrekten Transaktionen, die durch das System gelangen können.

Können Sie Bedrohungen absehen, die noch weiter in der Zukunft liegen?

Wir antizipieren ständig potenzielle neue Betrugsmethoden und suchen nach Möglichkeiten, uns darauf vorzubereiten. Ein Beispiel ist unsere Arbeit auf dem Gebiet der Quantencomputing-Sicherheit. Wie können wir in den Systemen quantenresistente Algorithmen verwenden? Wir haben bereits Quantum Key Distribution in unserem Netzwerk getestet. Bei dem Verfahren können die Schlüssel selbst gesichert werden, anstatt auf einem algorithmusbasierten Verfahren zu beruhen, das gehackt werden kann. Dadurch erhalten wir eine sichere Verteilung eines Einmalschlüssels, der nicht geknackt werden kann. Wir nutzen die Kraft der Quantenschlüsselverteilung, um unsere gesamte Infrastruktur zu verstärken. Dabei arbeiten wir mit Branchenexperten wie etwa Verizon zusammen, um diese Verfahren zu testen, unser Netzwerk zu sichern und unsere Daten zu schützen.

Wie kann ich mir diesen Einmalschlüssel vorstellen?

Wir haben die von uns verwendeten Algorithmen von der Verschlüsselung und dem Bereitstellungsverfahren getrennt. Dabei arbeiten wir etwa mit Methoden wie elliptischer Kurvenkryptografie, die auf der Berechnung von zwei Punkten auf einer Kurve basiert. Um das zu knacken, müssen Sie die zugrundeliegende Kurve selbst kennen. Könnten Quantencomputer theoretisch auch das angreifen? Ja, aber es ist nicht so einfach wie das Primfaktorisierungsproblem. Wir versuchen, allmählich eine Quantenresistenz in diesen Algorithmen zu erreichen und zu einem nicht berechenbaren Algorithmus zu kommen.

Lassen Sie uns über ein anderes Thema sprechen, bei dem Mastercard aktiv ist. Wie sehen Sie die Perspektiven für digitale Zentralbankwährungen?

Wir arbeiten mit Zentralbanken und anderen Initiativen auf der ganzen Welt beim Thema CBDC (Central Bank Digital Currency) zusammen. Dabei haben wir derzeit über 150 Währungen in unserem System als digitales Pendant zu einer dieser Währungen. Eine Währung ist jedoch nur so nützlich wie die Orte, an denen sie verwendet werden kann. Die Möglichkeit, eine digitale Währung zu haben, die über das Mastercard-Akzeptanznetzwerk läuft, mit dem heute 100 Millionen Händler verbunden sind, bietet einige reale Möglichkeiten. Wir arbeiten eng mit Banken daran. Das Sand-Dollar-Projekt aus Bahamas war eines der ersten Projekte für eine CBDC, und wir haben tatsächlich eine Mastercard dafür herausgegeben. Alles, was dazu beiträgt, dass Zentralbanken effizienter werden, und Dinge zugänglicher und sicherer macht, unterstützen wir nachdrücklich.

Welche Rolle könnten Kryptowährungen hierbei spielen?

Nicht unbedingt eine große Rolle. Die Blockchain könnte zwar dafür verwendet werden. Damit gehen Sie jedoch auch ein hohes Maß an Berechnungsaufwand und technischem Overhead ein. Und das für Dinge, die oft auch mit einem zentralisierten Datenbanksystem erledigt werden könnten. Es handelt sich um zwei separate Themen. Das eine ist die Rolle einer von der Zentralbank ausgegebenen Währung, und das andere ist, ob eine zugrundeliegende Blockchain die beste technologische Lösung und Umgebung dafür ist. Zum Beispiel verwenden China und sein eRenminbi-Projekt Blockchain-Technologie. Aber – und ich versuche hier keine falsche Äquivalenz herzustellen – wenn Sie sich eine Bitcoin-Transaktion im Vergleich zu einer Mastercard-Transaktion ansehen, verbraucht eine Bitcoin-Transaktion etwa 700.000 Mal mehr elektrische Energie.

Das Interview führte Franz Công Buì.

Zur Person: Ed McLaughlin (58) ist President und Chief Technology Officer von Mastercard sowie Mitglied des Managementkomitees. Dabei ist er verantwortlich für das globale Zahlungsnetzwerk, die Plattformen, Infrastruktur, Informationssicherheit und die Technologiezentren. Zuvor war er dort Chief Information Officer und Chief Emerging Payments Officer. Bevor er zu Mastercard kam, war er in leitenden Funktionen bei Metavante (heute FIS), Paytrust und Logicworks tätig. Er ist Absolvent der Wharton School of Business und hat das AI: Implications for Business Strategy Executive Program am Massachusetts Institute of Technology (MIT) abgeschlossen. Er ist zudem Mitglied des Council on the Responsible Use of Artificial Intelligence der Harvard Kennedy School. Im Jahr 2019 erhielt er den Forbes CIO Innovation Award.