Vor einigen Jahren benutzte ein Tourist in Mexiko seine Kreditkarte, um Bargeld an einem Geldautomaten abzuheben. Als er nach Hause kam und sich seinen Kartenauszug ansah, sah er, dass die Karte auch für den Kauf mehrerer Schmuckstücke verwendet worden war. Das war seltsam: Nicht nur, dass er im Urlaub nichts mit der Karte gekauft hatte, die Transaktion hatte fünf Minuten nach der Abhebung am Geldautomaten stattgefunden – in einem Geschäft am anderen Ende des Landes.

Glücklicherweise war sich ein Team seiner Bank nach der Überprüfung seines Falls einig, dass es sehr unwahrscheinlich war, dass er den Schmuck selbst gekauft hatte, obwohl ihre KI-Betrugserkennungstools den Kauf nicht als verdächtig gekennzeichnet hatten, also erstatteten sie den Kauf. Als sie weiter gruben, stellte das Team fest, dass Betrüger wahrscheinlich seine Kreditkarteninformationen von einem im Geldautomaten versteckten Lesegerät gestohlen und an einen Komplizen an der gegenüberliegenden Küste geschickt hatten.

Die Leichtigkeit, Geschwindigkeit und Anonymität moderner Zahlungen hat zu Betrugsschemata wie diesem in einem Ausmaß geführt, mit dem Menschen nicht Schritt halten können. Glücklicherweise müssen sie das nicht, denn KI-Anwendungen überwachen jetzt jede Transaktion und überwachen das gesamte Kartennetzwerk auf Angriffe. Diese KI-Modelle sortieren Daten effizienter als jeder Mensch.

Mastercard nutzt KI seit Jahren zur Betrugserkennung und nutzt sie derzeit, um jährlich mehr als 159 Milliarden Transaktionen zu sichern und Betrugsverluste in Milliardenhöhe zu verhindern. Im vergangenen Jahr erwarb Mastercard Recorded Future, das mithilfe von KI täglich Millionen von Datenpunkten analysiert und Muster und Anomalien identifiziert, die auf potenzielle Bedrohungen hinweisen.

Aber so sehr der Mensch KI braucht, so sehr braucht die KI auch den Menschen. Während automatisierte Tools die Routinearbeit erledigen, müssen Entwickler, damit die Ergebnisse nützlich sind, kontinuierlich realen Kontext liefern – indem sie neue Arten von Betrug identifizieren, ermitteln, wie er verhindert werden kann, ohne das größere Netzwerk zu stören, und die neuen Regeln in den Algorithmus einprogrammieren. Dieser menschliche Input ist es, der rohe KI-Leistung in relevante und praktische Intelligenz verwandelt.

Da KI- und maschinelle Lernmodelle immer leistungsfähiger werden, ist es verlockend zu glauben, dass Technologie allein die heutigen Cyberkriminellen übertreffen kann, sagt Johan Gerber, Global Head of Security Solutions bei Mastercard. "Aber hinter jeder Warnung, Anomalie oder gemeldeten Transaktion steckt eine entscheidende, inkrementelle Schicht, die Algorithmen nicht replizieren können: das menschliche Urteilsvermögen. Wenn menschliches Urteilsvermögen mit KI kombiniert wird, ist es das, was es wirklich effektiv macht und sicherstellt, dass es verantwortungsvoll bleibt."

KI ist zwar darauf ausgelegt, subtile Muster in Unmengen von Daten zu erkennen, aber nicht immer in der Lage, mit Ausreißern umzugehen. Ohne menschliche Aufsicht können unerwartete Ereignisse zu übersehenen Bedrohungen, Fehlalarmen und anderen Verzerrungen führen.

"Selbst mit diesen leistungsstarken Tools braucht man immer noch Leute", sagt Vince Haulotte, Director of Market Delivery im Geschäftsbereich Fraud and Risk Decisioning bei Mastercard. "Man muss ein Körnchen Salz verwenden und den Kontext berücksichtigen, um sicherzustellen, dass die Reaktion der KI effektiv ist."

Zum Beispiel überwachten KI-Systeme die Kreditkartennutzung des Reisenden während seines Mexiko-Urlaubs. Aber die KI brauchte einen Menschen, der ihr sagte, dass es etwas Lustiges an zwei Transaktionen in schneller Folge auf entgegengesetzten Seiten des Landes gab, und sie brauchte einen Menschen, der ihr zeigte, wie sie in Zukunft auf ähnliche Vorfälle achten sollte.

Um zu verhindern, dass sich dieser spezielle Betrug auf andere Kunden auswirkt, schuf Haulotte, damals ein Programmierer, der an der Brighterion AI-Plattform arbeitete, eine neue Regel, die geografisch unmögliche Transaktionen kennzeichnete. Brighterion überwacht Kreditkartentransaktionen in Echtzeit, 24/7, und bewertet sie basierend darauf, wie riskant sie erscheinen. Wenn eine Transaktion als potenziell betrügerisch gekennzeichnet wird, benachrichtigt das System sofort die Bank des Kartenbenutzers. (Jede Bank kann den Punkteschwellenwert für Maßnahmen anpassen, z. B. das Senden einer Warnung oder sogar das Ablehnen der Transaktion.) 

Safety Net, ein weiteres Produkt von Mastercard, nutzt KI, um das gesamte Kartennetzwerk auf Anzeichen von Angriffen zu überwachen. Wenn beispielsweise eine Website innerhalb kurzer Zeit mit Tausenden von neuen Konten überflutet wird, könnte dies daran liegen, dass Betrüger die Website spammen, um gültige Kartennummern durch Brute-Force zu erraten.

Natürlich weiß ein KI-Modell das nicht; Es kann nicht unbedingt die feineren Details des menschlichen Verhaltens verstehen. Infolgedessen kann es auch eine rote Flagge geben, wenn eine erfolgreiche Werbeaktion – oder beispielsweise der Cyber Monday – den Traffic einer Website in die Höhe schnellen lässt. Den Unterschied zu erkennen, ist der Punkt, an dem die Menschen ins Spiel kommen.

"Bei einer Flut von echten Transaktionen wie dieser arbeite ich mit einem Kundenbetreuer zusammen, um zu verstehen, was vor sich geht, und um Vorsichtsmaßnahmen zu treffen, um Fehlalarme zu vermeiden", sagt Brett Thomson, Director of Product Development bei Safety Net. "Man muss der KI eine Richtung geben."

Da sich kriminelle Strategien ständig weiterentwickeln, ist menschliches Fachwissen auch unerlässlich, um neue Bedrohungen zu erkennen und zu bestimmen, wie sie gestoppt werden können. Sobald Betrüger merken, dass ihre Strategien nicht mehr funktionieren, entwickeln sie neue Schemata. Da die KI jedoch auf der Grundlage von Daten aus der Vergangenheit trainiert wird, erkennen Überwachungstools diese neuen Muster nicht immer sofort. Es liegt also an menschlichen Entwicklern, die Algorithmen in einem fortlaufenden Katz-und-Maus-Spiel zu aktualisieren und zu trainieren.

"Sobald wir eine Abschwächung eingeführt haben, werden sie ihre Strategie ändern. Dann werden wir diese Strategie bemerken und eine neue Abschwächung hinzufügen", sagt Thomson. "Es ist ein ständiges Hin und Her, jeder von uns schaut, wie der andere auf die nächste Entwicklung reagiert."

Diese unerbittliche Dynamik stellt sicher, dass Thomson, Haulotte und ihre Kollegen in der gesamten Branche wichtige Akteure im Kampf gegen Betrug bleiben.

"Ich bin immer wieder überrascht von der Dreistigkeit und Fantasie der Betrüger", sagt Haulotte. "Es gibt immer neue Betrugstrends, daher müssen wir ständig neue Lösungen entwickeln, um ihnen einen Schritt voraus zu sein. Unsere Arbeit hört nie auf."