Die TU Braunschweig hat eine Software entwickelt, die Betrug im Online-Handel aufdeckt.

Braunschweig. Betrug im Online-Handel aufdecken und dabei trotzdem den Datenschutz einhalten – Forscher der Technischen Universität Braunschweig haben dafür eine Lösung entwickelt. An der Software sind mehrere Unternehmen interessiert, unter anderem die Schufa. Projektpartner war der Online-Modehändler Zalando.

Online-Betrug verursache jedes Jahr weltweit Schäden in mehrstelliger Milliardenhöhe. Nicht nur die betroffenen Unternehmen leiden darunter, sondern auch die Kunden, wie Projektleiter Konrad Rieck betont, Professor am Institut für Systemsicherheit. So stiegen deshalb die Preise, außerdem könnten Kundendaten gestohlen werden. Allerdings sei es gar nicht einfach, den Datenschutz einzuhalten, wenn Betrug im Online-Handel verhindert werden soll. Der aber ist nötig, wenn Unternehmen ihre Kundendaten von einem Dienstleister auswerten lassen – und um eine typische Betrugsmasche aufzudecken: Wollen Händler Betrüger aufspüren, die bei mehreren Firmen gleichzeitig bestellen, müssen sie Daten mit anderen Unternehmen austauschen.

Nach drei Jahren Tüfteln sind die Forscher nach eigenen Angaben so weit. Der Ansatz: Daten wie Ware, Preis, Name, Adresse oder Bezahlart werden pseudonymisiert, indem Zahlen aus ihnen generiert werden. Und: Ist zum Beispiel in einem Namen nur ein Buchstabe anders als in einem anderen, sind sich die beiden Zahlen ähnlich. Außerdem handelt es sich dabei laut Rieck um eine Einwegfunktion, das heißt, das Pseudonym kann nicht rückgängig gemacht werden.

„Dann kommt die künstliche Intelligenz ins Spiel“, erklärt der Wissenschaftler. Das Team fütterte einen Lernalgorithmus – ein Programm, das lernen kann – mit 1,5 Millionen Bestellungen, darunter echte Betrugsfälle eines Online-Händlers. Und das Programm lernte: Es findet Auffälligkeiten, die auf verschiedene Betrugsformen hinweisen. Manche Täter nutzen eine Briefkasten-Anschrift, an die sie auf einen Schlag mehrere Bestellungen schicken lassen, für die sie aber nicht bezahlen. Andere Betrüger bezahlen mit gestohlenen Kreditkartendaten.

Die Software erkennt solche Muster wie eine wiederkehrende Adresse oder wenn zum Beispiel häufig mit einer bestimmten Kreditkarte bezahlt wird. Kommen mehrere Indizien zusammen, etwa mehrere Smartphones, die am selben Tag für dieselbe Anschrift bestellt werden, schlägt das Programm Alarm – in Echtzeit, also während des Bestellvorgangs. Die Daten erkennt die Software dabei nicht, nur Ähnlichkeiten bei den Zahlen-Pseudonymen. Tauchen diese auf, kann der Online-Händler eine andere Bezahlart verlangen und so einen Betrug verhindern.

Stets geht es um teure Waren, bei denen sich der Betrug lohnt. Um einen Täter zu bemerken, der bei verschiedenen Händlern bestellt, müssen sich die Unternehmen untereinander austauschen. Auch das macht die Pseudonymisierung möglich. Denn Konkurrenten wollen aus wirtschaftlichen Gründen keine Bestelldaten austauschen und dürfen das wegen des Datenschutzes auch gar nicht.

Trotz der Pseudonymisierung erkennt die Software laut Rieck 75 Prozent der Betrugsfälle, die sich ohne Datenschutz finden ließen. „Das ist sehr gut“, sagt der Wissenschaftler, denn ohne Datenschutz tauschten Händler keine Daten aus. Vermutlich komme das große Interesse aus der Wirtschaft daher. Schon als die Förderung des Projekts durch das Bundesforschungsministerium veröffentlicht wurde, meldeten sich rund 20 Unternehmen bei Rieck: Online-Händler und Dienstleister, die Betrugserkennung anbieten.

Projektpartner der TU waren die Steinbeis-Hochschule in Berlin, Zalando als Pilot-Anwender, der Händler Gebrüder Heinemann sowie die Polizeidirektion Göttingen – bei Projektstart arbeitete Rieck noch in Göttingen -, die beriet, wie sich die Daten an die Polizei übergeben ließen – ohne Pseudonyme. Welche Unternehmen die Open-Source-Software für sich weiterentwickeln und anwenden, weiß Rieck nicht. Da halten sich die Firmen bedeckt. Frei zugänglich ist das Programm, weil es mit öffentlichem Geld finanziert wurde.

Darin steckt viel Arbeit: „Wir haben uns bei der Entwicklung selbst an den Datenschutz gehalten“, stellt der 41-Jährige klar. Das heißt, die Forscher bekamen Daten von einem Online-Händler, die sie pseudonymisierten. Die Wissenschaftler entwickelten, Zalando setzte die jeweils aktuelle Version ein und gab ihnen eine Rückmeldung. So ging das immer wieder hin und her. Gestartet waren die Informatiker mit Fantasiedaten.

Die Innovation ist Rieck zufolge die Kombination aus der Unkenntlichmachung der Daten mit künstlicher Intelligenz. „Algorithmen können sich durch die Zahlen fressen“, veranschaulicht der Professor. Dabei mussten die Wissenschaftler einen Spagat schaffen: Sind die Daten zu „unscharf“, lassen sich Betrugsmaschen nicht mehr finden. Sind sie zu leicht erkennbar, leidet der Datenschutz. „Wir haben eine Weile gebraucht, um den besten Kompromiss zu finden.“ Der Informatiker stellt klar: „Eine perfekte Lösung gibt es nicht.“