Geldwäsche erkennen mit KI
Ein Startup will Banken auf die Sprünge helfen
Geldwäsche ist ein Problem, mit dem sich alle Staaten herumschlagen müssen, ganz besonders Deutschland. Tobias Schweiger, Mitgründer des Münchner Startups Hawk AI, will den Gangstern mit Machine Learning zu Leibe rücken.
CW: Hawk AI bietet eine KI-basierte SaaSLösung für die Geldwäsche-Prävention an. Wo genau sehen Sie Ihre Marktlücke?
Schweiger: Die derzeit eingesetzten, oft veralteten Systeme für die Geldwäsche-Prävention produzieren viel zu viele False Positives, also Fehlalarme. Tausende von Mitarbeitern in den Banken müssen mühevoll all diese Fälle von Hand durcharbeiten. Die Institute sind ja gesetzlich zu einem wirksamen Risikomanagement und zu Sicherungsmaßnahmen verpflichtet. Wir filtern Verdachtsfälle automatisiert aus und vermeiden Fehlalarme. So haben die Banken einen großen Kostenvorteil. Der zweite Punkt ist die bessere Erkennungsrate von krimineller Geldwäsche. Mit Machine Learning finden wir heraus, wo Kunden vom Normalverhalten abweichen und Bankmitarbeiter näher hinsehen sollten.
CW: Welche Muster sind es, die bei Geldwäsche automatisiert erkannt werden können?
Schweiger: Die Kriminellen gehen in drei Stufen vor. Beim Einspeisen, auch „Placement“genannt, wird Geld aus einem kriminellen Vorgang, etwa dem Drogenverkauf, in das Finanzsystem überführt. Man versucht, das Geld so auf ein Bankkonto zu bekommen, dass es idealerweise nicht auffällt. Der zweite Teil ist die Verschleierung oder „Layering“: Durch das Hin- und Her-Überweisen oder das Aufteilen der Gelder auf unterschiedliche Konten wird versucht, die Herkunft zu verschleiern. Das Dritte ist die Zusammenführung beziehungsweise „Integration“: Das Geld wird an irgendeiner Stelle so zugänglich gemacht, dass der Kriminelle es verwenden kann, beispielsweise um eine Immobilie zu kaufen.
Diese drei Aspekte finden grundsätzlich immer statt. Entsprechend gibt es Stellen, an denen sich solches Verhalten feststellen lässt. Bei der Einspeisung geht es regulatorisch oft um Bargeld-Einzahlungsschwellen. Die Systeme reagieren dann zum Beispiel, wenn Cash-Einzahlungen in einer Größenordnung von über 10.000 Euro stattfinden. Die Banken können sich überlegen, ob sie diese Schwellenwerte in bestimmten Regionen oder für Kunden und Kundengruppen nach unten setzen. Dabei entstehen aber häufig Fehlalarme, denn wenn die Oma dem Enkel 10.000 Euro für den Autokauf überweist, schlägt das System an. Es ist also sehr schwierig, hier etwas gut zu erkennen.
CW: Software für Geldwäscheprävention gibt es seit vielen Jahren. Kommen Sie als Startup in einen solch abgeschirmten Markt überhaupt hinein?
Schweiger: Technische Vorschriften oder eine vorgeschriebene Abnahme durch die BaFin gibt es nicht. Die Bank ist in der Verantwortung, das richtige System für ihr Risikoprofil auszuwählen. Sie nutzt in den meisten Fällen Standardsoftware. Es gibt im deutschsprachigen Raum drei oder vier Platzhirsche am Markt, deren Produkte häufig eingesetzt werden. Das sind 20 oder 30 Jahre alte Unternehmen mit On-Premises-Systemen, die meist ausschließlich regelbasiert arbeiten. Und dann gibt es kleinere Herausforderer wie uns, die cloudbasiert aufgestellt sind, mit Machine Learning-Lösungen kommen und einen RealTime-Ansatz verfolgen. Natürlich gibt es notwendige Integrations- und Testphasen, um unser System mit den Systemen der Bank zu verbinden. In diesem Zuge wird unsere Lösung parametrisiert, Machine-Learning-Modelle werden trainiert. Das Ergebnis ist eine deutlich kleinere Zahl an Verdachtsfällen, in Verbindungen mit relevanten Anomalien, die herauskommen. Beides gilt es dann bankseitig weiterhin manuell richtig zu bearbeiten – mit erwartbaren Effizienzgewinnen und einer besseren Adressierung des Compliance-Risikos.
„Man sieht, woher das Geld kommt und wohin es geht, und es fällt auf, wenn sich in diesem Netzwerk etwas verändert. Neue Überweiser werden sichtbar. Manche tauchen auf und verschwinden gleich wieder.“
CW: Auf welcher Datenbasis trainieren Sie Ihre Algorithmen?
Schweiger: Für uns sind drei Datentöpfe wichtig: Der größte Block, gemessen in Giga- und Terabytes, sind die Transaktionsdaten. Wie sehen die Eingangs- und Ausgangsüberweisungen pro Konto aus? Dabei interessiert uns der komplette Transaktionsstrom. Das ist einfach für uns, weil SEPA-Überweisungen standardisiert erfolgen. Der zweite Topf sind die Stammdaten der Kunden, CRM- oder KYC-Daten (Know your Customer, Anm. d. Red.). Banken müssen ja bestimmten Sorgfaltspflichten nachkommen, wenn ein Neukunde ein Konto einrichtet. Bei einer Firma müssen sie beispielsweise prüfen, wem sie letztendlich, gegebenenfalls anteilig, gehört. Ultimate Beneficial Ownership ist hier der Fachbegriff. Banken erfassen den Kunden und entscheiden, in welches RisikoCluster er fällt. Der dritte Datenblock sind historische Fälle. Wie wurden bestimmte Themen in der manuellen Beurteilung gesehen? Wurden sie als Verdachtsfälle bestätigt oder verworfen? Mit welcher Begründung? Daraus können Systeme lernen.
CW: Wie gehen Sie konkret vor, wenn Sie Fehlalarme reduzieren wollen?
Schweiger: Wir stellen anhand dokumentierter Vorgänge fest, wie die Bank in der Vergangenheit mit Verdachtsfällen umgegangen ist. Dann analysiert unser System, ob sich solche oder ähnliche Verdachtsfälle künftig automatisiert erkennen und behandeln lassen. So reduzieren wir die False Alerts. Das Verfahren hier ist Supervised Machine Learning: Ich schaue mir das menschliche Verhalten an und leite daraus das optimale Vorgehen für kommende Fälle ab.
CW: Transaktions- und Stammdaten werden dafür nicht gebraucht?
Schweiger: Doch, ich kann diese Daten auch mit in die Analyse nehmen. In dem Fall schaue ich mir den Kunden in seinem Verhalten an: Was für Eingangs- und Ausgangsüberweisungen hat er, etwa Gehaltszahlungen, Raten, Miete, Unterhalt – was auch immer. Ich habe also Kontenprofile, die ich in meine False-Positive-Analyse einbeziehen kann. So lassen sich bestimmte Sachen automatisieren, die bisher manuell stattgefunden haben. Fehlalarme tauchen nämlich oft rund um bestimmte Kunden und Konten immer wieder auf. Ich kann mir also ein Bild auf Kundenebene machen und automatisieren.
Am Anfang schaffen wir einen Effizienzgewinn von 20 bis 30 Prozent pro Kunde, mit der Zeit steigt er auf bis zu 70 Prozent. Das gelingt, weil die eingesetzten Systeme in der Vergangenheit vergleichsweise schlecht waren, sodass sie pauschal über alle Kunden hinweg harte Schwellwerte angewendet haben.
CW: Was Sie hier tun, ist ja von der Komplexität her überschaubar. Es geht um einen regelbasierten Datenabgleich. Können Sie auch ganz neue Anomalien entdecken?
Schweiger: Sie haben recht, das Reduzieren von Fehlalarmen ist nicht so komplex. Von einem rein regelbasierten Datenabgleich kann man aber nicht sprechen, wir lernen ja auf Einzelkontenebene aus dem Verhalten des Kontoinhabers und etwaiger Verdachtsfälle. Am Ende sind es vielschichtige Entscheidungsbäume, die dabei herauskommen. Die AnomalieDetection, nach der Sie fragen, ist die andere Seite der Medaille. Hier gibt es keine menschliche Historie als Ausgangspunkt. Ich versuche aus dem Blauen heraus mit Blick auf einzelne Kunden oder Kundensegmente Abweichungen vom Normalverhalten zu entdecken.
Kunden lassen sich ja gruppieren, man kann beschreiben, wie Segmente typischerweise ticken. Das macht man eher mit Unsupervisedbeziehungsweise Deep-Learning-Verfahren: Wir erzeugen über einen definierten Zeitverlauf hinweg ein Kundenprofil, das ist unser Hintergrundbild. An diesem messen wir dann die nächste Transaktion. Das machen wir teilweise tatsächlich mit Bilderkennungsverfahren aus dem Machine-Learning-Bereich. Passt ein Verhalten in das Bild, das ich von diesem Kunden habe? Wenn es nicht passt, stelle ich eine Anomalie fest, und ein Mitarbeiter schaut auf den Verdacht.
Dieses Bild des Normalzustands, das etwa monatliche Gehaltseingänge, Raten, Mieten oder Ähnliches einbezieht, lässt sich auch auf der Netzwerkebene nutzen. Man sieht, woher das Geld kommt und wohin es geht, und es fällt auf, wenn sich in diesem Netzwerk etwas verändert. Neue Überweiser werden sichtbar. Manche tauchen auf und verschwinden gleich wieder – das sind Indizien, dass etwas nicht in Ordnung ist und geprüft werden sollte. Es gibt also ein Hintergrundbild vom Normalverhalten, gegen das wir bestimmte Transaktionen messen.
CW: Schlägt das System jedes Mal Alarm, wenn ein Unbekannter Geld überweist?
Schweiger: Nein, nicht grundsätzlich. Es gibt Anomalien, die tauchen nicht nur einmal, sondern häufiger auf. Die gruppiert man dann und beschreibt sie. In der menschlichen Begutachtung sagt dann der Mitarbeiter: Das sieht hier aus, als ob mehrere Leute über einen längeren Zeitraum in einem Hochrisikoland Autos kaufen und wiederverkaufen – nur als Beispiel. Solch einem Geldwäschemuster kann ich einen Namen geben. So entstehen Muster, die wir in einem Pattern Repository vorhalten. Banken können hier strukturieren, kategorisieren und Vorfälle in unterschiedlichen Teams bearbeiten. Wichtig an der Anomalie-Erkennung ist aber, dass sie funktioniert, ohne dass ich vorher weiß, ob sie in ein bestimmtes Muster fällt.
CW: Ohne den Menschen geht also nach wie vor nichts ...
Schweiger: Das stimmt, die Menschen müssen am Ende mit den Auffälligkeiten umgehen und Entscheidungen treffen. Aber das stumpfe Abarbeiten von Fehlalarmen durch Tausende von Mitarbeitern entfällt. Stattdessen wird es Hunderte von gut ausgebildeten, intelligenten Experten geben, die dann auch eine ganz andere Beziehung zu den Exekutivbehörden haben werden, um auch kompliziertere Themen zeitnah zu beleuchten.
CW: Gibt es Probleme mit der Datenqualität oder das Risiko einer falschen oder einseitigen Datenauswahl – Stichwort Bias?
Schweiger: Transaktionsdaten sind Transaktionsdaten und stark standardisiert. Stammdaten sind von guter oder schlechter Qualität, hier entsteht eher eine Herausforderung. Mein Problem ist aber das Dataset insgesamt: Bei Milliarden von Transaktionen, von denen nur 0,1 Prozent den Verdacht auf Geldwäsche wecken und der Rest nicht, muss man sich sehr gut überlegen, wie ein optimales Modell-Tuning aufgesetzt werden kann.
Deshalb spielen wir bei der Bekämpfung von Fehlalarmen Entscheidungen stichprobenartig zurück in die Fallbearbeitung, um nachzumessen, ob die Maschinenentscheidung der menschlichen Entscheidung entspricht. Man kann bei uns einstellen, welches Stichproben-Level man haben möchte, um diese Verprobung durchzuführen.
Wir werden auch damit beginnen, die menschliche Entscheidung so zu vermessen. Erfolgt sie zu schnell, wird der Fall einem anderen Bearbeiter zur neuerlichen Begutachtung vorgelegt. Ein AB-Test sozusagen, um sicherzugehen, dass die Entscheidungsqualität passt. So verhindern wir, dass schlechte menschliche Entscheidungen in die Automatisierung einfließen.
CW: Wie funktioniert Ihr Geschäftsmodell?
Schweiger: Wir sind ein SaaS-Unternehmen, leben also von monatlichen Subscriptions – abhängig vom Transaktionsvolumen – sowie von Dienstleistungen rund um Inbetriebnahme und Parametrisierung. Hinzu kommt oft ein analytisches Vorprojekt, in dem die vergangene Fallbearbeitung ins System übernommen wird. Außerdem wollen wir versuchen, einen Bonus für Effizienzgewinne zu bekommen, wenn etwa eine große Bank in der GeldwäschePrävention große Fortschritte macht. Der vierte Stream wäre ein Partnermodell, wo wir einen Umsatzanteil bekommen, wenn zum Beispiel Beratungshäuser mit unserer Software bei Bankkunden erfolgreich sind. Wir planen auch mit Technologie-Playern zusammenzuarbeiten – zum Beispiel beim Verfolgen von Kryptowährungs-Transaktionen.
CW: Welche Rolle spielen heute Kryptowährungen in der Geldwäsche?
Schweiger: Die Schwelle zwischen Kryptound Fiat-Währungen möchten viele Geldhäuser genauer beobachten, auch wenn sich die Vorkommnisse hier noch in engen Grenzen halten. In der Blockchain zu verfolgen, wie Gelder transferiert werden, ist nicht unser Thema. Da gibt es Spezialisten, die haben die forensische Verfolgung von Geldern in der Blockchain zum Ziel. Wenn eine Bank hier tiefer einsteigen will, würden wir solche Firmen als Partner einbeziehen. Ich sehe das Interesse aber momentan noch nicht. Die Kryptobörsen werden jedoch aufgrund der neuesten Anpassungen der Geldwäschegesetze nun auch in den Kreis der Verpflichteten aufgenommen.