Mehr Informationen bringen nicht unbedingt Vorteile. Sie können auch ablenken und den Zugang zu den wichtigen Daten erschweren. Vor allem im Bereich der IT-Security, etwa zur effizienten Abwehr von Risiken, sind wenige, aber dafür die richtigen Warnmeldungen besser.
Viele Programme für Betrugs- und Risikomanagement zeigen zwar zahlreiche Warnungen an. Doch darunter befindet sich eine hohe Anzahl von Fehlalarmen und anderem „Hintergrundrauschen“, die ihre Wirksamkeit beeinträchtigen.
Dieses Rauschen stellt aus verschiedenen Gründen ein Problem für Unternehmen dar. Dazu zählt zum Beispiel vergeudete Zeit. IT-Security-Teams müssen alle Warnmeldungen, die sich in einer Warteschlange ansammeln, nach Prioritäten sortieren und prüfen. Bieten die Meldungen jedoch keinen Mehrwert für die Betrugs- und Risikoabwehr, vergeuden diese Analysen nur wertvolle Arbeitszeit des Teams.
Zusätzlich verdecken Fehlalarme den Blick auf die richtigen Informationen zur Erkennung von Anomalien. So müssen die Teams „eine Nadel im Heuhaufen finden“, um in der riesigen Menge von Daten und Ereignissen Anzeichen für Betrug zu entdecken. In dieser Analogie steht die Nadel für „True Positives“ (Betrugsfälle), während der Heuhaufen „False Positives“ bedeutet, die keinen Betrug darstellen. Je mehr Falschmeldungen es gibt, desto schwieriger ist es, die echten Meldungen zu finden.
Hohe Kosten und verzerrte Metriken
Rauschen verursacht auch Kosten für die Infrastruktur. Jedes Protokoll, jede Warnung und jedes Ereignis muss aufbewahrt werden, selbst wenn diese nicht auf echte Betrugs- und Risikofälle hinweisen. Wenn das Team also eine große Menge an Informationen sammelt, die wenig oder keinen Mehrwert bringen, führt dies zu überflüssiger Infrastruktur. Dies verursacht Kosten, die Budget von Bereichen abziehen, in denen sich ein deutlich höherer Mehrwert erzielen ließe.
Falschmeldungen verzerren außerdem Metriken. Insbesondere Messgrößen zum prozentualen Zeitaufwand für echte Betrugsfälle, zum Verhältnis von echten zu falsch-positiven Meldungen, zum Volumen der Ereignisse, zur Anzahl der bearbeiteten Ereignisse oder zur Analysezeit pro Ereignis werden dadurch stark beeinflusst. Je geringer die Rate der Fehlalarme ist, desto günstiger fallen diese Kennzahlen aus.
So lässt sich das Problem beheben
Um die negativen Folgen von falsch-positiven Meldungen und Rauschen auf die Betrugsprävention abzumildern, empfehlen sich folgende Tipps:
- Mit dem Risiko beginnen: Alle erfolgreichen Lösungen leiten sich von einem guten Verständnis der Risiken ab. So sind zunächst die Risiken und Bedrohungen für das Unternehmen zu beurteilen und welche Auswirkungen diese haben. Dazu gehören auch die potenziellen Kosten und Verluste, die mit jedem Risiko verbunden sind.
- Ziele und Prioritäten setzen: Welches Problem wann anzugehen ist, gehört zu den wichtigsten strategischen Entscheidungen des Sicherheitsteams. Daher sollte es die im vorherigen Schritt ermittelten Gefahren und Risiken priorisieren. Anschließend sind die Ziele und Prioritäten festzulegen, die kurzfristig oder längerfristig behandelt werden.
- Auswirkungen bewerten: Die Identifizierung von wichtigen Vermögenswerten, Ressourcen und Datenspeichern hilft dem Team unter anderem, die möglichen Auswirkungen eines Vorfalls zu verstehen. Auf dieser Basis kann es Lücken in der Telemetrie finden und beheben.
- Daten und Lücken analysieren: Unternehmen sollten die vorhandene Telemetrie-Erfassung prüfen und bewerten, ob jede Datenquelle zur Betrugs- und Risikoabwehr beiträgt. Ist dies nicht der Fall, verursacht die Datenerfassung nur zusätzliche Infrastrukturkosten, ohne einen Mehrwert zu bieten. Andererseits sind Lücken in der Telemetrie zu identifizieren und zu schließen.
- Technologie muss nützlich sein: Die eingesetzte Technologie sollte konkreten Mehrwert bringen, etwa durch die zuverlässige Erkennung von Betrug mit einer geringen Anzahl von Fehlalarmen. Auch die Erfassung wertvoller Telemetriedaten sowie eine verbesserte Effizienz von Prozessen und Arbeitsabläufen können Vorteile sein. Technologie muss das Betrugsteam unterstützen, nicht behindern.
- Veraltete Regeln und Signaturen ablösen: Manche Regeln, Signaturen und andere Erkennungstechniken erzeugen nur noch ein hohes Maß an Rauschen. Das verhindert die schnelle und gezielte Erkennung von Betrugsfällen. Es mag radikal klingen, aber die Abschaltung veralteter Mechanismen hat oft weit mehr Vorteile als Nachteile.
- Strenge Erkennung implementieren: Das Motto „weniger ist mehr“ bedeutet auch, dass die Daten genau abgefragt werden müssen, um zuverlässige Warnmeldungen zu erzeugen. Das Einführen ausgefeilter Erkennungsansätze erfordert zwar viel Zeit, zahlt sich aber in hohem Maße aus. Je besser die Warnungen sind, desto weniger Rauschen gibt es.
- Arbeitsprozesse verbessern: Die genauesten Warnmeldungen bringen aber nichts, wenn die Prozesse zur Abwehr nicht funktionieren oder es gar keine gibt. Ein erstklassiges Team zur Betrugsbekämpfung verfügt über ausgereifte, effiziente und effektive Arbeitsprozesse.
- Abwehr kontinuierlich optimieren: Niemand ist perfekt. Teams sollten sich daher ihrer Schwächen und Verbesserungsmöglichkeiten sehr wohl bewusst sein. Für den langfristigen Erfolg müssen sie Lehren aus den oben genannten Punkten ziehen und darauf basierend die Betrugsabwehr kontinuierlich verbessern.
Die gängige Meinung, dass mehr Daten, mehr Ereignisse und mehr Warnungen zu einer besseren Betrugserkennung führen, ist überholt und falsch. Durch eine strategische Konzentration auf das Risiko und einen methodischen Ansatz zur Reduzierung der Falschmeldungen können Unternehmen sowohl den Stand ihrer Betrugserkennung als auch den Reifegrad ihrer Schutzprogramme verbessern.
Durch die Optimierung des Signal-Rausch-Verhältnisses und den Ansatz „weniger ist mehr“ bei der Betrugserkennung lassen sich echte Vorfälle effizienter aufdecken. Gleichzeitig verschwenden Unternehmen deutlich weniger Ressourcen für falsch-positive Ergebnisse.
Joshua Goldfarb ist Fraud Solutions Architect (EMEA and APCJ) bei F5.
