In agilen Projekten wird das Ziel nicht vollständig definiert. Dass Lücken und Fehler erst im Projekt erkannt werden, ist Teil der Methode und sorgt für Geschwindigkeit. Betrüger nutzen diese Lücken aus.

Betrugsprävention in agilen Entwicklungsmethoden

Betrugsprävention ist in agilen Entwicklungsmethoden grundsätzlich nicht vorgesehen.

Partner des Bank Blogs

Die agilen Projektmethoden sind zielorientiert auf den Projekterfolg ausgerichtet. Dieser wird typisch in Form eines Going-Live-Termins mit Featureumfang, Umsatz, Kundengewinnung oder -zufriedenheit formuliert. Der für Ertrag kritische Faktor‚ Vermeidung von Betrug, wird nicht berücksichtigt und führt mittelfristig oft zum Scheitern von Projekten.

In agilen Projekten sollen neue Ideen schnell und in kleinen Teams umgesetzt werden. Und in agilen Projekten mit Kundenbezug gibt es häufig ein Betrugsproblem. Prävention ist kein Ziel in agilen Projekten, die Rolle des Betrügers ist nicht vorgesehen. Es fehlt ein Stakeholder und es fehlt etwas im Mindset. Und daraus entstehen Schäden.

Beispiele gibt es reichlich: Banken haben Onlinestrecken für Kredite und Girokonten eröffnet und wieder aufgegeben, weil die eingekauften Risiken zu groß wurden. Erinnern Sie sich an den Boom des Issuings von Kreditkarten? Schauen Sie doch einmal jetzt auf den dezimierten Anbietermarkt. Ob Online-Festgelder oder Warenfinanzierung: es gibt ein grundlegendes Problem, dass sich an verschiedenen Stellen zeigt.

Natürlich sind da auch die klassischen Projektrisiken

Marktfehleinschätzungen, mangelnde Ressourcen, das Aufsatteln toter Pferde. Doch sind es besonders häufig Betrugsrisiken, die einer guten Idee den Garaus machen. Die typische Lernphase einer Online-Bank: gefakte Kontoeröffnungen, abgeschöpfte Kredit- und Kreditkartenlinien. Schlimmstenfalls kommt dann noch die Aufsicht und stellt Fragen. Selbst eine Unvermeidlichkeit dieser ‚Lernschäden‘ wurde schon postuliert.

Es gibt hier ein methodisches Problem

In einem agilen Projekt definiert der Auftraggeber Mindestanforderungen und Features als Ziel. Außerdem stellt er Ressourcen zur Verfügung und gibt eine Zeitschiene vor. In diesem Spannungsfeld bewegt sich das Projekt. Kommen neue Anforderungen, muss sich ein Parameter ändern: fast immer der Scope, manchmal die Ressourcen, selten die Zeitschiene.

Die Teilnehmer vereinbaren: „Wir glauben fest an den Erfolg unseres Projektes und fokussieren uns auf die notwendigen Aufgaben.“

Betrugsprävention ist keine dieser Aufgaben. Das Adressrisikomanagement wird aus den vorhandenen Prozessen übernommen oder bei Start-Ups mit Standards abgehandelt. Im Risikomanagement ist die Trennung von Bonitäts- und Betrugsrisiken noch ein neues Thema und die Kollegen vertrauen zu oft auf ihre statistischen Systeme, vielleicht auch auf Machine-Learning-Verfahren. Beide funktionieren in vielen Betrugsszenarien nur schlecht, ganz besonders im Antragsbereich mit neuen Kunden.

Ist Betrugsprävention kein Ziel, sollte Betrug als ein Risiko erkannt werden

Das passiert nur selten, denn das Risikomanagement agiler Projekte ist auf den Projekterfolg ausgerichtet.

Datenschutz und IT-Sicherheit stoppen auch mal ein Projekt und sind daher als Projektrisiko erkannt. Einen entsprechenden Stakeholder gibt es bei der Betrugsprävention nicht. Compliance hat sich auf rechtliche Themen und interne Betrugsszenarien zurückgezogen. Der Geldwäschebeauftragte möchte die KYC-Prozesse sehen und hat externen Betrug bei neuen Projekten regelmäßig nicht im Blick. Die Revision kommt erst später dran. Die existierenden Stellen oder Abteilungen für Betrugsprävention sind fast immer operativ ausgerichtet, eine strategische Funktion ist selten. Durch die fehlende Kompetenz im Projekt entstehen Lücken. Agil gesteuerte Projekte nehmen diese ganz bewusst in Kauf. Das macht ja einen Teil ihrer Geschwindigkeit aus. Das Lernen aus Fehlern ist Teil des Konzepts.

Betrüger suchen genau nach diesen Lücken. Festgeldanlagen lassen sich per Lastschrift einziehen und dann abverfügen? Eine Lücke. PostIdents können direkt an die Bank gesendet werden? Die Existenz der Endkunden beim Factoring wird nicht geprüft? Die Liste ist endlos und kann nur projektbezogen aufgestellt werden.

Betrugsversuche werden zu spät bemerkt

Häufig wird Betrug erst nach einigen Monaten bemerkt. Ein deutlich zeitverzögertes Feedback ist im agilen Mindset aber nicht vorgesehen: es kommt aus der Softwareentwicklung, und eine Software kann ad hoc daraufhin geprüft werden, ob sie funktioniert oder nicht.

Die Feststellung wirtschaftlichen Erfolgs dagegen dauert.

Bei einer solch späten Rückmeldung können technische Schwachpunkte kaum mehr abgebaut werden. Die Projektbeteiligten sind oft schon weitergezogen. Ressourcen für eine späte Fehlerkorrektur sind nicht vorgesehen. Mangels einer koordinierenden Stelle kann die Organisation aus diesen Fehlern auch nicht lernen.

Unser Zielszenario basiert auf einem vertrauensvollen oder einem berechenbaren Kundenverhältnis. Die positive Sichtweise ist Teil des Mindsets agiler Projekte. In dem gewünschten, schnellen Projekterfolg agiler Projekte haben Betrüger keinen Platz.

Was können sie tun?

Risikomanagement ist unfraglich eine Kernaufgabe von Banken. Das Adressrisikomanagement spaltet sich gerade in das statistisch orientierte Management von Bonitätsrisiken und die Spezialaufgabe der Betrugsabwehr. Dieser Bereich sollte strategisch besetzt sein. Wenn sie neue Projekte im Antragsbereich planen, dann sollte ein Mitarbeiter der Betrugsprävention im beratenden Projektteam des Product Owners sein.

Dieser interne Berater kann zum Beispiel die Datenanforderungen und notwendigen Prüfungen klären. Ein kleines Beispiel ist die Endgeräteidentifizierung in online-Strecken: diese Daten werden gepoolt und gegen bekannte, kompromittierte Geräte geprüft. Im Mengenkundengeschäft ist eine von der Bonitätsprüfung abgegrenzte Software zur Betrugsprävention heute ein sinnvoller Standard.

Außerdem sollten sie die Projektmethodik nutzen, um das Team für Betrugsszenarien zu sensibilisieren. Eine Möglichkeit ist eine Userstory für den Betrüger zu kreieren. Fügen sie ihren gutgelaunten und positiven Bildern von Kunden doch einmal einen finsteren Gesellen hinzu, der versucht sie auszunehmen!

Externe Beratung ist kaum verzichtbar

Auch der vorgesehene Feedback-Prozess kann genutzt werden. Holen sie sich zu dem Minimal viable Produkt von einem spezialisierten Consultant Feedback ein. Gibt es bekannte Angriffszenarien? Oder erkennt der Berater Lücken, für die interne Mitarbeiter schon blind sind?

Die erste Angriffswelle kommt meist innerhalb von sechs Monaten

Anträge über neue Vertriebswege und veränderte Antragsstrecken sollten innerhalb der ersten Monate verstärkt manuell geprüft werden. Nach Einführung eines neuen Produktes oder einer neuen Antragsstrecke lohnt sich auch ein Blick in die Online-Foren und Marktplätze im Dark-Web. Konten neuer Online-Banken sind regelmäßig billig zu haben, ein deutliches Warnsignal für die Betroffenen.

Transparenz und Kompetenz

Betrug ist in unserem Geschäft ein immerwährendes Thema. Wir arbeiten mit dem, was Betrüger am liebsten haben möchte: Geld. Wir blenden gern aus, dass Erfolg der nachhaltige Ertrag ist – und der muss nicht mit der Kundenanzahl oder dem Umsatz korrelieren.

Sensibilisieren sie ihre Mitarbeiter. Stellen sie einen kompetenten Stakeholder. Wenn allen klar ist, dass sie nicht nur gute Kunden haben, dann lassen sich ihre Mitarbeiter schon etwas einfallen.

Ausblick

In die allgemeinen Frameworks der Softwareentwicklung wird das Thema Betrugsprävention nicht einziehen. Die Risiken basieren auf der Übernahme von Entwicklungsmethoden von Software auf Prozesse und Projekte. Die Aufsicht entdeckt das Thema der Kriminalitätsprävention langsam, regulatorische Maßnahmen sollten aber kein Ziel sein. Umso wichtiger ist es, dass die Projektsponsoren das Thema im Blick haben.