Die Bedrohungen, denen Versicherungsunternehmen durch Betrug ausgesetzt sind, sind raffiniert, erfolgen weltweit und es werden immer mehr. Die Kosten, die weltweit durch Betrug verursacht werden, könnten dem Beratungsunternehmen Crowe zufolge bis zu 3,2 Billionen Pfund pro Jahr ausmachen. Das Technologie-Beratungsunternehmens Accenture schätzt, dass Unternehmen weltweit in den nächsten fünf Jahren durch Cyber-Angriffe ein Schaden in Höhe von 5,2 Billionen Dollar aufgrund von zusätzlichen Ausgaben und Umsatzeinbußen entsteht.
Diese Zahlen helfen uns zumindest, das Ausmaß der Bedrohung zu verstehen. Aber die Tatsache, dass fast immer eine klare Abgrenzung zwischen Cyber-Kriminalität und Betrug gezogen wird, zeigt, dass im Kampf gegen Finanzkriminalität ein fundamental wichtiges Thema ausgeblendet wird.
Silodenken begünstigt Cyber-Angriffe
Kriminelle arbeiten bei Cyber-Angriffen zunehmend zusammen und sie verwenden die Erlöse zur Finanzierung weiterer Verbrechen. Aber in der Versicherungsbranche werden Cyber-Angriffe und Betrug nach wie vor als zwei unabhängige Probleme behandelt. Dabei geht es im Grunde um ein und dasselbe - und solange wir dies nicht erkennen, werden wir immer zu spät kommen.
Es gibt zwei wesentliche Gründe für diese nicht gerechtfertigte Unterscheidung: Sie sind zum einen kultureller Natur. Zum anderen liegen sie in den in den einzelnen Bereichen vorherrschenden Datensilos, die dadurch entstehen, weil bestimmte Aufgabenstellungen oder Analysen mit dem bestehenden System nicht abbildbar sind. BAE Systems arbeitet weltweit mit Versicherungsgesellschaften bei der Cyber- und Finanzbetrugsbekämpfung zusammen. In vielen Fällen stellen wir fest, dass es an der Zusammenarbeit der Teams, die mit dem Schutz der Unternehmen betraut sind, mangelt.
Das Compliance-Team arbeitet möglicherweise an einem Insider-Betrug, das Anti-Fraud-Team an einem externen Betrugsfall und das IT-Sicherheitsteam an einem Hacker-Angriff. Jedes Team hat seine eigenen Prozesse, Untersuchungsmethoden, Datenressourcen und Analysen. Das bedeutet, dass sie fast nie daran denken, dass die drei Fälle miteinander verbunden sein könnten, dass ein und dasselbe kriminelle Netzwerk ihr Unternehmen aus drei verschiedenen Richtungen angegriffen haben könnte.
Kriminelle sind flexibel
Das Ergebnis ist nicht nur eine verpasste Gelegenheit, Ressourcen und Erkenntnisse auszutauschen, sondern auch, wie ich meine, ein gefährliches Versäumnis, dem ein fundamentales Missverständnis über die Art der Bedrohungen zugrunde liegt, denen die Versicherer heute ausgesetzt sind.
Und das Problem geht über einen Mangel an interner Kommunikation und Zusammenarbeit hinaus. Der isolierte Ansatz zur Bekämpfung der Finanzkriminalität zeigt sich auch in der Art und Weise, wie Versicherer ihre Daten speichern und analysieren. Alte Softwaresysteme spielen in diesem Zusammenhang eine Rolle. Aber wir stoßen auch häufig auf Datensätze und Analysemethoden, die auf voneinander isolierte Geschäftsfelder beschränkt sind. Kriminelle hingegen sind in ihrem Ansatz viel weniger starr. Sie gehen dahin, wo Schwachstellen bestehen und wo die Belohnungen am höchsten sind - und das kann überall im Geschäftsbereich eines Versicherers sein.
Datenanalyse muss vollständig integriert eingesetzt werden
Es ist wichtig, dass Versicherer interne und externe Aktivitäten über alle ihre Portfolios hinweg überwachen können. Datenanalyse muss, wie andere technologische Lösungen auch, vollständig integriert und unternehmensweit eingesetzt werden, um deren Potenzial zu maximieren. Im Idealfall sollte dieser integrierte Ansatz auf alle Aspekte der Verteidigung eines Unternehmens angewendet werden.
So führt beispielsweise die überwiegende Mehrheit der Versicherer Penetrationstests durch, bei denen IT-Systeme einer umfassenden Prüfung unterzogen werden, um die Empfindlichkeit gegenüber Angriffen festzustellen. Aber wie viele führen so genannte Fraud Penetration Tests durch, bei denen die Buchhaltung auf ihre Widerstandsfähigkeit gegen Betrug geprüft wird? Die Antwort: Es sind viel weniger, obwohl die Software zur Durchführung solcher Tests existiert. Und wie viele führen Cyber- und Finanzbetrugs-Penetrationstests als Einheit durch? Ich wäre überrascht, wenn es welche gäbe, obwohl das der effektivste Weg wäre, um dieser Bedrohung zu begegnen.
Die Versicherer müssen die Herausforderungen durch Finanzkriminalität so angehen, wie diese Verbrechen begangen werden - als einheitliches Vorgehen und nicht als einzelne insolierte Schritte.
Unternehmensführung trägt die Verantwortung
Genau diese Herangehensweise ist in der Versicherungswirtschaft erforderlich. Wir können jedoch nicht erwarten, dass die Teams, die für die Bekämpfung von Finanzbetrugs und für IT-Sicherheit zuständig sind, dies im Alleingang umsetzen. Die Fähigkeit, und ich würde auch sagen, die Verantwortung, eine umfassendere und systematischere Vorgehensweise durchzusetzen, liegt bei der Unternehmensführung. Der Kampf gegen Finanzkriminalität wird in den meisten Versicherungsunternehmen durch das Fehlen eines tiefen technischen Verständnisses für Betrugsbekämpfungsmaßnahmen oder IT-Sicherheit auf Vorstandsebene behindert.
Ich sage das nicht, um zu kritisieren. Ich stelle hier einfach eine Tatsache fest. Wenn die Versicherer mit den Kriminellen Schritt halten wollen, müssen sie damit beginnen, mehr von diesem Fachwissen in den Vorstand einzubringen und ihre obersten Führungskräfte mit mehr persönlicher Verantwortung für die Schaffung einer unternehmensweiten Antwort auf die Bedrohung zu beauftragen.
Denn erst wenn die Verantwortung für die Verteidigung eines Unternehmens gegen kriminelle Angriffe von der Führungsspitze übernommen wird, wird die kulturelle und digitale Zusammenarbeit zu einem strategischen Gebot. Und nur dann werden die Versicherer in der Lage sein, die koordinierte Reaktion zu schaffen, die erforderlich ist, um einer zunehmend integrierten und raffinierten kriminellen Bedrohung zu begegnen.
Dennis Toomey ist Global Director of Counter Fraud Analytics and Operations bei BAE Systems.
Autor(en): Dennis Toomey