Trends Magazin

Adobe Stock

Kampf gegen Geldwäsche: Mit Process Mining Straftaten im Bankensektor aufspüren  

Das deutsche Bankensystem ist in Spezial- und Universalbanken gegliedert. Spezialbanken (z. B. Realkreditinstitute) führen Geschäftstätigkeiten aus, die nach § 1 Abs. 1 KWG definiert sind und ein begrenztes Produkt- und Serviceportfolio anbieten. Im Kontrast hierzu stehen Universalbanken, die eine breite Palette an Services und Produkten (z. B. Anlageberatung, Kreditgeschäft und Zahlungsverkehr) offerieren. Für den deutschen Markt ist das Modell der Universalbanken klar vorherrschend.

Das Geschäftsmodell mag bei Universal- bzw. Spezialbanken unterschiedlich sein, beide Institutstypen unterliegen jedoch den gleichen gesetzlichen Anforderungen wie zum Beispiel dem Geldwäschegesetz. Dessen Vorgaben verpflichten die in Deutschland tätigen Wirtschaftsakteure dazu, aktiv bei der Bekämpfung der Geldwäsche und Terrorismusfinanzierung mitzuwirken. Die Überwachung obliegt nach § 50 GwG den jeweiligen Aufsichtsbehörden (BaFin, Deutsche Bundesbank und Europäische Zentralbank (EZB)).

Das Risiko potenzieller Geldwäscheaktivitäten sowie von von Terrorismusfinanzierung im Bankensektor in der Bundesrepublik wurde durch die erste nationale Risikoanalyse des Bundesministeriums für Finanzen (BMF) im Jahr 2019 bewertet. Neben dem Bankenbereich wurden auch der Wertpapier-, Versicherungs- und Zahlungsdienstleistungssektor untersucht.

Hohes Bedrohungspotenzial für Banken
Der deutsche Bankensektor ist durch seine grundlegende Ausrichtung auf die Verwaltung und den Transfer von Vermögenswerten einem insgesamt hohem Bedrohungspotenzial mit Blick auf Straftaten, die Geldwäsche und Terrorismusfinanzierung betreffen, ausgesetzt. Produkte, die dem Bericht des Bundesfinanzministeriums zufolge besonders häufig davon betroff en sind, werden in » 1 in der Leiste ganz links dargestellt.

Die aufgeführten Kategorien in der Abbildung sind nach Vorgabe der Deutschen Bundesbank gebildet worden und umfassen mehrere Bereiche des Bankensektors. Unter Großbanken fallen demnach Institute, die neben dem klassischen Einlagengeschäft für Firmen- und Privatkunden verstärkt auch im Wertpapiergeschäft sowie im Investmentbanking aktiv sind.

Die Kategorie der Regionalbanken umfasst Kreditinstitute, die sehr unterschiedliche Geschäftsmodelle aufweisen; diese Kategorie bildet einen Sammelbereich für Banken wie Konzern- und Autobanken sowie Privatbankiers. Die Verbundbanken fassen Kreditinstitute zusammen, die dem Sektor der Sparkassen- und Genossenschaftsgruppe angehören.

Die Abbildung visualisiert die Risikoeinschätzung des Berichts des BMF für die verschiedenen Bankprodukte und Services. Exemplarisch soll hier das Produkt Girokonto in der Grafik herangezogen werden. Durchweg ist das Girokonto mit dem Wert 1, also einem sehr hohen Risiko gekennzeichnet, nur bei den Regionalbanken gibt es eine minimale Abweichung.

Mit einem besonders hohen Risikowert sind Kreditprodukte im Privatkundenbereich beziff ert worden. Der BMF-Bericht begründet die Risikoeinschätzung wie folgt: Kredite (z. B. Verbraucherdarlehen) an Privatkunden unterliegen einer geringeren Nachweisanforderung und bergen das erhöhte Risiko strafbarer Handlungen (z. B. Betrug), die eine Vortat der Geldwäsche bzw. Terrorismusfinanzierung darstellen können.

Die dargestellte Risikosituation wird durch die Erkenntnisse einer Befragung durch den Bankenfachverband ergänzt. Diese Umfrage ergab, dass im Jahr 2019 insgesamt 32 Prozent und 2020 bereits 33 Prozent der Kredite online abgeschlossen wurden. 2021 wurde ein minimaler Rückgang verzeichnet, der aber mit einem allgemeinen Rückgang der Kreditvergabe in diesem Jahr erklärt werden kann.

Die verstärkte Nachfrage nach Online-Kreditvergaben im Vergleich zu Offline-Kreditvergaben verlangt von Banken eine Neuausrichtung der betreffenden Prozesse zur Verhinderung von Geldwäsche und Terrorismusfinanzierung. Die Zunahme des Angebots digitalisierter Produkte, besonders im Kreditbereich, macht deutlich, dass neue Methoden der Überwachung und damit zur Verhinderung von Straftaten etabliert werden müssen.

Im Folgenden wird Process Mining als ein möglicher Ansatz präsentiert, um strafbare Handlungen im Bereich der Geldwäsche und Terrorismusfi nanzierung aufzuspüren. Dieser Vorschlag berücksichtigt, dass von Krediten für Privatkunden potenziell ein hohes Risiko ausgeht. Verstärkt wird das Risiko durch die Steigerung der Online-Kreditvergabe an Privatkunden.

Methodische Grundlagen
Ein wesentlicher Vorteil der Nutzung von Process Mining liegt darin, dass durch die stärkere Verknüpfung von Informationssystemen mehr Ereignisdaten denn je informationsseitig aufgezeichnet werden. Diese Aufzeichnungen, die in einem großem Detailgrad vorliegen, lassen sich zu einem Zeitverlauf zusammensetzen und daraufhin auswerten. Durch den Zeitverlauf und durch die hohe Granularität der Daten kann Verhalten rekonstruiert, antizipiert und modelliert werden. Ein weiterer Grund für die Anwendung von Process Mining ist, dass die gestiegene Dynamik der Anforderungen an Banken und Unternehmen zur Bedürfnisbefriedigung von Kunden dazu führt, dass die Prozesse einem ständigen Wandel unterliegen.

Am Anfang des Process-Mining-Kreislaufs im Unternehmenskontext stehen zunächst das Unternehmen und seine Prozesse » 2 . Das Unternehmen erfasst die Daten aus den jeweiligen Prozessen und diese erfassten Daten werden in Datenbanken abgelegt. Diese zusammengetragenen Daten in der Datenbank werden bei Bedarf in Form eines Ereignisprotokolls bereitgestellt. Das Ereignisprotokoll kann sodann aus den vorhandenen Datenbanken extrahiert werden.

Bessere Prozesse durch Process Mining
Nach dieser Vorbereitung kommt Process Mining in der Gestalt von drei Grundaktivitäten zum Einsatz. Durch die Verwendung von Process Mining können Prozesse analysiert und verbessert werden. Die modifizierten Abläufe sind fortlaufend zu analysieren und weiterzuentwickeln. Durch die beschriebenen Schritte entsteht der Process-Mining-Kreislauf.

Process Mining generiert Wissen auf Basis von realen Prozessen und deren Ereignisprotokollen. Es wird dabei vorausgesetzt, dass die Daten in den Ereignisprotokollen in einer zeitlichen Abhängigkeit zueinander stehen. Diese zeitliche Abhängigkeit erlaubt, eine bestimmte Reihenfolge abzuleiten. Jedes Ereignis wird dabei durch eine vordefinierte (atomare) Aktivität, ein Datum, eine Uhrzeit sowie eine Prozessinstanz exakt beschrieben.

Die Aktivität beschreibt, was getan wurde, während die Prozessinstanz die damit zusammenhängende Prozessausführung eindeutig identifiziert. Neben diesen Daten können noch weitere Informationen wie beispielsweise zur ausführenden Ressource, zum Standort oder zum passenden/zugehörigen Produkt im Ereignisprotokoll dokumentiert werden.

Die Grundaktivitäten von Process Mining sind das Erkennen (Discovery) von Prozessmodellen auf Basis von Ereignisprotokollen, die Prüfung der Übereinstimmung (Conformance) zwischen dem angenommenen Referenzmodell und dem generierten Modell sowie die Anreicherung (Enhancement) eines bestehenden Modells mit weiterem Wissen.

Die drei Grundaktivitäten können Rückschlüsse auf folgende Bestandteile ermöglichen:

■ Vorgänge besser verstehen

■ Engpässe identifizieren

■ Probleme antizipieren

■ Prozesse verschlanken.

Zur Durchführung der drei Grundaktivitäten gibt es die drei Methoden: Play-Out (Ausspielen), Play-In (Einspielen) und Replay (Wiedergeben). In der erstgenannten Methode, dem Play- Out, wird ein Prozessmodell mithilfe einer Abbildungstechnik (vorzugsweise Petri-Netze) erzeugt, um dort Verhaltensweisen darzustellen. Durch das mehrfache Durchlaufen des Prozessmodells werden die Schritte im Prozessmodell als Ereignisse im Ereignisprotokoll dokumentiert. Das Ziel der Variante Play- Out besteht in der Testung eines operativen Prozesses anhand eines gegebenen Modells.

Verwendung eines bekannten Prozessmodells
Die zweite Methode, das Play-In, ist vom Grundgedanken her komplett gegensätzlich zum Play-Out. Als Basis dieser Variante wird ein bereits bekanntes Prozessmodell verwendet und aus diesem heraus ein neues Ereignisprotokoll generiert. Mit Blickauf eine artverwandte Methode der Datenanalyse, dem Data- Mining, wird ersichtlich, dass auch hier Play-In genutzt wird. Allerdings befasst sich das traditionelle Data-Mining nicht mit Prozessmodellen. Anzumerken ist, dass es nicht möglich ist, Standard-Data-Mining-Techniken für Play-In-Modelle im Process Mining zu verwenden.

Die dritte und damit letzte Methode, das erwähnte Replay, benötigt ein Ereignisprotokoll und ein Prozessmodell als Eingabe. Das Prozessmodell dient dazu, die Abläufe des Ereignisprotokolls auszuführen, um daraus Erkenntnisse zu gewinnen und Verbesserungen abzuleiten. Es gibt verschiedene Gründe, weshalb ein Prozessmodell wiedergegeben wird:

■ Überprüfung der Konformität: Erkennung von Diskrepanzen zwischen dem Ereignisprotokoll und dem Prozessmodell

■ Erweiterung des Modells mit Häufigkeiten und zeitlichen Informationen: Es können Engpässe durch gezielte Analyse der Besuchshäufigkeit unterschiedlicher Modellbereiche aufgedeckt werden.

■ Konstruktive prädiktive Modelle: Es ist möglich, Vorhersagemodelle zu erstellen, indem man Ereignisprotokolle mehrfach abspielt und hiermit Prognosen über Verhalten und Prozessverläufe erzeugt.

■ Operative Unterstützung: Die Wiedergabe ist nicht nur auf historische Ereignisdaten beschränkt; auch Prozessfälle, die noch nicht beendet sind, können wiedergegeben werden. Wenn zur Laufzeit Abweichungen festgestellt werden, die nicht zum Prozessmodell passen, kann eine Warnung generiert werden, bevor der Prozess abgeschlossen ist. Ebenso ist es möglich, die verbleibende Zeit für den Prozess oder die Wahrscheinlichkeit, dass der Fall abgelehnt wird, zu erkennen.

Die Verbindung zwischen den drei Grundaktivitäten und Methoden besteht darin, dass die Grundaktivität Erkennung (Discovery) Play-In als Methode nutzt. Erweiterung (Enhancement) nutzt die Methode des Replay, und Übereinstimmungsüberprüfung (Conformance) kann die Methoden Replay und Play-Out nutzen.

Anwendung
Wie bereits erwähnt ist die Grundlage jeder Process-Mining-Grundaktivität ein Ereignisprotokoll. Um die theoretischen Grundlagen in einem praxisnahen Beispiel anzuwenden, wurde das Ereignisprotokoll der International Business Process Intelligence Challenge (BPIC) adaptiert. Die BPIC ist ein Wettbewerb, bei dem die Teilnehmer ein Ereignisprotokoll – also einen Datensatz – von einem real existierenden Unternehmen erhalten und diese Daten mit allen verfügbaren Process-Mining-Techniken analysieren, wobei sich die Teilnehmer dieses Wettbewerbs auf mehrere vorgegebene Fragen konzentrieren.

Das für diesen Beitrag genutzte Ereignisprotokoll wurde von einer niederländischen Finanzinstitution bereitgestellt. Es enthält anonymisierte Daten aus dem Kreditvergabeprozess des Instituts. Je Kundenantrag ist im Ereignisprotokoll die Höhe des jeweiligen Kredits und der jeweilige Bearbeitungsstatus des Antrags mit Zeitstempel und dem Mitarbeiter, der den Antrag bearbeitet, zu finden. Die Prozessinstanz ist in diesem konkreten Beispiel je ein Kreditantrag.

Um aus dem vorliegenden Datensatz ein Prozessmodell zu generieren, können verschiedene Programme zur Erkennung (Discovery) verwendet werden. Für eine erste einfache Analyse eignet sich das Tool Fluxicon Disco, und für weitere tiefergehende Analysen kann dann beispielsweise die Programmiersprache Python mit der Bibliothek PM4PY des Fraunhofer Instituts verwendet werden.

In Abbildung » 3 wird das stark vereinfachte Prozessmodell dargestellt, das aus dem vorliegenden Ereignisprotokoll mithilfe von Process Discovery (Erkennung) extrahiert wurde. Diese Vereinfachung ist dadurch erreicht worden, dass eine gefilterte Darstellung des Prozesses erstellt wurde, indem nur die relevanten Prozessaktivitäten betrachtet und die übrigen Prozessaktivitäten aus dem Ereignisprotokoll gefiltert wurden.

Der vorliegende Kreditvergabeprozess wird durch das Einreichen des Kreditantrags des Antragstellers gestartet. Anschließend prüft ein Mitarbeiter das Gesuch und kann es vorab annehmen und dabei die fehlenden Unterlagen nachfordern. Wenn alle Unterlagen vorliegen, wird der Kreditantrag intern angenommen und für die Weiterverarbeitung freigegeben.

Im nächsten Schritt wird der Antrag geprüft und ggf. für den Kunden ein Angebot erstellt bzw. versendet. Der Kunde kann dann das Angebot zurücksenden, und der Kreditantrag wird durch die Ankunft bei der Bank angenommen. Grundsätzlich ist es immer möglich, dass der Antrag vonseiten des Kreditinstituts abgelehnt wird oder vonseiten des Kunden nicht weiterverfolgt wird.

Stark vereinfachter Prozess
Da es sich bereits um einen stark vereinfachten Prozess handelt, stimmen das angenommene Referenzmodell und das generierte Modell der Prozesserkennung miteinander überein, und damit wird im vorliegenden Beispiel die Übereinstimmungsprüfung (Conformance) überflüssig. An dieser Stelle könnten Differenzen zwischen den beiden Modellen erkannt und identifiziert werden, um mögliche Fehler im Prozess zu beheben. Dies entfällt hier jedoch, wie oben bereits beschrieben.

Die letzte Grundaktivität ist die Erweiterung (Enhancement) des Prozessmodells. In » 4 wurde das Prozessmodell um die durchschnittliche Dauer der Zustandsänderung erweitert. Diese zusätzliche Information zeigt, wie lange der Antrag im jeweiligen Zustand verweilt. Im Durchschnitt dauert es etwa zwei Stunden und vier Minuten bis ein Kreditantrag angenommen wird, nachdem dieser eingereicht wurde. Dadurch können Aussagen darüber getroffen werden, ob Ressourcen innerhalb des Prozesses effizient verteilt sind oder ob ein Mangel vorliegt. Anhand dieser Informationen, deren Auswertung und Analyse können Empfehlungen ausgesprochen werden. Um den Fokus auf die eingangs beschriebene Risikosituation zurückzuführen und damit den Zusammenhang zu Process Mining herzustellen, wird nun der ungefilterte Prozess (im Gegensatz zu » 3 ) genauer beleuchtet.

Betrugsfälle werden kategorisiert
Bei der Betrachtung des allgemeinen Prozessmodells ist aufgefallen, dass es bereits einen Teilprozess zur Behandlung von Betrugsfällen gibt. Dieser Teilprozess wird nun genauer betrachtet, um eine Aussage über die Bearbeitung der Betrugsfälle tätigen zu können. Die Betrugsfälle werden als solche kategorisiert und einer gesonderten Prüfung unterzogen. Dennoch finden einige den Weg zurück auf den Pfad der normalen Antragsbehandlung.

Ziel der folgenden Analyse ist es, diese Fälle aufzuspüren und genauer zu analysieren. Um Betrugsfälle zu identifizieren, wird der Beginn – das Einreichen und die erste Prüfung der Kreditanträge – des Prozessmodells fokussiert. Dies stellt einen wichtigen Bestandteil im Gesamtprozess dar, in dem mögliche Betrugsfälle genauer untersucht werden. Alle Kreditanträge, die diese Prüfung durchlaufen, werden markiert, um zu untersuchen, ob Betrugsfälle korrekt abgelehnt werden oder ob einige davon ausgezahlt werden.

Insgesamt werden 13.807 Kreditanträge gestellt, und davon werden 2.246 Kreditanträge (16,27 Prozent) angenommen. Es werden 108 Anträge auf Betrug untersucht und zur weiteren Verfolgung mit einem Risikohinweis markiert. Einige dieser Falle werden sofort abgelehnt, andere im Verlauf des Kreditvergabeprozesses. Insgesamt 30 der 108 markierten risikobehafteten Kreditanträge (27,8 Prozent) werden dennoch an die Kunden ausgezahlt.

Hier ist zu erkennen, dass die Finanzinstitution gerade bei den möglicherweise risikobehafteten Krediten eine höhere Durchlassquote aufweist. An dieser Stelle sollte das Ereignisprotokoll mit weiteren Daten angereichert/ergänzt werden (Enhancement), um eine tiefere Analyse zu beginnen. Die Kundennummer und die Information, ob es sich tatsächlich um einen Betrugsfall gehandelt hat, würde hier die weitere Analyse vereinfachen. Die Kundennummer könnte beispielsweise dazu verwendet werden, um zu prüfen, ob ein Kunde
mehrfach einen Kreditantrag gestellt hat und damit womöglich Erfolg hatte.

Mit dem nun vorhandenen Wissen zu den möglichen Fällen der Geldwäsche und Terrorismusfinanzierung und mit der Anreicherung von internen Firmendaten kann die Bank herausfinden, ob insbesondere die ausgezahlten markierten Kredite zurückgezahlt wurden, ob sie für illegale Zwecke missbraucht wurden oder ob es sich um einen rechtmäßig verwendeten Kredit handelt.

Fazit
Dieser Beitrag hat aufgezeigt, wie Process Mining genutzt werden kann, um strafbare Handlungen im Bereich der Geldwäsche und Terrorismusfinanzierung zu verhindern. Methodisch wurde eine Einführung in Process Mining erbracht, indem die Grundaktivitäten von Process Mining erklärt wurden. Grundlage hierfür bilden die
Ereignisprotokolle, die die jeweiligen Abläufe in einem Prozess dokumentieren. Durch die Anwendung der Grundaktivitäten lassen sich Rückschlüsse ziehen und Erkenntnisse gewinnen.

Der Beitrag hat außerdem eine praktische Anwendung von Process Mining mit Echtdaten, die aus dem Bankensektor stammen, aufgeführt. Im Optimalfall bildet Process Mining eine Brücke zwischen datenbasierter und prozessbasierter Analyse und führt damit zu einer Prozessoptimierung. Process Mining ist noch eine sehr junge wissenschaftliche Disziplin und hat in den letzten Jahren vermehrte Aufmerksamkeit erfahren. Es wird spannend sein zu beobachten, wie sich Process Mining und die Anwendungsgebiete weiterentwickeln werden.

Autoren



 

Nicolas Lacher arbeitete bei der ING Deutschland und studiert derzeit Digitale BWL (Master of Science) an der Universität des Saarlands

 

Jeremias Étienne  Wagner ist angehender Wirtschaftsinformatiker und derzeit im Controlling bei der Firma Bosch mit Fokus auf Informationscontrolling tätig.

+++

Was versteht man unter „Data Science“ und wie ist dies in den Themenkomplex KI einzuordnen? Wozu benötigt eine Bank überhaupt einen Data Scientist und mit welchen Daten und Tools wird hier gearbeitet? Diese und weitere Fragen stellen wir Torsten Nahm, der das Kompetenzzentrum für Data Science bei der DKB leitet. Hören Sie hier weitere Episoden aus der Reihe „durch die bank“.

Melden Sie sich bei Interese zu unserem Web-Seminar „Web-Seminar KI-gestützte Prognosemodelle zur Ermittlung von Kreditausfallwahrscheinlichkeit in Kreditinstituten“ an.

Stichworte

Verwandte Artikel

Anzeige

Lexikoneinträge