„Die SCA-Einführung – eine 5-Minuten Terrine?“

Die SCA-Einführung: eine 5-Minuten Terrine?

POSTED ON 01. OKTOBER 2019 BY RALF HESSE & DAVID KRUSE

Am 14.09.2019 hat das Martyrium der europäischen Zahlungsvielfalt im elektronischen Zahlungsverkehr begonnen

Was bisher geschah …

Als die Europäischen Kommissionäre sich seinerzeit Gedanken über eine Novellierung der PSD1 machten, die am 01. November 2009 in Kraft getreten ist, war damals neben dem Gedanken der Wettbewerbsgleichheit auf dem Zahlungsverkehrsmarkt auch der Wunsch nach höherer Sicherheit im elektronischen Zahlungsverkehr einer der treibenden Faktoren. Sehr noble und auch herausfordernde Ziele, die sicherlich dem Marktgeschehen im elektronischen Zahlungsverkehr geschuldet waren.

Die strake Kundenauthentifizierung (SCA: Strong Customer Authentication) als einer der treibenden Faktoren in der PSD2 sollte das Problem des unkontrollierten Missbrauchs im elektronischen Zahlungsverkehr eindämmen, indem man elektronische Zahlungsvorgänge (Payments) mittels voneinander unabhängiger Authentifizierungsverfahren doppelt absichern lässt. Bis hierin, ein wirklich lobenswerter Ansatz, der helfen sollte, das Fraud Problem in den Griff zu bekommen.

Für die Umsetzung war aber nun eine Definition eines Anforderungskataloges gefordert, der genau diese sog. Zwei-Faktor-Authentifizierung (2FA) in die Zahlungssysteme der EWR-Zahlungsdienstleister beschreiben musste. Ganz nach dem Motto „viele Köche verderben den Brei“, setzte man seinerzeit in Europa die Sterneköche der Europäischen Bankenaufsichtsbehörde (EBA) vor den Herd, die genau dieses Süppchen mit den Ingredienzien der Strong Customer Authentication (SCA) köcheln sollten. Die EBA stellte wiederum sehr bald fest, dass ihm die Zutaten zur Zubereitung gar nicht klar waren und befragte erst einmal seine Hilfsköche – die Zahlungsdienstleister (Payment Service Provider) – wie denn die Zusammensetzung der Suppe zu erfolgen habe. Als dann diese Befragung und das Sammeln von Informationen abgeschlossen war, hatten unser Sterneköche ihr Rezept in den „Regulatory Technical Standards“ (RTS) niedergeschrieben.

Und nun begann das große Köcheln…

Vom Wassertopf zur fertigen Suppe …

Am 27. November 2017 verabschiedete die BaFin die „Delegierte Verordnung (EU) 2018/389 der Kommission vom 27. November 2017 zur Ergänzung der Richtlinie (EU) 2015/2366“, die deutsche Umsetzung der RTS. Die RTS manifestierten also jetzt die technischen Grundregeln im deutschen Gesetzestext, die das SCA Süppchen zum Kochen bringen sollte – und das möglichst mit einem für alle angenehmen Geschmack. Gleichzeitig wurde der 14. September 2019 als Zieltermin genannt, zu welchem alle EWR-Zahlungsdienstleister ihre elektronischen Transaktionen nach „neuer Lesart“ zu authentifizieren haben.

Der kartengestützte Zahlungsverkehr stützt sich aber auf die Netzwerke der großen Kredit- und Debitkartenorganisationen (VISA, MasterCard, American Express, JCB, Diners, DK, etc.). Genau diesen Scheme-Betreibern wurde nun auferlegt, ein Regelwerk zu entwerfen, welches die Information zu den in den RTS geforderten Anpassungsmaßnahmen in die Prozesse der einzelnen Parteien integriert. Diese Umsetzung in den einzelnen Gesellschaften wurde zentral mit Einführung des neuen 3D Secure 2.0 (3DS2) Protokolls realisiert. Dummerweise gab es aber pro Gesellschaft ein ganzes Kochbuch von Regeln, die mit der Nutzung von 3DS2 zu beachten waren bzw. sind. Und wie bei Kochbüchern so üblich, sind diese niemals flächendeckend kongruent – allenfalls ähnlich – was natürlich zu einer deutlichen Erhöhung der Anforderungskriterien an die technische Umsetzung führte.

Nun begann das große Rätselraten. Der Zahlungsverkehrsmarkt ist ein sehr heterogenes System, in welchem sehr viele Dienstleister die unterschiedlichsten Aufgaben und Verantwortlichkeiten innehaben. Die EBA als Initiator der Novelle sprach und spricht aber nur mit den regulierten Zahlungsdienstleistern und schreibt diesen die neu verabschiedeten Verfahrensweisen vor. Weitere in der Dienstleistungskette involvierte Dienstleister (wie z.B. MPI/3DS2 Betreiber, GDS (Global Distribution Systeme) wie Amadeus oder Sabre, etc.) sind bzw. waren also von der SCA Forderung nicht direkt betroffen, tragen aber mitunter einen gravierenden Anteil im technisch/operativen Processing zur Ausführung einer Authentifizierung bei. Der reine Authentifizierungsprozess ist demnach ein regulierter Vorgang, der aber mitunter durch nicht regulierte Dienstleister implementiert werden sollte – ein Widerspruch in sich.

Viele Köche verderben den Brei …

Das Payment-Processing-Imperium besteht aus vielen Parteien. Da gibt es die

  • Merchants, deren schlechte Erfahrung aus 3DS1 die Skepsis bzgl. negativer Beeinflussung der Conversion Rate mit einem neuen Authentifizierungsprozess (Strong Customer Authentication) sich wiederholen oder sogar erhöhen könnte
  • Die PSPs, die ein Interesse an einer konstanten oder gesteigerten Transaktionsanzahl mit möglichst breiter Nutzung deren Zahlarten-Portfolio haben
  • Die Acquirer, die auch mit SCA keinen Umsatz im Kredit-/Debitkarten Geschäft einbüßen möchten
  • Die Schemes, die die Sicherung des Umsatzes bei dem neuen Authentifizierungsverfahren als oberste Priorität sehen, gleichzeitig aber den regulatorischen Vorgaben entsprechen müssen
  • Die Issuer, die die Umsetzung der Regulatorik im Bereich Payment gewährleistet wissen wollen. Das impliziert neben Reduktion der Fraud-Vorfälle aber auch die Sicherung des Bestandsvolumens auf deren Kartenportfolio.

Alle diese Parteien und Beteiligten sind in die Umsetzung der SCA Anforderungen involviert, verfolgen aber mitunter ganz unterschiedliche Ziele und Interessen.

Dadurch bedingt, werden bestimmte Anwendungsfälle bei der ein oder anderen Partei gar nicht oder nur peripher berücksichtigt. Mindestens genau so irritierend für das Ökosystem Zahlungsverkehr ist aber der Tatbestand, dass unterschiedliche Stakeholder vermeintlich gleiche Tatbestände unterschiedlich auslegen und implementieren – und das in Ermangelung klarer regulativer oder definierter Vorgaben der Schemes.

Ein sehr prominentes Beispiel hierfür ist der in den letzten Wochen in der Reise- bzw. Tourismus Branche sehr heiß diskutierte Umgang mit den sog. „key entry“-Transaktionen. Bei diesem Transaktionstyp werden Kartendaten manuell in das Bezahlterminal am Point-of-Sale oder eine Online-Eingabemaske eingegeben (z.T. ohne Anwesenheit des Karteninhabers). Da weder der Regulator diese Transaktionen als „elektronische Zahlungen“ beschreibt, noch die Kartenorganisationen selbst eine Alternative zur SCA Verpflichtung aufzeigen, schürt das die Kreativität der Händler (und somit der den Händler bedienenden Dienstleister, den PSPs sowie den Acquirern), was die Umgehung der SCA-Pflicht angeht.

Eine homogene und mit allen Parteien abgestimmte Vorgehensweise bzw. -Vorgabe zur Implementierung der SCA-Logik gibt es bislang leider nicht.

Die versalzene Suppe: nicht nur ein bitterer Beigeschmack

Seit dem 14.09.2019 ist die PSD2 und damit auch die starke Kundenauthentifizierung offiziell in Kraft getreten und viele offene Fragen haben nach wie vor keine Antwort. Ganz besonders davon betroffen sind die Geschäftsvorfälle in der zuvor zitierten Reise- und Tourismusindustrie.

Die Ignoranz der Regulatoren – sei das nun die EBA oder der jeweilige nationale Regulator (BaFin) – haben durch ihre Entscheidungsunwilligkeit in den vergangenen Wochen die Unsicherheit im Markt eher befeuert, als diese zu entkräften.

Das Resultat ist daher leider nicht ganz unerwartet. Große und namhafte Player im Payment-Ökosystem wie z.B. Amadeus oder Galileo haben bereits ihre Kunden informiert, dass deren Systeme zum 14. September 2019 nicht vollumfänglich die SCA-Anforderungen bedienen werden können. Nun ist das zwar nur eine einschränkende Aussage, aber sie lässt dennoch erkennen, dass der Zeitraum zur Implementierung der noch ausstehenden Fragestellungen nicht ausreichend war. Und genau das hat (zumindest die BaFin) bislang nicht berücksichtigen wollen, trotz der immer lauter werdenden Signale aus dem Markt und auch seitens der durch die BaFin regulierten Unternehmen.

Das zuvor erwähnte 3DS2 Protokoll bringt im Vergleich zu 3DS1 einen ganz entscheidenden Vorteil mit, welcher die begründete Hoffnung regt, dass ein Einbruch der Conversion Rate zumindest vermieden werden kann: die sog. „frictionless Authentifizierung“.

Bei diesem Vorgang übermittelt der Händler dem Issuer einen ganzen Bausatz zusätzlicher, Risiko-relevanter Informationen, die der Issuer selbst bewerten kann und dann ohne Interaktion mit dem Karteninhaber eine Genehmigung der Transaktion bzw. Zahlungen erteilen kann. Dieses Vorgehen nimmt einerseits die Haftung des Schadensfalls vom Händler und überträgt diese auf den Issuer, und erfordert anderseits keine weitere Interaktion mit dem Karteninhaber, die ggf. zu einem Transaktionsabbruch führen könnte.

Da aber – Stand heute – weder die Issuer genau wissen, welche Parameter für die Bewertung in ihren Fraud-Prevention-Systemen wirklich einen positiven Effekt in Hinsicht auf eine reibungslose Transaktionsverarbeitung beeinflussen werden, noch die Händler flächendeckend in der Lage sind, die für die Issuer notwendigen optionalen Felder in der Authentifizierungsnachricht zu übermitteln, läuft der Markt Gefahr, genau dieses so mächtige Instrument gar nicht zu nutzen. Dabei sollten die PSD2-Richtlinien genau dies vermeiden.

Und genau an dieser Stelle bedürfte es wieder einmal einer regulativen Vorgabe durch die entsprechenden Schemes, die die Issuer in einen einheitlich definierten Zustand versetzen würde.

Abschmecken der Suppe und die Nachbesserung

Letztlich hat aber die BaFin nun am 21. August doch eingelenkt – zumindest für den E-Commerce- Bereich – und mit ihrer Erklärung einen (bislang noch) unbefristete Duldung nicht SCA-authentifizierter E-Commerce-Transaktionen bekundet. Damit wurde aber keineswegs die SCA-Pflicht zum 14 September 2019 aufgehoben. Ganz gemäß unserem Sternekoch, wird die BaFin ihre SCA-Suppe niemals aufgeben, sondern vielmehr versuchen, diese durch geschicktes Abschmecken auch für den Konsumenten „erträglich“ zu gestalten.

Die BaFin darf aber beim „Abschmecken“ nicht vergessen, dass sie nur einer der Hilfsköche der SCA-Suppe ist. Ein inhomogener Umgang im EWR mit der zuvor beschriebenen Duldungsregelung erzeugt eher ein noch größeres Unsicherheitsbefinden als sowieso schon vorhanden. National voneinander abweichende Regelungen würden den Händler und auch den Karteninhaber maximal verwirren. Um genau diese Situation zu vermeiden, wäre eine deutlich klarer formulierte Vorgabe der EBA sehr viel hilfreicher.

In wie weit das aber genau gelingt bzw. umgesetzt wird, bleibt abzuwarten.

Resümee des Kochkurses

Die Unsicherheit am Markt im Umgang mit der SCA-Nutzung hat aufgrund der akuten Dringlichkeit vor der Umsetzung zum 14.09.2019 – wie schon erwähnt – die Kreativität der Händler deutlich angeregt. Das geht teilweise so weit, dass in Ermangelung passender SCA-Alternativen die sog. „alternativen Zahlarten“ (wie z.B. PayPal, Paydirekt, Wallet-Systeme etc.) den Vorzug vor der SCA-pflichtigen Kartentransaktion erhalten. Die Betreiber dieser alternativen Bezahlmethoden beobachten diesen für sie äußerst günstigen Effekt mit einem breiten Schmunzeln, profitieren Sie doch ohne extensive Marketingausgaben von der Unkoordiniertheit und den Schwächen der Regulatorik ohne eigene Anstrengung von den Konkurrenten. Und das war – und kann auch nicht – im Sinne des Regulators gewesen sein, als die SCA-Pflicht ausgestaltet wurde (wir erinnern uns an das Ziel der Steigerung des Wettbewerbs).

Selbst wenn nun am 14. September 2019 die SCA Verpflichtung – wenn auch in abgeschwächter bzw. verzögerter Form – in Kraft getreten ist, sollte man die Duldungsperiode bezüglich der PSD2-Richtlinien sinnvoll nutzen. Vor allen Dingen sollte man aus den Fehlern seit Veröffentlichung der RTS lernen. Und dieser Lerneffekt muss bei allen beteiligten Parteien ansetzen, damit nach Ablauf der Duldungsperiode nicht wieder ein D-Day ansteht und niemand weiß, wie und wann er sich darauf vorzubereiten hat. Die Alarmzeichen für eine derartige Situation stehen bereits jetzt auf Rot, da schon jetzt Händler angekündigt haben, dass sie die SCA-Pflicht erst mit Ablauf der Duldungsperiode scharf schalten werden, um nicht selbst vorschnell einen Wettbewerbsnachteil zur Konkurrenz zu erleiden.

Zurückkommend auf das initiale Anliegen der SCA-Verpflichtung – nämlich der Reduzierung des Fraud-Aufkommens und somit zur Sicherung der Karteninhaber-Integrität – kann man an dieser Stelle nur festhalten, dass die EBA mit ihren Hilfsköchen, den nationalen Regulatoren, mangels klar definierter Vorgaben das „Unternehmen SCA“ aufs Glatteis geführt hat. Bleibt zu hoffen, dass die Regulatoren aus den vergangenen Monaten gelernt haben.

Nur ein gemeinschaftlicher Ansatz unter Einbeziehung aller Beteiligten des Payment-Ökosystems kann den gewünschten Erfolg hinsichtlich einer regelkonformen SCA-Nutzung garantieren. Es wäre schade, wenn die sich mit der SCA öffnenden Möglichkeiten einer deutlichen Sicherheit und auch eines Kunden und Karteninhaber-freundlicheren Authentifizierungsverfahrens aufgrund von Ausnahmen und der Ignoranz bzw. Entscheidungs-Faulheit der zuständigen Instanzen nicht genutzt werden könnten.

„Status Quo im B2B-Zahlungsverkehr: vom Wunsch zur Wirklichkeit“

Status Quo im B2B-Zahlungsverkehr: vom Wunsch zur Wirklichkeit

POSTED ON 18. JUNI 2019 BY NIKLAS SIMON

Während die Bürger in Deutschland neue und innovative Bezahlformen jenseits von Bargeld, mobile-only Banken und weitere, u.a. durch Fintechs getriebene Entwicklungen rund um Prozesse der Zahlung im Privatgebrauch bewusst oder unbewusst verwenden, stockt die Nutzung innovativer Verfahren in anderen Bereichen der Banken. Die Rede ist von dem komplexen Themengebiet des Corporate Bankings, hier im Speziellen mit Blick auf den Zahlungsverkehr.

Doch warum ist das so?

Wir fangen mit einem Beispiel an: „Helfen Sie bitte dem Prokuristen der Firma XY beim Ausfüllen des Überweisungsträgers und reichen danach noch die Diskette für den Gehaltslauf ins Back-Office ein?“ Kommt Ihnen das auch bekannt vor? So oder so ähnlich könnte sich nämlich die Anfrage des Kassierers in der Ausbildung einer Bankkauffrau oder eines Bankkaufmanns angehört haben.

Die Ausbildung wurde vor Jahren beendet und (zum Glück) hat sich im Zahlungsverkehr abseits von Bargeldzahlung und Konto einiges getan. Oder ist der Unterschied zu damals gar nicht so groß? Zum Vergleich: Vor gut 10 Jahren präsentierte Steve Jobs das erste iPhone. Wenn man bedenkt, welche Entwicklungsstufen das iPhone als Smartphone seitdem durchlaufen hat, dann ist die Weiterentwicklung des Zahlungsverkehrs bei Corporate Banking Kunden in der letzten Dekade sehr zurückhaltend verlaufen.

Anforderungen an den Zahlungsverkehr unterscheiden sich wesentlich bei den Nutzern (Privatkunde oder Firmenkunde). Die Vordenker, Digital Natives und Technik-Nerds legen in ihrem privaten Umfeld Wert auf eine ansprechende User Experience und innovative Features. Sie wollen weit über das Onlinekonto allein inzwischen sämtliche Facetten des Bankgeschäfts digital genießen. Unternehmen achten jedoch viel stärker auf Fragestellungen wie Sicherheit, Datenschutz, Stabilität der Systeme und dem (leider) allseits bekannten „never change a running system (in gut schwäbisch „des isch halt so…“). Trotz verstärkter privater Neugierde nach innovativen, digitalen Produkten rund um Finanzen und Geld bleibt der Fortschritt bei Firmenkunden nahezu aus.

Doch was oder wer kann Innovationstreiber sein und wohin entwickelt sich der Zahlungsverkehr eines Firmenkunden?

Ein Unternehmen hat zwei wesentliche Anforderungen an seinen Zahlungsverkehr

1.) Erhalt von Informationen in Form eines (elektronischen) Kontoauszuges und

2.) das Ausführen des Zahlungsverkehrs (z.B. Überweisung)

Gesteuert wird dies meist über ein Electronic Banking-System. Kommunikation ist in weiten Teilen über den EBICS Standard definiert. Vor allem die SEPA Einführung war und ist für viele Firmenkunden ein (erster) großer Schritt in Richtung Professionalisierung des Zahlungsverkehrs (ZV) gewesen. Das bewusste Auseinandersetzen mit dem bestehenden Weg des ZV-Managements zeigte den Status Quo auf und verdeutlichte die Stärken aber vor allem auch die Schwachstellen. SEPA gab dem Cash Manager/Treasurer ein Werkzeug an die Hand, welches bei richtigem Einsatz die Effizienz steigerte und weiterhin steigern kann. Durch die Einführung von SEPA wurden z.B. Formate definiert, die im SEPA Raum identisch sind und somit über die Landesgrenzen hinweg Zahlungsverkehr einfach gestaltet.

Nun kommen jedoch einige Einschränkungen hinzu. Sehr häufig nutzen v.a. mittelständische Unternehmen Systeme für den Zahlungsverkehr und die Kontoverwaltung, die zwar die Mindestanforderungen an ein Electronic Banking-System erfüllen, eine Modernisierung, Automatisierung und Professionalisierung des Zahlungsverkehrs innerhalb der Unternehmen jedoch ausbremsen. Woran liegt das? Gewohnheit, Angst vor Veränderungen, persönliche Vorlieben, kein Vertrauen in nachkommende Generationen und Technologien?

Schnell sind wir beim Henne-Ei Problem. Sollten Banken den Weg vorgeben und ihre eigene Digitale Agenda den Unternehmen aufdrücken und z.B. moderne Electronic Banking-Systeme mit tollen Features am besten über die Block Chain (etwas überspitzt) und schnittstellenoptimiert anbieten? Oder muss dieser Impuls auch von den Unternehmen ausgehen? Müssen die Banken ihre Kunden hier noch viel stärker in die Pflicht nehmen oder muss hierfür erst ein gegenseitiges Verständnis hergestellt werden? Ist ein solches, ja fast schon kooperatives, Verhalten überhaupt möglich oder ist das Kunde-Dienstleister Verhältnis hierfür zu stark ausgeprägt?

Was wollen die Unternehmen in Sachen Zahlungsverkehr?

Laut einer Studie der Commerzbank gemeinsam mit der FH Mittelstand möchten Unternehmen heute jederzeit ihre Liquidität und Zahlungsströme ganzheitlich steuern. Früher wurde verwaltet, heute effizient, aktiv und professionell gesteuert – auch durch den Einsatz von Software. Gründe hierfür sind Transparenz, verringerte Transaktionskosten, konzerninternes Liquiditätsmanagement und Automatisierung. Ein Cash Management System/Electronic Banking-System nutzen mittlerweile ca. 50 Prozent aller Unternehmen (sowohl im Large Corporates Bereich als auch bei KMUs).

Trotz des Einsatzes eines Electronic Banking-Systems nutzen lediglich 10 Prozent der Unternehmen auch den Zugriff über eine App auf Mobilfunkgerät oder Tablet. Anders als im Privatgebrauch, wo mittlerweile eine Vielzahl an Drittanbietern auf unsere Finanzdaten zugreift, wollen Unternehmen nicht, dass ihre Daten von Drittanbietern genutzt werden (ausgeschlossen hiervon sind Steuerberater/Wirtschaftsprüfer). Dies gaben 75 Prozent der Befragten an. Eine ähnlich hohe Zahl an Nutzern von Cash Management Systemen erwartet u.a. aus den genannten Gründen von Datenschutz und Sicherheit keine Vernetzung des Cash Management mit anderen innerbetrieblichen Systemen. Verwunderlich, wenn man sich die bereits beschriebene Innovationsneugierde im privaten Umfeld und Digitalisierungsaktivitäten in anderen Bereichen eines Unternehmens anschaut.

Dennoch bemühen sich viele Mitarbeiter in Finanzabteilungen und haben den Anspruch, die lange gewachsenen Strukturen Stück-für-Stück in die moderne und digitale Welt zu transformieren. Keine Quantensprünge, sondern den Gegebenheiten angepasst. An dieser Stelle kommen dann die Banken ins Spiel.

Was wollen die Banken rund um die Zahlungsverkehr der Zukunft?

Aus der Attraktivität und dem Ertragspotenzial der Firmenkunden sollten sich die hiesigen Banken Ableitungen überlegen. Das Vertrauen ist weiterhin groß, die Wechselhürden nach dem Einrichten eines funktionierenden Electronic Banking-Systems samt Zahlungsverkehr hoch. Genügend Gründe auch in Zukunft als Dreh- und Angelpunkt der Finanzen eines Firmenkunden zu fungieren. Zeit zum Ausruhen bietet sich jedoch nur bedingt. Die Banken befinden sich in einem kompetitiven Verdrängungsmarkt und werden durch große ausländische Bankinstitute und vor allem Technologiekonzernen attackiert.

Banken bieten ihren Kunden häufig Kooperationen mit Partnern oder errichten Plattformen, die den Kunden vermeintliche Mehrwerte liefen, ohne auf die konkreten Wünsche der Kunden einzugehen. Die vielen guten Ideen von Fintechs und Ansätze aus dem eigenen Haus werden als unfertiges Stückwerk ohne (gefühlt) klare Strategie dem Kunden zur Verfügung gestellt. Ob der konkrete Bedarf vorhanden ist, wird häufig erst im nächsten Schritt hinterfragt. Die Entwicklungen innerhalb der Banken werden somit unabhängig vom Kunden und in vielen Fällen am Kunden vorbei entwickelt.

Banken wollen durch Beratungsstärke und Fachwissen dem Kunden ihre Dienstleistungen schmackhaft machen. Die Transaction Banking Abteilungen beraten ihre Kunden mit Experten zu allen Themen und Informationen rund um das Transaktionsgeschäft. Gerade komplexere Themen, wie der Verkauf und die Zahlung einer Maschine oder die Erbringung einer Dienstleistung im Ausland sind komplex, grenz– und währungsübergreifend und benötigen die Expertise oder das Korrespondenzbankennetz der Bank. Hier haben die Banken aktuell noch ein sehr großes Asset, dass es zu verteidigen gilt. Viele neue Player am Markt, man denke zum Beispiel an Transferwise beim Auslandszahlungsverkehr, bilden Dinge ab, die ursprünglich eine traditionelle Bankendomäne sind (siehe hierzu auch den Blogartikel von Michel Hilker „Quo vadis AZV“).

Banken wollen darüber hinaus nicht nur ihre Firmenkunden glücklich machen, sondern auch ihre eigenen Prozesse weiter vorantreiben. Denn um einen Kunden ein innovatives Produkt anzubieten muss man selbst auch eine innovative Bank sein, die diese Produkte auch bereitstellen und ausführen kann. Häufig ein Bruch im Gedankenspiel zwischen dem Wunschgedanken „moderne Bank“ und Realität.

Gemeinsamer Nenner!?

Wir sehen, dass eine Professionalisierung und ein gewisses Umdenken in den Finanzabteilungen von Unternehmen begonnen hat. Der Wunsch nach Veränderungen ist da, gleicht aber aus Sicht der jeweiligen Abteilungen häufig einer Operation am offenen (ZV-) Herzen. Eine Anpassung ist nur Schritt für Schritt möglich. Die Bank muss systemseitige Voraussetzungen schaffen, um neue Systeme, Prozesse und Anforderungen umsetzen zu können und nicht auf ihrer „Legacy“ sitzen bleiben. Das oft genannte „vom Kunden her denken“ muss auch im Corporate Banking weiter stark im Fokus stehen. Ein Alleingang der Banken sollte vermieden werden.

Die Unternehmen müssen den Wandel ihrer Systeme einleiten und eng begleiten, eine starke Selbstverpflichtung der ausführenden Mitarbeiter und des Managements muss vorliegen. Das aktive Auseinandersetzen mit dem Thema Zahlungsverkehr muss ein wesentlicher Bestandteil des Stellenprofils sein.

Ein Großteil der mittelständischen Unternehmen sollte der nachkommenden technischen wie personellen Generationen in den Finanzabteilungen die Chance geben, neue Ansätze zu implementieren und diesen Ansätzen sowie den Ausführenden zu vertrauen. Sonst bleibt der Wunsch nach Fortschritt nur ein Wunschgedanke – und dies nicht nur den Zahlungsverkehr betreffend.

„Der OSTHAVEN-Blick auf die Gegenwart & Zukunft von Künstlicher Intelligenz im Banking & Payment“

Der OSTHAVEN-Blick auf die Gegenwart & Zukunft von Künstlicher Intelligenz im Banking & Payment

POSTED ON 16. APRIL 2019 BY TIM DANKER

Schaffen wir uns wirklich selbst ab?

Das Thema künstliche Intelligenz ist dieser Tage in aller Munde. Die Bundesregierung plant mehrere Milliarden auszugeben, um den Standort Deutschland fit zu machen und um im ausufernden Wettstreit um die Forschung rund um Themen der künstlichen Intelligenz mithalten zu können. Die Unternehmen aus dem Silicon Valley konkurrieren mit Ablösesummen für begehrte Forscher. Man könnte meinen, die künstliche Intelligenz sei dabei die Weltherrschaft an sich zu reißen. Die Mythen und Geschichten zeichnen diverse Horrorszenarien nach und überbieten sich gegenseitig in der Dramatik. Prominente wie Elon Musk und der kürzlich verstorbene Stephen Hawking warn(t)en vor nichts weniger als dem Untergang der Menschheit.

Höchste Zeit sich mit dem Thema auch einmal auf unserem OSTHAVEN Blog auseinander zu setzen – sachlich, differenziert und konkret bezogen auf unsere Branche – Banking & Payment.

Künstlich? Intelligenz?

Lassen Sie uns damit beginnen, zunächst einmal genau unter die Lupe zu nehmen, über was wir eigentlich sprechen. Bevor wir uns mit dem „künstlichen“ Teil der Intelligenz befassen, wollen wir uns zunächst einmal nur dem Thema „Intelligenz“ widmen. Bis heute ist das Gebiet der „Intelligenz“ weitestgehend unerforscht und es mangelt bereits an einer eindeutigen Definition, was genau Intelligenz eigentlich ist. Die bestehenden Definitionen verschwimmen zwischen Biologie, Physik und Philosophie. Auch bis zum heutigen Tage verstehen wir nicht genau, wie wir Menschen eigentlich funktionieren. Laienhaft kann man sagen, dass unser Körper von Nervenbahnen und Muskeln durchzogen ist, wobei in deren Steuerungszentrale, dem Gehirn, alle Fäden zusammenlaufen. In unserem Gehirn und den Nervenbahnen fließen Neuronen hin und her und schalten und walten ganz ähnlich wie in modernen Computerprozessoren unser Denken und Handeln. Ab der Geburt, und genau genommen schon vorher, lernen wir Menschen nach und nach all unsere Fähigkeiten. In unseren ersten Lebenswochen erlernt unser Gehirn beispielsweise, dass das, was wir vor unseren eigenen Augen sehen, unsere eigenen Arme, Hände, Beine und Füße sind und wir diese mit gezielten Muskelkontraktionen steuern können. So wird aus dem süßen tollpatschigen Baby, das sich unbewusst mit der Hand ins Gesicht schlägt, irgendwann das süße Kleinkind, das bewusst seine wackeligen ersten Schritte macht. Hinter diesem Prozess steckt ein uns bisher nicht vollständig verständliches komplexes Zusammenspiel von Nerven, Gehirn und Muskeln. Man könnte sagen – ein Wunder. Je mehr wir das Gebiet erforschen, umso mehr sehen wir aber auch, dass es im Grunde genommen zwar sehr komplex aussieht, im Kleinen aber einfache biologische und physische Prozesse sind, die zusammenwirken. Noch weitaus komplizierter wird es, wenn man einmal darüber nachdenkt, was genau unsere Seele ist, wo unser freier Wille entsteht und einfach gesagt, was uns eigentlich jeden Morgen dazu bringt aus dem Bett aufzustehen und all das zu tun, was wir den ganzen Tag lang so tun.

Der Volksmund würde uns Menschen pauschal als intelligente Wesen deklarieren. Manche sicherlich intelligenter als andere. Der Mensch tut Dinge mit Verstand. Der Mensch wägt ab. Der Mensch plant voraus. Der Mensch agiert basierend auf Erfahrungen und Gelerntem. Der Mensch probiert aus. Der Mensch macht aber auch Fehler. Warum das so ist? Eine Frage, die wir nach heutigem Kenntnisstand nicht vollständig beantworten können. Aber wir sind uns sicher – wir sind intelligent.

Und nun hat der Mensch sich das ehrgeizige Ziel gesetzt diese „Intelligenz“, die er weder genau versteht, noch genau definieren kann, künstlich nachzubauen. Halten wir also schon einmal fest, dass wir das Ziel, was wir verfolgen, nicht genau verstehen oder definieren können.

Wir sind nun angekommen bei den interessanten Aspekten dieses Dilemmas, das dieses Thema unheimlich reizvoll, spannend und vielseitig macht. Die Forschung rund um die künstliche Intelligenz betritt ein neues Feld und treibt die anderen Forschungsrichtungen vor sich her und hat inzwischen sogar dazu beigetragen, dass wir Menschen uns besser verstehen.

Vereinfacht gesagt hat man damit begonnen, die erforschten Bereiche und Funktionsweisen des menschlichen Gehirns mit Computern, die letztlich sehr komplexe elektronische Verschaltungen sind, nachzubilden.

Mensch gegen Maschine – zwei einfache Beispiele

Für das folgende Gedankenexperiment stellen Sie sich ein Foto einer beliebigen Katze vor. Wer kann schneller erkennen, ob es sich bei dem Tier auf dem Foto um eine Katze handelt – Mensch oder Maschine? Die Antwort ist in aller Regel – der Mensch. Für ein weiteres Gedankenexperiment überlegen Sie bitte kurz, wem es leichter fällt die folgende Formel auszurechnen: (2342 * 2345) / 234444 + 23445 * 12499584 – Mensch oder Maschine? Wir geben uns in dieser Disziplin wohl gerne der Maschine geschlagen und nutzen in aller Regel den Taschenrechner für solche Aufgaben.

Eine Forscherin der Stanford University hat gemeinsam mit Google einer künstlichen Intelligenz beigebracht, Katzen auf Bildern zu erkennen. Beliebige Katzen, in beliebigen Farben, Positionen und Ausschnitten. Hierfür musste die künstliche Intelligenz in einem mühsamen Prozess mit über 1 Million Bildern händisch trainiert werden. Legt man dieser künstlichen Intelligenz danach ein Bild eines Hundes vor, ist sie ratlos.

Was wir in diesen beiden Gedankenexperimenten sehen können, ist, dass Computer wahnsinnig gut mit strukturierten, formalisierten Inhalten arbeiten können, wie es beispielsweise Rechenformeln sind. Es gibt hier klar definierte Zahlen, Operatoren und Rechenregeln, die eingehalten werden müssen, um zu einem Ergebnis zu kommen. Computer können dies in Geschwindigkeiten erledigen, die für das menschliche Gehirn nicht denkbar sind.

Wir können ebenfalls erkennen, dass das menschliche Gehirn gemeinsam mit seinen verschiedenen Sinnesorgangen beeindruckend gut mit unstrukturierten und unvollständigen Datensätzen arbeiten kann. Wir lernen als kleines Kind einmal was eine Katze ist und können bis an unser Lebensende Katzen erkennen; auch Katzen in anderen Farben und gänzlich anderen Formen. Wir Menschen sind in der Lage, das Format „Katze“ entsprechend zu abstrahieren und in völlig neuen Gegebenheiten anzuwenden. Der einfachste Weg dies zu verdeutlichen ist, dass jeder Mensch, der weiß wie eine Katze aussieht, in der Regel auch eine Katze zeichnen kann. Diese Zeichnungen haben meist immer mindestens eines gemeinsam – die spitzen Katzenohren. Meist fügen wir außerdem noch einen Schwanz hinzu.

Der beeindruckenden Forschung der Stanford University ist es zu verdanken, dass wir diese Fähigkeiten auch Computern antrainieren können. Gleichzeitig zeigt diese Forschung aber auch die enormen Herausforderungen auf, die ein solches Ziel mit sich bringt und verdeutlich ganz nebenbei, die sehr unterschiedlichen Stärken und Schwächen, die wir Menschen und Computer haben.

Anwendungsfelder künstlicher Intelligenz im Banking & Payment

Im Bereich Payment ist das Thema künstliche Intelligenz, insbesondere der Teilbereich maschinelles Lernen und Mustererkennung, bereits seit langer Zeit fester Bestandteil. Das prominenteste und verbreitetste Beispiel ist die Risikoüberwachung bei Zahlungsdienstleistern und Kreditkartenunternehmen. Durch Systeme, die auf künstlicher Intelligenz aufbauen, wird das Aufdecken von Kreditkartenbetrug heutzutage in aller Regel in Echtzeit unterstützt. Etabliert haben sich in diesem Bereich Unternehmen wie zum Beispiel Risk Ident, Fraugster oder Feedzai, aber auch Unternehmen wie Adyen setzen auf diese Technologien. Im Bereich Forderungsmanagement etabliert sich derzeit das Unternehmen collectAI aus der Otto Gruppe, die eine durch künstliche Intelligenz optimierte, automatisierte und individualisierte Kundenansprache im Forderungsmanagement umsetzt und hiermit Aufwände minimiert, bei gleichzeitig höheren Erfolgsraten im Forderungsprozess.

Etwas differenzierter und noch nicht ganz so verbreitet ist der Einsatz der neuen Technologien im Bereich Banking. Erste Marktteilnehmer etablieren sich im Bereich der Robo Advisor, wie beispielsweise Scalable Capital, die einen value-at-risk Investmentansatz verfolgen und fortschrittliche Risikomanagement- und Simulationsalgorithmen benutzen, die im Kern auf Technologien der künstlichen Intelligenz beruhen. Finale Investmententscheidungen werden aber auch hier interessanterweise immer noch  von  Menschen kontrolliert. Mehr und mehr Anwendungen findet man im Bereich der Auswertungen von Bankkonten, die automatisiert Ausgaben Kategorien zuordnen und Muster in Kontenbewegungen aufspüren, um Budgets und Ausgaben zu planen oder zu kontrollieren. Beispiele auf diesem Gebiet sind die App numbrs, der Kontowecker der Sparkassen oder N26. Noch weiter gehen schließlich Programme, die selbstständig Kontobewegungen auslösen, wie beispielsweise savedroid. Hinzu kommen Applikationen, die Finanztipps auf Basis der vorliegenden Erkenntnisse geben und mehr und mehr Chatbots sowie Self-Service Angebote. Kombiniert man all diese Dinge und denkt sie ein bisschen weiter, wird in Zukunft eine vollautomatisierte, individualisierte und durch künstliche Intelligenz unterstützte vollumfängliche Bankberatung möglich sein.

Das Bankgeschäft erweist sich als prädestiniert für den Einsatz dieser Technologien aus dem einfachen Grund, dass die Datengrundlage von Banken hoch standardisiert und die Prozesse in Banken stark reglementiert und formalisiert sind. Einfach ausgedrückt kann man annehmen, dass Prozesse in Banken insbesondere dann durch künstliche Intelligenz gestützte Technologien ersetzt oder erweitert werden können, wenn sie klaren und formalen Regeln folgen.

Was in der Zukunft mit künstlicher Intelligenz im Banking & Payment wichtig wird

Insbesondere mit dem Blick auf das Payment und Banking Umfeld haben wir einige Aspekte identifiziert, die wir bei den Fortschritten in der künstlichen Intelligenz für die wichtigen Themen der Zukunft halten.

Diese Aspekte sind:

  • Auditierung von Algorithmen und automatisierten Entscheidungsprozessen
    Wenn Algorithmen und KIs wichtige Entscheidungen treffen, dann muss dies nach klaren Regeln und nachvollziehbar erfolgen. Nachvollziehbarkeit ist in den meisten KI-Systemen nur schwer herstellbar. Hierfür muss eine Lösung gefunden werden, so dass Audit-Anforderungen trotzdem erfüllt werden können.
  • Regulierung für algorithmische Entscheidungsprozesse
    Nicht nur unternehmensinterne Audit-Vorgaben werden zu berücksichtigen sein, sondern auch von Seiten der Regulatoren wird es Vorgaben geben und diese müssen nachprüfbar sein. Starre regulatorische Vorgaben und dynamisch mit-wachsende KI-Systeme scheinen nur schwer vereinbar. Dies erfordert auf beiden Seiten neue Wege.
  • Datenqualität
    KI-Systeme basieren in aller Regel auf großen Datenmengen, nur so erzielen sie gute Ergebnisse und produzieren Effizienzgewinne. Sehr einfach und treffend zusammenfassen kann man dies mit dem bekannt IT-Sprichwort: „Garbage in. Garbage out.“ Will man qualitativ hochwertige Entscheidungen, benötigt man qualitativ hochwertige Daten.
  • Raum für Fehler
    Wie in diesem Artikel anfangs ausgeführt wurde, lernen KI-Systeme ganz analog wie wir Menschen. Menschen machen Fehler und genauso machen auch KI-Systeme Fehler, meist durch schlechte Datenqualität oder schlicht falsches Training. In einer Welt mit 0 % Fehlertoleranz, zu der die Banken- und Paymentwelt neigt, bedeutet dies eine neue Herausforderung. Das ist insbesondere von Bedeutung, da es meist um Massentransaktionsgeschäfte geht, bei denen echtes Geld bewegt wird. Hier gilt es solide Testframeworks zu entwerfen, die insbesondere im Hinblick auf die Besonderheiten von selbstlernenden und sich selbst verändernden Systemen konstruiert werden.
  • Risiken der Datenmonopole
    Wie es schon auf der Kinoleinwand Spiderman lernen musste: „mit großer Macht kommt große Verantwortung“. Je größer und bedeutsamer Datenmonopole werden, umso größer wird das Risiko, dass diese missbraucht werden. Politik, Behörden und Gesellschaft werden Wege finden müssen, Datenmonopole zu vermeiden und für einen fairen, gesunden Wettbewerb zu sorgen, um die Risiken der voranschreitenden Machtkonzentrationen einzudämmen.
  • Regulatorische Entscheidungsprozesse
    Wie gibt man regulatorische Freigaben für selbstlernende und sich selbst verändernde Systeme? Lizenzvergabe- und Kontrollprozesse müssen sich mit den technischen Entwicklungen mitentwickeln und neue Wege finden.

Ein Plädoyer für die Zusammenarbeit und das ewige Dilemma von KI

Die Welt wird sich verändern. Computer werden Tätigkeiten übernehmen, die heute von Menschen erledigt werden. Aber bis auf weiteres werden Menschen nicht von Computern verdrängt. Viele Aufgaben werden sich verändern und gänzlich neue werden entstehen. Bis auf weiteres werden vor allem Computer uns Menschen brauchen, die ihnen die Dinge beibringen, die wir gerne automatisieren möchten. Ein Computer kann von alleine erstmal weniger als ein Baby, das auf die Welt kommt und das man vollkommen alleine lassen würde. Wie das Baby benötigt der Computer einen Menschen, der ihm die Welt zeigt, erklärt und ihm beibringt, wie er seine Aufgaben zu erledigen hat.

Menschen sollten sich auf die künstliche Intelligenz einlassen und die jeweiligen Stärken von Mensch und Computer einsetzen, um den Gesamtnutzen zu maximieren.  Wir werden damit kostbare Lebenszeit freisetzen, die wir für neue, kreative und wichtige Dinge werden nutzen können, während wir langweilige, wiederkehrende Tätigkeiten mehr und mehr automatisieren werden.

Das große Dilemma von künstlicher Intelligenz ist gleichzeitig der wichtigste Punkt für die Menschen. Computer sind dumm. Computer arbeiten erst dann, wenn man ihnen ein klares Ziel vorgegeben hat; wenn der Mensch ihnen ein Ziel vorgegeben hat. Darin steckt die große Chance, dass Menschen bis auf weiteres nicht überflüssig werden. Gleichzeitig steckt in diesem feinen Detail auch eine große Gefahr. Denn Computer verfolgen das Ziel, das man ihnen vorgibt, mit aller Kraft. Auch, wenn es das falsche Ziel ist oder ein unmoralisches Ziel ist. Dazu zum Abschluss ein sehr einfaches Beispiel zum Nachdenken: Stellen Sie sich eine vollautomatisierte Bankberatung vor. Die künstliche Intelligenz übernimmt alle ihre Bankgeschäfte vollautomatisch, inklusive ihrer Investmententscheidungen. Der dahinterstehende Computer kann nun zwei ähnliche, aber doch grundlegend verschiedene Ziele vorgegeben bekommen. Er kann zum einen das Ziel vorgegeben bekommen, ihr Investment zu maximieren – das heißt risikooptimiert, kostenoptimiert und renditeoptimiert das Beste für Sie herauszuholen. Er könnte aber zum Anderen auch das Ziel vorgegeben bekommen, ihr Investment zu maximieren, dabei aber gleichzeitig die Erträge der Bank zu optimieren, in dem er zum Beispiel ausschließlich ETF-Produkte der eigenen Bank erwirbt, die vielleicht nicht die kostengünstigsten für den Kunden, aber die ertragsstärksten für die Bank sind. Denken Sie, sie würden den Unterschied bemerken? Und wer überwacht diese Algorithmen? Ihre Bank?

Wir stehen erst ganz am Anfang dieser Geschichte…