IT-Qualitätssicherung im Bereich Telekommunikation

Einführung eines neuen IT-Systems zur Betrugserkennung (Fraud Management) bei einem namhaften Netzbetreiber.

 

Die Ausgangssituation

Massenweise Anrufe aus dem Ausland auf 0900er-Nummern sind eines der vielen, fast schon alltäglichen Betrugsszenarien, mit denen sich Netzbetreiber konfrontiert sehen. Die Kosten bleiben meistens bei ihnen hängen, wenn, wie es meistens geschieht, die Überwachung der Anrufsszenarien nicht zeitnah erfolgt. Bis betrügerische Aktionen entdeckt sind und unterbunden werden können, ist der Schaden längst entstanden und der Verursacher über alle Berge.

Das war auch die Ausgangssituation beim vorliegenden Projekt. Der Netzbetreiber konnte zwar Anrufarten nach definierten Regeln filtern und die Daten im Abrechnungssystem kontrollieren - das Ganze war aber nur einmal am Tag vorgesehen. Das hieß: Morgens begangene Telefondelikte lagen erst 24 Stunden später vor.

Die Anforderungen

Zur beschleunigten Betrugserkennung sollte daher ein weitgehend automatisiertes Online-System eingeführt werden, das rund um die Uhr Telefonie- und Kundendaten aus dem Abrechnungssystem erhält, auf Betrugsszenarien prüft und sie den zuständigen Stellen beim Netzbetreiber umgehend zugänglich macht.

parche & partner stellte die Teilprojektleiter für den Betrieb und den Integrationstest. Die Anforderungen an das neue System wurden nach fachlichen, betrieblichen und technischen Kriterien getrennt.

Im fachlichen Teil ging es darum, die vielfältigen Betrugsszenarien abzubilden. Der Fachbereich sollte in der Lage sein, Regeln und Filter für den Check der Anrufsszenarien über eine grafische Oberfläche ohne Softwareanpassung zu ändern. In den betrieblichen Anforderungen war zum Beispiel die Programmierung der Anwendung festgelegt, vor allem unter den Aspekten Monitoring, Zugriffsrechte, Protokolle und Firewall. Die technischen Anforderungen bezogen sich auf die Hochverfügbarkeit und die Einbindung in die bestehende Infrastruktur, vor allem der Festplattenverwaltung. Um die Qualität des Systems sicherzustellen, sollte für jede Anforderung mindestens ein Testfall generiert werden.

Die Umsetzung

Nachdem sich die Projektbeteiligten für ein Fraud Management System entschieden hatten, einigte man sich auf eine dreistufige Vorgehensweise: Zunächst wurde das System im geplanten Umfang installiert und für einige Niederlassungen konfiguriert. Diese Installation wurde mit den erforderlichen Daten aus dem produktiven Abrechnungssystem beliefert und in einem dreimonatigen Parallelbetrieb getestet, das Ergebnis wöchentlich mit den Resultaten der bisherigen Vorgehensweise verglichen. Bei Erfüllung der Testanforderungen sollte das System in den internen Betrieb übergehen und in der dritten Phase auf alle Telefonie-Kunden erweitert werden.

Die Testphase

Für den Testbetrieb des neuen Systems wurden zwei Nutzergruppen gebildet. Die eine arbeitete bei der Fraud-Erkennung nach der bisherigen Methode, die andere auf Grundlage der neuen Online-Plattform. So erhielt der Netzbetreiber einen direkten Vergleich der Reaktionszeiten beider Systeme und konnte die Umsatzeinbußen hochrechnen, die alleine durch die wesentlich verlängerte Entdeckungszeit der alten Struktur entstanden wären, bevor Gegenmaßnahmen hätten eingeleitet werden können.

Beim Prüfen des funktionalen Leistungsumfangs des neuen Fraud Management-Systems handelte es sich im Wesentlichen um einen Schnittstellen-Test. Usage-Daten, die für eine bestimmte Betrugsvariante standen, wurden in die Plattform eingespeist. Das Bewertungskriterium war, ob das System die Daten dem passenden Fraud-Szenario zuordnen und die dafür nötigen Informationen reibungslos aus verschiedenen Datenbanken extrahieren konnte.

Da die erwarteten Szenarien korrekt ausgewiesen wurden, konnte auf detaillierte Tests, die sich gezielt einzelnen Funktionsschritten widmeten, in vielen Fällen verzichtet werden.

Ein weiteres Testfeld galt der Hochverfügbarkeit. Dafür wurden zu vereinbarten Zeiten gezielt verschiedene Systemkomponenten (Datenbanken, Server) heruntergefahren oder getrennt. Das Fraud Management System ist als Active-Active-Konfiguration aufgesetzt. Das heißt, Haupt- und Ersatz-Instanz sind ständig in Betrieb und greifen auf jeweils zugewiesene Datenbanken zu. Fällt eine Seite aus, übernimmt die andere zusätzlich ihre Aufgaben; der Betrieb geht mit nur minimaler Verzögerung weiter. Auch diese Tests verliefen planmäßig.

Ein dritter Aspekt war das Anwendungsverhalten bei besonders großem Anrufaufkommen. Ein solches Szenario ergibt sich im Alltag nur relativ selten, muss aber über die verschiedenen Schnittstellen zwischen Fraud Management System, Abrechnungssystem und Datenbanken in möglichst kurzer Zeit, vollständig und fehlerfrei bewältigt werden können. Um dieses Szenario zu simulieren wurde zu vereinbarten Zeiten die Datenübertragung aus dem Abrechnungssystem gestoppt. Die in einem Backlog angesammelten Call Records wurden dann auf das System zur Abarbeitung losgelassen. Dabei ließ sich die maximale Systemperformance in der vorhandenen Ausbaustufe messen. Auch diese Anforderung bewältigte die neue Installation ohne Probleme und wurde nach Abschluss der festgelegten Testphasen erfolgreich in den unternehmensweiten Produktivbetrieb übernommen.

Die Vorteile des neuen Systems

Auf Basis der neuen Plattform zur Fraud-Erkennung konnte der Netzbetreiber die Reaktionszeit auf Betrugsversuche wesentlich verringern. Waren es vorher im schlimmsten Fall 24 Stunden, bis die Auswertung auf dem Tisch lag, sind es jetzt im Durchschnitt nur noch zwei.

Die Regeln und Parameter können über die neue Benutzeroberfläche durch berechtigte Anwender in beliebiger Anzahl generiert und angepasst werden. Die Prüfung erfolgt auf verschiedenen Wegen. Zum einen gegen Schwarze Listen, in denen bereits auffällig gewordene Rufnummern, Kunden oder Länder verzeichnet sind.

Das System weist automatisch auf entsprechende Aktivitäten hin, die von dieser Quelle ausgehen, so dass der zuständige Mitarbeiter gezielt einen genaueren Blick darauf werfen kann. Die zweite Prüfvariante erfolgt in Bezug auf vom Anwender definierte Szenarien. Ein solches kann so aussehen: Kommt der erste Anruf eines Neukunden aus dem Ausland, wertet ihn das System als Betrugsverdacht und schlägt Alarm. Gleiches kann für auffallend viele Anrufe gelten, die in kürzester Zeit aus bestimmten Ländern getätigt werden. Ebenfalls möglich sind mit dem neuen System so genannte Velocity-Checks. Kommt ein Anruf um 11 Uhr aus Hamburg und nur fünf Minuten später von derselben Nummer aus München, kann etwas nicht stimmen. Da das System nicht nur auf Usage- und Kundendaten, sondern auch auf geografische Informationen zu den Basisstationen zugreift, die für die jeweiligen Calls zuständig sind, lassen sich auch solche Betrugsversuche auf Basis geklonter SIM-Karten schnell aufdecken.

[2006, parche & partner AG]