Präzision als Schlüssel zur Bekämpfung von Mule-Netzwerken

Jeder Scam hat zwei Seiten. Auf der einen steht das Opfer, das manipuliert wird, Geld zu überweisen. Auf der anderen wartet das Mule-Konto, das es empfängt. Beide Seiten des Problems verlangen dieselbe Aufmerksamkeit — wer nur eine im Blick hat, löst es zur Hälfte.

Mule-Aktivitäten hinterlassen keinen offensichtlichen Tatort. Keine betrügerische Transaktion, die sofort einen Alert auslöst. Kein Opfer, das in Panik bei der Bank anruft. Mule-Konten arbeiten oft monatelang im Verborgenen und schleusen gestohlene Gelder. Diese Transaktionen sehen nach außen wie ganz normale Kontoaktivitäten aus. Wenn der Schaden sichtbar wird, ist er längst größer als ein einzelnes Team ahnt.

Mule-Risiken frühzeitig und systematisch zu erkennen ist deshalb entscheidend. Wer früh eingreift, schützt nicht nur einzelne Kunden — er trifft die kriminelle Infrastruktur dahinter, bevor erheblicher Schaden entsteht.

Die versteckten Kosten des Nichtstuns

Die meisten Institute verstehen die direkten Kosten von Betrug. Erstattungen, Abschreibungen und Betrugsverluste sind Posten, die in Berichten auftauchen und Risikokomitees beschäftigen. Bei Mule-Konten funktioniert das anders.

Ein Mule-Konto belastet das gesamte Institut — unsichtbar, aber spürbar. Mules zeigen sich als operativer Ballast: AML-Teams, die unter Suspicious Activity Reports begraben werden — jeder einzelne dauert mehr als 21 Stunden. Sie treiben Fallzahlen in die Höhe, verzerren Onboarding-Metriken und frustrieren legitime Kunden, die zu Unrecht gesperrt werden. Diese Kosten summieren sich über bis zu 17 Teams hinweg — vom Onboarding bis zur regulatorischen Berichterstattung — ohne dass irgendjemand das Problem wirklich verantwortet.

Das finanzielle Gewicht dieser Streuung ist erheblich. Forrester Research zeigt, dass die Kosten für Financial Crime Compliance bis zu 19 Prozent des Jahresumsatzes eines Instituts verschlingen können. Mules tragen den Löwenanteil dieser Last: Sie verursachen keine Verluste im klassischen Sinne — aber sie erzeugen Kosten in jeder Phase ihres Lebenszyklus.

Und dieser Lebenszyklus ist lang. Daten aus dem BioCatch-Netzwerk zeigen, dass 79 Prozent der bestätigten Mule-Konten bereits 90 Tage lang hochaktiv waren, bevor eine betrügerische Zahlung einging. Den größten Teil dieser Zeit sahen sie völlig unauffällig aus.

Warum traditionelle Mule-Erkennung an ihre Grenzen stößt

Traditionelle Ansätze zur Erkennung von Financial Crime — Transaction Monitoring, KYC-Prüfungen, Device-Analyse — wurden entwickelt, um verdächtige Aktivitäten zu erkennen, nachdem sie aufgetreten sind. Eine Zahlung überschreitet einen Schwellenwert. Ein Transaktionsmuster weicht von der Historie ab. Ein Gerät taucht auf einer Watchlist auf.

Das funktioniert gut genug bei Betrug, der sofort Spuren hinterlässt. Bei Mule-Konten funktioniert es schlecht — denn ihr Markenzeichen ist gerade, dass nichts offensichtlich falsch aussieht. Die Identität kann echt sein. Das Gerät kann sauber sein. Das Konto kann eine solide Historie haben. Die Transaktion, isoliert betrachtet, kann völlig unauffällig sein. Die eigentliche Frage ist nicht, was bereits geschehen ist — sondern was noch kommt. Und welche Absicht dahintersteckt.

Das ist dasselbe strukturelle Problem, das Verhaltensintelligenz bei Account Takeover und Social Engineering bereits gelöst hat. Die entscheidende Frage ist in jedem Fall nicht, ob eine Handlung stattgefunden hat — sondern was das Verhalten rund um diese Handlung über die Absicht dahinter verrät. Bei Mule-Konten ist das nicht anders.

Präzision in der Praxis

Was unterscheidet einen Betrüger, der ein Mule-Konto eröffnet, von einem echten Kunden, der ein neues Konto anlegt? Aus KYC- oder Dokumentenprüfungs-Perspektive möglicherweise nichts. Aber im Verhalten ist der Unterschied lesbar. Ein Krimineller, der eine gestohlene Identität verwendet, navigiert mit ungewöhnlich hoher Sicherheit. Er hat das schon viele Male gemacht. Seine Routine beim Ausfüllen des Antrags und seine Vertrautheit mit den eingegebenen Daten sind zu hoch für jemanden, der nur ein paar Mal ein Konto eröffnet hat. Verhaltenssignale im Interaktionsmuster können zudem darauf hindeuten, dass hinter einem Konto, das nominell einer jüngeren Person gehört, ein erfahrener Akteur steckt.

BioCatch unterscheidet fünf verschiedene Mule-Personas — jede mit einem anderen Grad an Mittäterschaft und einer anderen Verhaltenssignatur:

Der Täter eröffnet das Konto mit der ausdrücklichen Absicht, Betrug zu begehen.
Der Händler ist der Kontoinhaber, der seine Zugangsdaten an ein kriminelles Netzwerk verkauft hat.
Der Komplize nimmt wissentlich teil und wird dafür entlohnt.
Der Unwissende führt Transaktionen durch, in der Überzeugung, dass die Gelder sauber sind.
Das Opfer dessen Konto ohne sein Wissen übernommen wurde.

Bei bestehenden Konten verschieben sich die Signale je nach Persona. Der Verkäufer hinterlässt Verhaltensspuren, weil die Person, die jetzt auf das Konto zugreift, nicht dieselbe ist, die es eröffnet hat: Navigationsgewohnheiten ändern sich, Tippverhalten weicht von der historischen Norm ab, und das Mausverhalten verrät jemanden, der mit dem Konto, das er gerade übernommen hat, nicht vertraut ist. Der Komplize, der der echte Kontoinhaber ist und Überweisungen wissentlich ermöglicht, verhält sich in den meisten Bereichen normal, aber seine Transaktionsgeschwindigkeit und eingehenden Zahlungsbeträge weichen deutlich von jedem realistischen persönlichen Rahmen ab. Jede Persona ist verhaltenstechnisch unterscheidbar und genau diese Unterscheidbarkeit macht die Erkennung möglich.

Fazit: Verhaltensbasierte Echtzeitsignale ermöglichen es Instituten, Mule-Aktivitäten zu erkennen und zu unterbinden, bevor Verluste entstehen.

Was präzise Erkennung in der Praxis bewirkt

Eine führende europäische Bank wechselte von reaktiver zu proaktiver Erkennung. Durch den Einsatz von Verhaltensintelligenz zur Identifikation von Mule-Konten beim Onboarding und in der frühen Kontonutzungsphase waren die Ergebnisse innerhalb weniger Monate sicht- und spürbar: 12,4 Millionen Euro an Mule-bezogenen Überweisungen wurden verhindert. Das ist ein Rückgang von 33 Prozent im zweiten Halbjahr 2025 gegenüber dem ersten Halbjahr 2024. Die Erkennungsrate stieg um 54 Prozent. Mule-bezogene False Positives sanken um 30 Prozent und entlasteten damit die Kapazitäten, die zuvor in unnötige Untersuchungen geflossen waren.

Diese letzte Zahl verdient besondere Aufmerksamkeit. False Positives bei der Mule-Erkennung verursachen dieselben Folgekosten wie im Betrugsbereich: verschwendete Untersuchungen, frustrierte legitime Kunden, überlastete Contact-Center und Beschwerden, die bis zur Aufsichtsbehörde eskalieren. Ein Rückgang um 30 Prozent gibt überlasteten Mitarbeitern die Kapazität zurück, sich auf echte Risiken zu konzentrieren.

In Australien nutzte eine große Bank BioCatch, um im ersten Einsatzjahr mehr als 2.000 Mule-Konten zu identifizieren – bei einem Verhältnis von einem Betrugskonto zu einem echten Konto in der identifizierten Population. Flagged accounts waren damit genauso wahrscheinlich betrügerisch wie legitim. Verluste durch Identitätsdiebstahl im Zusammenhang mit Account Takeover sanken um 70 Prozent.

Eine aktuelle NAB-Fallstudie geht noch weiter. Nachdem die NAB das Mule-Risiko an das Executive Financial Crime Risk Committee eskaliert hatte – auch motiviert durch die Einführung der Empfängerbank-Haftung für Scam-Verluste durch den britischen Payment Systems Regulator – führte die Bank eine mehrstufige Identifikationsübung durch. Dabei kam BioCatchs Mule Account Detection Model in Kombination mit internem Behavioral Scoring über 70 Kundenattribute zum Einsatz. Von rund 10.000 deaktivierten Profilen wurden anschließend nur 70 als echte Kunden bestätigt, was einer Mule-Erkennungsgenauigkeit von über 99 Prozent entspricht. Den betroffenen echten Kunden wurden die Dienste innerhalb von 24 Stunden wiederhergestellt.

Vom Compliance-Problem zum unternehmensweiten Risiko

Die NAB-Erfahrung zeigt etwas Wichtiges jenseits der reinen Erkennungszahlen. Die bewusste Entscheidung der Führungsebene, Mule-Profile nicht als Kunden, sondern als Financial-Crime-Risiken zu betrachten, veränderte die interne Bewertung des Handlungsbedarfs grundlegend. Die Betreuung eines einzelnen Mule-Profils kostet NAB allein in den Basiskosten rund 1.200 australische Dollar. Und das noch ohne SAR-Verpflichtungen, Fallbearbeitung, mögliche Erstattungsrisiken und Reputationsschäden. Multipliziert man das über Zehntausende von Profilen, wird die strategische Dimension der Entscheidung offensichtlich.

Das ist das Gespräch, das zu wenige Institute führen. Mule-Konten werden als Fraud- oder AML-Problem behandelt, von operativen Teams verantwortet und an operativen Kennzahlen gemessen. Aber die tatsächlichen Kosten sind unternehmensweit, das sie jeden KPI betrifft: von der Betrugserkennungsgenauigkeit bis zum Customer Lifetime Value, von der rechtzeitigen SAR-Einreichung bis zur Markenreputation. Die Institute, die dieses Risiko erkennen und aktiv angehen, haben es als Thema für die Führungsebene erkannt. Nicht weil Regulatoren es fordern, sondern weil die wirtschaftliche Logik keine andere Wahl lässt.

Die Regulatoren holen natürlich auf. Märkte wie das Vereinigte Königreich, Australien, Singapur, Indien und Thailand stehen alle unter zunehmendem Druck, Mule-Exposition als systemische Schwäche zu adressieren. Je weiter sich Haftungsrahmen für Empfängerbanken über das britische Modell hinaus ausbreiten, desto schneller verschlechtert sich die wirtschaftliche Logik des Nichtstuns.

Präzision als Hebel für Skalierung

Was Verhaltensintelligenz im Mule-Kontext besonders wertvoll macht: Sie braucht keinen auslösenden Moment. Anders als regelbasierte Systeme, die auf das Überschreiten eines Schwellenwerts warten, laufen Verhaltensmodelle kontinuierlich und über jede digitale Session hinweg: bei der Kontoeröffnung, beim Login, bei der Transaktionsinitiierung, über den gesamten Kontolebenszyklus. Der BioCatch-Netzwerkeffekt verstärkt das zusätzlich: Anonymisierte Geräte-, Netzwerk- und Kontosignale werden institutsübergreifend geteilt, um koordinierte Mule-Kampagnen zu erkennen, die keine einzelne Bank allein identifizieren könnte.

Dieser Always-on-Ansatz ermöglicht einen echten Paradigmenwechsel: Institute können Mule-Konten proaktiv erkennen, und zwar bevor kritische Momente eintreten, bevor Zahlungen ausgelöst, verdächtige Überweisungen getätigt oder SARs eingereicht werden. Präzision erzielt hier die höchsten Renditen, indem kriminelle Infrastrukturen zerschlagen werden, bevor sie sich festigen und dem Institut schaden.

Da Echtzeitzahlungen das Fenster für Risikoentscheidungen auf Millisekunden komprimieren, sind die Institute im Vorteil, die bereits in Verhaltensintelligenz investiert haben. Wer sich noch auf historisches Transaction Monitoring verlässt, schaut in den Rückspiegel.

English
español
français
italiano
português

—

Zentrale Erkenntnisse:

Mule-Konten verursachen keine offensichtlichen Bilanzverluste, aber ihre Kosten sind weitreichend und erheblich. Sie belasten gleichzeitig Fraud-, AML-, Operations-, Customer-Experience- und Finance-Teams.
Forrester Research zeigt, dass die Kosten für Financial Crime Compliance bis zu 19 Prozent des Jahresumsatzes verschlingen können. Mule-Konten stehen dabei im Zentrum dieser Last.
Verhaltensintelligenz erkennt Mule-Risiken früher, unterscheidet die fünf Mule-Personas anhand von Signalen, die traditionelle Kontrollen nicht sehen und verhindert so reaktive Erkennung im Nachhinein.
Eine führende EMEA-Bank verhinderte mit BioCatch im zweiten Halbjahr 2025 Mule-bezogene Überweisungen in Höhe von 12,4 Millionen Euro, steigerte die Erkennungsrate um 54 Prozent und reduzierte False Positives um 30 Prozent.
Eine große australische Bank identifizierte im ersten Einsatzjahr mehr als 2.000 Mule-Konten mit einem Präzisionsverhältnis von 1:1 und reduzierte Verluste durch Identitätsdiebstahl im Zusammenhang mit Account Takeover um 70 Prozent.
NAB offboardete 10.000 Mule-Profile mit einer Genauigkeit von über 99 Prozent und bewies damit, dass groß angelegte Bereinigungen verantwortungsvoll, schnell und ohne nennenswerte regulatorische Eskalation möglich sind.
Mule-Konten als unternehmensweites strategisches Risiko zu behandeln. Sie sind kein Back-Office-Compliance-Problem. Das ist der Rahmen, der Instituten ermöglicht, in dem Maßstab zu handeln, den das Problem erfordert.