Roaming-Betrugserkennung mit KI

Das echte Ausmaß des Problems

Roaming-Betrug ist strukturell von Inlandsbetrug verschieden — nicht nur im Angriffsvektor, sondern im Schadensprinzip. Während SIM-Swapping oder Wangiri direkten Schaden beim Abonnenten erzeugen, entsteht Roaming-Betrug primär als Revenue-Leakage im Wholesale-Settlement zwischen Netzbetreibern.

Die Zahlen sprechen für sich: Kaleido Intelligence schätzt die globalen Verluste durch Roaming-Betrug auf einen Höchstwert von 20,5 Milliarden US-Dollar, bevor die Kurve bis 2030 auf rund 11 Milliarden zurückgehen soll — getrieben durch bessere KI-Erkennung und regulatorischen Druck. Die CFCA (Communications Fraud Control Association) beziffert Voice-Interconnect-Bypass-Fraud — der häufigsten Ausprägung von SIMbox-Betrug — allein auf 5,06 Milliarden US-Dollar jährlich (Global Fraud Loss Survey 2023).

Für einen deutschen MNO mit 10 Millionen Abonnenten und normalem internationalem Roaming-Volumen bedeutet das: Verluste im zweistelligen Millionenbereich sind realistisch, wenn kein dediziertes Erkennungssystem aktiv ist.

Die Fraud-Typen im Roaming sind dabei mehrschichtig:

• SIMbox-Bypass im Roaming-Kontext: Gerätepools mit bis zu Hunderten eingelegter SIM-Karten terminieren internationales Traffic lokal und tarnen es als Roaming-Traffic. Die SIMkarten werden gezielt aus dem Bestand des Zielbetreibers beschafft — oft über Abo-Betrug mit gefälschten Identitäten.
• Abo-Missbrauch über Roaming-Pakete: Abonnenten buchen günstige nationale Datentarife mit EU-Roaming-Option und vermieten ihre Karten faktisch als Wholesale-Internetzugang weiter — gerade im EU-Raum seit der Roam-Like-At-Home-Regulierung attraktiver geworden.
• IRSF via Roaming: International Revenue Share Fraud wird besonders schwer erkennbar, wenn es über Roaming-Verbindungen läuft — denn die Verbindung wird nicht im Heimnetz geloggt, sondern erst im TAP-File des Gastnetzes sichtbar.
• Settlement-Manipulation: Diskrepanzen zwischen TAP-Dateien (was das Gastnetz in Rechnung stellt) und tatsächlicher Nutzung können gezielt ausgenutzt werden — entweder durch Manipulation auf Carrier-Seite oder durch Fehler im Clearing-Prozess, die nicht automatisch erkannt werden.

Das Kernproblem: Das TAP/RAP-Settlement-System wurde in den 1990er Jahren für eine Welt ohne Echtzeit-Erkennung entwickelt. Es funktioniert — aber es schafft ein Betrugsfenster von 24 bis 72 Stunden, in dem Fraudster ungestört agieren können.

Der TAP/RAP-Settlement-Zyklus und sein Betrugs­fenster

Um zu verstehen, warum Roaming-Betrug besondere Erkennungsanforderungen stellt, hilft ein Blick in die Mechanik des Settlement-Systems.

Wenn du als Abonnent der Deutschen Telekom in Frankreich ein Gespräch führst, passiert folgendes: Das französische Netz (Gastnetz) protokolliert die Verbindung in einem TAP-File (Transferred Account Procedure). Dieses File wird innerhalb von 24–48 Stunden an dein Heimnetz — in diesem Fall die Telekom — übermittelt. Das Heimnetz prüft das File, erhebt Einwände via RAP-File (Return of Accounting Procedure) bei Unregelmäßigkeiten, und verrechnet die Kosten.

Dieser Zyklus ist die Grundlage des globalen Roaming-Systems. Er ist zuverlässig — aber er ist nicht schnell. Und in der Zeitspanne zwischen Nutzung und Sichtbarkeit im Settlement liegt das Betrugs­fenster.

Die GSMA hat dieses Problem erkannt und mit NRTRDE (Near Real-Time Roaming Data Exchange) adressiert: ein Protokoll, das Roaming-Nutzungsdaten innerhalb von 4 Stunden nach Verbindungsende austauscht — nicht im Settlement-Batch, sondern als Near-Real-Time-Feed. Laut GSMA nutzen etwa 90 Prozent aller Mobilfunkbetreiber NRTRDE. Theoretisch schließt das das Betrugs­fenster weitgehend.

In der Praxis gibt es vier Lücken:

1. Datenfeedqualität: NRTRDE liefert Rohdaten — aber nicht alle Felder werden von allen Gastnetzen vollständig befüllt. Fehlende IMEI-Werte, inkonsistente Timestamps oder fehlende Session-IDs erschweren die automatische Analyse.

2. Volumen vs. Analysekapazität: Ein Netzbetreiber mit 10 Millionen Abonnenten hat pro Tag Hunderte Millionen Roaming-Events. Regelbasierte Systeme können diese Menge nicht sinnvoll durchsuchen — sie prüfen Schwellenwerte, keine Muster.

3. Signaling-Blindspot: NRTRDE liefert CDR-Daten (Call Detail Records), aber keinen Einblick in SS7- oder Diameter-Signaling-Events. Fortgeschrittener Betrug, der auf Signaling-Ebene operiert (z.B. Location-Spoofing), ist damit unsichtbar.

4. Inter-Carrier-Kontext fehlt: Einzelne CDRs sehen harmlos aus. Erst im Kontext über Kunden, Zeit und Roaming-Destinationen entsteht das Muster. Regelbasierte Systeme ohne Machine Learning erkennen diesen Kontext nicht.

KI schließt genau diese Lücken — nicht weil ML magisch ist, sondern weil Anomalieerkennung auf großen CDR-Datensätzen strukturell besser skaliert als manuell gepflegte Regelwerke.

Mit vs. ohne KI — ein ehrlicher Vergleich

Die Batelco-Kennzahl (Bahrain Telecommunications Company, Subex-Implementierung 2024) ist der härteste verfügbare Praxiswert: 70.000 US-Dollar täglich in vermiedenen Roaming-Verlusten nach KI-Deployment. Das ist kein Hochglanz-ROI-Versprechen eines Anbieters — das ist eine publizierte Implementierungs-Fallstudie.

Einschätzung auf einen Blick

Zeitersparnis — mittel (3/5) Der direkte Zeitgewinn entsteht nicht im Kundendienst, sondern in der Revenue-Assurance-Funktion: Statt täglich 4–8 Stunden TAP-Files manuell auf Anomalien zu screenen, bearbeiten Analysten nur noch die vom System priorisierten Ausnahmen — typisch 1–2 Stunden. Das ist real und wertvoll, aber kein Durchbruch: Viele Telekommunikationsprozesse bieten größere Zeitentlastungen als Fraud-Erkennung. Verglichen mit UC21 (Domestic Fraud Detection mit Direktauswirkung auf Support-Volumen) etwas höher, weil Revenue-Assurance-Analysten konkrete Tätigkeiten einsparen — kein reiner Schadensabwehr-Use-Case.

Kosteneinsparung — hoch (4/5) Roaming-Betrugsverluste liegen bei aktiven Netzbetreibern im einstelligen bis zweistelligen Millionenbereich jährlich. Kaleido Intelligence und CFCA-Daten belegen die Größenordnung unabhängig voneinander. Die Einsparung ist direkt greifbar: weniger Wholesale-Settlement-Differenzen, weniger nicht-rückholbare Nutzung. Nicht ganz auf dem Niveau des Domestic-Fraud-Use-Cases (UC21, Score 5), weil Roaming-Betrug ein Teilbereich ist und absolute Schäden für MVNOs kleiner ausfallen.

Schnelle Umsetzung — niedrig (2/5) Die Integration eines Roaming-Fraud-KI-Systems ist kein Wochenend-Projekt. NRTRDE-Anbindung, CDR-Streaming, Datenqualitätssicherung über Gastnetze hinweg und Modell-Training auf historischen TAP-Daten erfordern 6–12 Monate bis zur produktiven Erkennung. Schneller als Domestic-Fraud-ML (UC21 mit 18–24 Monaten, Score 1) — wegen modernerer SaaS-Deployment-Optionen wie Subex HyperSense auf Google Cloud — aber kein einfacher Einstieg.

ROI-Sicherheit — hoch (4/5) Roaming-Verluste sind direkt über Settlement-Differenzen messbar: Was das Gastnetz in Rechnung stellt minus was an legitimer Nutzung im CDR dokumentiert ist. Das ist quantifizierbarer als viele andere KI-Use-Cases, weil die Datengrundlage strukturiert und historisch verfügbar ist. Leichter Abschlag gegenüber 5/5, weil inter-carrier Attribution bei komplexen Fraud-Topologien (z.B. IRSF über mehrere Roaming-Hops) zeitweise strittig ist.

Skalierbarkeit — hoch (4/5) Ein trainiertes Roaming-Fraud-Modell wächst mit dem Roaming-Volumen — neue Länderabkommen, neue Abonnentensegmente und neue Roaming-Tarifmodelle werden automatisch erfasst. Kein proportional steigender Analyseaufwand. Begrenzte Abzüge, weil neue Fraud-Typologien (z.B. 5G-Standalone-Roaming-Exploits) Modell-Updates erfordern und nicht immer automatisch erkannt werden.

Richtwerte — stark abhängig von Abonnentenvolumen, Roaming-Vertragsstruktur und vorhandener CDR-Infrastruktur.

Was das KI-System konkret macht

Das Herzstück ist Predictive Analytics auf Roaming-CDR-Daten — kombiniert mit Near-Real-Time-Verarbeitung des NRTRDE-Feeds.

Schicht 1 — Behavioral Profiling pro Abonnent: Das Modell erstellt für jeden Abonnenten ein Nutzungsprofil über historische Roaming-Events: typische Destinationen, durchschnittliches Datenvolumen, Gesprächsdauern, SIM-Gerätepaarungen. Wenn ein Prepaid-Abonnent, der nie mehr als 500 MB Roaming verbraucht hat, plötzlich 200 GB in Spanien erzeugt, ist das eine Abweichung von 40.000 Prozent — kein Regelwerk muss das erst lernen, das Modell erkennt die statistische Anomalie sofort.

Schicht 2 — Cluster-Analyse über Nummerngruppen: SIMbox-Betrug zeigt eine charakteristische Signatur: Viele SIM-Karten aus dem gleichen Netz, die gleichzeitig im gleichen Auslandsgebiet aktiv sind und ähnliche Traffic-Profile aufweisen. Dieses Muster wird durch Clustering über den NRTRDE-Datenfeed erkannt — typisch innerhalb der ersten 2–4 Stunden nach Aktivierung einer neuen SIMbox-Route.

Schicht 3 — TAP/RAP-Reconciliation: Das Modell vergleicht Settlement-Files gegen CDR-Daten und identifiziert systematische Diskrepanzen — ein Indikator für Settlement-Manipulation oder fehlerhafte Abrechnung seitens des Gastnetzes. Das schützt nicht nur vor Fraud, sondern auch vor unabsichtlicher Revenue-Leakage durch Clearing-Fehler.

Schicht 4 — Signaling-Korrelation (optional): Für Betreiber mit SS7- und Diameter-Monitoring-Zugang kann das System Signaling-Events mit CDR-Daten korrelieren. Location-Spoofing (Abonnent meldet falschen Aufenthaltsort, um günstigere Roaming-Destinationen zu nutzen) wird so erkennbar — eine Angriffsform, die rein CDR-basierte Systeme blind lässt.

Die Ausgabe des Systems ist eine priorisierte Alert-Liste mit Fraud-Score, erkannter Typologie, beteiligten Nummern und empfohlener Aktion — von “Beobachten” über “Limit setzen” bis “Sofortsperrung”. Revenue-Assurance-Analysten entscheiden final; das System trifft keine autonomen Sperr-Entscheidungen ohne menschliche Freigabe.

Konkrete Werkzeuge — was wann passt

Für Roaming-Fraud-Erkennung gibt es keinen universellen Einstiegspunkt wie bei vielen anderen KI-Anwendungen. Die Wahl hängt davon ab, ob du eine spezialisierte Telekommunikationsplattform oder eine auf generischeren ML-Infrastrukturen aufbauende Eigenentwicklung bevorzugst.

Mobileum RAID — wenn Roaming-Spezialisierung Priorität hat RAID ist die am stärksten auf Roaming-Fraud spezialisierte Plattform im Markt. NRTRDE-native Integration, alle GSMA-Fraud-Kategorien abgedeckt, über 300 Referenz-Operatoren. Für Tier-1- und Tier-2-MNOs mit eigenem Revenue-Assurance-Team die stärkste Option. Implementierungsdauer: 12–18 Monate für vollständige Integration; First-Alert-Betrieb früher möglich. Preis: auf Anfrage.

Subex HyperSense — wenn cloud-natives Deployment gewünscht ist Subex HyperSense deckt über 350 Telecom-Fraud-Typologien ab — Roaming-Module inklusive — und ist seit 2024 auf Google Cloud deploybar. Das reduziert die Infrastruktur-Komplexität gegenüber On-Premises-Deployments deutlich. Referenz: Tele2 Group setzt HyperSense konzernweit ein. Für Betreiber, die Cloud-Infrastruktur bevorzugen und schneller produktiv gehen wollen. Implementierungszeitraum: 6–12 Monate.

SAS Fraud Management — wenn bestehende SAS-Infrastruktur vorhanden ist SAS Fraud Management deckt auch Telekommunikations-Fraud ab, ist aber primär auf den Finanzsektor ausgerichtet. Wenn dein Unternehmen bereits SAS-Infrastruktur betreibt, kann die Erweiterung auf Roaming-CDRs sinnvoll sein — aber die Roaming-Spezialisierung von Mobileum oder Subex wird nicht erreicht. Enterprise-Pricing ab ca. 500.000 EUR/Jahr.

Eigenentwicklung auf Amazon SageMaker — wenn interne ML-Kapazität vorhanden ist Für Betreiber mit eigener Data-Science-Abteilung ist eine maßgeschneiderte Anomalieerkennung auf CDR-Streaming-Daten machbar. Der Vorteil: volle Kontrolle über Modell-Architektur, Feature-Engineering und Alerting-Logik. Der Nachteil: sechs bis zwölf Monate Entwicklungszeit, laufende Modellpflege und kein eingebettetes Telecom-Fraud-Expertenwissen. Laufende Infrastrukturkosten: typisch 5.000–20.000 EUR/Monat je nach CDR-Volumen.

Zusammenfassung — wann welcher Ansatz:

• Roaming-Spezialisierung, GSMA-Community-Integration → Mobileum RAID
• Cloud-Deployment, schnellerer Start, 350+ Fraud-Typologien → Subex HyperSense
• Bestehende SAS-Infrastruktur → SAS Fraud Management
• Interne ML-Kapazität, Eigenentwicklung präferiert → Amazon SageMaker

Datenschutz und Datenhaltung

Roaming-CDR-Daten enthalten Verkehrsdaten im Sinne der DSGVO und des deutschen Telekommunikationsgesetzes (TKG § 7 ff. in der Fassung des TKG 2021). Das hat drei praktische Konsequenzen:

Zweckbindung: CDR-Daten dürfen nicht unbegrenzt für Fraud-Erkennung verwendet werden. Die Verarbeitung zur Betrugserkennung ist nach TKG grundsätzlich zulässig, aber die Zweckdefinition muss dokumentiert und die Speicherdauer begrenzt sein. Als Faustregel gilt: 90 Tage für operative Fraud-Erkennung, länger nur für Audit-Zwecke mit gesonderter Rechtsgrundlage.

Auftragsverarbeitung: Sobald ein externer Anbieter (Mobileum RAID, Subex HyperSense) Zugriff auf CDR-Daten erhält, ist ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO erforderlich. Beide Anbieter stellen AVV-Vorlagen bereit; EU-Rechenzentrum-Optionen sind verfügbar und sollten für DACH-Betreiber aktiv eingefordert werden.

Signaling-Daten: SS7- und Diameter-Monitoring für die optionale Schicht 4 der Erkennung (Signaling-Korrelation) unterliegt strengeren Anforderungen. Hier ist vor Deployment eine Datenschutz-Folgenabschätzung (DSFA nach Art. 35 DSGVO) empfehlenswert.

Mobileum RAID und Subex HyperSense bieten beide On-Premises-Deployment und EU-Cloud-Optionen. Für Netzbetreiber, die keine CDR-Daten an US-Clouds übertragen wollen, ist On-Premises oder EU-managed Cloud die klare Wahl — und beide Anbieter unterstützen das explizit. Die API-basierte Integration von NRTRDE-Feeds bleibt dabei vollständig unter Kontrolle des Betreibers.

Was es kostet — realistisch gerechnet

Einmalige Implementierungskosten

• Spezialisierte Plattform (Mobileum RAID oder Subex HyperSense): Implementierung typisch 300.000–800.000 EUR für Tier-2-Operator (eigene NRTRDE-Integration, CDR-Streaming, Modell-Training auf 12–24 Monate historischer Daten)
• Eigenentwicklung auf ML-Infrastruktur: intern 6–12 Monate Entwicklungszeit plus ca. 100.000–300.000 EUR externe Consulting-Unterstützung
• Datenhaltung und DSGVO-Compliance (AVV, DSFA): typisch 10.000–30.000 EUR externe Rechts-/Datenschutzberatung

Laufende Kosten (monatlich)

• Mobileum RAID: auf Anfrage; für Tier-2-Operator (3–10 Mio. Abonnenten) erfahrungsgemäß 30.000–80.000 EUR/Monat
• Subex HyperSense: auf Anfrage; ähnliche Größenordnung
• Eigenentwicklung auf Cloud-ML-Infrastruktur: 5.000–20.000 EUR/Monat je nach CDR-Volumen

Was du dagegenrechnen kannst Die Batelco-Implementierung von Subex gibt den direktesten Richtwert: 70.000 USD täglich vermiedene Verluste. Für einen deutschen Netzbetreiber mittlerer Größe (5–8 Mio. Abonnenten, normales Roaming-Volumen) sind Verluste von 500.000–2.000.000 EUR/Monat durch unerkannten Roaming-Betrug realistisch — basierend auf CFCA 2023-Branchendurchschnittswerten skaliert auf Abonnentenvolumen.

Bei einer konservativen Annahme von 30 % Erkennungsgewinn durch KI gegenüber reinen Regelwerken: 150.000–600.000 EUR monatliche Schadensreduktion. Das rechtfertigt Investitionen in der Größenordnung von 50.000–80.000 EUR/Monat operativem Aufwand für die meisten Tier-2-Betreiber.

Wie du den ROI tatsächlich misst: Der ehrlichste Messansatz ist der Settlement-Differenz-Vergleich: Betrag, den das Gastnetz über TAP in Rechnung stellt, minus legitime Nutzung laut CDR-Analyse, gemessen vor und nach KI-Deployment. Das ist keine Schätzung — das sind konkrete Buchungsposten in deinem Wholesale-Clearing-System.

Typische Einstiegsfehler

1. NRTRDE-Datenqualität als gegeben annehmen. Viele Betreiber gehen in die Implementierung mit der Annahme, dass ihre NRTRDE-Feeds vollständig und konsistent sind. In der Praxis fehlen bei 15–30 % der Records wichtige Felder (IMEI, vollständige Session-IDs, konsistente Timestamps), weil Gastnetze unterschiedliche Implementierungsqualitäten haben. Ein KI-Modell, das auf unvollständigen Daten trainiert wird, produziert systematisch blinde Flecken — genau dort, wo Fraudster operieren, die diese Lücken kennen. Lösung: Datenqualitäts-Assessment als Phase 0 des Projekts — vor dem ersten Modell-Training.

2. Das Modell einmalig trainieren und nicht warten. Roaming-Betrug ist nicht statisch. Neue SIMbox-Hardware, geänderte Roaming-Verträge und neue Fraud-Topologien (z.B. durch 5G-Roaming-Standalone) verändern die Signatur-Muster kontinuierlich. Ein Modell, das einmal auf historischen Daten trainiert und dann nicht weiterentwickelt wird, verliert in 6–12 Monaten signifikant an Erkennungsrate — ohne dass das im Dashboard sichtbar wird, weil die False-Negative-Rate sich schleichend erhöht. Lösung: Quartalsweise Modell-Neubewertung gegen aktuelle Fraud-Cases als fester Prozess einplanen — nicht als optionale Maßnahme.

3. False Positives nicht systematisch verfolgen. Wenn das System einen legitimen Geschäftsreisenden sperrt, der pro Tag 15 GB Roaming-Daten für Video-Meetings verbraucht, ist das nicht nur ein Kundenzufriedenheitsproblem — es ist ein direktes Signal, dass das Modell nicht ausreichend auf Nutzungsprofile von Business-Kunden kalibriert ist. Viele Betreiber tracken False-Positive-Raten nur in aggregierter Form. Lösung: Jeden False-Positive-Case als Trainingsdaten-Feedback ins Modell zurückführen; Alert-Kategorien nach Segment differenzieren (Prepaid vs. Postpaid vs. Business).

4. Roaming-Fraud isoliert behandeln — ohne Revenue-Assurance-Integration. KI-Anomalieerkennung löst Alerts aus. Wenn diese Alerts nicht in bestehende Revenue-Assurance-Prozesse integriert sind — also kein Mensch entscheidet, ob ein Alert in eine Kundensperrung, eine Dispute-Einleitung gegen das Gastnetz oder eine einfache Nachkalkulation mündet — verpufft der Erkennungsgewinn. Das ist der gefährlichste Fehler, weil er still passiert: Das System funktioniert technisch, aber operativ ändert sich nichts.

Was mit der Einführung wirklich passiert — und was nicht

Die technische Integration ist der einfachere Teil. Der schwierigere Teil ist die organisatorische Verankerung.

Revenue-Assurance-Teams und Fraud-Teams sprechen oft nicht miteinander. In größeren Betreibern sind diese Funktionen getrennt — Revenue Assurance kümmert sich um Billing-Korrektheit und Settlement-Differenzen, Fraud-Teams um Kundenschutz und Strafverfolgung. Ein Roaming-Fraud-System sitzt an der Schnittstelle beider Welten. Ohne klare Zuständigkeitsdefinition vor dem Go-live — wer bearbeitet welchen Alert-Typ, wer darf Kunden sperren, wer eskaliert an die Rechtsabteilung — entstehen blinde Flecken im Betrieb.

Das erste Quartal nach Go-live ist das kritischste. Modelle sind am Anfang noch nicht auf das spezifische Nutzungsverhalten der eigenen Abonnentenbasis kalibriert. Die False-Positive-Rate ist höher als im Steady-State — das führt zu Frustrationen im Operations-Team und zu Rückkopplungen wie “das System sperrt zu viele legitime Kunden.” Wer diesen Effekt nicht von vornherein kommuniziert, riskiert, dass das System nach drei Monaten als “zu aggressiv” eingestuft und auf niedrigere Sensitivität heruntergestellt wird — was die Fraud-Erkennungsrate senkt.

Was konkret hilft:

• Vor Go-live: schriftliche Eskalationspfade und Verantwortlichkeiten für jeden Alert-Typ dokumentieren
• Monat 1–3: wöchentliche Alert-Review-Sessions mit Revenue-Assurance- und Fraud-Team gemeinsam
• Monat 4+: Alert-Volumen und False-Positive-Rate als KPI im Operations-Reporting verankern
• Kontinuierlich: jeden Fraud-Fall, der nicht erkannt wurde, als Post-mortem analysieren und Modell-Feedback einbauen

Realistischer Zeitplan mit Risikohinweisen

Hinweis zum Timing: Die GSMA empfiehlt Betreibern ohne NRTRDE-Integration, diese zunächst aufzubauen, bevor KI-Erkennung überlagert wird. Ohne NRTRDE-Feed ist Near-Real-Time-Erkennung nicht möglich — der Erkennungsvorteil gegenüber TAP-Settlement-basierter Analyse halbiert sich.

GSMA-Betrugsrahmen und NRTRDE — was du wissen musst

Die GSMA hat ein standardisiertes Framework für Roaming-Fraud-Erkennung entwickelt. Für Revenue-Assurance-Verantwortliche sind zwei Konzepte besonders relevant:

NRTRDE (Near Real-Time Roaming Data Exchange): Der GSMA-Standard BA.27 verpflichtet Netzbetreiber zum Datenaustausch innerhalb von 4 Stunden nach Call-Completion. Das schafft ein Erkennungsfenster, das deutlich kleiner ist als der 24–48-stündige TAP-Settlement-Zyklus. Betreiber, die NRTRDE nicht nutzen, haben keinen Basis-Schutz gegen Roaming-Fraud — und sind gegenüber Partnerbetreibern, die NRTRDE-basierte Sperrungen vornehmen, im Informationsnachteil.

FHH (Fraud Handling Hub): Die GSMA betreibt einen gemeinsamen Fraud-Intelligence-Hub, über den Betreiber Fraud-Erkenntnisse zu spezifischen Nummernblöcken und Roaming-Destinationen teilen können. KI-Systeme wie Mobileum RAID sind typischerweise in diese Community-Intelligence-Schichten integriert — ein Einzelbetreiber, der seinen Betrug in einem bestimmten Netz erkannt hat, teilt diese Information in Echtzeit, sodass andere Betreiber präventiv blockieren können.

GSMA FS.11 und FS.22: Diese GSMA-Fraud-Standards definieren spezifische Roaming-Fraud-Kategorien und empfohlene Erkennungsparameter. Für MNOs in regulierten Märkten (EU, GCC) werden diese Standards zunehmend von Regulierungsbehörden als Best-Practice-Referenz herangezogen. Ein dokumentiertes KI-basiertes Erkennungssystem kann im Streitfall mit Gastnetzen oder Regulatoren als Nachweis angemessener Sorgfalt dienen.

Die praktische Konsequenz: Wer ein Roaming-Fraud-KI-System einführt, sollte zeitgleich GSMA-Community-Mitgliedschaft für den FHH-Datenaustausch prüfen. Die Netzwerkeffekte aus geteilter Fraud-Intelligence sind erheblich — und sie sind kostenlos gegenüber dem Erkennungsgewinn, den ein isoliert operierendes System bieten kann.

Häufige Einwände — und was dahintersteckt

„Unser regelbasiertes System funktioniert doch bereits.” Regelbasierte Systeme erkennen bekannte Muster — Schwellenwerte, die manuell gesetzt wurden, nachdem ein Fraud-Pattern entdeckt wurde. Das Problem ist der zeitliche Versatz: Wenn ein neues Fraud-Pattern erstmals auftaucht, vergeht typisch 4–8 Wochen bis ein Regel-Update deployed ist. In dieser Zeit läuft der Betrug unerkannt. ML-Modelle erkennen Abweichungen vom Normalmuster — auch wenn das Muster vorher nie dokumentiert wurde. Das ist kein Marketingargument, sondern der entscheidende strukturelle Unterschied.

„Die Implementierungskosten rechnen sich für uns nicht.” Das ist ein valider Einwand — aber er setzt voraus, dass deine aktuellen Roaming-Fraud-Verluste bekannt und quantifiziert sind. In der Praxis ist das selten der Fall: Settlement-Differenzen werden als “normale Varianz” verbucht, und erst die retrospektive CDR-Analyse zeigt, welcher Anteil tatsächlich Fraud war. Empfehlung: Lass einen Anbieter wie Subex HyperSense eine kostenlose Proof-of-Concept-Analyse auf 3–6 Monate historischer TAP-Daten machen. Wenn die gefundenen Fraud-Indizien unter 100.000 EUR liegen, ist die Investition in eine dedizierte Plattform tatsächlich nicht gerechtfertigt.

„Wir können das intern mit unserem Data-Science-Team bauen.” Machbar — aber unterschätze die Telecom-Domain-Komplexität nicht. Die technische Herausforderung ist nicht das ML-Modell, sondern das Feature-Engineering auf CDR- und TAP-Daten: Welche Kombinationen aus Timing, Destination, IMEI-Konsistenz und Session-Dauer signalisieren tatsächlich Fraud? Dieses Wissen ist in GSMA-Standards und in den Erfahrungsdatenbanken spezialisierter Anbieter eingebettet. Eine Eigenentwicklung kommt typisch 12–18 Monate später zur produktiven Erkennungsrate, die eine Plattform von Anfang an mitbringt.

Woran du merkst, dass das zu dir passt

• Du bist MNO oder MVNO mit mehr als 500.000 aktiven Abonnenten und aktiven Roaming-Verträgen in mindestens 30 Ländern
• Deine Revenue-Assurance-Funktion identifiziert regelmäßig unerklärte Settlement-Differenzen zwischen TAP-In-Beträgen und erwarteter Nutzung
• Du hast bereits NRTRDE-Integration oder planst diese im laufenden Jahr
• Fraud-Verluste im Roaming sind intern als Problem bekannt, aber bisher nicht systematisch quantifiziert — du weißt, dass es Verluste gibt, aber nicht wie viele
• Du betreibst Postpaid- und Prepaid-Segmente gleichzeitig, und Prepaid-Roaming-Missbrauch ist ein bekanntes Problem

Wann du es (noch) nicht tun solltest — drei harte Ausschlusskriterien:

1. MVNOs mit weniger als 500.000 aktiven Abonnenten und keiner eigenen NRTRDE-Anbindung. Das Roaming-CDR-Volumen reicht nicht für zuverlässiges ML-Training. Außerdem wird das Roaming-Settlement in diesem Fall oft durch den Host-Netzbetreiber abgewickelt — der Fraud-Schutz liegt upstream, nicht bei dir. Priorität: zuerst prüfen, welche Schutzmaßnahmen dein Host-Operator bereits implementiert hat.

2. Betreiber ohne dediziertes Revenue-Assurance- oder Fraud-Team. Ein KI-System produziert Alerts — aber Alerts brauchen Menschen, die sie bearbeiten, priorisieren und in Maßnahmen übersetzen. Ohne eine benannte Zuständigkeit für Roaming-Fraud-Bearbeitung verpufft der technische Erkennungsgewinn: Alerts akkumulieren unbeantwortet, oder das System wird auf niedrige Sensitivität gestellt, um das Volumen zu reduzieren. Mindestvoraussetzung: eine Halbtagsstelle mit explizitem Roaming-Fraud-Mandat.

3. Betreiber, die noch keine strukturierten historischen CDR-Daten für 12+ Monate haben. ML-Modelle für Anomalieerkennung brauchen historische Baseline-Daten, um zu verstehen, was “normal” ist. Wenn CDR-Daten nicht strukturiert archiviert sind oder nur 3 Monate zurückreichen, ist das erste Halbjahr der Implementierung eine Datenaufbereitungsphase — und die Erkennungsrate bleibt weit unter dem erreichbaren Niveau.

Das kannst du heute noch tun

Starte mit einer einfachen Übung: Lade die letzten drei Monate deiner TAP-In-Settlement-Daten in ein Tabellenkalkulationsprogramm und berechne für jeden Abonnenten den Durchschnitt und die Standardabweichung des monatlichen Roaming-Datenvolumens. Identifiziere alle Abonnenten, die in einem Monat mehr als das 10-fache ihres historischen Durchschnittswerts verbraucht haben. Das ist kein produktives Fraud-Erkennungssystem — aber es ist ein Proxy-Check für die Frage: “Haben wir ein Problem?”

Wenn diese einfache Analyse mehr als 0,05 Prozent deiner Roaming-aktiven Abonnenten als Ausreißer identifiziert, ist das ein Indikator, der eine tiefere Untersuchung rechtfertigt.

Für einen sofortigen KI-gestützten Erste-Einschätzungs-Prompt (für eine vorläufige Alert-Priorisierung aus manuellen CDR-Exporten):

Quellen & Methodik

• Kaleido Intelligence, „Roaming Fraud Management: Market Outlook 2025” (2024): Globale Roaming-Fraud-Verluste prognostiziert auf Höchstwert von 20,5 Mrd. USD vor Rückgang auf 11 Mrd. USD bis 2030. Abgerufen unter kaleidointelligence.com. Unabhängige Marktanalyse — keine Anbieterquelle.
• CFCA Global Fraud Loss Survey 2023 (Communications Fraud Control Association): Gesamte Telekommunikationsbetrugs­verluste 38,95 Mrd. USD (+12 % gegenüber Vorjahr); Voice Interconnect Bypass Fraud 5,06 Mrd. USD. cfca.org/telecommunications-fraud-increased-12-in-2023/
• Subex, „AI-Powered Roaming Fraud Detection: Batelco Case Study” (2024): Batelco (Bahrain Telecommunications Company) hat nach Subex-HyperSense-Implementation täglich ca. 70.000 USD Roaming-Verluste eliminiert. Einzige publizierte Operator-spezifische ROI-Kennzahl mit konkreter Schadensgröße. subex.com
• GSMA BA.27 NRTRDE-Standard (aktuell gültige Fassung): Near-Real-Time-Datenaustausch innerhalb 4 Stunden nach Call-Completion; ca. 90 % Operator-Adoption. gsma.com
• Mobileum, „Roaming Fraud: 30% Revenue Leakage Reduction” (Produktdokumentation, 2024): mobileum.com/products/risk-management/fraud-management/roaming-fraud — Anbieterangabe; unabhängige Verifikation nicht verfügbar.
• Preisangaben Mobileum RAID und Subex HyperSense: Erfahrungswerte aus Branchenberichten und publizierten Ausschreibungsunterlagen. Beide Anbieter publizieren keine Listenpreise. Stand April 2026.
• TKG 2021 (Telekommunikationsgesetz): §§ 7 ff. zur Verarbeitung von Verkehrsdaten; DSGVO Art. 28 (AVV), Art. 35 (DSFA). Aktuelle Fassung.

Du willst wissen, welche Fraud-Verluste euer Roaming-Settlement versteckt und ob eine KI-Lösung bei eurem Abonnentenvolumen wirtschaftlich ist? Meld dich — das lässt sich mit einer kurzen CDR-Historien-Analyse grob eingrenzen, bevor ihr einen Anbieter beauftragt.