Cyberkriminelle nutzen neue Technologien wie Künstliche Intelligenz (KI), was die klassischen Sicherheitsmechanismen überfordert. Ein Beispiel sind Deepfakes: Während diese früher mit professioneller Software und nur von Personen mit einem spezialisierten Fachwissen erstellt werden konnten, benötigen Betrüger heute nur wenige Minuten und ein Basis-Know-how im Umgang mit KI.
So können Stimmen täuschend echt reproduziert werden. Dazu reicht bereits die Aufzeichnung eines Vortrags oder einer Podiumsdiskussion. Betrüger können die Stimme einer Person aus dem Top-Management nutzen, um Mitarbeitende per Telefonat zu beeinflussen und beispielsweise an geheime Daten zu gelangen (Social Engineering). Auf Kundenseite nutzen Betrüger Deepfakes bei dem sogenannten biometrischen Spoofing dazu, Identitätsprüfungen zu bestehen und so Zugang zu privaten Konten zu erhalten.
Die gute Nachricht: Auch Banken können ihren Werkzeugkasten ausbauen und den Betrügern mit effektiven Gegenmaßnahmen die Stirn bieten.
Hybride Detektionssysteme vereinen KI mit klassischen Systemen
Klassische Detektionssysteme funktionieren nach festgelegten Regeln, die von Fraud-Experten bestimmt werden und bei verdächtigen Verhaltensmustern Alarm schlagen. Dabei nutzen sie Informationen wie Zugriffe von neuen Geräten, IP-Adressen aus neuen Orten, Zahlungen an neue Empfänger und ähnliche Indikatoren. Der Haken dieser Systeme: Wenn Betrüger ihre Methode verändern, müssen die Experten zunächst herausfinden, durch welche Muster sich die neue Methode verrät und im Anschluss neue Regeln aufsetzen.
Der Einsatz von KI kann diese Systeme deutlich verlässlicher machen. Zum einen können Verhaltensmuster schneller analysiert werden, wodurch Lücken im System schneller geschlossen werden. Zum anderen ist KI in der Lage, komplexere Zusammenhänge zu erkennen, die menschliche Experten nie oder erst nach langer Zeit durchschauen würden.
Collective Intelligence: Den Kampf gegen Cyber Fraud muss nicht jedes Institut für sich führen
Im Kampf gegen Cyber Fraud kann die Zusammenarbeit verschiedener Institute viel bewirken. Collective Intelligence beschreibt den Ansatz, in branchenübergreifenden Netzwerken Daten zu teilen, um gemeinsam die Betrugsprävention zu verbessern.
Die entsprechende Infrastruktur für den gemeinsamen Datenaustausch wird durch die PSD3-Verordnung zukünftig Pflicht. Bereits heute gibt es jedoch gute Lösungen, welche die Daten vieler Banken verbinden, um ein besseres Bild auf die Betrüger und ihre Methoden zu bekommen. Eine solche Initative ist der FPAD-Service („Fraud Pattern and Anomaly Detection“) der EBA CLEARING, der aus den Transaktionsdaten der Teilnehmer Risikoindikatoren und -scores entwickelt und an diese zurückgibt.
Session-based approach: Echtzeitbetrug muss in Echtzeit unterbunden werden
Der Session-based approach ist ein Ansatz zur Betrugsprävention im Online-Banking der Kunden. Dabei legen Banken nutzerspezifische Verhaltensprofile an, mit denen das übliche Verhalten der Kunden dokumentiert wird. Wie schnell tippt der Kunde? Wie korrigiert er fehlerhafte Eingaben? Wie navigiert er durch die Nutzeroberfläche und wie bewegt er seine Maus dabei? In welchem Winkel hält er sein Smartphone? Abweichungen von den üblichen Verhaltensmustern können Alarm auslösen.
Ein Machine-Learning Score entscheidet, ab welchem Punkt eine kritische Masse an Abweichungen vom Normverhalten erreicht ist. Wird Betrug vermutet, reagiert die KI automatisiert – im Zeitalter von Instant Payments ist eine manuelle Freigabe ausgeschlossen. Doch welche Optionen stehen einem automatisierten System offen? Ein Beispiel:
- In der ersten Stufe („Soft Intervention“) wird der Vorgang genauer geprüft. Eine in Auftrag gegebene Transaktion wird pausiert, beispielsweise durch dynamische Step-up-Authentifizierungen oder die Anforderung einer Push-Bestätigung. In der Zwischenzeit wird die Risikobewertung angereichert.
- Gelangt das System zu dem Schluss, dass eine Account-Übernahme vorliegt, folgt die zweite Stufe („Hard Intervention“). Kritische Funktionen werden sofort eingefroren: die Session wird gesperrt, Auszahlungen blockiert und sensible Stammdaten geschützt. In diesem Zustand kann beispielsweise die hinterlegte Mobilfunknummer nicht geändert werden.
- Die Wiederherstellung der Kontrolle durch den eigentlichen Besitzer des Kontos erfolgt über einen zweiten, nicht kompromittierten Kanal oder über einen persönlichen Besuch des Besitzers in einer Filiale.
KI-Systeme sind noch unzureichend im Einsatz
Die vorgestellten Technologien sind keine Zukunftsmusik. Die ersten Institute nutzen sie bereits oder erproben sie zumindest. Die PPI-Studie zeigt jedoch: Nur 10 Prozent der Banken setzen schon KI-gestützte Anomalie-Erkennungssysteme ein. Hier besteht branchenweit noch Nachholbedarf.
Doch auch in anderen Kategorien tun sich noch Lücken auf: Ein Viertel der Banken hat keine internen Meldeprozesse für verdächtige Aktivitäten implementiert, nur circa die Hälfte analysiert das Nutzerverhalten bei Echtzeittransaktionen und gerade mal ein Drittel der Institute schult ihre Mitarbeitenden mit Fokus auf Social Engineering und Fraud-Erkennung.
Diese Lücken zu schließen ist zentral im Kampf der Branche gegen Cyber Fraud. Die gute Nachricht: Im Vergleich zur Vorgängerstudie scheint die Awareness in der Branche gestiegen zu sein. Von einer weiterhin positiven Entwicklung ist auszugehen.
Für die PPI-Studie wurden im Juni und Juli 2025 103 Entscheider aus Banken und Versicherungen unter anderem zu den Themen Cyberrisk, IT-Governance & IT-Strategie, Fraud, Business Continuity und Third Party Risk befragt. Interessierte Finanzinstitute können sich die vollständige Studie kostenlos unter Angabe ihrer Kontaktdaten auf der Webseite der PPI AG herunterladen.
Marc-Nicolas Glöckner ist seit über 10 Jahren bei der PPI AG tätig und leitet die Business Unit mit Fokus auf Fraud Detection. Er bringt umfangreiche Erfahrungen aus Projekten bei Banken mit. Zuletzt war er an einem wichtigen europaweiten Fraud-Projekt beteiligt und hat als Experte bereits zahlreiche Vorträge zu Fraud gehalten (z. B. FRAUDMANAGEMENTforBANKS 2023 und 2024).