Das digitale Wettrüsten:
Betrugsprävention im Zeitalter von KI und Instant Payments

Die Digitalisierung im Finanzsektor hat 2026 ein rasantes Tempo erreicht. Technologien, die noch vor wenigen Jahren als Zukunftsmusik galten, sind heute Alltag. Doch parallel zur Innovationskraft der Banken und Fintechs hat sich auch die Professionalität der Cyberkriminalität weiterentwickelt. Wir befinden uns in einem digitalen Wettrüsten, das von zwei Hauptfaktoren getrieben wird:

Der massenhaften Verfügbarkeit generativer Künstlicher Intelligenz (KI) und der europaweiten Standardisierung von Instant Payments.

Betrugsprävention im Zeitalter von KI und Instant Payments

Die neue Qualität des Angriffs: Generative KI als Werkzeug

In der Vergangenheit waren Phishing-Mails oft an schlechter Rechtschreibung oder generischen Anreden erkennbar. Diese Zeiten sind vorbei. Generative KI-Modelle ermöglichen es Betrügern heute, hochgradig personalisierte, fehlerfreie und kontextuell plausible Angriffsvektoren in großem Maßstab zu generieren.

Zu den größten faktenbasierten Bedrohungen im Jahr 2026 zählen:

Deepfakes und Voice Cloning

Durch das Klonen von Stimmen (Audio-Deepfakes) oder das Fälschen von Videoanrufen wird der sogenannte „CEO-Fraud“ (Chef-Masche) auf ein neues Level gehoben. Autorisierungsroutinen, die sich rein auf akustische oder visuelle Identifikation von Personen verlassen, sind nicht mehr sicher.

Synthetische Identitäten

KI wird genutzt, um aus echten und gefälschten Datenpunkten völlig neue, konsistente Identitäten zu erschaffen, die bei automatisierten KYC-Prozessen (Know Your Customer) auf den ersten Blick unauffällig wirken, um Konten für Geldwäsche zu eröffnen.

Hyper-Personalisiertes Social Engineering

Angreifer analysieren öffentlich zugängliche Social-Media-Profile automatisiert, um maßgeschneiderte Täuschungsszenarien für Mitarbeiter in Finanzabteilungen zu entwerfen.

Der Katalysator: Instant Payments

Die regulatorische Vorgabe in Europa, Echtzeitüberweisungen (SEPA Instant) als neuen Standard zu etablieren, verschärft die Situation enorm. Gelder werden nun innerhalb von höchstens zehn Sekunden von einem Konto auf ein anderes transferiert – 24 Stunden am Tag, 365 Tage im Jahr.

Für die Betrugsprävention bedeutet das: Das Zeitfenster für eine manuelle Prüfung von Transaktionen, das bei klassischen Batch-Überweisungen über Nacht bestand, existiert nicht mehr. Einmal transferiertes Geld wird durch Kaskaden von Überweisungen (oft über Krypto-Börsen) in Sekundenbruchteilen unauffindbar gemacht.

Die Abwehr: KI bekämpft KI

Um dieser Bedrohungslage Herr zu werden, reicht klassische, regelbasierte Software (z.B. „Blockiere Transaktionen über 10.000 Euro in Land X“) nicht mehr aus. Finanzinstitute müssen technologisch aufrüsten und setzen dabei selbst auf fortschrittliche Machine-Learning-Modelle:

Echtzeit-Anomalieerkennung: Transaktionsdaten werden in Millisekunden gegen historische Muster abgeglichen. Weicht das Verhalten eines Nutzers ab (z.B. ungewöhnliche Uhrzeit, neues Endgerät, untypisches Empfängerkonto), greift das System ein.
Verhaltensbiometrie: Moderne Systeme analysieren nicht nur, was eingegeben wird (das Passwort), sondern wie. Tippgeschwindigkeit, der Winkel, in dem das Smartphone gehalten wird, oder die Mausbewegungen helfen dabei, echte Kunden von Bots oder Betrügern zu unterscheiden.
Graphen-Technologie: Um Netzwerke von Geldwäschern (Money Mules) zu identifizieren, analysieren Graphen-Datenbanken die komplexen Verbindungen zwischen Millionen von Konten, um verdächtige Geldflüsse sichtbar zu machen.

Mehrwert und Handlungsstrategien für Unternehmen

Wie können sich Unternehmen und Finanzabteilungen in dieser faktenbasierten Realität schützen? Die Lösung liegt in einer Kombination aus Technologie und Unternehmenskultur:

Zero-Trust-Architektur: „Vertraue niemandem, verifiziere alles“. Transaktionen ab einer bestimmten Größe sollten niemals aufgrund einer einzelnen E-Mail oder eines Anrufs (selbst wenn die Stimme bekannt klingt) freigegeben werden.
Kanalbruch erzwingen: Wenn eine Zahlungsaufforderung per E-Mail oder Chat kommt, muss die Verifizierung zwingend über einen anderen Kanal (z.B. eine vorab definierte interne Telefonnummer im Vier-Augen-Prinzip) erfolgen.
Adaptive Authentifizierung: Die Sicherheitsabfragen müssen sich dynamisch dem Risiko anpassen. Eine Überweisung von 50 Euro an den Bäcker benötigt weniger Reibung als ein 50.000-Euro-Transfer ins Nicht-EU-Ausland.
Kontinuierliche Sensibilisierung: Mitarbeiter müssen mit echten, KI-generierten Phishing- und Deepfake-Simulationen geschult werden, um ein Gespür für die Perfektion der aktuellen Angriffe zu entwickeln.

Quellenangaben:

Regulatorische Rahmenbedingungen

Europäische Union (EU AI Act): Verordnung über künstliche Intelligenz (KI-Verordnung). Die Verordnung trat 2024 in Kraft, wobei die Kernpflichten für Hochrisiko-KI-Systeme (zu denen Systeme zur Kreditprüfung oder biometrischen Identifikation im Finanzsektor zählen) im Jahr 2026 vollumfänglich greifen.
Europäische Union (Instant Payments): Verordnung (EU) 2024/886 zur Änderung der SEPA-Verordnung in Bezug auf Echtzeitüberweisungen in Euro. Sie verpflichtet europäische Zahlungsdienstleister zur flächendeckenden und gebührenneutralen Bereitstellung von Instant Payments und schreibt verschärfte Mechanismen zur Betrugserkennung vor.

Aufsichtsbehörden und IT-Sicherheit

BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht): Vorgaben und Berichte zu „Big Data und Künstliche Intelligenz (BDAI) im Finanzsektor“ sowie die BAIT (Bankaufsichtliche Anforderungen an die IT), die die technologischen und prozessualen Mindestanforderungen an die Informationssicherheit von Banken definieren.
BSI (Bundesamt für Sicherheit in der Informationstechnik): Lageberichte zur IT-Sicherheit sowie spezifische Publikationen zur Gefährdungslage durch „Deepfakes“ und KI-gestützte Social-Engineering-Angriffe auf Unternehmen.
ENISA (Agentur der Europäischen Union für Cybersicherheit): „ENISA Threat Landscape“ – Regelmäßige Fakten- und Datenberichte, die den massiven Anstieg von KI-generierten Phishing-Kampagnen und Identitätsdiebstahl im europäischen Raum dokumentieren.