3 Min
Es gäbe genügend Stoff für eine TV-Serie: In einer Welt, in der KI zur Waffe wird, entscheidet sich das Schicksal der Finanzindustrie nicht am Schreibtisch, sondern im Code.
Im Schatten von Firewalls beginnt ein neues Spiel um Macht, Kontrolle und Daten. Während Künstliche Intelligenz (KI) die Branche auf links dreht, formieren sich zwei Häuser: Die einen bauen Schutzmauern mit Machine Learning, die anderen schleichen sich mit Deepfakes durch die Hintertür. Die gute Nachricht: Die Verteidiger haben die Nase vorn. Noch.
Der digitale Zwiespalt: Schutzschild und Angriffsfläche
KI verändert die Finanzwelt grundlegend und sorgt für ein Wettrüsten auf beiden Seiten. Während Kreditinstitute mit so verbesserte Sicherheitsbarrieren errichten, entwickeln Kriminelle im Darknet Tools wie WormGPT, FraudGPT oder DarkBERT. Damit lassen sich täuschend echte Phishing-Mails und Deepfakes erstellen oder Sicherheitsmechanismen unterwandern. Auch beim Social Engineering ist KI im wahrsten Sinne des Wortes Gold wert. Was früher eine PDF-Anleitung war, ist heute ein Bot.
Ein paar Beispiele?
- Im März 2024 gelang es Cyberkriminellen, durch KI-generierte Deepfake-Stimmen einen Finanzvorstand der Hongkong-Niederlassung eines multinationalen Konzerns zu täuschen. In einer vermeintlichen Videokonferenz mit dem CFO erhielt der Mitarbeiter die Anweisung, 25 Millionen US-Dollar zu überweisen. Erst später stellte sich heraus, dass alle Teilnehmer der Konferenz KI-generierte Deepfakes waren.
- Ein weiterer spektakulärer Fall ereignete sich im September 2024 bei einer deutschen Großbank: Kriminelle nutzten KI-generierte Stimmenklone, um sich als Vorstandsmitglieder auszugeben und Mitarbeiter:innen zur Freigabe von Überweisungen in Höhe von 35 Millionen Euro zu bewegen. Die Täter hatten zuvor durch Social Engineering persönliche Informationen gesammelt und diese in ihre KI-Modelle eingespeist, um authentisch wirkende Gespräche zu führen.
- Oktober 2024: Hier setzten Cyberkriminelle KI-basierte Chatbots ein, die sich als Kund:innen-Berater ausgaben und Kunde:innen dazu verleiteten, ihre Zugangsdaten preiszugeben. Die Bots waren so überzeugend programmiert, dass sie sogar komplexe Finanzberatung simulieren konnten. Über 200 Kund:innen-Konten wurden kompromittiert, bevor der Betrug entdeckt wurde. Schaden: 50 Millionen US-Dollar.
- Der jüngste und vielleicht raffinierteste Fall ereignete sich im November 2024 bei einer europäischen Zentralbank: Cyberkriminelle entwickelten KI-Systeme, die in Echtzeit gefälschte Transaktionsdaten generierten und diese in das SWIFT-Netzwerk einschleusten. Die KI war so programmiert, dass sie legitime Zahlungsmuster imitierte und dabei Anomalie-Erkennungssysteme umging. Erst nach drei Wochen wurde der Betrug entdeckt. Gesamtschaden: 120 Millionen Euro.
Cyberkriminalität ist längst kein Hobby einzelner Script-Kiddies mehr, sondern eine hochorganisierte, technologiegetriebene Industrie. Neue Entwicklungen wie Konto-zu-Konto-Zahlungen (A2A) eröffnen zusätzliche Angriffsflächen.
Warum Gelegenheit Dieb:innen macht
A2A, also direkte Konto-zu-Konto-Zahlungen ohne Umweg über Karten oder Zwischenhändler, gewinnen durch Open Banking und Instant Payments stark an Relevanz, insbesondere im E-Commerce und bei Zahlungen zwischen Privatpersonen.
Laut Juniper Research wird das Volumen bis 2029 um über 200 Prozent steigen. So weit, so bekannt. Die Schattenseite: Echtzeit-Zahlungen geben Kriminellen im Missbrauchsfall sofort Zugriff auf das Geld und den Verteidiger:innen bleibt kaum Zeit zu reagieren.
Finanzbetrug hat sich professionalisiert. Statt Einzeltäter:innen agieren Netzwerke wie Start-ups, schnell, datengetrieben, iterativ. Gleichzeitig steigen die Erwartungen der Kundinnen und Kunden an Komfort und Sicherheit. Das setzt die Branche doppelt unter Druck. Der alte IT-Grundsatz „Sicherheit ist unbequem” funktioniert in einer TikTok-Welt nur noch mäßig.
Wie KI schützt, aber allein nicht reicht
Moderne KI-Systeme erkennen verdächtige Transaktionen in Millisekunden mit einer Präzision von über 95 Prozent. So testete Visa gemeinsam mit Pay.UK ein System, das bei A2A-Zahlungen die Erkennungsrate um 40 Prozent verbesserte, bei einer False-Positive-Rate von fünf zu eins.
Auch deutsche Institute investieren massiv. Die Deutsche Bank nutzt seit 2022 mit Visa KI-basierte Risikomodelle zur Betrugserkennung. Die Sparkassen-Gruppe setzt auf KIWI, ein hybrides Lernsystem, das Fehlalarme reduziert und sich laufend an neue Bedrohungen anpasst.
Mit der Verbreitung von Instant Payments sinkt das Zeitfenster für Sicherheitsprüfungen drastisch. Wo früher Stunden oder Tage blieben, müssen Systeme heute in Sekunden entscheiden. KI entfaltet hier ihr volles Potenzial, allerdings nur, wenn sie richtig trainiert und intelligent eingebettet ist.
Und genau das ist die Achillesferse. Betrug ist nicht an Regulatorik gebunden. Das Darknet muss sich nicht an den EU AI Act halten. Eine fehlende Agilität in der Branche wird zum Risikofaktor. Mit Wasserfallentwicklung kommt man nicht weit, wenn Betrug agil ist und die Tools immer besser werden.
Auch der Mensch ist neben der Technologie weiterhin eine zentrale Schwachstelle. Betrüger:innen nutzen Deepfakes, Social Engineering und personalisierte Phishing-Mails, um selbst erfahrene Nutzerinnen und Nutzer zu täuschen. Der menschliche Faktor ist keine Randnotiz, sondern zentrales Angriffsziel und muss mitgedacht werden.
Fazit: Sicherheit, Prozesse, Kundenschnittstelle – kein Weg führt vorbei
KI-Sicherheit ist kein reines IT-Thema, sondern Teil einer umfassenden strategischen Neuausrichtung. Sie betrifft Prozesse, etwa Risikomanagement in Echtzeit, die Kundenschnittstelle, etwa durch smarte Authentifizierung, Aufklärung und Erwachsenenbildung, sowie die Unternehmenskultur.
Die Herausforderungen sind vielschichtig: Regulatorik, Datenschutz, Erklärbarkeit von Algorithmen und gleichzeitig die Erwartung, dass alles einfach funktioniert. KI ist nicht das Allheilmittel, aber ohne KI wird es keine sichere Finanzwelt mehr geben.
Die Finanzindustrie, insbesondere Banken, verfügt über strukturelle Vorteile: Daten, Infrastruktur, Ressourcen und im Idealfall das Vertrauen ihrer Kundinnen und Kunden. Doch dieses Vertrauen muss verteidigt werden. Durch Transparenz. Durch Aufklärung. Und durch Systeme, die halten, was sie versprechen.
Im Game of Codes gewinnt, wer vorbereitet ist. Wer seine KI versteht. Und wer weiß: Die Bedrohung sitzt nicht mehr nur am anderen Ende der Leitung. Sie liegt im Code.
