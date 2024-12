Warum nur an der Oberfläche kratzen? Tauchen Sie tiefer ein mit exklusiven Interviews und umfangreichen Analysen. Die Registrierung für den Premium-Bereich ist selbstverständlich kostenfrei.

Die Antworten sind zurückhaltend – und dennoch bemerkenswert. Zwar verweisen alle Banken auf die absolute Vertraulichkeit ihrer Sicherheitsmaßnahmen. Aber auf persönliche Nachfrage und in Gesprächen mit Compliance-Beratern, die DAS INVESTMENT über mehrere Wochen führte, wird klar: Die neuesten Entwicklungen bei der Künstlichen Intelligenz stellen die Branche vor gewaltige Herausforderungen – gerade im internationalen Zahlungsverkehr.

Wie können solche Betrugsfälle passieren? DAS INVESTMENT hat bei 23 Instituten nachgefragt, wie sie sich vor „Manipulationen an Kontoverfügungen“, wie es im Fachjargon heißt, schützen und Verdachtsfälle bei Auslandsüberweisungen identifizieren.

Das Geld verschwindet nicht mehr aus den Tresoren, sondern geräuschlos per Überweisung ins Ausland. Wie der abenteuerliche Fall bei der Volksbank Düsseldorf-Neuss zeigt : Im Mai 2023 kamen dort 100 Millionen Euro nach einer Überweisung in die Türkei abhanden – die Sicherheitssysteme versagten.

„Hände hoch, das ist ein Überfall!“ – diesen Satz müssen Bankinstitute kaum noch fürchten. Seit 2012 ist die Zahl der klassischen Banküberfälle in Deutschland um 85 Prozent gesunken, von 202 auf nur noch 32 Fälle im Jahr 2023.

Aus den (Nicht-)Antworten ergibt sich dennoch ein Muster.

Standardisierte Zurückhaltung

Die Institute verschanzen sich hinter allgemeinen Formulierungen. Sie versichern, „selbstverständlich alle gesetzlichen Anforderungen“ zu erfüllen und über „angemessene und risikoorientierte Sicherungsmaßnahmen“ zu verfügen.

Doch was bedeutet das konkret? Die meisten Häuser bleiben die Antwort schuldig.

Die wenigen konkreten Einblicke

Nur vereinzelt gewähren Banken einen tieferen Einblick in ihre Sicherheitsarchitektur. Dann ist die Rede von

automatisierten Plausibilitätsprüfungen,

mehrstufigen Kontrollverfahren,

regelmäßigen Mitarbeiterschulungen und

Limitierungssystemen für Überweisungen.

Know-Your-Customer als Kern der Strategie

Die detailliertesten Auskünfte geben die Institute zum Know-Your-Customer-Prinzip (KYC). Sie betonen dabei besonders die Bedeutung der persönlichen Kundenbeziehung.

Mehrere Banken heben hervor, dass sie neben den gesetzlich vorgeschriebenen Identifizierungspflichten vor allem das Transaktionsverhalten ihrer Kunden genau analysieren.

Die Institute achten dabei auf

übliche Geschäftszeiten und typische Überweisungsmuster,

branchentypische Zahlungsströme bei Firmenkunden,

die Häufigkeit von Auslandsüberweisungen,

auffällige Veränderungen im Zahlungsverhalten.

Die Grenzen der Transparenz

Besonders zurückhaltend zeigen sich die Banken bei Fragen zur Absicherung von Auslandsüberweisungen. Hier verweisen die Institute durchgängig auf die Sensibilität der Informationen. Die Antworten bleiben aus oder werden vage, sobald es sich um diese Themen dreht:

konkrete Betragsgrenzen,

technische Sicherheitssysteme,

spezielle Kontrollmechanismen für internationale Transfers und

die Zusammenarbeit mit ausländischen Partnerbanken.

Achillesferse internationale Überweisungen

Gerade im Auslandszahlungsverkehr zeigen sich die Schwachstellen der Sicherheitssysteme. Der Fall der Volksbank Düsseldorf-Neuss scheint dabei kein Einzelfall zu sein – er ist nur besonders spektakulär.

Wie eine große regionale Sparkasse gegenüber DAS INVESTMENT ausführt, müssten „Zahlungsaufträge oftmals in wenigen Stunden ausgeführt werden“. Das Institut habe dafür ein Risikokonzept entwickelt, das „unter anderem Risikoländer und bestimmte Grenzbeträge“ vorsieht.

Entscheidend ist laut dem Institut auch, welche Vollmachten ein Unternehmen für Auslandsüberweisungen erteilt hat. Diese können für Einzelpersonen oder nur für zwei Personen gemeinsam gelten. „Im Zweifelsfall“, so die Sparkasse, „wird zuerst Rücksprache mit dem Kunden genommen.“

Ein Risikokonzept, dass einen Fall wie in Düsseldorf-Neuss wahrscheinlich schon verhindert hätte.

Dennoch zeigt sich das Dilemma der Banken:

Grenzüberschreitende Zahlungen lassen sich schwer zurückholen,

die Prüfung ausländischer Empfängerkonten ist nur eingeschränkt möglich,

Zeitverschiebungen verhindern direkte Rückfragen,

Korrespondenzbanken sind ein zusätzlicher Unsicherheitsfaktor.

Die größten Gefahren durch Betrug

Die Zahlen des BSI sind alarmierend. Die deutsche Cybersicherheitsbehörde beschreibt die aktuelle Bedrohungslage als „besorgniserregend“: „Die digitale Angriffsfläche nimmt stetig zu“, warnt BSI-Präsidentin Claudia Plattner.

Besonders gefährlich: Die Betrüger finden „immer schneller und geschickter Wege“, Schwachstellen auszunutzen.

Der moderne Bankraub erfolgt mit Psychotricks

Eine der erfolgreichsten Betrugsmaschen ist der sogenannte Authorized Push Payment Fraud (APP). Die Täter nutzen dabei intensive Recherchearbeit und psychologische Manipulation. Sie geben sich – vor allem gegenüber Privatpersonen – als Bankmitarbeiter oder Behördenvertreter aus. Sie verfügen oft über erstaunlich detaillierte Kenntnisse ihrer Opfer. Diese Informationen stammen aus dem Darknet oder von gehackten Social-Media-Profilen.

Der durchschnittliche Schaden bei dieser Betrugsart soll bei etwa 10.000 US-Dollar pro Fall liegen. Was die Masche so gefährlich macht: Die Überweisung wird vom echten Kontoinhaber ausgelöst. Damit laufen klassische Sicherheitssysteme ins Leere. Selbst die Zwei-Faktor-Authentifizierung oder SMS-TANs bieten keinen Schutz.

KI verschärft die Bedrohungslage

Die neueste Entwicklung macht Compliance-Beratern besondere Sorgen: Künstliche Intelligenz ermöglicht täuschend echte Deep Fakes von Stimmen und Videoaufnahmen. Die Betrüger können damit perfekt das Auftreten von Bankmitarbeitern oder Geschäftsführern imitieren. Was früher aufwendige Recherche und schauspielerisches Talent erforderte, erledigt heute eine KI in Minuten.

Die Technologie entwickelt sich dabei rasant weiter. Die Kriminellen nutzen bereits:

KI-generierte Stimmen von Führungskräften,

automatisierte Analyse von Sicherheitslücken,

Chatbots für die erste Kontaktaufnahme,

Deep Fakes für Video-Identifizierungen.

Die Antwort der Banken: Verhaltensmuster erkennen

Einige Institute setzen im Gegenzug auf neue Technologien zur Betrugserkennung. Verhaltensbiometrie soll dabei helfen, manipulierte Überweisungen zu erkennen. Die Systeme achten auf:

Ungewöhnlich lange Sitzungsdauer,

auffällige Pausen bei der Eingabe,

zögerliches Verhalten bei routine­mäßigen Aktionen und

häufige Änderungen der Geräteausrichtung.

Die Betrugsbekämpfung gleicht einem Katz-und-Maus-Spiel. Und meist sind die Betrüger den Sicherheitssystemen einen Schritt voraus.

Weshalb KYC allein nicht die Lösung sein kann

Die Bankenaufsicht ist alarmiert. Die Häufung von Betrugsfällen zeigt: Das traditionelle Know-Your-Customer-Prinzip (KYC) stößt an seine Grenzen.

1. Die Schwächen der Überwachung

Die Zahlen sind alarmierend: Etwa 100 Milliarden Euro werden nach Schätzungen jährlich in Deutschland gewaschen. Die Banken müssen verdächtige Transaktionen zwar an die Financial Intelligence Unit (FIU) melden.

Doch wie ein Geldwäsche-Beauftragter einer großen deutschen Bank kritisierte, fehlen bei der Weitergabe an die Staatsanwaltschaften oft wichtige Details – selbst wenn die Institute klare Hinweise auf kriminelle Aktivitäten haben.

2. Die steigenden Kosten der Sicherheit

Die Versicherer haben die neue Bedrohungslage erkannt und bauen ihr Angebot für Vertrauensschadenversicherungen, Vermögensschadenhaftpflichtversicherungen und Cyberversicherungen aus. Allerdings steigen mit dem Risiko auch die Prämien für diese Art von Versicherungen.

Deshalb stehen Banken Haftungs- beziehungsweise Zeichnungsgrenzen, Selbstbehalten oder teilweise auch Schadenfreiheitsrabatten aufgeschlossen gegenüber, teilt der Gesamtverband der Versicherer (GDV) mit.

3. Ein Wettlauf bei der Technologie

Die Branche steckt in einem technologischen Wettrüsten: Während die Banken in teure KI-gestützte Erkennungssysteme und steigende Versicherungsprämien investieren, entwickeln die Kriminellen ihre Methoden ständig weiter.

Fazit: Banken und Behörden sind gefragt

Die Bedrohung durch Technologie-unterstütztes Social Engineering ist gewaltig. Insbesondere kleinere Banken haben dem modernen Bankraub oft wenig entgegenzusetzen.

Die Bafin fordert bessere Führung und strengeres Risikomanagement – doch das beschreibt nur einen (kleinen) Teil des Problems. Natürlich müssen die Banken ihr Personal für das Thema Social Engineering sensibilisieren und das Risikomanagement verbessern. Auf der anderen Seite sind auch die Aufsichtsbehörden in der Pflicht, die Banken schneller und besser zu unterstützen.