Der Kampf gegen Betrug im Zeitalter von künstlicher Intelligenz

Verfasst von Tobias Vetter

Deepfakes, geklonte Stimmen und Phishing-Webseiten ganz einfach erstellt. Betrug war noch nie so professionell und gleichzeitig simple wie heute. Doch was können Finanzinstitute, Dienstleister, die produzierende Industrie oder Regulatoren dagegen tun? Müssen wir als Produktmanager Betrugsprävention als Dienstleistung verstehen und unsere Kunden aktiv schützen? Wo liegt die Verantwortung des Kunden, wo die der Banken? Diese und weitere Fragen standen im Zentrum unseres jüngsten t'charta Roundtable.

Gemeinsam mit drei Experten aus der Finanzbranche und der Pharmaindustrie sowie den Teilnehmern am runden Tisch wurde diskutiert: Dominik Käser, Lead Fachstelle Betrug der St.Galler Kantonalbank und ehemaliger Polizist, Dr. Patrick Hilpert, Senior Product Manager bei Viseca, und Nicolas Florin, Geschäftsführer des SMVO Schweizerischen Verband für die Verifizierung von Arzneimitteln, teilten ihre Erfahrungen und Standpunkte.

KI als Katalysator für Betrug

Ein zentrales Thema war, wie KI die Betrugslandschaft in der Schweiz und weltweit verändert. Aus der Bankenperspektive wurde deutlich, wie anspruchsvoll die Balance zwischen Sicherheit und Benutzerfreundlichkeit geworden ist. Die digitalen Konsumenten erwarten ein schnelles, reibungsloses und medienbruchfreies Onboarding und Abwickeln von  Transaktionen. Gleichzeitig verstärkt KI die bestehenden Betrugsmuster und schafft neue Möglichkeiten und Wege, Die Arten der Täuschung werden vielfältiger und raffinierter. Der Konsument kann zwischen echt und falsch nicht mehr unterscheiden, was das Vertrauen in die digitalen Dienste untergräbt.

Besonders perfide: «Phishing-as-a-Service», bei dem Betrüger fertige Toolkits inklusive Anleitung und Support einkaufen können, ohne selbst programmieren zu müssen. Es herrscht eine globale Arbeitsteilung zwischen den Fraudster-Netzwerken. Und mit dem betrügerischen Erschleichen von Transaktionen und Geldbeträgen ist es noch nicht getan. Besonders herausfordernd bleibt der Umgang mit sogenannten Money Mules, über deren Konten ergaunerte Gelder transferiert und gewaschen werden. Häufig sind hier Konten von ahnungslosen Kunden involviert, welche einer geschickten Geschichte von lukrativen Nebenjobs oder Usability Testing von Online-Onboarding erfundener Forschungsinstituten aufgelaufen sind.

Die Kartenindustrie zeigt, dass bewährte Verfahren durchaus funktionieren. Dank strukturierter Daten und langjähriger Erfahrung in der Betrugsprävention arbeitet sie bereits seit Jahren mit regelbasierten Modellen, KI-Modellen und Echtzeit-Alarmierungen der Konsumenten. Wichtig ist ein übergreifendes System, um Daten verschiedener Quellen auszutauschen und Risiko-Scores hinter Transaktionen, Kunden und Zahlungsempfänger (Merchants) erstellen zu können. Die Kombination aus Technologie, Regeln und Kundeninteraktion ist und bleibt zentral.

Ein analoges Phänomen mit Fraud gibt es auch der Pharmawelt: KI erlaubt es Fälschern, Auftritte zu gestalten, die offiziellen Behörden oder Apotheken täuschend ähnlich sehen. Wer also nicht selbst zur Apotheke oder zum Arzt gehen möchte und seine Produkte übers Internet bezieht, begibt sich in die Gefahr, gefälschte Produkte und Medikamente zu erhalten, welche sogar lebensgefährlich sein können. Die Pharmabranche entwickelte deshalb auch ein System, bei dem jedes Medikament einen eindeutigen QR-Code erhält, was das Produkt entlang der gesamten Lieferkette – vom Produzenten bis zur Apotheke – nachverfolgbar macht. Ziel ist es, das Vertrauen des Konsumenten in die Echtzeit des Medikaments zu stärken, und Betreibern von Grau- und Schwarzmärkten mit gestohlenen und gefälschten Medikamenten das Leben schwer zu machen.

Wer trägt die Verantwortung? 

Ein wichtiger Teil der Diskussion drehte sich um die Frage, wer welche Verantwortung beim Thema Betrug trägt. Die Banken betonten, dass Awareness schaffen bei den Kunden wichtig ist, denn auch ihre Mechanismen zur Frauddetektion stossen an Grenzen. Nicht jede Transaktion kann hinterfragt werden, irgendwann wird jede Karte das erste Mal benutzt. Ausserdem können nicht zu viele Hürden eingebaut werden, da Kunden nicht auf die Convenience des heutigen Zahlungssystems verzichten wollen. Die Branche sieht deshalb pauschale Haftungsregeln, wie sie etwa in anderen Ländern diskutiert oder eingeführt wurden, kritisch.

Gleichzeitig wurde ersichtlich, dass reine Eigenverantwortung der Konsument zu kurz greift. Viele der heutigen Betrugsformen sind so gut orchestriert, dass selbst erfahrene Menschen kaum Chancen haben, gefälschte Anrufe, Webseiten oder Identitäten sofort zu erkennen. Besonders verletzlich sind Personen, die in neue Lebenssituationen treten und sich mit den Dienstleistungen und Produkten für diese Lebensphase unsicher und zu wenig vertraut fühlen; Jugendliche mit ersten Jobs, Menschen mit frischen Erbschaften oder Personen nach einer Scheidung, die schlicht wenig Erfahrung mit bestimmten Transaktions- und Anlagearten haben. Hier sehen die Teilnehmenden des Roundtables klare Aufgaben für die Finanzindustrie: bessere Hilfsmittel, klare Warnhinweise, zeitnahe Interventionen und moderne Awareness‑Kampagnen. Aber auch eine Alarmierung in Echtzeit bei Anomalien und die digitale Einholung von Kontext hinter einer Transaktion sind wichtige Bestandteile der modernen Fraud Prävention-Produktestrategie und Dienstleistungen.

Unterm Strich herrschte Einigkeit darüber, dass die Verantwortlichkeit heute verteilt ist:
zwischen Kunden, Banken, Kartenherausgebern, Plattformen, Telcos und Behörden.

Erfolgsfaktoren und offene Baustellen

Aus der intensiven Diskussion zwischen den Teilnehmern am Roundtable gingen mehrere Erfolgsfaktoren und offene Baustellen hervor:

  • Permanente Sensibilisierung und Alarmierung der Kunden ist unabdingbar. Dabei sollten Firmen sich nicht nur auf allgemeine, industrieübergreifende Kampagnen verlassen, sondern am Touchpoint mit den Konsumentinnen und Konsumenten über potenzielle Risiken aufklären, ohne seine eigenen Produkte schlecht zu reden. Grundsätzlich gilt: auch die Fraudster sehen, dass das Institut oder die Firma wachsam ist, und sehen eine tiefere Erfolgswahrscheinlichkeit sowie Payback. Auch Fraudster machen ihren Business Case.

  • Netzwerkbasierte Fraud-Erkennung wird zentral. Einzelne Banken sind zu klein, um Betrugsmuster zuverlässig selbst zu erkennen. Nur auf Netzwerkebene und über Zahlungsmittel hinweg lassen sich Anomalien und Money-Mule-Strukturen wirkungsvoll identifizieren. Anonymisierte Teilnehmernummern könnten genügen, ohne Kundendaten offenzulegen.

  • Multi-Score-Ansatz muss entwickelt werden. Ein einziger Risikoscore reicht nicht. Zukünftig braucht es eine Kombination aus internen Scores, Werten von Kreditkartengesellschaften, Clearing-Systemen und Verhaltensanalysen des Kunden im Online Banking. Hier besteht jedoch der Konflikt zwischen Überwachung und der Privatsphäre des Kunden, welche kritisch abgewogen und transparent gemacht werden muss.

  • Root-Cause-Intervention anstatt nur Symptome zu bekämpfen. Den Tätern müssen die Mittel entzogen werden – etwa durch die Verhinderung von Caller-ID-Spoofing. Ein Beispiel aus der Polizeiarbeit: Durch Zusammenarbeit zwischen Strafverfolgung, Providern und Finanzinstituten konnten gefälschte Banktelefonnummern zurückgedrängt und Fraud erschwert werden.

  • Alarmierung der Kunden in Echtzeit: Transaktionen müssen schon bei ihrer Erfassung auf Fraud-Risiken überprüft werden, sodass der Kunde umgehend gewarnt wird. Natürlich gibt es Kunden, welche unter der manipulativen Kontrolle der Fraudster sind, aber dennoch wird der eine Kunde oder die andere Kundin misstrauisch und bricht die Interaktion mit dem Fraudster ab.

  • Regulierung ist das letzte Mittel. Die britische Regelung, wonach Sender- und Empfängerbank bei Betrug bis zu 85'000 Pfund haften, wurde kontrovers diskutiert. Einigkeit herrschte: Eigeninteresse der Industrie ihre Kunden zu schützen ist stärker und vor allem schneller als regulatorischer Zwang, sofern die Anreize stimmen.

Fazit: Zusammenarbeit statt Silodenken

Betrug mit künstlicher Intelligenz und globaler Arbeitsteilung kennt keine institutionellen Grenzen. Die wirksamsten Ansätze entstehen dort, wo Finanzinstitute, Regulatoren, Strafverfolgungsbehörden, Technologieanbieter und Kunden zusammenarbeiten und ihr Wissen teilen, bevor die Regulation sie dazu zwingt. Der t'charta Roundtable hat gezeigt: Die technologischen Grundlagen für bessere Betrugsprävention sind vorhanden. Was es braucht, ist die Überzeugung, sie einzusetzen und die Bereitschaft, die Verantwortung gemeinsam zu tragen: Banken, Institute, Unternehmen und Kunden.

Ein herzliches Dankeschön gilt unseren Gästen Dominik, Patrick und Nikola, sowie allen, die vor Ort und online dabei waren und die Diskussion mit ihren Inputs inspiriert und bereichert haben.

Tobias Vetter
Weiter

Zirkuläre Logistik skalieren – Von der Idee zur operativen Umsetzung (Teil 2)