Banken im Stresstest: KI-Agenten und Voice-Phishing fordern Sicherheit neu heraus

Die Finanzbranche steht vor einem Sicherheits-Umbruch. Ausgereifte Voice-Phishing-Angriffe und der Aufstieg autonomer KI-Assistenten stellen herkömmliche Authentifizierungsmethoden wie photoTAN fundamental infrage. Experten fordern ein komplettes Umdenken.

Alarmstufe Rot: Voice-Phishing zielt auf Mitarbeiter und Kunden

Finanzaufsichten schlagen Alarm. Eine aktuelle Warnung der New Yorker Finanzaufsicht (NYDFS) vom 6. Februar 2026 beschreibt eine gezielte Vishing-Kampagne. Dabei geben sich Angreifer als IT-Helpdesk aus, um Bankmitarbeiter und Kunden zur Herausgabe von Zugangsdaten und Zwei-Faktor-Codes zu manipulieren.

Die Täter nutzen gefälschte Telefonnummern, um Vertrauen vorzutäuschen. Die Aufsicht drängt Institute zu robusteren Identitätsprüfungen, die nicht auf der Anruferkennung basieren. Zentral ist auch die Sensibilisierung der Belegschaft für Social Engineering. Die Warnung zeigt: Selbst moderne Sicherheitssysteme sind angreifbar, wenn die menschliche Komponente gezielt manipuliert wird.

Voice‑Phishing und Vishing sind keine Einzelfälle – gerade Banken und ihre Kunden stehen unter massivem Betrugsdruck. Das kostenlose Anti‑Phishing‑Paket erklärt in 4 klaren Schritten, wie Sie Mitarbeiter sensibilisieren, CEO‑Fraud erkennen und das Abgreifen von Zwei‑Faktor‑Codes verhindern. Enthalten sind praxisnahe Checklisten, konkrete Handlungsempfehlungen für IT und HR sowie Fallbeispiele aus dem Finanzsektor. Jetzt Anti‑Phishing‑Paket herunterladen

Die „doppelte Authentifizierungs-Krise“ durch KI

Parallel entsteht eine neue Bedrohungslage durch autonome KI-Agenten. Diese Programme können selbstständig Transaktionen ausführen – und stellen die Sicherheitslogik auf den Kopf. Experten sprechen von einer „doppelten Authentifizierungs-Krise“, die zwei Fragen beantworten muss: Hat der Nutzer den KI-Agenten autorisiert? Und arbeitet der Agent auch tatsächlich wie vorgesehen?

Das ist ein Paradigmenwechsel. Es geht nicht mehr nur um „Bist du es wirklich?“, sondern um die Validierung delegierter Befugnisse: „Hast du diesen Agenten für diese Handlung bevollmächtigt?“ Herkömmliche Methoden wie die photoTAN, die eine einzelne Transaktion durch einen Menschen bestätigen, sind für den Dauerbetrieb eines Software-Agenten nicht ausgelegt.

Multi-Faktor-Authentifizierung am Scheideweg

Die doppelte Bedrohung zwingt zum Überdenken der Multi-Faktor-Authentifizierung (MFA). Sie bleibt zwar ein Grundpfeiler, doch die Vishing-Angriffe zeigen ihre Schwachstelle: MFA-Codes lassen sich durch Manipulation erbeuten.

Gleichzeitig erfordern KI-Agenten neue Sicherheitsebenen, die deren Handlungen fortlaufend mit Nutzerberechtigungen abgleichen. Experten schlagen vor, dass ungewöhnliche Transaktionsanfragen eines Agenten eine spezielle Bestätigung auslösen sollten. So entstünde ein System gegenseitiger Kontrolle.

Branche an kritischer Weggabelung

Die Entwicklungen der letzten Woche markieren einen Wendepunkt. App-basierte Authentifizierung und Zwei-Faktor-Codes, lange der Goldstandard, werden nun von Angreifern herausgefordert, die menschliche Psychologie und neue Technologien geschickt kombinieren.

Die Vishing-Warnung ist eine Mahnung: Technische Schutzvorkehrungen sind nur so stark wie die Wachsamkeit der Menschen. Die Schulungen müssen nun Voice-Phishing und andere raffinierte Social-Engineering-Taktiken abdecken. Für die KI-getriebene Finanzwelt ist die Herausforderung noch größer. Die Lösung der „doppelten Authentifizierung“ erfordert eine gemeinsame Anstrengung von Banken, Cybersicherheitsfirmen und Aufsichtsbehörden.

Ausblick: Biometrie und Verhaltensanalyse als neue Standards

Die Branche wird ihre Investitionen in Sicherheit der nächsten Generation vorantreiben. Dazu gehören fortschrittliche biometrische Verfahren, Verhaltensanalysen zur Erkennung anomaler Aktivitäten und widerstandsfähigere MFA-Systeme.

Die Entwicklung branchenweiter Standards für den „agentic commerce“ wird entscheidend sein. In den nächsten ein bis zwei Jahren wächst der Druck auf Institute, solche Frameworks umzusetzen. Die große Aufgabe: mehr Sicherheit zu schaffen, ohne die Nutzerfreundlichkeit des Mobile Bankings zu beeinträchtigen.

PS: Die „doppelte Authentifizierungs‑Krise“ verlangt pragmatische Lösungen für Technik und Organisation. Das kostenlose Anti‑Phishing‑Paket bietet nicht nur Abwehrstrategien gegen Vishing, sondern auch Empfehlungen, wie Banken Verhaltensanalysen und fortlaufende Autorisierungsprüfungen implementieren können – inklusive Schulungsvorlagen und Notfallprotokollen für den Praxisalltag. Schützen Sie Kunden und Systeme mit einem erprobten Maßnahmenkatalog. Anti‑Phishing‑Paket jetzt gratis sichern