KI-Betrug: Deepfakes bedrohen Online-Zahlungsverkehr

Ausgerechnet zum Start des Black-Friday-Wochenendes schlagen Sicherheitsexperten Alarm: Künstliche Intelligenz ermöglicht eine neue Generation von Zahlungsbetrug. Während Millionen Verbraucher nach Schnäppchen jagen, erreicht der Missbrauch von Deepfakes und gefälschten Identitäten Rekordhöhen – und zwingt Regulierer zum Handeln.

In Brüssel einigten sich EU-Unterhändler erst heute Morgen auf verschärfte Regelungen für Zahlungsdienstleister. Die neue Payment Services Regulation (PSR) und die dritte Zahlungsdiensterichtlinie (PSD3) reagieren direkt auf die rasant wachsende Bedrohung durch KI-gestützte Betrugsmaschen. Banken und Zahlungsanbieter müssen künftig deutlich stärker in Prävention investieren – und haften bei Identitätsdiebstahl durch Spoofing.

Jeder fünfte Betrugsversuch nutzt Deepfakes

Die Dimension des Problems zeigt der diese Woche veröffentlichte Identity Fraud Report von Entrust, einem weltweit führenden Anbieter für Identitätssicherheit. Die Zahlen sind alarmierend: 20 Prozent aller biometrischen Betrugsversuche weltweit basieren mittlerweile auf Deepfakes.

Besonders perfide sind sogenannte Injection-Angriffe. Dabei umgehen Kriminelle die Kamera eines Geräts vollständig und speisen stattdessen vorab aufgezeichnete oder KI-generierte Videos direkt in Verifizierungssysteme ein. Entrust registrierte hier einen Anstieg von 40 Prozent im Jahresvergleich. Die Zahl gefälschter Selfies schnellte sogar um 58 Prozent nach oben.

Passend zum Thema Mobil-Betrug – Millionen Nutzer unterschätzen, wie schnell Kriminelle mit KI Zugriff auf Konten bekommen. Unser Gratis‑Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Android‑Smartphones mit klaren Schritt‑für‑Schritt-Anleitungen: wie Sie WhatsApp, PayPal und Mobile‑Banking absichern, gefälschte Links erkennen und App‑Berechtigungen richtig setzen. Enthalten sind Checklisten, Update‑Tipps und Hinweise zur Erkennung von Injection‑Angriffen. Gratis Android-Sicherheits-Paket herunterladen

„Wir erleben die Industrialisierung des Betrugs”, heißt es in dem Report. Digitale Dokumentenfälschungen machen mittlerweile 35 Prozent aller Urkundenfälschungen aus – Tendenz steigend. Dabei handelt es sich nicht mehr um plumpe Photoshop-Arbeiten, sondern um hochwertige KI-Repliken von Ausweisdokumenten. Personalausweise sind mit 46 Prozent der globalen Dokumentenfälschungen das beliebteste Angriffsziel.

Verbraucher verlieren das Vertrauen

Die technische Komplexität dieser Angriffe mag hoch sein – das Misstrauen der Konsumenten ist sofort spürbar. Eine am Dienstag veröffentlichte Studie des Mobile-Security-Unternehmens Appdome offenbart eine massive Vertrauenslücke pünktlich zur Shopping-Saison.

51 Prozent der amerikanischen Verbraucher betrachten KI mittlerweile als direkte Bedrohung für die Sicherheit ihrer mobilen Apps. Zwar erwarten fast 90 Prozent der Nutzer, dass ihre Anwendungen KI-gestützte Bedrohungen wie Bots und Deepfakes proaktiv blockieren. Doch nur magere 10,6 Prozent glauben tatsächlich daran, dass aktuelle Apps dies auch können.

In Lateinamerika zeigt sich ein ähnliches Bild. Eine am Mittwoch veröffentlichte Mastercard-Umfrage ergab, dass 43 Prozent der Konsumenten KI-gesteuerten Betrug – einschließlich Voice-Cloning – als größte neue Bedrohung sehen. Trotz der rasanten Verbreitung digitaler Wallets und Echtzeitzahlungen nennt fast die Hälfte der Befragten Betrug als größte Frustration im digitalen Zahlungsverkehr.

Wenn Shopping-Assistenten zu Komplizen werden

Die Bedrohung entwickelt sich über simple Identitätstäuschung hinaus. Visa warnt in einer diese Woche weit verbreiteten Analyse vor „Agentic Commerce”-Betrug – gezielten Angriffen auf KI-Shopping-Agenten. Diese autonomen Programme vergleichen zunehmend automatisiert Preise und wickeln Käufe ab.

Die Payment Fraud Disruption-Einheit von Visa meldete einen Anstieg von 450 Prozent bei Darknet-Diskussionen über „AI Agent”-Tools innerhalb der letzten sechs Monate. Diese Werkzeuge ermöglichen Kriminellen eine vollständig automatisierte Betrugsmasche: gefälschte Websites, nachgeahmte Markenidentitäten und Fake-Kundendienst-Bots, die Zugangsdaten von legitimen Shopping-Assistenten abgreifen.

Das Ausmaß dieser Automatisierung ist beeindruckend. Entrust registriert Betrugsversuche mittlerweile hauptsächlich zwischen 2:00 und 4:00 Uhr UTC – eine Zeit, in der menschliche Sicherheitsteams oft unterbesetzt sind. Ein deutlicher Hinweis darauf, dass hier keine Einzeltäter, sondern organisierte Strukturen am Werk sind, die rund um die Uhr operieren.

Europa verschärft die Regeln drastisch

Als Reaktion auf die eskalierende Bedrohung bewegen sich Regulierer und Branchenvertreter schnell.

Die heute beschlossenen EU-Regeln (PSD3/PSR) sind eine direkte gesetzgeberische Antwort. Die neue Payment Services Regulation verpflichtet Zahlungsdienstleister zu verbesserten Betrugspräventionsmechanismen. Entscheidend: Sie müssen betrugsrelevante Daten untereinander teilen, um Muster frühzeitig zu erkennen.

Zudem führt die Verordnung ein „Rückerstattungsrecht” für Verbraucher ein, die Opfer von Spoofing-Betrug werden – also wenn Kriminelle sich als Bankmitarbeiter ausgeben. Die finanzielle Verantwortung zur Verhinderung solcher Verbrechen liegt damit verstärkt bei den Instituten selbst.

Banken empfehlen Zweitkonten

In Indien geht der Telekom-Riese Bharti Airtel einen ungewöhnlichen Weg. CEO Gopal Vittal riet seinen Kunden diese Woche zu einer „Zweitkonto-Strategie”: ein separates Konto mit begrenztem Guthaben für tägliche UPI- und digitale Zahlungen, um Ersparnisse vor KI-gestützten Abschöpfungen zu schützen. Gleichzeitig kündigte Airtel an, KI-gestützte Spam-Erkennung auf Netzwerkebene einzusetzen, um betrügerische Links direkt zu blockieren.

Auch nordamerikanische Banken schlagen Alarm. Die Financial Crime Unit der BMO prognostiziert, dass 2,6 Prozent aller Online-Transaktionen zwischen Thanksgiving und Cyber Monday betrügerisch sein könnten – ein deutlicher Anstieg gegenüber Vorjahren. Generalstaatsanwälte mehrerer US-Bundesstaaten warnten heute explizit vor KI-geklonten Stimmen bei Notfall-Betrugsmaschen und Deepfake-Prominenten-Werbung in sozialen Medien.

Das KI-Paradox der Sicherheit

Die Zahlungsverkehrsbranche steht vor einem Paradox: Dieselbe KI-Technologie, die Betrug erkennen soll, wird zugleich für dessen Durchführung genutzt. „Die Zeiten, in denen man sich allein auf ein statisches Passwort oder ein einfaches Selfie verlassen konnte, sind vorbei”, analysieren Cybersicherheitsexperten die Daten dieser Woche.

Die Zukunft liegt in „Liveness Detection” und verhaltensbasierter Biometrie – also der Analyse, wie ein Nutzer sein Smartphone hält oder sein Passwort tippt, nicht nur wie er aussieht. Doch wie Entrusts Bericht warnt, schließt sich das Zeitfenster für diesen Vorteil. Injection-Angriffe machen Standard-Videoverifizierungen zunehmend wirkungslos.

Die nächste Generation digitaler Identität wird voraussichtlich hardware-basierte Sicherheitsschlüssel und multimodale Authentifizierung erfordern, um lebende Menschen von synthetischen Phantomen zu unterscheiden. Während an diesem Wochenende Millionen Transaktionen pro Sekunde verarbeitet werden, bleibt die Botschaft an Verbraucher eindeutig: Skepsis ist die beste Firewall. Klingt ein Angebot zu gut, um wahr zu sein? Wirkt die Stimme eines Familienmitglieds am Telefon leicht „off”, wenn es um Geld bittet? Dann innehalten und verifizieren. Im Zeitalter der KI ist Sehen nicht länger Glauben.

Übrigens: Wenn Sie dieses Wochenende shoppen, schützen Sie Ihr Konto vor Deepfakes, Voice‑Cloning und Spoofing‑Angriffen. Der kostenlose Ratgeber zeigt, wie Sie Ihr Android‑Gerät in wenigen Schritten gegen Injection‑Angriffe und manipulierte Verifikationsvideos härten und welche Einstellungen Sie in Bank‑ und Zahlungs‑Apps aktivieren sollten. Ideal für Nutzer digitaler Wallets: Praxis‑Checkliste inklusive. Jetzt kostenloses Sicherheitspaket für Android sichern