Visa warnt: Cyberkriminelle agieren wie Tech-Startups

Die Finanzbranche kämpft mit industrialisierter Cyberkriminalität. Während Betrüger ihre Operationen wie professionelle Unternehmen skalieren, vernachlässigt fast ein Drittel aller Bankkunden grundlegende Sicherheitsmaßnahmen – eine gefährliche Kombination, die das Finanzsystem unter Druck setzt.

Visa, Mastercard und Google haben diese Woche alarmierenden Entwicklungen getrotzt: Die Bedrohungslage spitzt sich dramatisch zu, doch Verbraucher reagieren kaum. Was bedeutet das für die Sicherheit unserer Konten?

Am 20. November veröffentlichte Visa seinen Herbst-Bedrohungsbericht 2025 – mit erschreckenden Zahlen. Ransomware-Angriffe auf das Zahlungsverkehrssystem stiegen zwischen Januar und Juni 2025 um 41 Prozent im Vergleich zum Vorhalbjahr. Noch besorgniserregender: Die Verbreitung gestohlener Admin-Zugänge explodierte um 173 Prozent.

„Das Zahlungsökosystem erlebt einen Paradigmenwechsel”, erklärte Paul Fabara, Risikochef bei Visa. „Kriminelle arbeiten nicht mehr opportunistisch, sondern wie Tech-Startups. Sie bauen wiederverwendbare Infrastruktur auf und führen systematische Operationen in industriellem Maßstab durch.”

Passend zum Thema Cyberkriminalität: Social-Engineering, gefälschte Mails und gestohlene Admin-Zugänge sind Treiber der aktuellen Betrugswellen in Finanznetzwerken. Das kostenlose Anti-Phishing-Paket bietet eine praxisnahe 4‑Schritte-Anleitung gegen CEO-Fraud, Phishing-Vorlagen und kompromittierte Mitarbeiterkonten – speziell für Organisationen im Finanzsektor. Mit Checklisten, Erkennungsregeln und Sofort-Maßnahmen für IT, Compliance und Führungskräfte. Anti-Phishing-Paket jetzt gratis anfordern

Die Strategie der Angreifer gleicht mittlerweile einem ausgeklügelten Geschäftsmodell: Geduldig sammeln sie Zugangsdaten, bevor sie koordinierte Blitzangriffe starten, die klassische Betrugserkennungssysteme schlicht überfordern. Das Ganze erinnert eher an ein gut geöltes Startup als an klassische Kriminalität.

Die gefährliche Sorglosigkeit der Nutzer

Während die Bedrohung wächst, schläft die Wachsamkeit. Eine am 18. November veröffentlichte Studie von J.D. Power offenbart das schwächste Glied der Sicherheitskette: uns selbst.

Obwohl 29 Prozent der Bankkunden und 24 Prozent der Kreditkartennutzer im vergangenen Jahr Betrugsopfer wurden, unternahm fast ein Viertel aller Bankkunden (23 Prozent) und knapp ein Drittel der Kreditkartenbesitzer (29 Prozent) in den letzten 90 Tagen keinerlei Sicherheitsmaßnahmen. Keine Passwortänderung, keine Zwei-Faktor-Authentifizierung – einfach nichts.

„Finanzinstitute investieren Milliarden in Cybersicherheit, aber allein können sie nur begrenzt schützen”, kommentierte Jennifer White, Direktorin bei J.D. Power.

Besonders überraschend: Ausgerechnet die Generation Z ist am stärksten betroffen. 43 Prozent erlebten Debitkartenbetrug, 41 Prozent Kreditkartenbetrug. Die vermeintlich digitalkompetenteste Generation fällt besonders häufig auf raffinierte Social-Engineering-Tricks herein.

Gegenschlag der Infrastruktur

Die Branche reagiert mit massiven Technologie-Upgrades, die Sicherheit vom Nutzer entkoppeln sollen.

Tokenisierung auf dem Vormarsch

Am 19. November starteten Mastercard und Google Google Pay auf den Philippinen. Das Herzstück: Mastercards Tokenisierungstechnologie. Statt der tatsächlichen 16-stelligen Kartennummer wird bei jeder Transaktion ein einzigartiger, gerätespezifischer Token übertragen.

„Diese Innovation beschleunigt die Reise zu einer digital inklusiven Wirtschaft, in der sichere, tokenisierte Transaktionen zur Norm werden”, erklärte Jason Crasto, Mastercard-Chef für die Philippinen. Selbst wenn Kriminelle Daten abfangen – sie sind faktisch wertlos.

Sicherheit durch Programmiersprache

Google kündigte am 20. November eine weitere Neuerung an: Die Integration der Programmiersprache Rust in die Quick-Share-Funktion von Android. Rust gilt als “speichersicher” und eliminiert ganze Kategorien von Sicherheitslücken wie Pufferüberläufe. Besonders relevant wird dies, da Quick Share künftig mit Apples AirDrop kompatibel sein wird – eine plattformübergreifende Schwachstelle weniger.

Das KI-Identitäts-Problem

Mit dem Siegeszug von KI-Agenten entsteht eine neue Angriffsfläche: nicht-menschliche Identitäten. Token Security präsentierte am 19. November ein Governance-Framework speziell für “KI-Agenten-Identitätsmanagement”.

Unternehmen setzen tausende interne KI-Agenten ein – der Pharmakonzern Moderna skalierte binnen eines Jahres von 750 auf über 3.000 interne GPT-Agenten. Diese “Maschinen-Nutzer” besitzen oft weitreichende Zugriffsrechte, unterliegen aber nicht der Überwachung menschlicher Mitarbeiter. Ein kompromittierter KI-Agent könnte zur Hintertür ins Finanzsystem werden.

Verteidigung in vier Schichten

Die Branche fährt eine mehrschichtige Abwehrstrategie:

• Schicht 1 (Infrastruktur): Visa und Mastercard härten die Zahlungsnetze durch Tokenisierung
• Schicht 2 (Code): Google und andere schreiben Kernprotokolle in sichereren Sprachen neu
• Schicht 3 (Governance): Neue Tools überwachen KI-Agenten mit Finanzzugriff
• Schicht 0 (Mensch): Das größte Problem bleibt ungelöst

Doch die J.D.-Power-Daten zeigen: Die “Schicht 0” – der Mensch – bleibt das schwächste Glied. Während Betrug immer automatisierter wird, verschiebt sich die Strategie weg von Nutzer-Wachsamkeit hin zu unsichtbaren, passiven Schutzmaßnahmen.

Ausblick: Das Ende des Passworts?

2026 dürfte die “Authentizitätskrise” sich verschärfen. Kriminelle nutzen KI zur Erzeugung synthetischer Identitäten – die Unterscheidung zwischen echten und falschen Kunden wird immer schwieriger.

Die Antwort der Banken? Ein aggressiver Wechsel zu biometrischen Passkeys. Das klassische Passwort-Modell, das Phishing-Attacken erst ermöglicht, steht vor dem Aus. Gleichzeitig dürfte die Regulierung autonomer KI-Agenten zunehmen – besonders in der EU könnten strenge Identitätsmanagement-Vorgaben für Systeme kommen, die selbstständig Zahlungen ausführen.

Die Botschaft ist klar: Die Banken bauen höhere Mauern. Doch die sicherste Tür nützt nichts, wenn sie sperrangelweit offensteht.

PS: Wenn selbst gut geschulte Mitarbeiter noch auf CEO-Fraud hereinfallen, sollten Sie Ihre Abwehr schnell stärken. Der Gratis-Report erklärt aktuelle Hacker-Methoden, typische psychologische Tricks und konkret umsetzbare Gegenmaßnahmen für Banken und Zahlungsdienstleister. Enthalten sind Checklisten, Vorlagen für Mitarbeiterschulungen und ein Sofort-Plan für den Ernstfall, damit Sie Zugriffe und Betrugsfälle schneller stoppen. Gratis Anti-Phishing-Guide herunterladen