IT-Sicherheit bei Banken: “Investieren Sie in sektorübergreifende Zusammenarbeit”
Dr. Peter Robejsek ist Geschäftsführer bei Mastercard Deutschland. Im Interview spricht er darüber, wie Banken von Cyberkriminellen zunehmend in die Enge getrieben werden, auch wenn viele mittlerweile auch KI zum Eigenschutz einsetzen. Er meint: “Doch Banken sind nicht machtlos. Sie haben sehr wohl eine Chance, wenn sie proaktiv handeln.”
Zusammenfassung (TL; DR):
- Die Bedrohung durch Deepfakes und biometrische Umgehung ist bei Banken keine Zukunftsmusik mehr – sie ist Realität
- Banken setzen zunehmend KI-gestützte Betrugserkennungssysteme
Im Bankensektor entwickelt sich die KI-Sicherheit zu einem kritischen Wettlauf zwischen Banken und Cyberkriminellen. Während Banken KI zur Betrugserkennung und Abwehr von Cyberangriffen einsetzen, nutzen Kriminelle dieselbe Technologie, um ihre Methoden zu verfeinern. Ein großes Problem sind etwa Deepfakes und biometrische Umgehung. Sind Banken hier in etwa auf dem Stand der Zeit oder ist deutlich mehr Aufklärung erforderlich?
Dr. Peter Robejsek: Die Bedrohung durch Deepfakes und biometrische Umgehung ist längst keine Zukunftsmusik mehr – sie ist Realität. In vielen Fällen machen sie die Unterscheidung zwischen Realität und dem, was „nur“ real erscheint, fast unmöglich. Deepfakes werden mittlerweile für alle Formen von „Impersonation fraud“ verwendet, z.B. für den sog. Enkeltrick, CEO-Fraud, usw. Außerdem werden Deepfakes benutzt, um offizielle Dokumente zu fälschen, wie z.B. Rechnungen und Personalausweise. Diese wiederum ermöglichen es Betrügern, Bankkonten unter falscher Identität zu öffnen, was letztendlich auch eine Voraussetzung für die meisten Betrugsformen ist. Cyberkriminelle nutzen mittlerweile auch generative KI-Systeme, um sehr gute, täuschend echte Kommunikation von Banken oder anderen Dienstleistern zu erzeugen und so den Endkunden dazu zu manipulieren, entsprechende Freigaben zu vollziehen. Diese Freigaben führen dann oft zu Überweisungen oder Provisionierungen von Zahlmethoden auf Mobiltelefonen der Betrüger. Diese ungewollte Mitwirkung von Kontoinhabern ermöglicht es den Betrügern, entsprechende Konten / Karten missbräuchlich zu nutzen.
Der Finanzsektor hat in den letzten Jahren bei der Sicherheit erhebliche Fortschritte gemacht, insbesondere durch den Einsatz von KI-gestützten Betrugserkennungssystemen wie „Decision Intelligence“ oder „Safety Net“ von Mastercard. Diese Systeme analysieren Transaktionen in Echtzeit und erkennen verdächtige Muster mit hoher Präzision. So hat Safety Net in den letzten 10 Jahren 70 Milliarden illegitime Transaktionen geblockt und in den letzten drei Jahren um die 50 Milliarden US-Dollar an betrugsbedingten Verlusten verhindert.
Um diese Scams zu entdecken, bedarf es insbesondere bei Echtzeit-Überweisungssystemen übergreifender Erkennungsmechanismen. Hier haben wir insbesondere in Großbritannien mit Consumer Fraud Risk ein hoch wirksames System zur Verhinderung von Scam-Betrug etabliert. Daten der britischen Regulierungsbehörde PSR zeigen, dass seit seiner Einführung 2023 der Wert von autorisierten Push-Zahlungsbetrugsfällen (APP-Scams) um über 12 Prozent gesunken ist. Technologie hilft. Aber auch breit angelegte Aufklärung wirkt komplementär dazu. Diese sollte sich sowohl an Mitarbeitende als auch extern an Kunden richten.
Sektorübergreifende Initiativen und Kooperation für mehr Sicherheit
Mastercard setzt bei der Sicherheit hier auch auf sektorübergreifende Initiativen und Kooperation. Mastercards European Cyber Resilience Center (ECRC) ist eine solche Initiative. Dabei handelt es sich um ein hochmodernes Zentrum für Cybersicherheit in Europa, das die Zusammenarbeit zwischen öffentlichem und privatem Sektor sowie Aufsichtsbehörden fördert, um die Resilienz von Unternehmen in der Region weiter zu stärken. Das Zentrum, ansässig am europäischen Hauptsitz von Mastercard in Belgien, ist das erste seiner Art, in das wir außerhalb Nordamerikas investiert haben.
Es bringt Experten für Cyber- und physische Sicherheit zusammen, verkürzt die Kommunikationswege zwischen den internen Mastercard-Teams sowie extern mit Kunden, Partnern und Stakeholdern. Dadurch werden Reaktionszeit und Effektivität bei globalen Ereignissen verbessert und die Einhaltung globaler Datenschutzgesetze sichergestellt: Was wenige wissen: Mastercard hat sich freiwillig dazu verpflichtet, die Europäische Datenschutz Grundverordnung weltweit als Standard zu befolgen. Das Zentrum trägt außerdem dazu bei, den Wissens- und Best-Practice-Austausch mit führenden europäischen Strafverfolgungsbehörden und politischen Entscheidungsträgern zu intensivieren.
Ein weiteres, KI-basiertes Security-Problem ist Datenvergiftung: Angreifer können Daten in den Trainingsdatensatz einer KI einschleusen, um sie zu manipulieren. Dies könnte beispielsweise die Entscheidungen eines Betrugserkennungssystems oder bei der Kreditvergabe verfälschen. Wo sollten Banken am besten ansetzen?
Er blickt auf mehr als 20 Jahre Erfahrung in der Finanzdienstleistungsbranche zurück, unter anderem in der Strategieberatung, wo er bei Booz & Co (heute Strategy&) den Schwerpunkt auf IT-Dienstleister für Fintechs und Banken legte. Dr. Peter Robejsek hat an der Durham University in England promoviert. In seiner wissenschaftlichen Arbeit hat er Verfahren des maschinellen Lernens auf die Schätzung ökonomischer Zusammenhänge angewandt.
Dr. Peter Robejsek: Datenvergiftung – also die gezielte Manipulation von Trainingsdaten für KI-Systeme – ist eine besonders perfide Form des Angriffs. Sie kann dazu führen, dass KI-basierte Systeme falsche Entscheidungen treffen, etwa bei der Kreditvergabe oder der Betrugserkennung. Banken sollten hier mindestens auf zwei Ebenen ansetzen:
- Datenhygiene und Validierung: Die Herkunft und Qualität der Trainingsdaten sollte regelmäßig überprüft werden. Dabei kann Threat Intelligence – Früherkennung von Bedrohungen – helfen. Recorded Future ist das weltweit größte Unternehmen für Threat Intelligence und seit letztem Jahr Teil von Mastercard. Das versetzt uns in die Lage, Tools zur Echtzeit-Analyse von Datenquellen anzubieten. Ziel ist die Erkennung von kompromittiertem Material. So haben wir Ende Oktober den Start von MTI (Mastercard Threat Intelligence) angekündigt. Diese Lösung vereint unsere Expertise bei der Betrugsprävention und Sicherheit und die globale Sicht auf unser Netzwerk mit kuratierter Cyber-Threat Intelligence von Recorded Future. Dieser Ansatz unterstützt Teams bei kartenausgebenden und akquirierenden Banken, cybergestützten Betrug zu erkennen bevor er stattfinden kann. Wir entwickeln uns hin zum Verhindern und weg vom Reagieren.
- Modularisierung und Redundanz: Der Einsatz mehrerer Modelle und Datenquellen reduziert das Risiko, gezielter Manipulation anheim zu fallen.
Die Cybersicherheitsplattform Knowbe4 hat einen Forschungsbericht „Financial Sector Threats Report” veröffentlicht. Der Bericht liefert wichtige Erkenntnisse über die eskalierende Cybersicherheitskrise im globalen Finanzsektor und zeigt, dass Finanzinstitute einem perfekten Sturm aus KI-gestützten Angriffen, Diebstahl von Zugangsdaten und Schwachstellen in der Lieferkette ausgesetzt sind. Haben Banken überhaupt eine Chance, dem entgegenzuwirken und was wäre für Sie die wichtigste Forderung an Finanzinstitute?
Dr. Peter Robejsek: Die Lage ist in der Tat ernst, und wir müssen als Industrie hier die entsprechenden Maßnahmen ergreifen, um weiterhin den Betrügern einen Schritt voraus zu sein. Finanzinstitute stehen unter Druck und sehen sich mit KI-gestützten Angriffen, Diebstahl von Zugangsdaten (Credential Theft) und Schwachstellen in der Lieferkette konfrontiert. Doch sie sind nicht machtlos. Sie haben sehr wohl eine Chance, wenn sie proaktiv handeln.
Threat Intelligence in bestehende Systeme lässt Bedrohungen schneller erkennen
Mastercard und Recorded Future zeigen, wie das geht: Mit der Integration von Threat Intelligence in bestehende Systeme können Bedrohungen frühzeitig erkannt und abgewehrt werden. Die gemeinsame Plattform bietet Echtzeitinformationen über Malware, kompromittierte Händler und digitale Skimming-Aktivitäten. Allerdings bedarf es auch einer aktiven Auseinandersetzung mit den bereitgestellten Informationen seitens der Nutzer-Unternehmen.
Die wichtigste Forderung an Finanzinstitute lautet daher: Investieren Sie in sektorübergreifende Zusammenarbeit und intelligente Frühwarnsysteme im eigenen Haus. Es bedarf solcher Erkennungssysteme, welche möglichst alle Transaktionen analysieren, um so klassische Betrugsmuster eines Scams erkennen zu können, da sehr häufig die Gelder auf Sammelkonten zusammenlaufen und so das ganze Betrugsnetz erkennbar wird. Diese Systeme, so wie etwa oben schon erwähntes Consumer Fraud Risk System für Echtzeitüberweisungen, müssen auch in den anderen Ländern bei Echtzeit-Überweisungssystemen aufgesetzt werden.
Eine wichtige Voraussetzung für ein hoch leistungsfähiges System dieser Art ist allerdings, dass die Algorithmen Informationen sowohl über das Sender-als auch das Empfängerkonto einer Transaktion haben. Diese Voraussetzung ist in Großbritannien im Konten-basierten Echtzeitzahlungsverkehr gegeben. Mastercard stellt die Technologie hierfür zur Verfügung. In Deutschland gibt es diese Gesamtschau hingegen nicht. Die Deutsche Kreditwirtschaft sollte über die Etablierung einer Entität nachdenken, die zum Zwecke der Betrugsbekämpfung Leserechte für Konto-zu-Konto Transaktionen erhält. Solch eine Entität kann dann auf dieser Basis einen wirkmächtigen Risiko-Score bereitstellen, der Banken eine effektive Prävention unlauterer Aktivitäten ermöglicht.
Besonders besorgniserregend ist, dass Tests in großen Finanzinstituten ergaben, dass rund 45 Prozent der Mitarbeiter wahrscheinlich auf einen bösartigen Link klicken oder eine infizierte Datei herunterladen würden. Wie lässt sich dieses Problem etwas eindämmen?
Eins ist klar. Technologie allein reicht nicht. Der Mensch ist leider allzu oft das schwächste Glied in der Sicherheitskette. Um dieses Problem zu adressieren, sind folgende Maßnahmen entscheidend:
- Schulungen und Awareness-Kampagnen: Regelmäßige Trainings für alle Mitarbeitende (und nicht nur für IT-Sicherheitskollegen), die reale Szenarien simulieren, sind essenziell. Wir können hier auch mit Tools wie „My Cyber Risk“, das speziell für KMUs entwickelt wurde, behilflich sein. Nur aufgeklärte Mitarbeiter können auch richtig handeln.
- Verhaltensbasierte Sicherheit: Systeme, die kontinuierlich das Nutzerverhalten analysieren, erkennen Anomalien frühzeitig.
- Zero-Trust-Architekturen, bei denen Vertrauen nicht vorausgesetzt, sondern kontinuierlich überprüft wird – ein Paradigmenwechsel in der IT-Sicherheit.
- Tokenisierung und Passkeys: Die Einführung moderner Authentifizierungsverfahren, die klassische Passwörter ablösen und das Risiko menschlicher Fehler minimieren.
Es bedarf also Maßnahmen wie Schulungen, die beim Menschen selber ansetzen, als auch technologische Ansätze, die die Sicherheit des Systems an sich erhöhen. Und das bedeutet auch, dass Konsumenten eine hohe Bedeutung in der Betrugsbekämpfung zukommt. Vor allem regulatorische Maßnahmen und die Ausgestaltung neuer Zahlungssysteme müssen darauf ausgelegt sein, dass Konsumenten die Verantwortung für die aktive Abwehr von Betrug weiterhin mittragen.
