Und dennoch handelt es sich um Betrug.
Die Erklärung liegt darin, dass der Kontoinhaber entweder durch Social Engineering dazu gebracht wurde, die Transaktion selbst durchzuführen – klassischer „Authorized Push Payment"-Betrug – oder dass sein Konto und sein Gerät auf eine Weise kompromittiert wurden, die keine technischen Spuren hinterlässt, die KI-Systeme erkennen könnten.
Die KI-Agenten sind blind für die menschliche Ebene
Moderne Betrugserkennung stützt sich zunehmend auf Künstliche Intelligenz und maschinelles Lernen. Die Systeme analysieren Muster: ungewöhnliche Standorte, neue Geräte, atypische Transaktionsbeträge oder -zeiten. Bei der Erkennung genau solcher Abweichungen sind sie äußerst leistungsfähig.
Doch „the all green problem" nutzt einen fundamentalen blinden Fleck aus: Die Agenten sind nicht in der Lage, den menschlichen Kontext hinter einer Transaktion zu bewerten. Sie können nicht beurteilen, ob der Kontoinhaber frei und informiert handelt – oder ob er unter Druck steht, durch einen Deepfake-Anruf in die Irre geführt wurde oder sich von einem Betrüger überzeugen ließ, der sich als Bankmitarbeiter ausgab.
Genau diese Schwäche nutzen Kriminelle in zunehmendem Maße aus. Social-Engineering-Betrug ist nicht neu, doch die Kombination mit ausgefeilter Kontokompromittierung – bei der ein Angreifer ein Gerät oder eine Sitzung übernimmt, ohne das Passwort zu ändern – gibt Betrügern die Möglichkeit, vollständig innerhalb jener Parameter zu agieren, die KI-Systeme als normal einstufen.
Das Muster wiederholt sich institutsübergreifend
Das Beunruhigende an dieser Entwicklung sind nicht die Einzelfälle, sondern das systemische Muster. Laut der Analyse von Thomson Reuters zu KI-getriebenem Betrug handelt es sich um einen Trend, bei dem Betrüger ihre Methoden gezielt so anpassen, dass sie genau jene Signale vermeiden, auf die die Erkennungssysteme kalibriert sind. Es ist ein Wettlauf von maschinellem Lernen gegen maschinelles Lernen – ein Wettlauf, den die Banken derzeit zu verlieren drohen.
Finanzinstitute befinden sich in einem Dilemma: Verschärfen sie die Kontrollen und beginnen, Transaktionen zu blockieren, die technisch gesehen legitim wirken, riskieren sie, echte Kunden mit unnötigen Ablehnungen und Reibungsverlusten zu treffen. Tun sie es nicht, können Betrüger ungehindert weiterarbeiten.
Das Ergebnis ist, dass vielen Instituten derzeit wirksame Werkzeuge fehlen, um genau diese Betrugskategorie zu bekämpfen – und dass die Verlustzahlen still und leise wachsen, ohne dass die Alarme klingeln.
Was können Banken tun?
Sicherheitsexperten weisen darauf hin, dass die Lösung nicht ausschließlich technischer Natur ist. Zwar lassen sich KI-Systeme verbessern, um Verhaltensmuster differenzierter zu analysieren – etwa indem sie prüfen, ob das Interaktionsverhalten eines Nutzers auf der Transaktionsseite selbst von seinem üblichen Muster abweicht –, doch erfordert „the all green problem" auch eine Stärkung des menschlichen Elements.
Das bedeutet: eine robustere Aufklärung der Kunden über Social Engineering, Verfahren zur Bestätigung ungewöhnlicher Überweisungen über sekundäre Kanäle sowie eine verstärkte Zusammenarbeit zwischen Instituten beim Austausch von Mustern und Indikatoren für kompromittierte Konten.
Betrugsprävention im Bankensektor ist ein Bereich, der den Methoden der Kriminellen historisch stets hinterhergehinkt ist. Mit „the all green problem" besteht die Herausforderung nicht mehr darin, höhere Mauern zu errichten – sondern zu erkennen, wann jemand durch die offene Tür mit dem richtigen Schlüssel eingetreten ist.
Der Finanzsektor steht damit vor einer Erkenntnis, die unbequem, aber notwendig ist: Ein System, das niemals rot zeigt, ist kein sicheres System – es ist schlicht ein System, das nicht weiß, wonach es suchen soll.
