Die Finanzbranche hat längst das Potenzial für die Nutzung der KI für sich entdeckt. Die KI hilft dabei Prozesse zu automatisieren, Daten zu analysieren und Risiken frühzeitig zu erkennen. Doch die Gefahren der KI für die Finanzbranche sind nicht zu unterschätzen: Laut der neusten Studie „The Battle Against AI-driven Identity Fraud“ der Signicat, der Dienstleistungen im Bereich digitale Identitäts- und Betrugspräventionslösungen bietet, erfolgen 42,5 % der Betrugsversuche in der Finanzbranche innerhalb von Europa mithilfe der KI, wobei 29 % der Betrugsversuche als erfolgreich eingeschätzt werden. Daher erachtet Rechtsanwalt Sascha C. Fürstenow es für wichtig, über diese relativ neuen Methoden zu informieren. In den letzten drei Jahren allein sei die Zahl der Betrugsversuche in der Finanzbranche um 80 Prozent gestiegen, wobei ein Großteil am Einsatz von KI liege.
Um die Nutzung von KI rechtssicherer zu machen, hat die EU vor Kurzem die KI-VO beschlossen. Rechtsanwalt Fürstenow hat hierüber in seinem Rechtsrat vom 15.11.2024 darüber berichtet. Der Artikel zur KI-VO ist hier zu finden: https://www.kanzlei-fuerstenow.de/ki-verordnung/
Das Unternehmen Signicat bezweckt mit der Studie, Unternehmen in der Finanzbranche auf die Bedrohung mit der KI vorzubereiten, „da noch das nötige Fachwissen und die Ressourcen zur Prävention fehlen“. Obwohl die KI eine neuartige Technologie ist, haben Wirtschaftskriminelle ihre Betrugsmethoden mithilfe der KI auf ein ganz anderes Level gebracht.
Welche Methoden werden genutzt?
- Phishing-Attacken
Eine weitaus bekannte Betrugsmethode ist die Nutzung von Phishing. Dabei setzen Kriminelle oftmals KI ein, um realistische, personalisierte Phishing-E-Mails oder SMS zu erstellen, die oft von echten Geschäfts- oder Bankmitarbeitern zu stammen scheinen, um so das Vertrauen zu gewinnen und um persönlichen Daten wie Passwörter oder Kreditkartendaten preiszugeben. Auch diese Methode haben Betrüger weiter raffiniert und setzen nun auch QR-Codes ein (auch „Quishing“ genannt), um mögliche Opfer auf gefälschte Webseiten weiterzuleiten, die zum Teil Malware verbreiten und so die Zugangsdaten von Konten stehlen. Trotz mehrerer Möglichkeiten, Phishing-Versuche zu vermeiden, z.B. durch die Überprüfung der E-Mail-Adresse der Banken-Mail oder durch die Bestätigung der Zusendung von verdächtigen E-Mails oder Briefen vonseiten der Bank, sind Betrugsversuche mit Deepfakes viel schwieriger zu identifizieren für Laien.
- Deepfake-Technologie
Die Studie der Signicat weist drauf hin, dass Betrüger heutzutage die Übernahme bereits bestehender Konten statt die Erstellung neuer Konten mit synthetischen Identitäten oder illegalem Kontenzugriff bevorzugen. Dabei erleichtern in erster Linie schwache oder immer wiederverwendete Passwörter den Zugriff auf das Konto der Kunden. Doch da auch Banken ihre Technologien und Verifizierungsprozesse erweitert haben, setzen die Betrüge nun Deepfakes ein, um sich als den Altkunden auszugeben. Mit der KI erstellen sie täuschend echte Videos oder Audiodateien eines echten Kunden, um Mitarbeiter in Unternehmen oder Banken zu täuschen und so Überweisungen oder vertrauliche Informationen zu erschleichen. Die Video- oder Audioaufnahmen sind dabei identisch mit dem Aussehen oder Stimme des Kunden, weshalb das Identitätsmanagementsystem der Bank den Zugriff akzeptiert. Durch gestohlene Ausweisdokumente der Kunden können die Gesichtserkennungsprogramme leicht manipuliert werden. Sie können mit der KI dann Gesichter tauschen, die Mimik der Person kontrollieren oder neue Identitäten synthetisieren. Laut der Studie von Signicat erfolgen bereits eine von 15 Betrugsversuchen mit Deepfakes.
Auf einen solchen Deepfake-Videocall ist ein Angestellter eines international tätigen Unternehmens in Hong Kong reingefallen. Zuvor hatten die Betrüger mit einer gefälschten E-Mail versucht, das Vertrauen des Angestellten zu gewinnen, die so taten als seien sie der Vorgesetzte in Großbritannien. Als der Angestellter jedoch einen Videocall mit mehreren Personen erhielt, überwies er die gewünschte Summe von rund 23 Millionen Euro. Jedoch waren die Personen, die auf dem Bildschirm zu sehen waren, keine echten Personen, sondern nur Deepfakes, die sich als Mitarbeiter aus dem Unternehmen ausgaben.
Unternehmen müssen sich besser vorbereiten
Deepfakes und KI-gesteuerter Betrug betrifft nicht nur Kunden, sondern auch die gesamte Finanzbranche. Obwohl die Unternehmen laut der Signicat-Studie immer bewusster bezüglich Identitätsbetrügen und der Bedrohung von KI-Betrug werden, besteht noch viel Handlungsbedarf, meint RA Fürstenow. Die Studie der Signicat signalisiert die Notwendigkeit von Unternehmen, in Technologien zu investieren, die den Betrug mit KI verhindern. Dabei haben bisher nur rund 22 Prozent der Unternehmen in Europa Schutzmaßnahmen ergriffen, um sich vor den Betrugsversuchen zu schützen.
Einsatz von KI kann helfen
Auch wenn es am Anfang kontraproduktiv klingt, so kann der Einsatz von KI gegen Betrugsfälle entgegenwirken. Durch die KI können mithilfe von Machine-Learning-Algorithmen Daten analysiert, Betrugsversuche schneller erkannt und in Echtzeit aufgedeckt werden. Laut des US-Finanzministeriums konnten mithilfe der KI Betrugsversuche im Wert von über 4 Milliarden Dollar verhindert werden.
Die DORA-Veordnung der EU
Auch von der EU soll es Unterstützungsmaßnahmen für die Finanzbranche im Kampf gegen KI-Betrugsfälle geben: Mit der Verordnung über die digitale operationale Widerstandsfähigkeit im Finanzwesen (DORA) hat die EU ein Regelwerk für den europäischen Finanzmarkt gegen Cyberrisken geschaffen. Ziel der Verordnung ist es, die Sicherheit und operationale Resilienz des europäischen Finanzsektors zu stärken und einheitliche Anforderungen zu schaffen. Ihr Anwendungsbereich betrifft alle Zahlungsinstitute, Anbieter von Krypto-Dienstleistungen, Wertpapierfirmen, CRR-Kreditinstitute und Handelsplätze usw. Die Verordnung ist bereits am 16.01.2023 in Kraft getreten und findet für die Unternehmen im Finanzsektor ab dem 17.01.2025 Anwendung. Eine weitere Übergangsfrist wird es nicht geben.
Schlusswort
Auf Unternehmen kommen aufgrund der aktuellen Lage und der Vielzahl neuer Regeln in Bezug auf die KI viele Herausforderungen zu. Die Implementierung neuer Technologien zum Schutz vor Betrugsversuchen und Cyberattacken ist für die Finanzunternehmen unausweichlich. Aber auch die Umsetzung der gesetzlichen Anforderungen darf nicht außer Acht gelassen werden.