Die neueste Bilanz des Federal Bureau of Investigation macht die Mathematik brutal einfach: Amerikanische Verbraucher und Unternehmen verloren 2025 insgesamt 20,9 Milliarden Dollar durch internetgestützte Betrügereien. Aber die Schlagzahl verdeckt eine beunruhigendere Verschiebung in der kriminellen Wirtschaft. Der größte Teil dieser Verluste resultierte nicht aus ausgefeilten Malware-Deployments oder aufwendigen Datenlecks – jenen Bedrohungen, die den Löwenanteil der Cybersecurity-Budgets und der behördlichen Aufmerksamkeit beanspruchen. Stattdessen flossen die Schäden aus etwas viel Zersetzenderem: Nachrichten, Anrufe und digitale Profile, die einfach überzeugend genug waren, um zu funktionieren.
Diese Verschiebung hin zu authentizitätsgestütztem Betrug markiert eine grundlegende Umkehrung des Cybersecurity-Paradigmas, das das Banking und Zahlungswesen in den letzten zwei Jahrzehnten dominiert hat. Die Industrie baute ihre Verteidigungslinien auf der Annahme auf, dass Angreifer technische Raffinesse benötigen würden: Zero-Day-Exploits, Botnet-Infrastruktur, gestohlene Zugangsdaten, die durch komplexe Geldwäschesysteme geschleust werden. Enormes Kapital floss in Endpoint-Schutz, Netzwerksegmentierung und Breach-Erkennung. Das Problem wurde immer als Technologieproblem gerahmt, lösbar durch mehr Technologie.
Künstliche Intelligenz hat diese Annahme zerstört. Durch die Demokratisierung der Erstellung überzeugender Texte, synthetischer Stimmen und Verhaltensimitation hat AI die Kostenstruktur von Betrug umgekehrt. Während eine traditionelle Social-Engineering-Kampagne einst teure menschliche Operatoren erforderte – Forscher, Linguisten, Performer – kann ein AI-System nun Hundertausende personalisierter Phishing-Nachrichten, gefälschter Anruferinteraktionen und fabrizierter Identitätsprofile zu minimalen Kosten generieren. Die Eintrittsbarrieren sind zusammengebrochen. Eine Person mit grundlegenden Prompt-Engineering-Fähigkeiten und bescheidenen Cloud-Computing-Guthaben kann nun eine Betrugsmaschinerie starten, die vor fünf Jahren ein Team und substanzielle Infrastruktur erfordert hätte.
Finanzinstitute haben damit begonnen, ihre eigenen AI-Systeme einzusetzen, was eine Art Wettrüsten zwischen generativen Modellen, die trainiert sind zu täuschen, und Machine-Learning-Systemen, die trainiert sind Täuschung zu erkennen, schafft. Oberflächlich betrachtet scheint dies rational: AI mit AI bekämpfen, die Geschwindigkeit und Skalierung des Angreifers erreichen. Doch diese Fragestellung übersieht eine entscheidende Verwundbarkeit in der Position der Verteidiger. Die Angreifer tragen keine regulatorische Last. Sie operieren an einer reinen Effizienzgrenze – was Einnahmen mit minimaler Reibung generiert, wird unmittelbar eingesetzt. Die Verteidiger dagegen arbeiten unter Beschränkungen, die Angreifer nicht haben: Falsch-Positiv-Quoten, die legitime Kunden frustrieren, Compliance-Anforderungen, die die Nutzung bestimmter Erkennungstechniken einschränken, und institutionelle Risikoaversion, die die Bereitstellung unerprobter Technologien verlangsamt.
Betrachten Sie die praktische Realität bei einem großen Zahlungsabwickler oder einer digitalen Bank. Betrugerkennungssysteme müssen konkurrierende Imperative ausbalancieren: Kriminelle fassen, ohne legitime Transaktionen zu blockieren. Ein zu aggressives System erzeugt Kundenfrustrationen, Abwanderung und Umsatzverluste. Ein zu permissives System lässt Betrug durch. Diese Spannung ist nicht neu, aber AI hat sie verschärft. Ein Machine-Learning-Modell, das synthetische Stimmen in Kundenservice-Anrufen identifiziert, könnte legitime Anrufer mit starkem Akzent oder Sprachstörungen kennzeichnen. Ein System, das AI-generierte Phishing-E-Mails mit 99 Prozent Genauigkeit erkennt, wird dennoch täglich Hunderte Falsch-Positive in großem Maßstab erzeugen, jedes einzelne erfordert menschliche Überprüfung oder Kundenbehebung. Die wirtschaftlichen und betrieblichen Kosten von Falsch-Positiven sind real und unmittelbar; der Nutzen, Betrug zu erfassen, ist diffus und statistisch.
Die Banken und Zahlungsnetze – von der EZB regulierte Institute, Kartennetzwerke wie Visa und Mastercard, und aufstrebende Fintech-Player wie Wise und Revolut – sehen sich einem sekundären Problem gegenüber: Sie verteidigen sich gegen Bedrohungen, die außerhalb ihrer direkten Kontrolle entstehen. Ein Kunde, der durch eine AI-generierte E-Mail getäuscht wird, die seine Bank imitiert, ist ein Kunde, dessen Vertrauen in die Institution beschädigt ist, unabhängig davon, ob die Bank selbst technisch kompromittiert wurde. Der Reputationsschaden ist schwer und andauernd. Doch die Bank kann nicht einfach ablehnen, in einem digitalen Umfeld zu operieren, in dem solche Angriffe auftreten. Der Wettbewerbsdruck, nahtlose digitale Erfahrungen anzubieten – schnelles Onboarding, friktionslose Zahlungen, minimale Verifikationsschritte – schafft genau jene Verwundbarkeiten, die AI-gestützter Betrug ausnutzt.
Regulierungsbehörden haben begonnen, diese Asymmetrie zu erkennen. Die Europäische Bankenbehörde und ähnliche Aufsichtsbehörden drängen auf strengere Authentifizierungsstandards und rigorosere Betrugsüberwachung. Doch Regulierung sieht sich mit ihrer eigenen Verzögerungsproblematik konfrontiert: Bis eine neue Regel kodifiziert und implementiert ist, hat sich die Bedrohungslandschaft bereits entwickelt. Die Kriminellen warten nicht auf Komitee-Sitzungen.
Was dies für das Zahlungsökosystem bedeutet, ist eine Periode unbequemer Umstellung. Das alte Modell – in dem eine kleine Anzahl großer Institute die meiste Betrugerkennungs-Infrastruktur kontrollierten und ihre Standards Kunden durch pure Marktmacht aufzwingen konnten – fragmentiert. Kleinere Fintech-Firmen, denen die Skalierung fehlt, um Betrugsverluste zu absorbieren oder massive Erkennungssysteme zu betreiben, sehen sich unverhältnismäßigem Risiko gegenüber. Kunden, zunehmend skeptisch gegenüber digitalen Kanälen, könnten zu langsameren, manuelleren Zahlungsmethoden migrieren, die sich sicherer anfühlen, auch wenn sie statistisch risikanter sind. Und Institute werden weiterhin in AI-gestützte Erkennung investieren, wissend, dass die Investition nur temporären Vorteil bietet, bevor Angreifer sich anpassen.
Der Verlust von 20,9 Milliarden Dollar ist nicht primär ein Technologieproblem, das eine weitere Milliarde Dollar Technologie-Ausgaben lösen werden. Es ist ein Informationsproblem: Angreifer können nun Authentizität in großem Maßstab generieren, und Verteidiger können nicht effizient zwischen authentisch und fabriziert in der erforderlichen Geschwindigkeit und Volumen unterscheiden. Die Lösung – falls sie existiert – wird wahrscheinlich nicht nur bessere Erkennungssysteme erfordern, sondern auch eine grundlegende Umstrukturierung, wie Vertrauen und Identität im digitalen Finanzwesen etabliert werden. Diese Umstrukturierung wird schmerzhaft, teuer und disruptiv sein. Aber der aktuelle Weg, auf dem AI-generierter Betrug beschleunigt wird, während Verteidigungen strukturell asymmetrisch bleiben, ist nicht tragbar.
Verfasst vom Redaktionsteam – unabhängiger Journalismus unterstützt durch Codego Press.