Das Gespräch zwischen Finanzminister Scott Bessent und Fed-Vorsitzendem Jerome Powell mit der Führungselite der Wall Street im vergangenen Monat war nicht theoretischer Natur. Wenn hochrangige Finanzaufsichtsbehörden mit Führungskräften zusammenkommen, um KI-Bedrohungen für Einlagenkonten zu diskutieren, signalisiert dies, dass die Bankbranche eine neuartige und potenziell systemische Anfälligkeit gegenübersteht – eine, für deren Antizipation oder Abwehr traditionelle Betrugserkennung nicht konzipiert wurde.

Bessents anschließende Warnung vor KI-gestütztem Account-Hacking widerspiegelt einen sich verfestigenden Konsens unter Politikern: Die Cybersicherheitslage des Finanzsektors gerät in eine Phase akuter Belastung. Im Gegensatz zu konventionellen Cyberkriminellen, die bekannte Schwachstellen oder menschliche Fehler durch Phishing-Kampagnen ausnutzen, operieren KI-gesteuerte Angriffe in anderem Maßstab und mit anderer Geschwindigkeit. Machine-Learning-Systeme können riesige Datensätze von Kundenverhalten synthetisieren, Millionen von Authentifizierungsvariationen parallel testen, maßgeschneiderte Social-Engineering-Kampagnen für einzelne Kontoinhaber erstellen und Account-Übernahmen mit minimaler menschlicher Beteiligung ausführen. Die Bedrohung ist nicht hypothetisch. Sie ist operativ heute bereits machbar.

Die Entstehung ausgefeilter Large-Language-Models – einschließlich der Systeme von Anthropic und konkurrierender Plattformen – hat die Einstiegshürde für diese Art von Angriff gesenkt. Diese Tools, ursprünglich für legitime Geschäftszwecke entwickelt, können umfunktioniert werden, um die Aufklär-, Inferenz- und Manipulationsphasen einer Account-Kompromittierung zu automatisieren. Ein Angreifer mit Zugang zu solchen Systemen benötigt keine spezialisierte Hacker-Expertise mehr. Die KI erledigt die schwere intellektuelle Arbeit. Was ein talentierter Ingenieur in Wochen manueller Arbeit schafft, kann jetzt in Stunden von einer Maschine mit parallelen Inferenzzyklen bewerkstelligt werden.

Die Incident-Response-Infrastruktur der Bankbranche wurde für ein anderes Bedrohungsmodell konzipiert. Betrugserkennung basiert auf Mustererkennungsalgorithmen, trainiert auf historischen Transaktionsdaten, Verhaltensbiometrie und regelgestützter Anomaliebewertung. Diese Systeme sind ihrem Wesen nach reaktiv: Sie kennzeichnen verdächtige Aktivitäten, nachdem sie bereits stattgefunden haben. Gegen KI-gesteuerte Account-Übernahmen, die legitimes Kundenverhalten in Echtzeit nachahmen und Ausgabemuster und geografische Muster mit verstörender Präzision imitieren, wird traditionelle Erkennung zur forensischen Archäologie. Bis menschliche Analysten gekennzeichnete Transaktionen überprüfen, ist der Schaden bereits konsolidiert.

Authentifizierungsmechanismen stellen einen weiteren Schwachpunkt dar. Multi-Faktor-Authentifizierung, einst als robuste Verteidigung angesehen, kann von KI-Systemen umgangen werden, die entweder zusätzliche Schwachstellen in der Authentifizierungskette ausnutzen oder – noch heimtückischer – Social Engineering einsetzen, um Kunden dazu zu bewegen, freiwillig Zweitfaktor-Codes preiszugeben. Das menschliche Element bleibt des Systems Schwachpunkt, und Large-Language-Models zeichnen sich darin aus, Text zu produzieren, der menschliche Compliance auslöst.

Bessents Aussage, dass amerikanische Banken daran „arbeiten, sich zu schützen", ist korrekt, aber unzureichend. Die Arbeit läuft. Aber der zeitliche Rahmen ist entscheidend. Falls KI-gesteuerte Account-Übernahmen von kriminellen Syndikaten operationalisiert werden, bevor der Finanzsektor angemessene Abwehrmaßnahmen einsetzt, könnten die Verluste sich systemisch ausbreiten – auf Weise, die traditionelle Einlagenversicherung und Kapitalreserveberechnungen nie absorben sollten. Ein einzelner koordinierter Angriff auf Tausende von Konten über mehrere Institute hinweg könnte ein Vertrauensveranstaltung für Kunden auslösen, die keine behördliche Rückversicherung leicht repariert.

Die angemessene Reaktion erfordert drei gleichzeitige Arbeitsstränge. Erstens müssen die Federal Reserve, das Office of the Comptroller of the Currency und die FDIC verbindliche Richtlinien erlassen, die Banken mandatieren, KI-native Anomalieerkennung in Echtzeit einzusetzen – Modelle, speziell trainiert, um Verhaltungssignaturen von maschinengesteuerten Account-Kompromittierungen zu erkennen, nicht bloß menschlichen Betrug. Zweitens muss sich Authentifizierungsinfrastruktur über Wissensfaktoren hinaus zu verifizierbaren biometrischen und Verhaltensystemen entwickeln, die nicht sozial manipuliert werden können. Drittens müssen Finanzsektor und KI-Unternehmen eine formelle Threat-Intelligence-Partnerschaft etablieren, mit Meldepflicht für erkannte KI-gesteuerte Angriffe und rascher Verbreitung defensiver Gegenmaßnahmen über Institutionen.

Das Risiko ist nicht, dass KI-gestütztes Account-Hacking stattfinden wird. Das Risiko ist, dass wenn es stattfindet – und Skalierungsangriffe deuten darauf hin – die Abwehrmaßnahmen des Bankensystems unzureichend erweisen und Regulatoren zur Schadensbekämpfung statt Schadenverhütung gezwungen werden. Bessents Warnung ist keine Alarmglocke; sie ist ein Startschuss. Was danach geschieht, hängt davon ab, wie ernst die Branche das Signal umsetzt.

Geschrieben vom Redaktionsteam – unabhängiger Journalismus powered by Codego Press.

Quellen: PYMNTS · 4. Mai 2026