Focus-Interview mit Oliver Hirschi, HSLU

Warum ein technischer Ansatz im Kampf gegen KI-Finanzbetrug nicht reicht

Uhr

Als langjähriger Leiter der Plattform "eBanking – aber sicher!" hat Oliver Hirschi die Evolution des digitalen Finanzbetruges miterlebt. Im Gespräch sagt der HSLU-Professor, wie sich Banken und ihre Kunden gegen KI-gestützte Gaunereien rüsten und was KI zur Abwehr beitragen kann.

Oliver Hirschi, Dozent Informationssicherheit, HSLU, Leiter EBAS. (Source: zVg)
Oliver Hirschi, Dozent Informationssicherheit, HSLU, Leiter EBAS. (Source: zVg)

KI macht Betrugsversuche heute glaubwürdiger denn je. Sie könnte aber auch den Cyberschutz verbessern. Ist KI für den hiesigen Finanzplatz aktuell eher eine Bedrohung oder die Rettung?

Oliver Hirschi: Beides gleichzeitig, insbesondere aber auf beiden Seiten ein Beschleuniger. Auf der Angreiferseite sehen wir bereits heute deutlich professionellere Betrugsversuche. KI ermöglicht täuschend echte Phishing-Nachrichten, überzeugende Deepfake-Stimmen oder automatisierte Angriffe in grossem Stil. Dadurch steigt die Glaubwürdigkeit der Angriffe. Gleichzeitig eröffnet KI den Finanzinstituten neue Möglichkeiten, um Betrug frühzeitig zu erkennen. Moderne Systeme können Transaktionsmuster analysieren, Auffälligkeiten schneller identifizieren und Sicherheitsverantwortliche bei der Abwehr von Angriffen unterstützen. Gerade bei der Erkennung von Anomalien und verdächtigen Verhaltensmustern bietet KI grosses Potenzial.

Wie gut ist die Schweizer Finanzlandschaft gegen neue KI-Betrügereien gerüstet?

Die Schweizer Finanzlandschaft ist grundsätzlich gut aufgestellt. Banken investieren seit Jahren erheblich in die Cybersicherheit und verfügen über ausgereifte Prozesse zur Betrugsbekämpfung. Dennoch stellen KI-gestützte Betrugsversuche eine neue Herausforderung dar. Für Mitarbeitende sowie Kundinnen und Kunden wird es schwieriger, diese als Betrugsversuche zu erkennen. Die technische Sicherheit allein reicht hier nicht aus. Entscheidend wird sein, dass Schutzmassnahmen, Mitarbeiterschulungen und die Sensibilisierung der Kundschaft laufend an die neuen Bedrohungen angepasst werden – und insbesondere die Zusammenarbeit und der Informationsaustausch zwischen den beteiligten Akteuren weiter gestärkt werden. Cybersicherheit bleibt eine Daueraufgabe, die nur gemeinsam bewältigt werden kann.

Welche neuen Muster oder Angriffsszenarien passieren heute schon im Schweizer Finanzumfeld?

Aktuell zeigt sich vor allem eine zunehmende Professionalisierung von Betrugsversuchen. Besonders auffällig ist, dass Betrugsangriffe heute immer häufiger kanalübergreifend stattfinden. Kriminelle beschränken sich nicht mehr auf einen einzelnen Angriffsvektor, sondern kombinieren beispielsweise E-Mails, SMS, Telefonanrufe und gefälschte Websites miteinander. Gleichzeitig zielen sie auf verschiedene Finanzkanäle wie Debit- und Kreditkarten, Twint, Mobile-Payment-Lösungen oder das E-Banking ab. Dadurch wird es für die Betroffenen schwieriger, die einzelnen Warnsignale zu erkennen und die Zusammenhänge zwischen den verschiedenen Kontaktaufnahmen zu durchschauen. Grundsätzlich handelt es sich dabei weniger um völlig neue Angriffsmethoden als vielmehr um die stetige Verfeinerung und geschickte Kombination bekannter Betrugsmaschen mithilfe neuer Technologien.

Wie müssen Kundinnen und Kunden angesichts des KI-Booms ihr Verhalten im Umgang mit Finanzgeschäften ändern?

Der KI-Boom bedeutet, dass Betrugsversuche künftig nicht nur überzeugender und schwerer erkennbar werden, sondern auch in deutlich grösserer Zahl auftreten. Kundinnen und Kunden können sich nicht mehr darauf verlassen, dass eine professionell formulierte Nachricht, ein Anruf oder sogar eine bekannte Stimme tatsächlich echt ist. Deshalb gewinnt eine gesunde Skepsis an Bedeutung. Die grundlegenden Sicherheitsregeln bleiben jedoch dieselben: aufmerksam bleiben, ungewöhnliche Anfragen kritisch hinterfragen und sich nicht unter Zeitdruck setzen lassen.

Sie leiten die Plattform "eBanking – aber sicher!", kurz EBAS. Dort erschien unlängst ein Plädoyer für die "bewusste Unbequemlichkeit". Warum ist Bequemlichkeit ein Sicherheitsrisiko?

Zwischen Sicherheit, Benutzerfreundlichkeit und Kosten besteht seit jeher ein Spannungsfeld. Höhere Sicherheit bedeutet häufig zusätzliche Schritte, wie etwa die Zwei-Faktor-Authentifizierung, die Zeit kosten oder den Komfort einschränken. Umgekehrt können besonders einfache und reibungslose Prozesse neue Angriffsflächen schaffen. Cyberkriminelle nutzen gezielt den Wunsch nach schnellen und unkomplizierten Abläufen aus. Deshalb plädieren wir bei EBAS für eine "bewusste Unbequemlichkeit": Bei wichtigen Finanzgeschäften lohnt es sich, einen Moment innezuhalten, eine Transaktion zu überprüfen oder eine zusätzliche Bestätigung vorzunehmen. Dieser geringe Mehraufwand kann im Ernstfall vor einem erheblichen Schaden schützen.

Inwiefern ist ein "Secure-by-Design"-Ansatz für Bankanwendungen denkbar und realistisch?

Ein Secure-by-Design-Ansatz ist nicht nur realistisch, sondern notwendig. Sicherheit sollte möglichst im Hintergrund wirken und von Anfang an in Anwendungen integriert sein. Vollständig ohne zusätzliche Prüfungen wird es allerdings wohl auch künftig nicht gehen. Entscheidend bleibt die richtige Balance zwischen Sicherheit, Benutzerfreundlichkeit und Kosten.

Und was ist nötig, um Lösungen zu entwickeln, die sowohl bequem als auch sicher sind?

Sicherheit und Benutzerfreundlichkeit dürfen nicht als Gegensätze verstanden werden. Ziel muss es sein, Anwendungen so zu gestalten, dass sichere Entscheidungen für die Nutzerinnen und Nutzer möglichst einfach und intuitiv sind. Gute Sicherheit entsteht dann, wenn sichere Entscheidungen gleichzeitig auch die einfachsten Entscheidungen sind.

Viele Unternehmen investieren massiv in KI zur Betrugserkennung. Wo liegen aus Ihrer Sicht die grössten Fortschritte – und wo wird die Technologie überschätzt?

Die grössten Fortschritte sehe ich bei der Analyse grosser Datenmengen und der Erkennung von Auffälligkeiten. KI kann Muster erkennen, die für Menschen kaum sichtbar sind, und verdächtige Transaktionen oder Verhaltensweisen deutlich schneller identifizieren. Gerade bei der Betrugserkennung bietet dies grosses Potenzial. Überschätzt wird KI dort, wo sie als Ersatz für menschliches Urteilsvermögen betrachtet wird. Betrugsfälle sind oft stark vom Kontext abhängig und Cyberkriminelle passen ihre Methoden laufend an. KI ist deshalb ein sehr leistungsfähiges Werkzeug, aber kein Allheilmittel. Erfolgreiche Betrugsbekämpfung wird auch künftig das Zusammenspiel von Technologie, Prozessen und Menschen erfordern.

Vertreter der Finanzmarktaufsicht äusserten unlängst Bedenken in Zusammenhang mit neuen Cybersecurity-KI-Modellen wie Claude Mythos. Was müssen Finanzinstitute tun, um nicht von neuartigen KI-Angriffen überrollt zu werden?

Neue Technologien verändern die Angriffsmöglichkeiten von Cyberkriminellen laufend – so auch KI, und zwar in einem rasanten Tempo. Deshalb fokussieren sich Finanzinstitute nicht auf einzelne Bedrohungen oder spezifische KI-Modelle, sondern stärken ihre grundsätzliche Widerstandsfähigkeit. Dazu gehören eine kontinuierliche Überwachung der Bedrohungslage, eine enge Zusammenarbeit und ein rascher Informationsaustausch zwischen den beteiligten Akteuren, regelmässige Schulungen der Mitarbeitenden sowie die laufende Überprüfung und Anpassung von Sicherheitsmassnahmen.

Wie verändert sich im Zuge des KI-Booms das Verhältnis zwischen Mensch und Maschine in der Fraud Prevention?

KI wird in der Fraud Prevention zunehmend Aufgaben übernehmen, die für Menschen zeitaufwendig oder kaum skalierbar sind, insbesondere die Analyse grosser Datenmengen und die Erkennung von Auffälligkeiten. Dadurch können verdächtige Aktivitäten schneller identifiziert und priorisiert werden. Gleichzeitig müssen auch die Prozesse der Betrugsbekämpfung angepasst werden. Wenn Angriffe schneller und in grösserem Umfang erfolgen, müssen auch die Erkennung, Eskalation und Reaktion deutlich beschleunigt werden. Das Verhältnis zwischen Mensch und Maschine entwickelt sich deshalb zunehmend von einer Arbeitsteilung hin zu einer engen Zusammenarbeit, bei der Technologie und menschliches Urteilsvermögen einander ergänzen.

EBAS gibt es inzwischen seit über 15 Jahren. Wie hat sich die Bedrohungslage seit dem Launch der Plattform verändert?

Die Bedrohungslage hat sich seit dem Start von EBAS stark verändert. Zu Beginn standen vor allem technische Angriffe wie Schadsoftware auf PCs und klassische Phishing-Kampagnen im Vordergrund. Heute sind Betrugsversuche deutlich professioneller, stärker personalisiert und über verschiedene Kanäle hinweg orchestriert. Gleichzeitig hat sich die Digitalisierung des Finanzalltags massiv beschleunigt. Neben dem klassischen E-Banking nutzen Kundinnen und Kunden heute Mobile Banking, Twint, Mobile-Payment-Lösungen und weitere digitale Dienste. Dadurch hat sich auch die Angriffsfläche erweitert. Die grösste Veränderung besteht jedoch darin, dass heute weniger die Technologie als vielmehr der Mensch im Fokus der Angreifer steht. Moderne Betrugsmaschen setzen zunehmend auf Täuschung, Manipulation und Social Engineering – und KI verstärkt diesen Trend zusätzlich.

Welche Themen werden Ihrer Einschätzung nach EBAS in den kommenden zwölf Monaten prägen?

Ein sehr zentrales Thema wird die Zusammenarbeit der verschiedenen Akteure im Kampf gegen Cyberkriminalität und Betrug sein. Angriffe werden zunehmend professioneller, schneller und kanalübergreifend durchgeführt. Umso wichtiger ist der rasche und gezielte Austausch von Informationen, Erkenntnissen und Erfahrungen – sowie eine kanalübergreifende Zusammenarbeit in der Sensibilisierung und Prävention entlang der Customer Journey. KI wird uns sicherlich weiter beschäftigen – sowohl als Werkzeug zur Betrugsbekämpfung als auch als Hilfsmittel für Cyberkriminelle. Entsprechend werden wir die Entwicklungen rund um KI-gestützte Betrugsmaschen und die daraus entstehenden Risiken für Kundinnen und Kunden sowie Finanzinstitute aufmerksam verfolgen und in unsere Präventionsarbeit einfliessen lassen. Aus meiner Sicht wird die Kollaboration zu einem der wichtigsten Erfolgsfaktoren in der Prävention und Betrugserkennung.

Webcode
PkcEJobZ