Im Zuge der Einführung von Echtzeitzahlungen gewinnt Payment Fraud massiv an Bedeutung. Über die aktuellen Entwicklungen und die notwendigen Reaktionen auf Seiten der Banken habe ich mit Jan P. Otto und Marcel Tesche von PwC Deutschland gesprochen.
Payment Fraud stellt eine ernsthafte Bedrohung für Banken und deren Kunden dar.
Partner des Bank Blogs
Banken und deren Kunden leiden unter einem starken Anstieg von Betrug. PwC Deutschland hat vor kurzem in einer Studie wertvolle Einblicke in aktuelle Trends und Herausforderungen rund um Payment Fraud sowie neue Impulse aufgezeigt, wie Unternehmen erfolgreich dagegen vorgehen können und sich so zukünftig vor den neuen Herausforderungen im Bereich Betrug und dem daraus resultierenden Schäden schützen können.
Interview mit Jan P. Otto und Marcel Tesche, PwC
Über die Schlussfolgerungen aus den Studienergebnissen der PwC Payment Fraud Studie 2025 habe ich mich mit Jan P. Otto und Marcel Tesche unterhalten.
Jan P. Otto ist Partner bei PwC Deutschland im Bereich Financial Services.
Jan P. Otto ist Partner bei PwC Deutschland. Er hat langjährige Erfahrungen im Aufbau und der Leitung von Fraud Management Bereichen und hilft aktuell Banken und Finanzdienstleistern bei der Verhinderung von betrugsfällen.
Marcel Tesche ist Senior Manager bei PwC Deutschland im Bereich Financial Services.
Marcel Tesche ist Senior Manager bei PwC Deutschland im Bereich Financial Services. Er ist seit Jahren im Fraud Management Umfeld führend tätig und unterstützt sowohl Finanzinstitute als auch E-Commerce Händler auf der Vermeidung von Fraud Fällen und bei der Behebung von großen Betrugswellen.
Täglich 3 Milliarden Phishing-Mails
Der Bank Blog: Welches sind die aktuellen Betrugsschwerpunkte/Trends im Bereich Zahlungsverkehr?
Jan P. Otto: Betrüger nutzen verstärkt Social-Engineering-Methoden wie Phishing und spezialisierte Angriffe auf Führungskräfte sowie Echtzeit-Überweisungsbetrug, der Schwachstellen in Instant-Payment-Systemen ausnutzt. So werden nach Branchenschätzungen täglich über 3 Milliarden Phishing-Mails versandt.
Zudem beobachten Experten die „Demokratisierung“ des Betrugs: So genannte Fraud-as-a-Service-Angebote machen professionelle Betrugstools, wie Phishing-Kits oder DDoS-For-Hire, breit verfügbar und senken die Eintrittshürde für Kriminelle. Künstliche Intelligenz verschärft die Lage weiter – etwa durch täuschend echte Deepfake-Videos und automatisch generierte Phishing-Inhalte – wodurch Betrugsversuche noch glaubwürdiger und schwerer erkennbar werden. Diese Trends erhöhen das Risiko im Zahlungsverkehr und fordern von Unternehmen kontinuierliche Anpassungen und Investitionen in Sicherheitsmaßnahmen.
Banken und Ihre Kunden verlieren pro Jahr über 100 Millionen €
Der Bank Blog: Können Sie einige beispielhafte Betrugsfälle aufzeigen?
Jan P. Otto: Ein öffentlich bekanntes Beispiel ist der Fall eines österreichischen Unternehmens, das rund 42 Mio. € verlor, nachdem Mitarbeiter auf eine gefälschte E-Mail ihres CEOs hereinfielen und eine Überweisung an Betrüger ausführten. Ende 2023 wurde zudem ein britisches Unternehmen um 23 Mio. € gebracht, indem Betrüger per Deepfake-Videokonferenz den Finanzchef imitierten und so scheinbar legitime Zahlungsanweisungen erteilten. Auch Banken und Ihre Kunden verlieren pro Jahr schätzungsweise über 100 Millionen € durch Betrugsfälle, sowohl bei Kartentransaktionen als auch im Überweisungsumfeld.
Der Bank Blog: Wie sieht das standardmäßige Vorgehen in einem Unternehmen bei einem Betrugsfall aus?
Marcel Tesche: Typischerweise tritt ein Incident-Response-Prozess in Kraft, sobald ein Betrugsfall entdeckt wird. Abhängig davon, wie vorbereitet das Unternehmen ist, wird dieser Prozess intern gesteuert oder muss extern unterstützt werden. Dabei sorgt das Finanzinstitut oder das Unternehmen zunächst für Schadensbegrenzung. Es wird der Angriffsvektor identifiziert und verdächtige Transaktionen gestoppt oder rückgängig gemacht, kompromittierte Zugänge gesperrt und Beweise gesichert. Währenddessen erfolgt eine interne Untersuchung unter Einbindung aller relevanten Stellen, wie das Fraud-Team, IT-Sicherheit oder das Management.
Oft werden auch externe Stellen wie Forensik-Experten oder Unternehmensberatungen mit gut ausgebildeten Anti-Fraud-Response Teams hinzugezogen. Auch stellen sich häufig organisatorische Fragen, wie z.B. die „Schuldfrage“. Organisatorische Konsequenzen auf Team oder Personen-Ebene sind die Regel. Sehr wichtig sind auch eine transparente und vertrauensbildende Kommunikation gegenüber Management, Aufsichtsbehörden und Kunden. Langfristig folgt dann in der Regel die Optimierung des Betrugspräventionsbereichs, wie die Einführung neuer Fraud-Management-Systeme.
Die Reputation kann massiv leiden
Der Bank Blog: Welche Konsequenzen haben solche Betrugsfälle auf die Organisation, das Management, die Reputation, etc.?
Marcel Tesche: Betrugsfälle können gravierende finanzielle Schäden verursachen – Schätzungen zufolge verlieren Unternehmen im Schnitt rund 5 Prozent ihres Jahresumsatzes durch Betrug. Doch die Folgen gehen weit darüber hinaus: Die Reputation des Unternehmens kann massiv leiden, wenn Sicherheitslücken offengelegt werden, was unweigerlich zu Vertrauensverlust bei Kunden und Partnern führt.
Das Management gerät unter Druck, sich für Versäumnisse bei der Aufsicht zu verantworten; in schweren Fällen drohen rechtliche Konsequenzen oder personelle Konsequenzen in der Führungsriege. Zudem wird die gesamte Organisation belastet, von Betriebsstörungen und Kosten für die Aufarbeitung bis hin zu Verunsicherung der Mitarbeiter. Eine starke Präventionskultur ist unerlässlich, um solche Vorfälle zu vermeiden.
Gegen Fraud-as-a-Service gibt es kein Allheilmittel
Der Bank Blog: Welche Maßnahmen sollen Banken/Finanzdienstleister/Unternehmen ergreifen, um sich gegen Fraud-as-a-Service zu wehren?
Marcel Tesche: Gegen Fraud-as-a-Service gibt es leider kein Allheilmittel – gefragt ist ein Mix aus technischen und organisatorischen Maßnahmen der je nach Branche variiert. So sind notwendige Vorkehrungen im Finanzsektor unter Umständen tiefgreifender als in Unternehmen. Generell lässt sich allerdings sagen: Früherkennung ist der Schlüssel, Anomalien sollten idealerweise schon zuvor erkannt werden – ein Anschlagen des Transaktionsmonitorings bei der Ausführung einer Zahlung ist in Zeiten von SEPA Instant Payments tendenziell bereits zu spät. Zudem erfordert eine effektive Prävention ein holistisches Anti-Fraud-Konzept, in welchem Maßnahmen über alle Produkte und Services hinweg integriert und Schwachstellen je Produkt und Service kontinuierlich geschlossen werden. Auch die Zusammenarbeit in Kooperationen mit anderen Marktteilnehmern ist sinnvoll. Betrüger arbeiten verstärkt zusammen. Das muss auch im Bereich der Betrugsverhinderung intensiviert werden.
Unternehmen müssen Antworten entwickeln
Der Bank Blog: Welche Maßnahmen können Unternehmen ergreifen, um AI/Deepfake Attacken abzuwehren?
Marcel Tesche: Um KI-basierte Angriffe abzuwehren, müssen Unternehmen sowohl technologische als auch prozessuale Antworten entwickeln. Technisch kommen spezialisierte Deepfake-Detektionssysteme zum Einsatz, die mittels KI z.B. unnatürliche Merkmale in Stimmen oder Videos erkennen. Auch digitale Signaturen oder Blockchain-Technologien können helfen, die Authentizität von Kommunikationsmedien sicherzustellen.
Darüber hinaus sind zusätzliche Verifikationsprozesse ratsam. Beispielsweise sollte bei ungewöhnlichen oder hochsensiblen Anfragen, wie etwa einer Zahlungsanweisung eines vermeintlichen Geschäftsleiters per Videoanruf, ein Call-Back oder eine zweite Bestätigung über einen unabhängigen Kanal erfolgen, um die Identität eindeutig zu prüfen.
Nicht zuletzt ist die Sensibilisierung der Mitarbeiter und Kunden entscheidend. Sie müssen in der Lage sein, auch bei täuschend echten Stimmen oder Bildern Alarmzeichen, wie unübliche Anforderungen, zu erkennen und im Zweifel abzubrechen. Ein ganzheitliches Business Continuity Management sollte dieses Bedrohungsszenario ebenfalls berücksichtigen, damit im Ernstfall klare Abläufe greifen.
Echtzeitüberweisungen erfordern erweiterte Schutzmaßnahmen
Der Bank Blog: Wie können sich Banken und Finanzdienstleister auf den zunehmenden Betrug speziell im Bereich Echtzeitüberweisung/Instant Payments vorbereiten?
Marcel Tesche: Die Einführung von Echtzeitüberweisungen erfordert von Banken erweiterte Schutzmaßnahmen, da Transaktionen in Sekundenschnelle ablaufen. Zunächst muss die Technologie aufgerüstet werden. Leistungsfähige Echtzeit-Analysetools mit KI-Unterstützung sollten jedes Überweisungsdetail in Millisekunden prüfen, um verdächtige Muster oder Empfänger sofort zu erkennen und zu blockieren.
Wichtig ist auch eine ganzheitliche Sicht auf alle Zahlungskanäle sowie über die gesamte Customer-Journey, wie Online-Banking, Mobile Apps, Karten und Geldautomaten. So können Informationen aus verschiedenen Kanälen zentral zusammenfließen und Betrüger nicht mehr Lücken zwischen getrennten Systemen ausnutzen können.
Da manuelle Prüfungen bei der Geschwindigkeit entfallen, müssen Regeln und Schwellenwerte für automatische Alarmierung sehr präzise eingestellt werden, um echte Betrugsfälle zu treffen, ohne den reibungslosen Zahlungsverkehr zu behindern. Schließlich gewinnt die Zusammenarbeit der Branche weiter an Bedeutung: Ein gemeinsamer Pool an Fraud-Daten, wie eine zentrale Warnplattform der Banken, und ein schneller Austausch über neue Betrugsmuster bei Echtzeitüberweisungen könnte helfen, kollektiv schneller zu reagieren
Payment Fraud wird sich weiter dynamisch entwickeln
Der Bank Blog: Wohin geht die weitere Entwicklung beim Payment Fraud?
Jan P. Otto: Payment Fraud wird sich weiter dynamisch entwickeln und noch an Raffinesse zunehmen. Angreifer setzen vermehrt auf automatisierte und KI-gestützte Methoden, um Sicherheitsmaßnahmen zu umgehen, etwa durch perfekt gefälschte Identitäten oder neue Tricks, um Mehrfaktor-Authentifizierungen auszuhebeln.
Gleichzeitig professionalisiert sich das kriminelle Ökosystem weiter. Über Fraud-as-a-Service können selbst weniger versierte Täter künftig auf hochentwickelte Betrugstools und -infrastrukturen zurückgreifen, was zu einer größeren Angriffsfläche führt.
Die Entwicklung gleicht einem Wettrüsten. Auch die Betrugsprävention und Regulierung werden mithilfe von KI, Big Data und internationaler Kooperation aufrüsten müssen, um mit den immer schnelleren und smarteren Betrugsmaschen Schritt zu halten. Langfristig sind kontinuierliche Innovation und Prävention der Schlüssel, da Betrüger sich stets neue Angriffspfade suchen, sobald bestehende geschlossen werden.
KI spielt auf beiden Seiten eine erhebliche Rolle
Der Bank Blog: Welche Rolle spielt Künstliche Intelligenz – sowohl auf der Angreifer- als auch auf der Verteidigerseite?
Jan P. Otto: KI spielt mittlerweile auf beiden Seiten eine erhebliche Rolle. Angreifer nutzen KI, um Betrug effizienter zu gestalten, wie z.B. durch massenhafte Erstellung personalisierter Phishing-Mails oder täuschend echter Deepfake-Anrufer, die das Vertrauen von Mitarbeitern und Kunden gewinnen. Darüber hinaus hilft KI ihnen, Sicherheitsmechanismen zu umgehen. So können Machine-Learning-Modelle CAPTCHA-Schutzmaßnahmen überwinden oder gestohlene Login-Daten mittels Bots gezielt einsetzen. Auch Angriffe auf Multi-Faktor-Authentifizierung werden durch KI-Unterstützung immer häufiger.
Verteidiger setzen KI vor allem zur Erkennung von Auffälligkeiten ein. Selbstlernende Algorithmen analysieren Transaktionsdaten in Echtzeit und können komplexe Betrugsmuster oder Anomalien erkennen, die menschlichen Prüfern entgehen würden.
Der Einsatz dieser Technik steckt jedoch teils noch in den Anfängen. Bislang haben nach Branchen Schätzungen nur rund 22 Prozent der Finanzinstitute KI-gestützte Betrugspräventions-Tools im operativen Einsatz, was zeigt, dass auf der Abwehrseite noch Ausbaubedarf besteht, um mit den KI-fähigen Betrügern mitzuhalten.
Der Bank Blog: Vielen Dank für das Gespräch.
Die PwC Payment Fraud Studie 2025 können Sie hier herunterladen.
