Aber wo viel Licht ist, ist starker Schatten: Dieses berühmte Zitat von Goethe beschreibt das Dilemma der Banken derzeit ziemlich passend, stehen diese doch immer häufiger im Fokus von Cyberkriminellen. Schlimmer noch, mit dem rasanten Fortschritt der KI werden diese Angriffe nicht nur häufiger, sondern auch ausgeklügelter und schwerer zu erkennen. Dies stellt eine Herausforderung für traditionelle Sicherheitssysteme dar und ruft Aufsichtsbehörden wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Finanzaufsicht Bafin auf den Plan.
Nico Leidecker, ein renommierter IT-Sicherheitsexperte von NVISO in Frankfurt am Main, beleuchtet die Rolle der KI in der modernen Cyberkriminalität. Mithilfe von Künstlicher Intelligenz wie z. B. ChatGPT können Hacker gezielt Schwachstellen in Bankensystemen identifizieren. Diese Tools nutzen maschinelles Lernen, um Muster in Sicherheitssystemen zu erkennen und maßgeschneiderte Phishing-E-Mails zu erstellen. Ein solcher Angriff kann in Sekundenschnelle erfolgen, und ein einziger Klick eines unachtsamen Mitarbeiters kann ausreichen, um das gesamte System lahmzulegen.
Ein weiteres alarmierendes Beispiel liefert ein Forscherteam von Sensity, einer auf Deepfake-Erkennung spezialisierten Sicherheitsfirma. Sie konnten zeigen, wie biometrische Checks, die sowohl von traditionellen Banken als auch von Kryptowährungsbörsen eingesetzt werden, durch Deepfake-Technologie getäuscht werden können. Insbesondere gelang es ihnen, einen automatisierten „Alive-Test“ mithilfe von KI-generierten Gesichtern zu umgehen. Diese Verifizierungsprozesse, oft als „Know Your Customer“- oder KYC-Tests bezeichnet, sind entscheidend für die Sicherheit von Finanztransaktionen. Sie fordern Benutzer auf, Fotos ihrer Ausweise und ihres Gesichts bereitzustellen, die dann in Echtzeit mit dem erfassten Gesicht abgeglichen werden.
Die Herausforderung der Regulierung und neue Bedrohungen
Die Finanzbranche, die Milliarden von Transaktionen und vertraulichen Daten täglich verarbeitet, ist ein sehr attraktives, weil lohnenswertes Ziel für solche KI-basierten Angriffe. Leidecker nutzt KI-Technologien, um öffentliche Daten zu sammeln und so ein detailliertes Profil potenzieller Angriffsziele zu erstellen. Dies umfasst nicht nur persönliche Informationen, sondern auch Geschäftsbeziehungen, Netzwerke bis hin zu Verhaltensmuster von Banken.
Doch trotz der fortschrittlichen Technologie bleiben viele dieser Angriffe gänzlich unbemerkt. Désirée Sacher-Boldewin, eine Expertin für Cyberabwehr, betont, dass die aktuelle Bedrohungslage eine Neubewertung der Sicherheitsprotokolle erfordert. Dringend. Viele Banken verlassen sich nämlich immer noch auf veraltete Systeme und sind nicht auf die raffinierten Angriffe vorbereitet, die KI ermöglicht.
Zudem stellt die Regulierung eine weitere Hürde dar: Während KI-Technologie das Potenzial hat, die Sicherheit zu erhöhen, fordern Regulierungsbehörden oft Transparenz und Nachvollziehbarkeit – etwas, das bei KI-Entscheidungen nicht immer gegeben ist.
Der LinkedIn-Artikel von David Lawler erläutert eindrücklich, wie Banken heutzutage KI-Anwendungen für Kreditgenehmigungsprozesse verwenden. Diese Systeme können jedoch Schwierigkeiten haben, ihre Entscheidungen klar zu erklären, was zu Fragen der Transparenz und Fairness führt.
Er verdeutlicht zudem, dass, während KI das Potenzial hat, viele Prozesse in der Bankenwelt zu verbessern, es immer noch Herausforderungen in Bezug auf Transparenz und Ethik gibt, die angegangen werden müssen.
Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor Deepfakes
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt ausdrücklich vor Deepfake-Angriffsmethoden, die durch KI ermöglicht werden. Diese Technologie kann Stimmen, Bilder und sogar Videos so manipulieren, dass sie echten Personen täuschend ähnlichsehen und hören.
„Die hohe Leistungsfähigkeit von Standardhardware hat zur Folge, dass jede interessierte Person in der Lage ist, Videos oder Bilder zu erstellen, bei denen mehr oder weniger nicht mehr unterschieden werden kann, ob es sich um reale Aufzeichnungen oder Manipulationen handelt. Ein prominentes Beispiel dafür ist das Video von Ex-US-Präsident Barack Obama, in dem er auf seinen Nachfolger Donald Trump schimpft. Heute kann man an Details noch weitestgehend erkennen, dass es sich um eine Fälschung handelt. Doch ist es nur eine Frage der Zeit, wann dies nicht mehr manuell möglich sein wird.” (Matthias Neu, Melanie Müller, Biju Pothen und Moritz Zingel im Buchkapitel „Digitale Ethik“, Seite 97)
Maßnahmen gegen die Deepfake-Bedrohung
Angesichts dieser wachsenden Bedrohung haben Banken begonnen, proaktive Maßnahmen zu ergreifen. Sie investieren in fortschrittliche Erkennungssysteme, führen mehrstufige Authentifizierungsverfahren ein und schulen ihre Mitarbeiter regelmäßig im Umgang mit potenziellen Sicherheitsbedrohungen. Ein Beispiel für solch eine fortschrittliche Technologie ist ZAK Veriscore, eine Software, die den Legitimationsprozess in Banken optimiert und die Echtheitsmerkmale von über 1.300 verschiedenen Ausweisen erkennt. Dies stellt sicher, dass Banken die Identität ihrer Kunden präzise verifizieren können, wodurch betrügerische Aktivitäten effektiv verhindert werden. Die Zusammenarbeit mit Cybersicherheitsfirmen und Experten für künstliche Intelligenz wird zudem intensiviert, um sich über die neuesten Entwicklungen im Bereich Deepfake auf dem Laufenden zu halten. Auch werden Feedback-Schleifen eingerichtet, um verdächtige Aktivitäten schnell und effektiv zu melden. Einige Banken experimentieren mittlerweile sogar mit Blockchain-Technologie, um die Authentizität von Dokumenten und Kommunikationen zu überprüfen. Doch eines ist klar: trotz dieser Bemühungen bleibt die Bedrohung durch Deepfakes eine fortwährende Herausforderung, die ständige Wachsamkeit und Innovation erfordert.
IT-Experte Leidecker betont außerdem die Notwendigkeit einer proaktiven Herangehensweise an die Sicherheit. Er empfiehlt Banken, in KI-gestützte Abwehrsysteme zu investieren und gleichzeitig ihre Mitarbeiter in den neuesten Sicherheitsprotokollen zu schulen. In einer Ära, in der Technologie sowohl eine Bedrohung als auch eine Verteidigung darstellt, ist es entscheidend, immer einen Schritt voraus zu sein.