Betrug boomt. Das ist nicht nur ein Gefühl. Schäden durch Betrug haben sich in den letzten Jahren vervielfacht. Allein die Verluste durch Online-Scam werden mittlerweile auf mehr als eine Billion (nein, es ist kein Übersetzungsfehler) US-Dollar weltweit geschätzt[1].
Das Problem Betrug betrifft dabei nicht nur Finanzdienstleister: e-Commerce, ÖPNV (Deutschlandticket), Energieanbieter (Ladesäulen für E-Autos), Telekommunikationsanbieter – praktisch jeder Service wird angegriffen. Finanzdienstleister sind jedoch Ansprechpartner, werden von Endkunden als Verantwortliche wahrgenommen[2] und sind mit dem Produkt “Geld” das attraktivste Ziel.
Hintergründe der Entwicklung
- Prozessuale Veränderungen in der Infrastruktur: Digitale Anträge und Signaturen, Realtime Payment und Kryptowährungen sind Katalysatoren für Betrug.
- Automatisierte Ansprache potenzieller Opfer durch digitale Kommunikation: Der Erstkontakt erfolgt in Deutschland noch meist über Telefonanrufe, E-Mails und SMS. International gelten Social Media Plattformen als wichtigste Kanäle, vor allem Facebook und Datingplattformen[3].
- Veränderung von Tätergruppen und Informationsaustausch: Die organisierte Kriminalität hat das Thema Betrug aufgenommen und darin investiert[4]. Gleichzeitig haben sich Netzwerke ausgebildet[5], in denen Informationen zu Prozesslücken und Angriffsmuster über Foren und Messenger ausgetauscht werden. Sehr erfolgreiche Täter nutzen ihre Bekanntheit und bieten Schulungen an[6].
- Technische Entwicklung: Botnetze, Dokumentenfälschung, Deep-Fakes, automatisierte Übersetzung – Betrüger adaptieren technische Entwicklungen umgehend. Mögliche gesetzliche Regelungen gehen häufig ins Leere, da für die Täter die Gesetzeslage nach Bereitstellung einer technischen Neuerung irrelevant ist.
Durch die Veränderung der Infrastruktur hat sich die Zahl der potenziellen Angreifer / Opfer vervielfacht: Die wohlhabenden Schichten aller Nationen sind erreichbar geworden. Die Veränderungen in den Tätergruppen sorgen für eine schnelle Professionalisierung, gleichzeitig werden durch die hohe Anzahl an neuen Tätern mehr Prozesse auf Lücken getestet. Der Einsatz neuer Technik dient vor allem der Skalierung und der Eliminierung von Fehlern.
Trends, Schäden und die wachsende Bedrohung für Europa
Dabei ist Europa noch gar nicht im Fokus der Täter. Die Sprachenvielfalt und EU-weite Sicherungsmaßnahmen (z.B. starke KYC-Verfahren, Multi-Faktor-Identifizierungen bei Zahlungen ) sorgen dafür, dass wir immer noch einen Vorlauf vor neuen Trends haben. “America first” gilt auch für die Betrüger[7]. Der zeitliche Vorlauf schmilzt jedoch und neue Angriffspunkte werden von nationalen Tätergruppen schnell adaptiert.
Wirklich neue Betrugsmuster sehen wir im Finanzsektor bisher kaum. Wir sprechen immer noch über Identitätsbetrug und -übernahme, Account Takeover, den Missbrauch gestohlener Zahlungsmittel, Lastschriftbetrug, in den USA zusätzlich von Scheckreiterei – und natürlich vom direkten Betrug am Kunden, der zu Zahlungen verleitet wird (Authorized Pushed Payment). Auch dabei sind es weitgehend die alten Ideen: Investment Fraud und Romance Scam sind die am schnellsten wachsenden Betrugsarten. Die einzelnen Modi Operandi, also das konkrete Tatvorgehen, verändert sich dagegen schnell[8].
Digitale Lösegeld- oder Schutzgelderpressung war aufgrund der technischen Komplexität der Vorbereitung lange Zeit auf Firmen ausgerichtet, die Beträge zahlen konnten, die den Aufwand rechtfertigten. Mit Sextortion, vorgetäuschten Entführungen[9], Cyber-Kidnapping[10] u.ä. sind digitale Varianten von Schwerverbrechen im Kommen, die auf Einzelpersonen ausgerichtet sind. Beunruhigend ist auch, dass verschiedene Kontaktwege kombiniert werden, um die Opfer in Sicherheit zu wiegen. In einfachen Varianten sind dies Briefe[11] oder Postwurfsendungen, doch gibt es zumindest im asiatischen Raum bereits Services für den Versand von Geschenkboxen zur Unterstützung von Romance Scam und selbst der Besuch der vermeintlichen Traumfrau kann bei wohlhabenden Opfern Teil des Betrugs sein.
In einem kleinen Test konnten wir ein zumindest dreistufiges Verfahren erkennen:
- Vollautomatisierter Erstkontakt über standardisierte Nachrichten,
- Übernahme des ersten Kontaktes durch ein KI-Modell, das auch typische Fragen beantworten konnte,
- Überleitung von qualifizierten Opfern an einen menschlichen Kontakt.
Die maschinellen Komponenten waren im Test noch gut erkennbar. Absehbar ist, dass die Vorqualifizierung von Opfern für Romance- und Investmentbetrug über KI-Modelle erfolgen, die nicht mehr von einem menschlichen Gesprächspartner zu unterscheiden sind. Emotionale Reaktionen und lokale Akzente sind in aktuellen Anwendungen bereits trainierbar[12].
Verlässliche Zahlen für Betrug gibt es im europäischen Raum kaum[13], was vor allem an der uneinheitlichen Erhebung und fehlenden Meldestellen liegt. Die Schäden sind jedoch immens, allein im deutschsprachigen Raum sind mehr als 12 Milliarden Euro Schaden allein durch Scam realistisch (GASA, The State of Scams in DACH 2023. Die Zahlen lassen sich auf Basis nationaler Schätzungen verifizieren.). Dabei geht es nicht nur um die direkten Verluste. Jede Retail-Bank und nahezu jede Geschäftsbank hat in den letzten zehn Jahren aufgerüstet: Wachsende Abteilungen für Geldwäsche- und Betrugsprävention, Systeme und Analytiker. Der Großteil der Kosten entfällt auf manuelle Prüfungen, Meldungen und die Nachbearbeitung. Die Gesamtkosten der Prävention machen ein Mehrfaches der direkten Schäden aus[14]. Im Gegensatz zur Prävention von Geldwäsche bietet die Betrugsprävention verschiedene Business-Cases: Eingesparte Aufwendungen, Margen aus nicht abgeflossenen Geldern und die Vermeidung direkten Schadens. Die Aufrüstung schwacher Systeme rechnet sich typisch innerhalb von drei bis neun Monaten.
Aktuelle Modi Operandi
Aktuelle Themen sind in Deutschland die Optimierung gefälschter Unterlagen durch den Einsatz von KI und standardisierter Vorlagen. Vereinzelt durchbrechen Deep-Fake-Marionetten die Video-Identifizierungsverfahren[15]. Das massenhafte Phishing mit geklonten Webseiten von Banken nagt an deren Reputation. Über Identitätsdiebstahl oder -missbrauch eröffnete Konten werden als Vorbereitung zum Kreditbetrug mittelfristig mit Umsätzen bestückt (Bust-Out-Fraud ). Im organisierten Betrug werden vor allem ausländische Strohleute mit Unterlagen zur betrügerischen Kontoeröffnung und Kreditaufnahme ausgestattet, erlangte Finanzierungsgegenstände werden direkt verwertet[16].
Gefährdet ist auch die gewerbliche Finanzierung: Die Schäden sind in Einzelfällen hoch, die Komplexität der Modi Operandi ebenfalls. Die angestrebte Automatisierung im gewerblichen Mengengeschäft ist erst im Aufbau, entsprechend hat aber auch die Betrugsprävention in diesem Bereich noch keinen hohen Reifegrad erreicht. Erste Startups adressieren das Thema (Z.B. www.palturai.com oder www.getmeelo.com), haben jedoch Schwierigkeiten beim Markteintritt.
Besonders kritisch ist die Professionalisierung im Bereich Social Engineering: Vorbereitungszeiten von mehr als sechs Monaten sind häufig und das gegenüber den Kunden aufgebaute Vertrauen der Betrüger ist nur schwer zu durchbrechen. Teilweise erhalten die Opfer Skripte mit vorgefertigten Antworten, um Warnungen von Banken direkt zu begegnen. Die Begleitung von Legitimationsprozessen über einen separaten Kommunikationskanal ermöglicht den Tätern eine plausible Reaktion auf changierende Fragestellungen.
Fraud-Regulierung – Banken haften stärker für Betrugsfälle
Die EU und in der Folge auch die BaFin haben sich in den vergangenen Jahren zunehmend auf das Thema Geldwäsche fokussiert – jetzt kommt verstärkt die Betrugsprävention. Der Betrug ist als Vortat zwar auch im Geldwäschebereich von Bedeutung, wichtiger für die Richtungskorrektur dürften jedoch die wachsende Anzahl an Beschwerden und die zunehmenden Medienberichte sein.
Die den Schäden folgende Gesetzgebung nimmt in einigen europäischen Ländern (z.B. Niederlande, Frankreich) konkrete Formen an und auch in Brüssel wurde das Thema als wichtig erkannt: Für die Instant Payment Verordnung (Regulation (EU) 2024/886), die Payment Service Directive (PSD3) und die Payment Service Regulation (PSR) ist die Betrugsprävention ein maßgeblicher Treiber.
Derzeit befinden sich sowohl die PSD3 als auch die PSR im Gesetzgebungsprozess der Europäischen Union und sind noch nicht finalisiert. Die Vorschläge werden von den zuständigen EU-Gremien geprüft und diskutiert. Der finale Zeitplan steht noch nicht fest, angenommen wird die Verabschiedung der Gesetzespakete im Herbst.
Hat sich die Instant Payment Verordnung noch mit der Einführung der Verification of Payee[17] begnügt, geht der Entwurf der PSR viel weiter:
- Die heute eher theoretisch vorhandene Beweislast der Banken wird festgeschrieben und eine starke Haftung für bestimmte Modi Operandi eingefügt. Wesentlich sind hier Tatvorgehen, bei denen das Opfer annimmt, dass es mit dem Finanzdienstleister interagiert.
- Die Zeiträume für die Rückzahlung von Geldern sind kurz und müssen mit Fakten hinterlegt werden. Die heute übliche Begründung der “offensichtlichen Fahrlässigkeit” des Kunden zur Zurückhaltung von Geldern entfällt.
- Der Datenaustausch zwischen Banken zu betrügerischen Konten wird eingefordert. Der im Entwurf noch enthaltene Vorschlag einer zentralen Datei ist wohl mittlerweile vom Tisch, war jedoch aufgrund der notwendigen Beachtung nationaler Datenschutzvorschriften von vornherein problematisch. Entsprechend sind nationale Datenbanken aufzubauen.
- Die Aufklärung der Bevölkerung wird als Pflicht der Finanzinstitute aufgenommen.
Das Ganze bei einer sportlichen Umsetzungsfrist von 12 bzw. 18 Monaten. 18 Monate gelten als allgemeine Umsetzungsfrist. Der Vorschlag zum Aufbau der Datenbank zum Austausch über kompromittierte Konten sieht im letzten Vorschlag eine Frist von 12 Monaten vor.
Werden verfügbare Schutzmaßnahmen nicht genutzt, sieht die PSR konsequent eine Haftung vor, z.B. bei einem ungenügenden Transaktionsmonitoring oder der fehlenden Sperrung betrügerisch genutzten Konten.
Wirkung von Maßnahmen
Erste Vorstellungen der Auswirkungen solcher Regularien kommen aus Großbritannien: Bereits in der Vorwegnahme der ab Oktober 2024 eingesetzten Haftungsumkehr hat sich die Übernahme von Schäden durch Finanzdienstleister dramatisch verändert: Während in Deutschland ca. 58% der Schäden allein von den Endkunden gezahlt werden, ist dies in Großbritannien nur bei ca. 29% der Fall[18].
Das Gesamtpaket der Anstrengungen zur Eindämmung von Betrug in UK zeigt Wirkung: Die Verification of Payee ist schon lange implementiert. Vereinfachte Regeln zum Datenaustausch, die Anstrengungen der Banken zur Verbesserung der Prävention aufgrund der Haftungsumkehr, die vorbildliche Zusammenarbeit der Polizei mit Unternehmen, die zentrale Erhebung von Daten zu Betrug und die massive Bevölkerungsaufklärung haben die Zunahme der Fallzahlen zumindest im Augenblick gestoppt.
In Australien konnte die Zunahme mit einem massiven Maßnahmenpaket nicht nur gestoppt werden: Fallzahlen und Schäden sind 2024 rückläufig. Der frisch veröffentlichte Report des National Anti-Scam-Centers ist eine Best-Practice-Anleitung für eine nationale Abwehrstrategie unter Einbindung aller Beteiligten.
Spannungsfelder
Interessant wird in Deutschland der Umgang mit dem Spannungsfeld des Tipping-Off-Verbots gemäß § 47 Absatz 1 GWG und der Warnung von Kunden bzw. möglicher Auskunftsbegehren. In der Praxis haben sich bereits Standards etabliert, die der Prävention einen deutlichen Vorrang geben. Warnmeldungen auf Basis erkannter Betrugshandlungen sind zuverlässig, die befürchteten Haftungsfälle aufgrund fehlerhafter Hinweise kommen faktisch nicht vor[19]. Selbst unter sehr kritischen Annahmen dürfte das Verhältnis von verhinderten Schadensfällen zu Schädigungen aufgrund fehlerhafter Meldungen bei größer 1000:1 liegen[20].
Betrugsprävention der Zukunft: Aufklärung, Datenaustausch und Zusammenarbeit als Schlüsselstrategien
Kundenaufklärung, Datenaustausch und die Verbesserung der Zusammenarbeit mit den Strafverfolgungsbehörden sind die großen Themen. Die aktuellen Betrugswellen basieren darauf, dass sich die Täter besser austauschen, Technologien schneller adaptieren und bereit sind zu investieren – Betrug ist als neues Geschäftsfeld von der organisierten Kriminalität erkannt. Bei vielen Finanzdienstleistern wird das Thema erst beim Auftreten von Schadensfällen ernst genommen, dadurch stocken Investitionen und Ressourcen sind chronisch knapp.
Gerade im Datenaustausch liegen enorme Möglichkeiten. Missbräuchlich verwendete Konten, Firmen, Ausweise oder Telefonnummern werden häufig von Marktteilnehmern erkannt, bevor Schäden auftreten – allerdings wird dieses Wissen kaum oder nur über persönliche Kontakte kommuniziert. Instant Payment verschärft das Problem, solange keine automatisierten Netzwerke bestehen, über die auch verkettete Zahlungen identifiziert und aufgehalten werden können[21].
Dass Investitionen sich hier kurz- oder spätestens mittelfristig rechnen, ist keine Frage: Die Einsparung von manuellen Ressourcen in der Bearbeitung von Schadensfällen und die fehlenden Einnahmen aufgrund betrügerisch verfügter Kundengelder bieten valide Business-Cases. Dazu kommen die absehbar erheblichen Aufwendungen bei Inkrafttreten der Haftungsumkehr.
Die proaktive Betrugsprävention wird auch ein Thema für das Marketing werden: Die Erwartung der Kunden ist, dass die Finanzdienstleister etwas gegen den Betrug tun.
Fazit
Die Betrugsprävention ist in einer rasanten Entwicklung – fachlich und rechtlich. Aktuell haben die Täter einen deutlichen Vorsprung, den es dringend gilt wieder aufzuholen. Wir können dazu aus den Erfahrungen anderer Länder eine Menge lernen. Wichtig ist dafür, die in Deutschland noch immer verbreitete Ansicht aufzugeben, die Opfer seien durchweg dumm oder selbst schuld. Die Täter sind professionell unterwegs und nahezu jeder kann Opfer werden: wir selbst, unsere Kinder und Freunde, unsere Arbeitgeber. Mit der weitgehenden Automatisierung im Mengengeschäft und der Übergabe vieler Tätigkeiten an den Kunden vor allem zur Steigerung der Effektivität sind Prozesse entstanden, die angreifbar sind. Die entstandenen Lücken gilt es jetzt zu schließen.
Der Autor:
Dirk Mayer ist Bankkaufmann und hat das Thema Betrug bei der Eröffnung der ersten reinen Online-Bank in Deutschland für sich entdeckt. Nach seinem Studium zu Governance, Risk und Compliance hat er einen Datenpool zur Verhinderung von Antragsbetrug konzipiert und erfolgreich gestartet. Er arbeitet als Head der Anti-Fraud-Consultants bei RISK IDENT und berät neben Finanzdienstleistern Unternehmen aus dem eCommerce, ÖPNV und Energieversorger. Nebenberuflich hat er das Unternehmen StopCrime gegründet, einen Datenpool zur Warnung vor kompromittierten Konten, dass u.a. ein Transaktionsmonitoring auf einer gemeinsamen Wissensbasis ermöglicht.
Sie erreichen ihn über LinkedIn oder direkt per Mail.
[1] Basel Institute of Governance, Basel AML-Index 2024
[2] Social Market Foundation, It’s a fraudsters world 09.2024
[3] https://www.onlinesicherheit.gv.at/Services/News/Love-Scam-Ueberblick.html, Abruf vom 30.03.2025
[4] u.a. https://www.cfr.org/in-brief/how-myanmar-became-global-center-cyber-scams, 05.2024, Abruf vom 30.03.2025
[5] Europol, Decoding the EU’s most threatening criminal networks, 2024
[6] Ein besonders bekanntes Beispiel sind die Yahoo-Boys, die zwischenzeitlich sogar eine “Univercity” betrieben. Die Anleitung “Refund.SH” in insgesamt 5 Auflagen löste 2021/2022 eine weltweite Welle von Refund-Fraud aus. Für den amerikanischen Markt liegen dezidierte Anleitungen vor, wie betrügerische Kontoeröffnungen bei einzelnen Banken durchgeführt werden können.
[7] Erste Angriffe adressieren englischsprachige Nationen, insb. die USA und Australien. Ebenfalls frühzeitig angegriffen wird China, was nicht nur auf den großen Sprachraum, sondern auch auf die Investitionsbereitschaft chinesischer Triaden zurückzuführen ist. Brasilien, Portugal, Mexico und Argentinien sind die Länder, in denen die Bevölkerung die größten Probleme mit Betrug sieht (15 untersuchte Länder).
[8] Einen schönen Überblick erhält man für den Bereich Payment mit der EBA Fraud Taxonomy, aktuell ist die Version 5 / 06.2024
[9] Missing Persons Scam und direkte Vortäuschung von Entführungen. Lesenswert ist dazu https://www.trendmicro.com/vinfo/it/security/news/cybercrime-and-digital-threats/how-cybercriminals-can-perform-virtual-kidnapping-scams-using-ai-voice-cloning-tools-and-chatgpt, Abruf vom 30.03.2025
[10] Eine Variante von Romance-Baiting Scams, bei dem die Opfer unter Androhung von Straftaten digital isoliert werden
[11] Praktisch alle größeren Banken sind betroffen, sehr bekannt wurden Schreiben im Namen der Commerzbank mit eingedrucktem QR-Code, die zu Phishing-Seiten führten
[12] Ein beeindruckendes Beispiel dafür ist die Seame AI: Miles und Maya sprechen aktuell nur Englisch, bieten aber einen guten Blick auf das, was auf uns zukommt https://www.sesame.com/research/crossing_the_uncanny_valley_of_voice
[13] Natürlich gibt es Quellen, z.B. eba, Report on Payment Fraud 2024, UK Finance, Annual Fraud Report 2024. Mit Ausnahme von UK sind die Zahlen aber kaum vergleichbar. Zahlen aus UK, den USA und Australien geben gute Anhaltspunkte, da dort offizielle Meldestellen bestehen und das Dunkelfeld über Viktimisierungssurveys abgeschätzt werden kann.
[14] Um genauer zu sein: in Deutschland um das 5,37-fache. Forrester Consulting, True Cost of Fraud 2024. Der Wert steigt in den letzten Jahren stark an.
[15] Es handelt sich um Einzelberichte. Insgesamt scheinen die Video-Ident-Verfahren immer noch deutlich sicherer als das Post Ident; hier liegen die Probleme bei den Mitarbeitern.
[16] Berichte von betroffenen Unternehmen im März 2025
[17] Name-IBAN-Abgleich, d.h. bei fehlender ausreichender Übereinstimmung werden Zahlungen ggf. abgelehnt
[18] Die Daten stammen aus einer Grafik, die exakten Prozentzahlen waren nicht angegeben und können daher geringfügig differieren: Social Market Foundation, It’s a fraudsterss world 09.2024
[19] Vgl. Zahlen der Schufa zu Beschwerdefällen des Fraud Prevention Pool, Warnungen der FinanzApp Finanzguru auf Basis von Daten der LexMentis GmbH zu Fakeshops oder der Watchlist Internet aus Österreich.
[20] Eigene Untersuchungen mit relevanten Fallzahlen; DSFA der StopCrime GmbH
[21] Ein erstes Angebot im europäischen Markt bietet die StopCrime GmbH, www.stopcrime.info