KI-Betrugsagenten und ihre Arbeitsweise erklärt

Eugeny Malyutin, Head of LLM bei Sumsub, präsentiert sich in einem professionellen Umfeld. Die Thematik der KI-Betrugsagenten wird durch seine Expertise in der Kombination von Sprachmodellen und generativen Tools unterstrichen. — Eugeny Malyutin, Head of LLM Sumsub

KI-Betrugsagenten arbeiten anders als klassische Fraud-Bots nicht nach starren Skripten, sondern als autonome Systeme: Sie kombinieren Sprachmodelle mit generativen Tools, Geräteschnittstellen und externen APIs, führen mehrstufige Verifikationsprozesse selbstständig aus, werten Rückmeldungen aus und passen ihr Verhalten nach jedem Fehlversuch an. Genau diese Schleife aus Ausführung, Feedback und Optimierung macht sie für Banken und andere regulierte Unternehmen so gefährlich.

von Eugeny Malyutin, Head of LLM bei Sumsub

Technisch lässt sich ein solcher Agent als Architektur aus vier Bausteinen beschreiben: einem Orchestrator, der die nächsten Schritte plant, einem Tool-Runner, der auf Generatoren, Browser, Geräte oder Schnittstellen zugreift, einem persistenten Speicher für erfolgreiche und gescheiterte Versuche sowie einem Feedback-Modul, das Ergebnisse in neue Entscheidungen übersetzt. Im Unterschied zu klassischen Bots reagiert der Agent also flexibel auf unklare oder wechselnde Bedingungen.

Er scheitert nicht sofort, wenn sich ein Prozess ändert, sondern probiert Varianten aus, bis er eine funktionierende Konfiguration findet.“

Wo Agenten angreifen

Autor: Eugeny Malyutin, Sumsub

Eugeny Malyutin, Head of LLM bei Sumsub, wird abgebildet. Der Fokus liegt auf der Thematik der KI-Betrugsagenten, die eigenständig Identitäten stehlen. Malyutin entwickelt KI-Lösungen zur Verbesserung der Nutzerverifizierung und Bekämp

Eugeny Malyutin ist Head of LLM bei Sumsub (Website), wo er skalierbare KI-Lösungen entwickelt, um die Nutzerverifizierung zu verbessern und digitalen Betrug zu bekämpfen. Vor seiner Tätigkeit bei Sumsub arbeitete Eugeny für ein großes soziales Netzwerk, wo er die Entwicklung einer Dateninfrastruktur und von Machine-Learning-Plattformen leitete, die täglich Millionen von Nutzer:innen bedienen. Eugeny hat einen Masterabschluss in Angewandter Mathematik von der Staatlichen Universität Sankt Petersburg, wo er außerdem zu Machine Learning, Natural Language Processing und Empfehlungssystemen lehrte.

Angegriffen wird typischerweise die gesamte KYC-Kette. In der Dokumentenprüfung geht es darum, ein Identitätsdokument bereitzustellen, das für automatische Systeme plausibel wirkt. Im biometrischen Abgleich und bei der Liveness-Prüfung liegt der schwierigere Teil: Hier muss das System glauben, dass ein realer Mensch mit passendem Gesicht gerade live vor der Kamera agiert. Selbst wenn diese Hürden überwunden wurden, kann die Session später an Verhaltensmustern, Infrastruktur-Reputation, Gerätesignalen, Session-Timing oder Fallclustern scheitern. Genau deshalb endet der Angriff nicht bei der bestandenen Liveness-Challenge. Der Agent beobachtet, an welchem Punkt ein Antrag abbricht, in welchen Fällen eine Nachprüfung ausgelöst wird und welche Kombination von Merkmalen häufiger in die manuelle Prüfung läuft.

Wie autonome Agenten biometrische Prüfungen überwinden

Für Finanzanbieter ist entscheidend, die Angriffskategorien zu verstehen. Das „Aushebeln“ biometrischer Prüfungen ist dabei kein einzelner Schritt, sondern funktioniert über mehrere Angriffskategorien. Dazu gehören Präsentationsangriffe, bei denen der Prüfung eine manipulierte Darstellung vorgelegt wird, Signal- oder Injection-Angriffe, bei denen nicht das Bild vor der Kamera, sondern direkt der Erfassungspfad manipuliert wird, sowie synthetische oder hybride Medienangriffe, bei denen echte Identitätsdaten mit künstlich erzeugten Gesichts- oder Videoinhalten kombiniert werden. Hinzu kommen Angriffe auf den Kontext der Sitzung, etwa über auffällige oder gezielt variierte Geräte- und Netzwerkumgebungen.

Entscheidend ist aber die adaptive Schleife. Der Agent erhält fortlaufend Rückmeldungen zu Fehlermeldungen, Challenge-Varianten, Abbruchpunkte, Review-Entscheidungen, Wartezeiten oder Veränderungen im Prozess.

Diese Signale reichen aus, um eine Black-Box-Optimierung aufzubauen.“

Der Agent muss das Verteidigungssystem der Bank nicht im Inneren kennen. Es genügt, zu erkennen, welche Konfigurationen häufiger scheitern und welche weiterkommen. Dieses Wissen wird gespeichert: etwa zu Bank, Ablauf, Challenge-Typ, Sitzungsverlauf oder technischer Umgebung. So entsteht in kurzer Zeit ein immer präziseres Bild davon, wie sich die Hürden eines bestimmten Anbieters umgehen lassen.

Genau darin liegt der Unterschied zu früheren Betrugsmethoden. Was menschliche Täter früher in tagelanger manueller Kleinarbeit testen mussten, können KI-Agenten heute in kurzer Folge und parallel iterieren. Sie lernen nicht im Sinne eines bewussten Verständnisses, sondern durch maschinelles Ausprobieren mit hohem Tempo. Für Banken bedeutet das: Statische Abwehrmechanismen verlieren drastisch an Wirksamkeit, wenn Angreifer ihre Varianten schneller anpassen können, als Regeln oder Modelle aktualisiert werden.

Welche Zielarchitektur Unternehmen jetzt brauchen

Die Antwort darauf kann nur architektonisch sein. Wirksam wird Abwehr erst dann, wenn mehrere unabhängige Signalräume gleichzeitig ausgewertet werden: abgesicherte Erfassung auf Geräteebene, Dokumentenforensik, mehrdimensionale Liveness-Prüfung, Sitzungs- und Cross-Session-Risikoanalyse sowie Human-in-the-Loop bei Grenzfällen.

Denn ein Betrugsagent kann einzelne Kontrollen mit genügend Iterationen unter Umständen überwinden.“

Deutlich schwieriger wird es allerdings, mehrere voneinander unabhängige Prüfungen gleichzeitig zu bestehen, ohne zu wissen, welche davon den Ausschlag für die Ablehnung gegeben hat.

KI-Betrugsagenten sind längst keine punktuelle Bedrohung mehr, sondern eine systemische Herausforderung für heutige Identitätsprüfungen. Wer sich verteidigen will, braucht keine Einzelmaßnahme gegen Deepfakes, sondern eine mehrschichtige Sicherheitsarchitektur, die mit der Iterationsgeschwindigkeit der Angreifer Schritt hält. Eugeny Malyutin, Sumsub