IT-Infrastruktur und Services für Banken: Volle Datenhoheit bei höchster Sicherheit und Verfügbarkeit. noris network
SECURITY29. Mai 2026

KI-Betrugsagenten: Wenn Bots eigenständig Identitäten klauen

Eugeny Malyutin, Sumsub, erklärt KI-Betrugsagenten: wenn Bots eigenständig Identitäten klauen <q>Sumsub
Eugeny Malyutin, Sumsub Sumsub

KI-Betrugsagenten arbeiten anders als klassische Fraud-Bots nicht nach starren Skripten, sondern als autonome Systeme: Sie kombinieren Sprachmodelle mit generativen Tools, Geräteschnittstellen und externen APIs, führen mehrstufige Verifikationsprozesse selbstständig aus, werten Rückmeldungen aus und passen ihr Verhalten nach jedem Fehlversuch an. Genau diese Schleife aus Ausführung, Feedback und Optimierung macht sie für Banken und andere regulierte Unternehmen so gefährlich.

von Eugeny Malyutin, Sumsub

Technisch lässt sich ein solcher Agent als Architektur aus vier Bausteinen beschreiben: einem Orchestrator, der die nächsten Schritte plant, einem Tool-Runner, der auf Generatoren, Browser, Geräte oder Schnittstellen zugreift, einem persistenten Speicher für erfolgreiche und gescheiterte Versuche sowie einem Feedback-Modul, das Ergebnisse in neue Entscheidungen übersetzt.

Im Unterschied zu klassischen Bots reagiert der Agent also flexibel auf unklare oder wechselnde Bedingungen.“

Er scheitert nicht sofort, wenn sich ein Prozess ändert, sondern probiert Varianten aus, bis er eine funktionierende Konfiguration findet.

Wo Agenten angreifen

Angegriffen wird typischerweise die gesamte KYC-Kette. In der Dokumentenprüfung geht es darum, ein Identitätsdokument bereitzustellen, das für automatische Systeme plausibel wirkt.

Im biometrischen Abgleich und bei der Liveness-Prüfung liegt der schwierigere Teil: Hier muss das System glauben, dass ein realer Mensch mit passendem Gesicht gerade live vor der Kamera agiert.“

Selbst wenn diese Hürden überwunden wurden, kann die Session später an Verhaltensmustern, Infrastruktur-Reputation, Gerätesignalen, Session-Timing oder Fallclustern scheitern. Genau deshalb endet der Angriff nicht bei der bestandenen Liveness-Challenge. Der Agent beobachtet, an welchem Punkt ein Antrag abbricht, in welchen Fällen eine Nachprüfung ausgelöst wird und welche Kombination von Merkmalen häufiger in die manuelle Prüfung läuft.

Wie autonome Agenten biometrische Prüfungen überwinden

Autor: Eugeny Malyutin, Sumsub
Eugeny Malyutin, Sumsub <q>Sumsub
Eugeny Malyutin ist Head of LLM bei Sum­sub (Web­site). Vor sei­ner Tä­tig­keit bei Sum­sub ar­bei­te­te Eu­ge­ny für ein gro­ßes so­zia­les Netz­werk, wo er die Ent­wick­lung ei­ner Da­ten­in­fra­struk­tur und von Ma­chi­ne-Learning-Platt­for­men lei­te­te. Eu­ge­ny hat ei­nen Mas­ter­ab­schluss in An­ge­wand­ter Ma­the­ma­tik von der Staat­li­chen Uni­ver­si­tät Sankt Pe­ters­burg, wo er au­ßer­dem zu Ma­chi­ne Learning, Na­tu­ral Lan­gua­ge Pro­ces­sing und Emp­feh­lungs­sys­te­men lehrte.
Für Finanzanbieter ist entscheidend, die Angriffskategorien zu verstehen. Das „Aushebeln“ biometrischer Prüfungen ist dabei kein einzelner Schritt, sondern funktioniert über mehrere Angriffskategorien. Dazu gehören Präsentationsangriffe, bei denen der Prüfung eine manipulierte Darstellung vorgelegt wird, Signal- oder Injection-Angriffe, bei denen nicht das Bild vor der Kamera, sondern direkt der Erfassungspfad manipuliert wird, sowie synthetische oder hybride Medienangriffe, bei denen echte Identitätsdaten mit künstlich erzeugten Gesichts- oder Videoinhalten kombiniert werden. Hinzu kommen Angriffe auf den Kontext der Sitzung, etwa über auffällige oder gezielt variierte Geräte- und Netzwerkumgebungen.

Entscheidend ist aber die adaptive Schleife.“

Der Agent erhält fortlaufend Rückmeldungen zu Fehlermeldungen, Challenge-Varianten, Abbruchpunkte, Review-Entscheidungen, Wartezeiten oder Veränderungen im Prozess. Diese Signale reichen aus, um eine Black-Box-Optimierung aufzubauen. Der Agent muss das Verteidigungssystem der Bank nicht im Inneren kennen. Es genügt, zu erkennen, welche Konfigurationen häufiger scheitern und welche weiterkommen. Dieses Wissen wird gespeichert: etwa zu Bank, Ablauf, Challenge-Typ, Sitzungsverlauf oder technischer Umgebung. So entsteht in kurzer Zeit ein immer präziseres Bild davon, wie sich die Hürden eines bestimmten Anbieters umgehen lassen.
Genau darin liegt der Unterschied zu früheren Betrugsmethoden.

Was menschliche Täter früher in tagelanger manueller Kleinarbeit testen mussten, können KI-Agenten heute in kurzer Folge und parallel iterieren.“

Sie lernen nicht im Sinne eines bewussten Verständnisses, sondern durch maschinelles Ausprobieren mit hohem Tempo. Für Banken bedeutet das: Statische Abwehrmechanismen verlieren drastisch an Wirksamkeit, wenn Angreifer ihre Varianten schneller anpassen können, als Regeln oder Modelle aktualisiert werden.

Welche Zielarchitektur Unternehmen jetzt brauchen

Die Antwort darauf kann nur architektonisch sein. Wirksam wird Abwehr erst dann, wenn mehrere unabhängige Signalräume gleichzeitig ausgewertet werden: abgesicherte Erfassung auf Geräteebene, Dokumentenforensik, mehrdimensionale Liveness-Prüfung, Sitzungs- und Cross-Session-Risikoanalyse sowie Human-in-the-Loop bei Grenzfällen. Denn ein Betrugsagent kann einzelne Kontrollen mit genügend Iterationen unter Umständen überwinden. Deutlich schwieriger wird es allerdings, mehrere voneinander unabhängige Prüfungen gleichzeitig zu bestehen, ohne zu wissen, welche davon den Ausschlag für die Ablehnung gegeben hat.

KI-Betrugsagenten sind längst keine punktuelle Bedrohung mehr, sondern eine systemische Herausforderung für heutige Identitätsprüfungen.“

Wer sich verteidigen will, braucht keine Einzelmaßnahme gegen Deepfakes, sondern eine mehrschichtige Sicherheitsarchitektur, die mit der Iterations­geschwindigkeit der Angreifer Schritt hält. Eugeny Malyutin, Sumsub

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/244543

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert