Warum Banken nur mit Proof-of-Human standhalten können

Wenn Bots menschliches Verhalten online nachahmen, hilft kein CAPTCHA mehr. Der Finanzsektor steht an einem Kipppunkt: klassische Sicherheitsmechanismen brechen zusammen. Die neue Verteidigungslinie heißt Proof-of-Human, eine kryptografische Prüfung, die bestätigt, dass hinter jeder Transaktion ein echter Mensch steht.

von Adrian Ludwig, Tools for Humanity

Das Jahr 2024 war das Jahr, in dem Maschinen den Menschen im Internet überholt haben. Laut Imperva stammten erstmals 51 Prozent des globalen Traffics von Bots, davon 37 Prozent von bösartigen. Und diese werden immer ausgefeilter. Sie füllen Formulare, lösen CAPTCHAs, imitieren Browserfingerprints und greifen gezielt Banken und FinTechs an.

Fast jeder zweite Login-Versuch weltweit war im vergangenen Jahr ein Angriff. Die Zahl der Account Takeovers (ATO) stieg um 40 Prozent.”

Finanzdienstleister sind das bevorzugte Ziel: 22 Prozent aller ATOs trafen Banken, Sparkassen oder Neobanken. 44 Prozent des Advanced-Bot-Traffics richteten sich direkt gegen APIs, also genau die Schnittstellen, über die Open-Banking und Mobile Payment laufen. Die Angreifer setzen dabei auf automatisierte Skripte, die in Low-and-Slow-Manier über Wochen Login-Versuche ausführen, oft über Residential-Proxies oder gekaperte IoT-Geräte. Ergebnis: Die Requests wirken wie legitimer User-Traffic, bleiben unter den Ratenlimit-Schwellen und umgehen jede klassische Bot-Detection.

Adrian Ludwig, Tools for Humanity

Adrian Ludwig ist Chief Architect bei Tools for Humanity (TFH) (Website), einem zentralen Contributor zum World Network (Website) – einem Netzwerk realer Menschen, das auf einem datenschutzwahrenden Proof of Human und einem global inklusiven Finanznetzwerk basiert. Bevor er zu TFH kam, war Ludwig CISO und Chief Trust Officer bei Atlassian sowie Director of Android Security bei Google, wo er für den Schutz von mehr als 2 Milliarden Android-Nutzern verantwortlich war.

Warum MFA und CAPTCHA keine Antworten mehr sind

Multi-Faktor-Authentifizierung galt als Bollwerk. Doch mit MFA Fatigue, also gezielten Push-Bombing-Angriffen, hebeln Angreifer selbst diese Hürde aus. Ein Bot kann Hunderte Loginversuche pro Sekunde starten, bis der genervte Kunde „Ja“ klickt. Ähnlich ergeht es CAPTCHAs: KI-basierte Solver knacken sie heute mit über 95 Prozent Erfolgsquote. Parallel floriert ein globaler Schwarzmarkt menschlicher CAPTCHA-Löser.
Auch Device Fingerprinting versagt zunehmend. Headless Browser wie Puppeteer oder Playwright generieren echte Interaktionsmuster – Mausbewegungen, Touch-Events, Timing. Selbst KI-basierte Bot-Detection erkennt den Unterschied kaum noch.

Sicherheitsmechanismen, die auf Erkennen beruhen, verlieren in einer Welt generativer KI ihren Wert.”

Der Paradigmenwechsel: Proof-of-Human

An diesem Punkt setzt ein neues Sicherheitsparadigma an: Proof-of-Human. Es kehrt die Logik um. Statt zu erraten, ob eine Aktion echt ist, wird der Nachweis gefordert, dass sie von einem echten Menschen ausgelöst wurde.

Ein Proof-of-Human ist deterministisch – keine Heuristik, kein Wahrscheinlichkeitswert, sondern ein kryptografischer Beweis. Ziel: Nur ein echter Mensch kann die Interaktion initiieren und das ohne persönliche Daten offenzulegen.”

Technisch basiert der Ansatz auf drei Ebenen:
1.Persönliche Verifikation: Eine initiale, hardwaregestützte Prüfung, dass die Person ein echter, lebender Mensch ist
2.Kryptografischer Proof-of-Human-Nachweis: Aus der initialen Verifikation wird ein Zero-Knowledge-Proof (ZKP) generiert – ein Beweis, der zeigt, dass dieses Individuum einzigartig und menschlich ist, ohne dabei aber die Identität preiszugeben.
3.Anwendungsübergreifende Integration: Proofs können über APIs in Auth-Flows, Transaktionsfreigaben oder API-Gateways eingebettet werden.

Beispiel World ID – ein maschinenresistentes menschliches Netzwerk das Anonymität gewährleistet

Tools for Humanity erklärt den Proof-of-Human und warum Banken nur damit standhalten können<q>TFH — Tools for Humanity TFH

Die von Tools for Humanity entwickelte World ID nutzt diese Architektur. Eine spezielle fortschrittliche Kamera, der Orb, erstellt aus mehreren Bildern einen einzigartigen Code, der nur lokal und verschlüsselt auf dem Mobilgerät des Nutzers gespeichert wird. Der Orb verwendet hierzu multispektrale Sensoren, um die Menschlichkeit und Einzigartigkeit einer Person absolut fehlerfrei zu überprüfen, ohne jemals die Identität zu kennen. Alle Bilder werden direkt auf dem Orb gelöscht. Auch wird der erzeugte Code nicht im Netzwerk gespeichert oder aufbewahrt. Stattdessen wird er mithilfe einer fortschrittlichen Anonymisierungstechnologie (Anonymized Multi-Party Computation) weiterverarbeitet.

Beim Login oder einer Transaktion erzeugt die World App einen Zero-Knowledge-Proof, der bestätigt, dass das Individuum ein validierter Mensch ist, dabei aber keine persönlichen Daten offenlegt.”

Der Proof wird via zk-SNARK übermittelt, die prüfende Bank erfährt nur: echt oder nicht echt.
Die technische Integration läuft über ein einfaches SDK oder eine OAuth-kompatible Schnittstelle. Ein Banking-Backend kann den Proof-of-Human-Abgleich so direkt in bestehende Login- oder Payment-APIs einbetten. Für Bots, die keinen Proof liefern können, endet der Request. Deterministisch, endgültig, messbar.

Proof-of-Human im Bankenumfeld: konkrete Einsatzszenarien

1.API-Schutz: Banken-APIs sind das neue Einfallstor. Proof-of-Human kann als Middleware agieren, die Requests nur akzeptiert, wenn ein gültiger Human-Proof vorliegt. Credential-Stuffing oder Data-Scraping via API wird damit effektiv blockiert.
2.Login-Verifikation: Proof-of-Human als zweite Stufe nach dem Passwort kann CAPTCHAs ersetzen und MFA ergänzen. Ein gestohlener Token reicht nicht – ohne menschliche Interaktion keine Session.
3.Zahlungsfreigabe: Bei sensiblen Transaktionen, etwa über 50.000 Euro, kann Proof-of-Human als „TAN 2.0“ dienen. Der Kunde bestätigt die Zahlung über seine App, der Bot bleibt außen vor.
4.Interne Admin-Freigaben: Auch Backend-Aktionen lassen sich absichern, etwa Massenbuchungen oder API-Key-Generierungen. So kann nur ein echter Mitarbeiter, nicht ein kompromittiertes Skript, kritische Befehle auslösen.

Vergleich: probabilistische vs. deterministische Sicherheit

Die meisten aktuellen Bot-Mitigation-Strategien beruhen auf Wahrscheinlichkeiten. Machine-Learning-Modelle analysieren Verhaltensmuster, um verdächtige Sessions zu erkennen, doch KI-generierte Bots liefern heute selbst synthetische „Menschlichkeit“ auf Knopfdruck. Device-Fingerprinting wiederum stützt sich auf Konfigurationsdaten wie Browser-Version oder GPU-Verhalten, scheitert aber an Anti-Detect-Browsern, die reale Fingerprints nachbilden.

Auch verhaltensbasierte Authentifizierung, etwa über Tippgeschwindigkeit oder Touch-Druck, ist nur so stark wie das Modell dahinter. Wenn ein Angreifer eine echte Session kapert, übernimmt er auch das Verhalten.”

Proof-of-Human dagegen arbeitet deterministisch ausgehend von der mit dem Orb etablierten “Root of Trust” (RoT). Kryptographie entscheidet über Wahrheit oder Fälschung. Ein Nachweis gelingt oder er gelingt nicht, es gibt kein „wahrscheinlich menschlich“. Damit wird Proof-of-Human zu einem messbaren, revisionssicheren Sicherheitsanker, der sich klar von den probabilistischen, fehleranfälligen Erkennungsverfahren absetzt.

Am Ende: Der Mensch als letzte Sicherheitsinstanz

Finanzunternehmen stehen vor einer neuen Angriffsgeneration: KI-Bots, die Verhalten, Sprache und Geräte täuschend echt kopieren. Wenn Maschinen Menschen imitieren, bleibt als Verteidigung nur der Nachweis des Menschseins selbst. Proof-of-Human ist dabei kein Zukunftsthema, sondern die logische Antwort auf eine Bedrohung, die sich nicht mehr über IP-Adressen oder Header-Signaturen filtern lässt.
Für Banken und Versicherer eröffnet sich damit ein Weg: Sicherheitsschichten neu denken, Identitätsprüfungen auf kryptografische Nachweise stützen. Und dann hoffentlich wieder sicher wissen, wer auf der anderen Seite wirklich sitzt. von Adrian Ludwig, Tools for Humanity