STRATEGIE1. Juli 2026

Warum deterministische Fraud Engines gegen agentische Angriffssysteme strukturell versagen

Ein Mann mit Brille und einem blauen Hemd blickt in die Kamera. Der Hintergrund ist einfarbig und blau. Die Darstellung vermittelt einen professionellen Eindruck, der im Kontext der Diskussion über adaptive Angriffssysteme relevant ist.
Christian Michelsen, Tribe Lead Fraud Management bei Worldline Worldline

Deterministische Fraud-Detection-Systeme scheitern nicht an schlechten Regeln, sondern weil statische Entscheidungslogik gegen adaptive, selbstlernende Angriffssysteme mathematisch unterlegen ist. Die nächste Generation von Fraud-Architekturen wird daher radikal anders aussehen müssen.

von Christian Michelsen, Tribe Lead Fraud Management bei Worldline

Die meisten Fraud-Stacks in Banken arbeiten noch immer wie Signaturscanner aus der Antivirus-Ära: Sie sind statisch, sequenziell und retrospektiv. Agentische Betrugssysteme operieren dagegen probabilistisch, autonom und in Echtzeit. Das ist keine Detection-Lücke, sondern fundamentales Architekturversagen.

Banken behandeln Fraud-Detection-Systeme noch immer wie nachgelagerte Risikosysteme. Diese Annahme scheitert, da agentische Fraud-Systeme nicht mehr als isolierte Bots, sondern als autonome Runtime-Akteure operieren. Sie lernen Login-Flows, messen Friction-Thresholds und akkumulieren über Wochen Vertrauen, bevor eine betrugsrelevante Aktion stattfindet.

Das verändert die Angriffslogik grundlegend:

Während klassische Fraud-Engines Ereignisse analysieren, manipulieren moderne Angriffssysteme Zustände.“

Ein deterministisches System produziert stabile Entscheidungsgrenzen: Ein neues Gerät erhöht das Risiko, eine neue Geo-Location triggert eine Step-up-Prüfung und eine Velocity-Überschreitung führt zur Blockierung. Ein adaptives System approximiert diese Grenzen dagegen iterativ, bis der Angreifer nicht mehr gegen einzelne Regeln, sondern gegen das gesamte Entscheidungsverhalten der Plattform optimiert.

Genau deshalb sind regelbasierte Systeme strukturell unterlegen. Deterministische Systeme sind dieser Art von Lernfähigkeit des Angreifers grundsätzlich nicht gewachsen. Das gilt auch für etablierte Security-Stacks.

Warum aktuelle Systeme für agentischen Fraud architektonisch versagen

Die Schwäche ist systemisch: IAM-Systeme bewerten Identität nur punktuell, MFA beweist Besitz oder Zugriff, ohne die Legitimität des aktuellen Operators zu validieren, und Device Trust basiert häufig auf persistenten Attributen, die längst synthetisch reproduziert werden können.

Die relevante Einheit wird künftig nicht mehr die Transaktion sein, sondern die Session. Während klassische Systeme isolierte Events bewerten (Login erfolgreich, Gerät bekannt), evaluieren zustandsbehaftete Runtime-Systeme kontinuierliche Sequenzen und korrelieren das Verhalten über Zeit, Kontext und Interaktionsmuster hinweg.

Künftige Architekturen: Session-basierte Verhaltensbiometrie als hochfrequente Telemetriequelle

Autor: Christian Michelsen, Worldline
Christian Michelsen, Tribe Lead Fraud Management bei Worldline, präsentiert sich in einem professionellen Umfeld. Sein Blick vermittelt Expertise im Bereich Fraud Detection, insbesondere im Kontext agentischer Angriffssysteme.Christian Michelsen ist Tribe Lead Fraud Management bei Worldline (Website). Er studierte Informatik am Karlsruher Institut für Technologie (KIT) mit Schwerpunkt Datensicherheit und begleitet die Schnittstelle von digitaler Sicherheit und Zahlungssystemen seit über 25 Jahren – von frühen Chipkarten-Projekten bei Schlumberger und Gemalto bis hin zur heutigen Leitung internationaler, verteilter Teams im Bereich Fraud Management.
Genau hier wird Verhaltensbiometrie künftig als hochfrequente Telemetriequelle zur zentralen Komponente. Sie erfasst kontinuierlich Keystroke Dynamics, Pointer Velocity, Touch Pressure, Sensor Drift, GPU-Fingerprints und API Invocation Patterns. Diese Signale entstehen nicht punktuell, sondern als Zeitreihen mit Sampling-Raten zwischen 20 und 200 Hertz. Dabei analysieren die Modelle nicht die Einzelwerte, sondern das Sequenzverhalten über Transformer-Architekturen, Temporal CNNs oder hybride Attention-/LSTM-Systeme.

Entscheidend ist dabei die Drift-Modellierung. Legitime Nutzer verändern ihr Verhalten graduell, während ein Account-Takeover abrupte Zustandswechsel erzeugt. Diese Differenz muss das System probabilistisch bewerten: Zu aggressive Drift-Erkennung erzeugt massive False Positives, zu tolerante Modelle verlieren die Detection-Fähigkeit. In regulierten Finanzumgebungen werden hohe False-Positive-Raten operativ schnell teurer als der eigentliche Betrug.

Deshalb werden einfache Risikoscores kollabieren und künftige Systeme eine kontinuierliche Vertrauensberechnung mit probabilistischen Ensemble-Modellen und dynamischem Vertrauensverfall benötigen. Hier verändert jede Interaktion den aktuellen Vertrauenszustand und alte Vertrauensannahmen verlieren kontinuierlich an Gewicht.

Streaming-Inferenz-Pipelines vs. aktuelle (Near-)Realtime-Architekturen

Dies wird die Datenarchitektur vollständig verändern: Künftige Fraud Engines werden als Streaming-Inferenz-Pipelines konzipiert sein. API-Gateways, Mobile SDKs, IAM-Systeme und Client-Sensorik erzeugen Event-Ströme, die korreliert werden. Persistente Session-States ermöglichen dabei Runtime-Inferenz über komplette Interaktionsketten hinweg.

Die Latenzbudgets werden dabei nicht bei Sekunden, sondern bei unter 100 Millisekunden für Hochrisikobeschlüsse bei Log-in oder Zahlung liegen, inklusive Feature-Extraktion, Sitzungs-Korrelation, Modell-Inferenz und Eskalationslogik – eine zusätzliche Sekunde zerstört die Conversion. Genau deshalb werden Fraud Detection und Runtime-Security zunehmend konvergieren.

Graph-basierte Anomalieerkennung gegen synthetische Identitäten

Auch der Synthetic-Identity-Betrug verändert sich. Die gefährlichsten Identitäten wirken langfristig legitim, bauen über Monate Vertrauenshistorien auf und operieren in koordinierten Netzwerken. Deshalb werden isolierte Feature-Checks künftig durch Beziehungsgraphen als zentrale Analyseebene ersetzt werden müssen.

Bei der graphbasierten Anomalieerkennung werden nicht einzelne Accounts, sondern strukturelle Muster analysiert: gemeinsam genutzte Device-Fingerprints, koordinierte IP-Cluster, Mule-Netzwerke und Ring-Strukturen. Diese Systeme arbeiten nicht mit relationalen Tabellenmodellen, sondern mit dynamischen Event-Graphen, bei denen die Beziehungszustände kontinuierlich rekonstruiert werden.

Explainable AI: Regulatorische Überlebensbedingung

Das nächste Problem: Explainability. Im Finanzsektor ist „Explainable AI” keine Komfortfunktion, sondern eine regulatorische Überlebensbedingung, da PSD2, DORA, NIS2 und nationale Aufsichtsanforderungen eine reproduzierbare Entscheidungslogik erzwingen. Ein Blackbox-Modell, das keine nachvollziehbare Risikoerklärung liefern kann, wird künftig operativ und regulatorisch zum Problem, denn „das Modell hat entschieden” besitzt keinen Audit-Wert.

Banken müssen nachvollziehbar erklären können, welche Features relevant waren, welche Gewichtung zur Eskalation führte und warum eine Sitzung blockiert wurde. Das bedeutet, dass Erklärbarkeit künftig nicht nachgelagert sein darf, sondern dass SHAP-, LIME- oder Counterfactual-Mechanismen integraler Bestandteil der Inferenzarchitektur werden müssen – und zwar nicht offline im Audit-Prozess, sondern nahezu in Echtzeit.

Dadurch entsteht ein neues Architekturproblem, da maximale Modellkomplexität mit regulatorischer Nachvollziehbarkeit und niedriger Latenz kollidiert. Die Folge:

Im regulierten Finanzumfeld werden vollständig opake Deep-Learning-Systeme an ihre Grenzen stoßen.“

Praktikabel sind hybride Architekturen mit erklärbaren Kernmodellen, versionierten Feature Stores und reproduzierbaren Inference-Pipelines.

Adversarial Attacks gegen Modelle selbst

Ein weiterer Punkt, den viele Organisationen unterschätzen, ist: Agentische Fraud-Systeme greifen nicht nur Accounts an, sondern auch die Modelle selbst, durch Training-Data-Poisoning, Adversarial Inputs und Gradient Approximation gegen Entscheidungsgrenzen. Die nächste Evolutionsstufe von Fraud zielt nicht mehr auf einzelne Schwachstellen ab, sondern auf kontinuierliches gegnerisches Lernen gegen die gesamte Runtime-Architektur.

Die Zukunft der Betrugserkennung liegt dort, wo heute die Runtime-Security beginnt: kontinuierliche Vertrauensberechnung unter Unsicherheit statt statischer Regelwerke. Banken, die Fraud weiterhin als Regelwerk behandeln, werden mit veralteter Architektur gegen autonome Systeme kämpfen müssen.Christian Michelsen, Worldline

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert