So sollen Banken digitale Betrügereien eindämmen

(Source: Dao / stock.adobe.com)

(Source: Dao / stock.adobe.com)

Bei Schweizer Banken steht es nicht zum Besten, was den Umgang mit digitalen Betrugsrisiken angeht. Zu dieser Erkenntnis kommt die Eidgenössische Finanzmarktaufsicht (Finma). Sie veröffentlichte unlängst eine Aufsichtsmitteilung (PDF), in der sie den Handlungsbedarf aufzeigt.

Seit 2022 stelle man eine eine kontinuierliche Zunahme von digitalen Betrugsfällen bei Banken fest, schreibt die Finma zur Begründung des Papiers. Der Fortschritt im Bereich der künstlichen Intelligenz sowie die zunehmende Automatisierung zur Effizienzsteigerung "drohen diesen Trend weiter zu verstärken". Um konkret herauszufinden, wo es bei hiesigen Banken im Umgang mit digitalen Betrügereien hapert, befragte die Finma 19 von ihnen.

Der digitale Betrug betrifft Banken aus zwei Blickwinkeln, wie die Finma erklärt: Einerseits werden Bankkundinnen und Bankkunden Opfer von digitalem Betrug. Andererseits werden Bankkonten auch missbraucht, um Betrugserlöse abzuwickeln.

Schwache Steuerung

Aus den Umfragebeantwortungen leitet die Finma zunächst einmal Handlungsbedarf bezüglich des operationellen Risikomanagements bei digitalen Betrugsrisiken ab. Konkret mangle es vielen Instituten diesbezüglich an klaren Governance-Strukturen. "Dies, obwohl digitale Betrugshandlungen auf dem Schweizer Finanzmarkt sowohl zu erheblichen Verlusten bei Kundinnen und Kunden als auch bei Finanzinstituten führen", wie die Finma anmerkt.

Zwar gaben in der Umfrage 12 von 19 Banken an, über nachhaltige Governance-Strukturen im Bereich Digital Fraud zu verfügen. Diese bestünden allerdings zumeist aus Personalunionen, etwa aus Security Operations, Payments, Risk Management und IT - "ohne klare Aufgabenzuweisungen, Verantwortlichkeiten sowie ohne eindeutige und dokumentierte Regelung der Kompetenzen". Drei weitere Banken räumten ein, über gar kein Steuerungsgremium für digitale Betrugsrisiken zu verfügen. Eine Digital Fraud Policy fehlt bei 8 von 19 Befragten und nur jede zweite Bank liefert ihrer Geschäftsleitung regelmässig Kennzahlen im Zusammenhang mit Digital-Fraud-Fällen.

Die Finma weist auf die gesetzliche Pflicht für Banken hin, eine angemessene Governance und ein effektives Risikomanagement zur Erkennung, Begrenzung und Kontrolle von digitalen Betrugsrisiken vorzusehen. Entsprechend seien die dafür notwendigen Strukturen, Vorgaben, Prozesse und Kontrollen einzurichten. Als positive Beispiele erwähnt sie im Bericht aber auch interdisziplinäre Fraud Desks zur umfassenden Steuerung von Anforderungen, Kontrollen und Prozessen im Bereich des digitalen Betrugsrisikomanagements mit klarer Unterstellung.

Mangelhaftes Meldewesen

Ebenfalls im Kapitel zum operationellen Risikomanagement stellt die Finma fest, dass jede vierte befragte Bank über keinerlei Prozesse zur Erkennung und Antizipation von digitalen Betrugstrends verfügt. Da sie relevante Betrugsbedrohungen und -szenarien für ihre digitalen Dienstleistungen nicht proaktiv identifizieren, könnten sie auch keine Schutzvorkehrungen treffen.

Während 12 der 19 befragten Banken löblicherweise Technologien zur Echtzeit-Betrugserkennung einsetzen, werten die 7 übrigen Indikatoren laufender digitaler Betrugskampagnen gar nicht oder nur manuell bzw. fallbasiert aus. Aufgrund der starken Abhängigkeit von Dienstleistern könnten des Weiteren nicht alle Institute relevante Erkennungsregeln zeitnah anpassen, was eine prompte Reaktion auf erkannte Betrugsserien oder Betrugsmuster gefährde, fügt die Finma hinzu.

Verbesserungswürdig sind auch die von den Banken angebotenen Meldekanäle für digitale Betrügereien: "Nur wenige der befragten Institute bieten eine 24/7-Verfügbarkeit ihrer Meldekanäle an", stellt die Finma fest. Sie ergänzt, dass "nur die wenigsten Institute" spezifische Kanäle für Betrugsmeldungen anbieten. Stattdessen nehmen sie solche Meldungen über die allgemeine Telefon-Hotline entgegen.

"Die wirksame Bekämpfung von digitalen Betrugsrisiken erfordert eine proaktive sowie zeitnahe, systematische und institutsweite Erkennung und die umgehende Einleitung von angemessenen Gegenmassnahmen im Eintrittsfall", mahnt die Finma. Mängel in diesem Bereich könnten zu häufigeren und schwereren Betrugsfällen führen und die Schadenswahrscheinlichkeit erhöhen.

Ausbaufähige Abwehrmassnahmen

Etwas besser sieht die Finma-Bilanz bezüglich automatischer Kontrollen und Abwehrmassnahmen aus. Besonders negativ fielen hier drei der befragten 19 Banken auf, die schlicht keine technischen Kontrollen wie Geoblocking, IP-Risk Rating oder Device Fingerprinting zur Authentifizierung von Kundinnen und Kunden einsetzen. Schlüsselkontrollen als zentrales Kontrollinstrument zu digitalen Betrugsrisiken fehlen bei rund 20 Prozent der befragten Institute oder werden nicht regelmässig bezüglich ihrer Wirksamkeit überprüft.

Fast alle befragten Institute müssen im Bereich der Schulung und Sensibilisierung nachbessern: Die meisten "führen zwar Schulungen durch, jedoch wird in diesen Schulungen oftmals nur generisch über digitale Betrugsrisiken informiert und nicht rollenbasiert unter Berücksichtigung des Tätigkeitsbereichs und der Risikolage der teilnehmenden Mitarbeitenden", schreibt die Behörde. Ausserdem variierten die verwendeten Mittel und der Schulungsrhythmus zur Sensibilisierung der Mitarbeitenden und Kundinnen und Kunden sehr stark. "Einzelne befragte Institute" räumten zudem ein, ihre Mitarbeitenden nicht weiter zu Risiken im Bereich Digital Fraud zu schulen.

Die Aufsichtsstelle erinnert daran, dass sich digitale Betrugsrisiken dynamisch weiterentwickelten. Entsprechend wichtig seien regelmässige Sensibilisierungen für Mitarbeitende und Kundschaft. Zentral sei auch, Integration und Wirksamkeit der Sensibilisierungsmassnahmen "umfassend zu rapportieren und regelmässig durch angemessene Kontrollen zu überprüfen".

Kriminelle Konten

Eine besondere Herausforderung für Banken stellen digital eröffnete und dann betrügerisch genutzte Konten dar. Dank neuer KI-Technologien und leistungsfähigem Deepfake fällt es Kriminellen leichter, unrechtmässig Bankkonten zu eröffnen und darüber dann inkriminierte Gelder abzuwickeln, denn "manipulierte Videos oder gefälschte Ausweisdokumente sind zunehmend schwerer zu erkennen", so die Finma.

Doch nach der Umfrage stellt die Aufsichtsstelle fest, es gebe keine klare Bestätigung dafür, dass bei der digitalen Eröffnung von Bankbeziehungen vermehrt betrügerisch vorgegangen werde. Dagegen häufen sich Fälle, bei denen legitime Kunden von Kriminellen "unter Vorspielen falscher Tatsachen dazu gebracht werden, digital Konten zu eröffnen und die Autorisierung über die Konten nach Eröffnung an kriminelle Dritte zu übergeben". Der erkennbare Betrug passiert also erst einen Schritt nach der Kontoeröffnung.

Um dieses Problem anzugehen, empfiehlt die Finma sowohl technische Massnahmen - namentlich Technologien zum Erkennen von manipulierter Videos - als auch regelmässige Schulungen für Mitarbeitende. Generell empfiehlt sie, die Risiken einer digitalen Eröffnung von Kundenbeziehungen und die Risiken von unautorisierten Kontozugriffen nicht isoliert zu betrachten, sondern sie in Rahmen einer umfassenden digitalen Betrugspräventionsstrategie zu berücksichtigen.

Übrigens lieferte schon im Januar 2026 der Finma-Risikomonitor klare Warnsignale. Die Schweizer Finanzbranche steht vor wachsenden Cyber-Herausforderungen. Technologische Vernetzung und externe Abhängigkeiten erhöhen die Risiken. Mehr dazu lesen Sie hier.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.