Betrugsprävention

Agent Takeover ist das neue ATO

Agentische KI, agentic ai in der industrie, agentic ai industrie, agentische ki industrie, Agentic AI, AI
Bildquelle: KI-generiert mithilfe von Shutterstock AI
LinkedInRedditWhatsApp

Wer im Betrugssegment Account Takeover hört, denkt an gestohlene Passwörter, an Credential Stuffing und an gekaperte Online-Konten. Das Muster ist seit Jahren bekannt, die Abwehr eingespielt.

Doch während die Branche ihre klassischen ATO-Schutzwälle weiter ausbaut, verschiebt sich das Spielfeld. Nicht mehr der Account des Nutzers ist das primäre Ziel, sondern der KI-Agent, der in seinem Namen handelt. Willkommen in der Ära des Agent Takeover.

Anzeige

Wenn Maschinen einkaufen, gelten andere Regeln

Agentic Commerce, also der Einkauf durch autonome KI-Assistenten, ist 2026 keine Laborkuriosität mehr. Mastercard hat mit Agent Pay ein Bezahlprotokoll für KI-gesteuerte Transaktionen vorgestellt, Visa baut Intelligent Commerce mit über 100 Partnern weltweit auf, Google hat mit dem Universal Commerce Protocol einen offenen Standard veröffentlicht, und OpenAI ermöglicht über ChatGPT bereits den direkten Produktkauf. McKinsey erwartet, dass KI-Agenten bis 2030 im globalen Einzelhandel zwischen drei und fünf Billionen US-Dollar an Umsatz bewegen könnten. Bain & Company geht davon aus, dass Agenten bis dahin 15 bis 25 Prozent des gesamten E-Commerce-Volumens abwickeln.

Was für Konsumenten nach Bequemlichkeit klingt, ist für Fraud-Prevention-Spezialisten ein Paradigmenwechsel. Denn die gesamte Betrugsabwehr der vergangenen zwei Jahrzehnte fußt auf einer Grundannahme: Am anderen Ende der Transaktion sitzt ein Mensch. Ob jemand zögert, bevor er auf „Kaufen“ klickt, wie schnell die Kreditkartennummer eingetippt wird, welches Gerät die Session initiiert hat: All diese Signale verraten den Fraud-Systemen, ob ein Vorgang plausibel ist oder verdächtig. Wenn aber ein KI-Agent die Kaufentscheidung trifft, den Checkout durchläuft und die Zahlung auslöst, gibt es diese Signale schlicht nicht mehr. Die menschliche Session verschwindet, und mit ihr verschwindet die Datengrundlage, auf die sich die Betrugsabwehr stützt.

Warum Agent Takeover gefährlicher ist als klassisches ATO

Genau das macht Agent Takeover so gefährlich. Wenn ein Angreifer die Kontrolle über den Shopping-Agenten eines Nutzers übernimmt, sehen die Transaktionen nicht verdächtig aus. Sie sehen perfekt aus. Zu perfekt, könnte man sagen, aber bestehende Fraud-Scores sind darauf nicht trainiert. Ein kompromittierter Agent agiert mit den legitimen Zugangsdaten des Kontoinhabers, innerhalb der gespeicherten Präferenzen, mit der hinterlegten Zahlungsmethode. Für die Fraud-Engine im Backend unterscheidet sich dieser Vorgang nicht von einer regulären Bestellung.

Anzeige

Die Angriffsvektoren sind vielfältig und technisch teils erschreckend einfach. Prompt Injection, also das Einschleusen manipulativer Anweisungen in Inhalte, die der KI-Agent verarbeitet, hat sich als eines der drängendsten Sicherheitsprobleme der agentischen Welt etabliert. Palo Alto Networks‘ Forschungseinheit Unit 42 hat dokumentiert, wie Angreifer versteckte Instruktionen in Webseiten einbetten, die ein Shopping-Agent beim Preisvergleich aufruft. Der Agent interpretiert die manipulierten Inhalte als legitime Information und führt die eingeschleusten Befehle aus. Ein konkretes Szenario: Ein Angreifer betreibt eine Deals-Aggregator-Seite, die KI-Agenten gezielt anlockt. Im unsichtbaren Quelltext der Seite stehen Anweisungen, die den Agenten veranlassen, beim nächsten Checkout zusätzlich einen Geschenkgutschein in den Warenkorb zu legen und an eine fremde Adresse liefern zu lassen. Der Agent folgt, der Nutzer merkt nichts.

Das Problem liegt tiefer als in einer einzelnen Schwachstelle. Große Sprachmodelle können architekturbedingt nicht zuverlässig zwischen vertrauenswürdigen Anweisungen und manipulierten Daten unterscheiden. Bruce Schneier, einer der renommiertesten IT-Sicherheitsexperten weltweit, hat das Kernproblem jüngst im IEEE Spectrum auf eine eindrückliche Formel gebracht: Man stelle sich einen Mitarbeiter an einem Drive-in-Schalter vor, der die Anweisung erhält, die Kassenschublade auszuhändigen, eingebettet zwischen zwei Burger-Bestellungen. Kein Mensch würde dem nachkommen. Doch genau so verarbeiten KI-Modelle eingehende Informationen. Sie haben keinen eingebauten Reflex, der zwischen einer legitimen Anfrage und einem eingeschleusten Befehl unterscheidet.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Was die Branche jetzt tun muss

Für die Fraud-Prevention-Branche entstehen daraus mindestens drei Handlungsfelder. Erstens braucht es neue Erkennungsmethoden, die nicht mehr ausschließlich auf menschliche Verhaltensmuster setzen, sondern agentisches Verhalten als eigene Kategorie analysieren. Forrester hat diesen Bedarf erkannt und seine Analysekategorie „Bot Management“ in „Bot & Agent Trust Management“ umbenannt. Fraud-Modelle, die ausschließlich auf historischen menschlichen Verhaltensmustern trainiert wurden, werden bei Agenten-Transaktionen ins Leere laufen. Stattdessen müssen Systeme in Echtzeit bewerten, ob ein Agent im Rahmen seiner delegierten Befugnisse handelt oder ob sein Verhalten auf eine Kompromittierung hindeutet. Die gute Nachricht: Wer heute bereits mit verhaltensbasierten und kontextuellen Fraud-Signalen arbeitet, die über reine Device-Daten hinausgehen, hat einen Vorsprung. Es geht nicht darum, bestehende Fraud-Prevention von Grund auf zu ersetzen, sondern darum, sie um eine agentische Dimension zu erweitern.

Zweitens muss die Identitätsfrage neu gestellt werden. Im klassischen ATO-Szenario geht es darum, ob die Person am anderen Ende der Verbindung die ist, für die sie sich ausgibt. Im Agent Takeover gibt es dagegen zwei Fragestellungen: Ist der Agent autorisiert, im Namen dieser Person zu handeln? Und handelt er tatsächlich nach den vom Nutzer definierten Regeln? Visa und Mastercard arbeiten mit sogenannten Agentic Tokens, also kryptografisch gesicherten Identitätsnachweisen für KI-Agenten. Mastercard hat darüber hinaus mit Verifiable Intent ein Open-Source-Framework vorgestellt, das Nutzeridentität, Anweisung und Transaktionsergebnis in einem fälschungssicheren Protokoll zusammenführt. Google hat mit dem Agent Payments Protocol AP2 einen offenen Standard für die sichere Abwicklung agentengesteuerter Zahlungen vorgelegt. Doch diese Protokolle greifen zu kurz, wenn ein einmal autorisierter Agent im laufenden Betrieb manipuliert wird.

Drittens braucht die Branche eine Antwort auf die Haftungsfrage. In der traditionellen Zahlungsabwicklung kennt das Streitverfahren vier Beteiligte: Karteninhaber, ausgebende Bank, Akquirer und Händler. Mit KI-Agenten kommt ein fünfter Akteur hinzu, dessen rechtliche Stellung ungeklärt ist. Wenn ein kompromittierter Agent eine Bestellung aufgibt, die der Nutzer nicht autorisiert hat, wer haftet dann? Der Plattformbetreiber, der den Agenten bereitstellt? Der Händler, der die Transaktion akzeptiert hat? Der Zahlungsdienstleister? Accenture hat in einer Studie unter mehr als 200 Führungskräften aus Finanzinstituten ermittelt, dass 78 Prozent der Befragten erwarten, dass Betrug durch Agentic Commerce signifikant zunehmen wird. Gleichzeitig haben 60 Prozent dieser Organisationen keinen dedizierten Reaktionsplan für agenten-getriebenen Betrug.

Wo bleibt Europa?

Auffällig ist, dass die bisherigen Standardisierungsinitiativen fast ausschließlich aus den USA stammen. Google, Visa, Mastercard und OpenAI definieren die Protokolle, nach denen KI-Agenten weltweit einkaufen und bezahlen werden. Europa setzt mit dem EU AI Act, der PSD3, DORA und der EUDI Wallet unter eIDAS 2.0 zwar regulatorische Leitplanken, doch ein eigenes Protokoll für agentische Zahlungen fehlt bislang. Mit Wero baut die European Payments Initiative eine souveräne Zahlungsinfrastruktur auf, die mit über 50 Millionen Nutzern und der Expansion in E-Commerce und an den Point of Sale beeindruckende Fortschritte macht. Doch Wero adressiert heute primär die Zahlungsschiene, nicht die Vertrauensfrage bei autonomen Agenten-Transaktionen. Die Kanzlei Osborne Clarke hat in einer aktuellen Analyse gezeigt, dass agentenbasierte Zahlungsmodelle in der EU zwar PSD2 und den Anforderungen an starke Kundenauthentifizierung unterliegen, es aber keinen speziellen regulatorischen Rahmen für diesen Bereich gibt. Europa hat die regulatorischen Bausteine und mit Wero eine vielversprechende Infrastruktur. Was fehlt, ist der politische Wille, beides zu einem eigenen Standard für Agent Trust zusammenzuführen. Aktuell überlassen wir die Definitionshoheit über Vertrauen und Sicherheit im agentischen Zahlungsverkehr den US-Plattformen. 

Die Parallelen zu den Anfängen des Online-Handels sind frappierend. Auch dort wurde die Bezahlinfrastruktur zuerst gebaut und die Betrugsprävention nachgeliefert. Die Branche hat damals einen hohen Preis dafür bezahlt. Im Zeitalter der KI-Agenten wäre es fahrlässig, diesen Fehler zu wiederholen. Wer heute Agentic Commerce ausrollt, ohne von Beginn an robuste Fraud-Prevention-Mechanismen mitzudenken, schafft Angriffsflächen, die sich nur sehr schwer durch nachträgliche Patches schließen lassen.

Agent Takeover ist nicht die Zukunft der Betrugsprävention. Es ist ihre Gegenwart.


Lars Schumann

Lars

Schumann

Anti-Fraud Consultant

RISK IDENT

Anzeige

Artikel zu diesem Thema

Ki-Agenten
10. Juni 2026
SymJack nutzt KI-Coding-Agenten für Lieferketten-Angriffe aus

Weitere Artikel

Forensic Readiness: So gelingt Beweissicherung bei Hackerangriffen
Ein einziges Satzzeichen hebelt Linux aus: Root-Rechte durch Tippfehler
Drohende Fristen-Kollision: Java-Experte warnt vor Support-Ende
Sichere KI-Einführung für Finanzdienstleistungen
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.