von Simon Lammerding*, 23. Juni 2026
Als Anthropic Anfang 2026 erste Informationen zu Claude Mythos veröffentlichte, richtete sich die Aufmerksamkeit vieler Beobachter nicht nur auf Produktivität oder Automatisierung. Im Mittelpunkt stand eine andere Frage: Wie verändert sich Cybersecurity, wenn KI komplexe technische Systeme schneller analysieren kann als viele Unternehmen ihre Sicherheitslücken schließen können?
Modelle wie Claude Mythos zeigen, wie schnell KI heute komplexe technische Systeme analysieren kann. Die gleichen Fähigkeiten, die Unternehmen bei der Identifikation von Schwachstellen unterstützen, können auch von Angreifern genutzt werden, um Sicherheitslücken schneller zu finden und Angriffe effizienter vorzubereiten.
Für die Payment- und Banking-Branche ist diese Entwicklung besonders relevant. Denn kaum ein anderer Bereich vereint so viele attraktive Ziele für Cyberkriminelle: sensible Kundendaten, direkten Zugang zu Zahlungs- und Erstattungstransaktionen, komplexe technische Integrationen und eine Vielzahl beteiligter Akteure.
Gleichzeitig verschärft sich der regulatorische Rahmen. Mit PSD3 und der Payment Services Regulation (PSR) entstehen neue Haftungs- und Erstattungsregelungen, die die finanziellen Folgen erfolgreicher Betrugsfälle erheblich verändern können.
Die Herausforderung besteht daher nicht nur darin, Angriffe zu verhindern. Unternehmen müssen sich zunehmend darauf vorbereiten, dass Angriffe höhere finanzielle, regulatorische und imageschädigende Konsequenzen nach sich ziehen.
Dass nicht immer das eigentliche Zahlungssystem das primäre Angriffsziel ist, zeigte der Cyberangriff auf MGM Resorts im Jahr 2023. Die Angreifer kompromittierten nicht das eigentliche Kernsystem, sondern nutzten mittels Social Engineering Schwachstellen in Prozessen und Zugängen rund um die IT-Infrastruktur. Die Folgen reichten bis zur Beeinträchtigung von Zahlungs- und Buchungsprozessen. Der Angriff richtete einen Schaden in Höhe von ca. 100 Mio. Dollar an. Das Beispiel verdeutlicht, dass moderne Angriffe zunehmend die Verbindungen zwischen Unternehmen, Dienstleistern und technischen Systemen ins Visier nehmen – genau jene Schnittstellen, die auch moderne Payment-Landschaften prägen. Diese Vernetzung schafft enorme Vorteile für Kunden und Unternehmen. Gleichzeitig entstehen jedoch zahlreiche Schnittstellen und Abhängigkeiten, die potenzielle Angriffsflächen bieten.
Moderne KI-Werkzeuge helfen dabei, technische Dokumentationen auszuwerten, Schnittstellenbeziehungen zu verstehen und potenzielle Schwachstellen deutlich schneller zu identifizieren als bisher.
Besonders kritisch ist dabei, dass Angriffe zunehmend nicht mehr auf einzelne Systeme abzielen, sondern auf die Verbindungen zwischen ihnen. Ein kompromittiertes Händlerkonto, eine fehlerhaft konfigurierte API oder ein unzureichend abgesicherter Drittanbieter können ausreichen, um Zugriff auf geschäftskritische Zahlungsprozesse zu erhalten.
Parallel zur technologischen Entwicklung verändern PSD3 und PSR zukünftig die regulatorischen Rahmenbedingungen für alle Beteiligten entlang der Payment Value Chain. Zwei Entwicklungen sind dabei besonders relevant: Zum einen sollen Kunden bei bestimmten Social-Engineering-Betrugsfällen künftig einfacher Erstattungen erhalten können. Zum anderen wird mit der europaweiten Verification of Payee (VoP) ein zusätzlicher Sicherheitsmechanismus etabliert, der Fehlüberweisungen und Betrug durch den Abgleich von Empfängername und IBAN reduzieren soll. Beides erhöht den Druck auf Zahlungsdienstleister, wirksame Fraud-Präventionsmaßnahmen nachzuweisen und Risiken entlang der gesamten Payment-Prozesskette aktiv zu steuern.
Für Kunden ist dies eine positive Entwicklung. Für Zahlungsdienstleister, Händler und Plattformen bedeutet dies jedoch, dass erfolgreiche Betrugsfälle künftig häufiger direkte finanzielle Konsequenzen nach sich ziehen können.
Insbesondere bei sogenannten Authorised Push Payment Fraud (APP Fraud) rücken Erstattungsansprüche stärker in den Fokus.
Hierbei werden Kunden durch Social Engineering oder andere Betrugsmaschen dazu gebracht, Zahlungen selbst zu autorisieren. Obwohl die Transaktion technisch korrekt ausgeführt wurde, sind die Kunden Opfer eines Betrugs geworden. Bekannte Beispiele sind gefälschte Bankmitarbeiter, manipulierte Rechnungen mit geänderten Kontoverbindungen, vermeintliche Support-Anfragen oder sogenannte CEO-Fraud-Angriffe, bei denen sich Betrüger als Vorgesetzte oder Geschäftspartner ausgeben und dringende Überweisungen veranlassen.
Mit dem Aufkommen leistungsfähiger KI-Systeme entstehen zusätzliche Risiken. Täuschend echte Phishing-Nachrichten, KI-generierte Stimmen oder sogar Deepfake-Videokonferenzen erschweren es Kunden und Mitarbeitern zunehmend, legitime von betrügerischen Anfragen zu unterscheiden.
PSD3 und PSR schaffen hierfür zukünftig neue Rahmenbedingungen und erhöhen den Druck auf Zahlungsdienstleister, wirksame Fraud-Präventionsmaßnahmen nachzuweisen.
Eine der bedeutendsten Veränderungen besteht darin, dass Verantwortung und Haftung künftig nicht mehr isoliert betrachtet werden.
Stattdessen verschiebt sich der Fokus auf die gesamte Customer Journey.
Die geplanten Regelungen rund um die Verification of Payee (VoP) sind ein gutes Beispiel dafür. Fehlerhafte oder unzureichende Prüfungen können künftig unmittelbare Auswirkungen auf Haftungsfragen haben.
Gleichzeitig geraten weitere Akteure stärker in den Fokus:
Sicherheit wird nicht mehr ausschließlich auf Ebene einzelner Unternehmen bewertet, sondern entlang der gesamten Payment-Kette.
Die größte Veränderung durch KI liegt nicht zwingend in völlig neuen Angriffsmethoden.
Vielmehr sinken die Kosten, der Zeitaufwand und Hürden für Angriffe erheblich. Wo früher Tage oder Wochen benötigt wurden, um technische Dokumentationen, API-Beschreibungen oder Fehlermeldungen auszuwerten, können moderne KI-Systeme wie Claude Mythos diese Informationen innerhalb kürzester Zeit analysieren und strukturieren. Es wird kein tiefes Wissen mehr benötigt, die wesentliche Arbeit erledigt die KI. Ähnliches gilt für Social Engineering und Phishing-Angriffe.
Für Unternehmen bedeutet dies: Die Zeitspanne zwischen der Entdeckung einer Schwachstelle und ihrer Ausnutzung wird immer kürzer. Genau hier entsteht die Verbindung zwischen KI und den neuen Haftungsregelungen. Wenn Angriffe schneller und professioneller werden, steigt nicht nur das operative Risiko. Gleichzeitig erhöhen PSD3 und PSR zukünftig die finanziellen Auswirkungen erfolgreicher Betrugsfälle. Unternehmen stehen damit vor einer doppelten Herausforderung: Angriffe werden potenziell häufiger und schwerer erkennbar und die regulatorischen und finanziellen Folgen erfolgreicher Angriffe nehmen zu.
Für PSPs, Acquirer und andere technische Dienstleister reicht es künftig nicht mehr aus, ausschließlich auf klassische Sicherheitsmaßnahmen zu setzen. Entscheidend wird die Fähigkeit, Bedrohungen frühzeitig zu erkennen und schnell zu reagieren. Dazu gehören kontinuierliches Schwachstellenmanagement, kurze Patch-Zyklen, starke API-Sicherheit sowie Incident-Response-Prozesse. Viele Unternehmen verfügen bereits über Notfallpläne. Deutlich weniger haben diese unter realistischen Bedingungen getestet. Regelmäßige Übungen mit Technik, Operations, Compliance, Recht und Management helfen dabei, im Ernstfall schnell und koordiniert zu handeln.
Ein weit verbreiteter Irrtum besteht darin, Payment-Sicherheit vollständig an den PSP delegieren zu können. Ein hochsicherer PSP kann wenig ausrichten, wenn Angreifer über kompromittierte Händlerzugänge Zugriff auf Zahlungsprozesse erhalten.
Tatsächlich verbleibt ein erheblicher Teil der Angriffsfläche beim Händler selbst. Dazu gehören unter anderem Shop-Systeme, Benutzerkonten, Refund-Workflows und Administrationszugänge.
Viele Unternehmen verfügen nicht über eine vollständige Übersicht ihrer Payment-Architektur. Durch PCI DSS 4.0 wird Händlern, die Kreditkarten akzeptieren, auferlegt, kontinuierlich die Sicherheit ihrer Systeme zu überwachen. Hintergrund sind Angriffe wie Magecart, bei denen manipulierte JavaScript-Dateien auf Checkout-Seiten Kreditkartendaten direkt im Browser des Kunden abfangen. Die neuen PCI-DSS-4.0-Anforderungen zur Client-Side-Security sollen genau solche Szenarien verhindern. Händler müssen daher deutlich besser verstehen und kontrollieren, welche Drittanbieter-Skripte auf ihren Zahlungsseiten ausgeführt werden.
Trotz aller Präventionsmaßnahmen wird kein Unternehmen garantieren können, niemals Opfer eines erfolgreichen Angriffs zu werden. Deshalb gewinnt Resilienz zunehmend an Bedeutung:
Die Erfahrung aus Sicherheitsvorfällen zeigt immer wieder: Nicht die technische Ursache entscheidet über die Höhe des Schadens, sondern die Qualität der Reaktion in den ersten Stunden.
Bislang wurde viel über die theoretischen Auswirkungen von KI auf Cybersecurity diskutiert. Die Veröffentlichung von Claude Mythos hat diese Diskussion auf eine neue Ebene gehoben. Dass diese Risiken ernst genommen werden, zeigt auch der Umgang der Anbieter mit solchen Modellen. Ausgewählte Banken und kritische Infrastrukturanbieter erhalten teilweise frühzeitigen Zugang zu neuen Modellversionen, um potenzielle Schwachstellen in ihren Systemen vorab identifizieren und Gegenmaßnahmen ergreifen zu können. Dahinter steht die Einschätzung, dass systemrelevante Finanz- und Zahlungssysteme ausreichend Vorlauf benötigen, um auf die gestiegenen Fähigkeiten moderner KI reagieren zu können.
Für die Payment-Branche ist dies ein deutliches Signal, denn Zahlungsdienstleister, Acquirer, Netzbetreiber, Wallet-Anbieter und Händler betreiben gemeinsam eine systemkritische Infrastruktur, die für den digitalen Handel und große Teile des täglichen Zahlungsverkehrs essenziell geworden ist. Fällt ein Teil dieser Infrastruktur aus oder wird kompromittiert, bleiben die Auswirkungen selten auf ein einzelnes Unternehmen beschränkt. Die Payment-Branche muss sich daher jetzt sehr intensiv mit dieser neuen Bedrohung auseinandersetzen. Claude Mythos kann dabei ein Teil der Lösung sein, indem Sicherheitslücken entdeckt und geschlossen werden, bevor sie durch Angreifer gezielt genutzt werden können. Geschwindigkeit ist dabei unerlässlich.
Die Kombination aus leistungsfähiger KI und den neuen Haftungs- und Erstattungsregelungen aus PSD3 und PSR verändert die Sicherheitsökonomie im Payment grundlegend. Während KI wie z.B. Claude Mythos Angriffe beschleunigen kann, erhöhen die neuen regulatorischen Anforderungen die finanziellen Konsequenzen erfolgreicher Betrugsfälle. Sicherheit wird damit zunehmend von einer technischen Disziplin zu einer Management-Aufgabe.
Nicht die Abwesenheit von Schwachstellen wird zum Erfolgsfaktor, sondern die Fähigkeit, Risiken frühzeitig zu erkennen und schnell darauf zu reagieren. In einer Welt, in der KI‑Angriffe beschleunigt und regulatorische Anforderungen steigen, wird die Reaktionsfähigkeit von Organisationen zum entscheidenden Sicherheitsfaktor.
––––––––––––––––––––
*Simon Lammerding ist Senior Consultant bei der auf Payment-Themen spezialisierten Unternehmensberatung Osthaven. Osthaven gehört zu den Content-Partnern von Finanz-Szene. Mehr zu unserem Partner-Modell erfahren Sie hier.
Die Artikel von Finanz-Szene sind urheberrechtlich geschützt und nur für den jeweiligen Premium-Abonnenten persönlich bestimmt. Die Weitergabe – auch an Kollegen – ist nicht gestattet. Wie Sie Inhalte rechtssicher teilen können (z.B. via Pressespiegel), erfahren Sie hier.
Danke für Ihr Verständnis. Durch Ihr Abonnement sichern Sie ein Stück Journalismus!