Die Nutzung biometrischer Verfahren hat in Brasilien in den letzten Jahren rasant zugenommen – 82 % der Brasilianer verwenden bereits biometrische Technologien zur Authentifizierung. Gründe hierfür sind der Komfort und das Bedürfnis nach mehr Sicherheit bei digitalen Diensten. Ob beim Zugang zu Banken per Gesichtserkennung oder bei der Autorisierung von Zahlungen per Fingerabdruck: Biometrie hat sich in puncto persönlicher Identifizierung zum „neuen CPF“ (brasilianischer Steueridentifikationsnummer) entwickelt und macht Prozesse schneller und intuitiver.
Eine zunehmende Betrugswelle hat jedoch die Grenzen dieser Lösung aufgezeigt: Allein im Januar 2025 wurden in Brasilien 1,24 Millionen Betrugsversuche registriert, ein Anstieg von 41,6 % gegenüber dem Vorjahr – das entspricht einem Betrugsversuch alle 2,2 Sekunden. Ein Großteil dieser Angriffe zielt gezielt auf digitale Authentifizierungssysteme ab. Daten von Serasa Experian zeigen, dass Betrugsversuche gegen Banken und Kreditkarten im Jahr 2024 im Vergleich zu 2023 um 10,4 % zunahmen und 53,4 % aller in diesem Jahr registrierten Betrugsfälle ausmachten.
Wären diese Betrügereien nicht verhindert worden, hätten sie einen geschätzten Schaden von 51,6 Milliarden Reais verursacht. Dieser Anstieg spiegelt die veränderten Rahmenbedingungen wider: Betrüger entwickeln ihre Taktiken schneller als je zuvor. Laut einer Umfrage von Serasa waren 2024 die Hälfte der Brasilianer (50,7 %) Opfer von Online-Betrug – ein Anstieg um 9 Prozentpunkte gegenüber dem Vorjahr. 54,2 % dieser Opfer erlitten einen direkten finanziellen Schaden.
Eine weitere Analyse prognostiziert einen Anstieg der Cyberkriminalität im Land um 45 % im Jahr 2024, wobei die Hälfte der Opfer tatsächlich von Betrügern getäuscht wird. Angesichts dieser Zahlen fragt sich die Sicherheitsgemeinschaft: Wenn Biometrie den Schutz von Nutzern und Institutionen verspricht, warum scheinen Betrüger immer einen Schritt voraus zu sein?
Betrüger umgehen Gesichts- und Fingerabdruckerkennung.
Ein Teil der Antwort liegt in der Kreativität, mit der Cyberkriminelle biometrische Sicherheitssysteme umgehen. In den letzten Monaten sind einige exemplarische Fälle bekannt geworden. In Santa Catarina betrog eine Gruppe mindestens 50 Menschen, indem sie heimlich Gesichtsdaten von Kunden erlangte. Ein Mitarbeiter eines Telekommunikationsunternehmens gab vor, Telefonanschlüsse verkauft zu haben, um Selfies und Dokumente von Kunden zu erfassen und nutzte diese Daten später, um in deren Namen Bankkonten zu eröffnen und Kredite aufzunehmen.
In Minas Gerais gingen Kriminelle sogar noch weiter: Sie gaben sich als Postboten aus, um Fingerabdrücke und Fotos von Anwohnern zu sammeln – mit dem ausdrücklichen Ziel, die Sicherheitsvorkehrungen der Banken zu umgehen. Die Betrüger greifen also nicht nur die Technologie selbst an, sondern nutzen auch Social Engineering, um Menschen dazu zu bringen, ihre biometrischen Daten preiszugeben, ohne dass diese es merken. Experten warnen, dass selbst als robust geltende Systeme ausgetrickst werden können.
Das Problem besteht darin, dass die Popularisierung der Biometrie ein falsches Sicherheitsgefühl erzeugt hat: Die Benutzer gehen davon aus, dass die Authentifizierung unfehlbar ist, weil sie biometrisch erfolgt.
In Institutionen mit weniger strengen Sicherheitsvorkehrungen gelingt Betrügern dies mit relativ einfachen Methoden, etwa durch die Verwendung von Fotos oder Abdrücken, um physische Merkmale nachzuahmen. Der sogenannte „Silikonfinger-Betrug“ ist beispielsweise weit verbreitet: Kriminelle bringen transparente Folien an Fingerabdrucklesern von Geldautomaten an, um den Fingerabdruck des Kunden zu stehlen und daraus einen gefälschten Silikonfinger herzustellen. Damit führen sie unautorisierte Abhebungen und Überweisungen durch. Banken geben an, bereits Gegenmaßnahmen einzusetzen – Sensoren, die Wärme, Puls und andere Merkmale eines lebenden Fingers erfassen und so künstliche Abdrücke unbrauchbar machen.
Dennoch zeigen Einzelfälle dieser Betrugsmasche, dass keine biometrische Barriere vollständig vor Umgehungsversuchen sicher ist. Besorgniserregend ist auch der Einsatz von Social-Engineering-Tricks, um Selfies oder Gesichtsscans von Kunden selbst zu erlangen. Der brasilianische Bankenverband (Febraban) warnt vor einer neuen Betrugsmasche, bei der Betrüger unter falschen Vorwänden sogenannte „Bestätigungs-Selfies“ von ihren Opfern verlangen. Beispielsweise geben sie sich als Bank- oder INSS-Mitarbeiter (brasilianisches Sozialversicherungsinstitut) aus und bitten um ein Foto des Gesichts, angeblich um die Registrierung zu aktualisieren oder eine nicht existierende Leistung freizugeben. In Wirklichkeit nutzen sie dieses Selfie, um sich in Gesichtserkennungssystemen als der Kunde auszugeben.
Ein einfaches Versehen – wie das Fotografieren auf Bitte eines vermeintlichen Lieferanten oder Gesundheitspersonals – kann Kriminellen den biometrischen „Schlüssel“ liefern, um auf die Konten anderer Personen zuzugreifen.
Deepfakes und KI: Die neue Grenze des Betrugs
Während die Täuschung von Menschen bereits eine weit verbreitete Strategie ist, täuschen immer raffiniertere Kriminelle nun auch Maschinen. Hier kommen die Bedrohungen durch Deepfakes – die hochentwickelte Manipulation von Stimme und Bild durch künstliche Intelligenz – und andere digitale Fälschungstechniken ins Spiel, Techniken, die zwischen 2023 und 2025 einen enormen Entwicklungssprung gemacht haben.
Im vergangenen Mai startete die Bundespolizei beispielsweise die Operation „Face Off“, nachdem sie eine Betrugsmasche aufgedeckt hatte, bei der mithilfe gefälschter Gesichtserkennungsdaten rund 3.000 Konten auf dem Portal Gov.br geschädigt wurden. Die kriminelle Gruppe nutzte hochentwickelte Techniken, um sich auf der gov.br , die den Zugang zu Tausenden von digitalen öffentlichen Diensten zentralisiert, als legitime Nutzer auszugeben.
Die Ermittler deckten auf, dass die Betrüger manipulierte Videos, KI-generierte Bilder und sogar hyperrealistische 3D-Masken einsetzten, um die Gesichtserkennung auszutricksen. Sie simulierten also die Gesichtszüge Dritter – darunter auch Verstorbener –, um deren Identität anzunehmen und auf die damit verbundenen finanziellen Vorteile zuzugreifen. Mit perfekt synchronisierten, künstlichen Bewegungen wie Blinzeln, Lächeln oder Kopfdrehen gelang es ihnen sogar, die Lebenderkennung zu umgehen, die genau dafür entwickelt wurde, festzustellen, ob sich eine echte Person vor der Kamera befindet.
Das Ergebnis war der unbefugte Zugriff auf Gelder, die ausschließlich den rechtmäßigen Begünstigten zustanden, sowie die unrechtmäßige Genehmigung von Gehaltsvorschüssen über die Meu INSS-App unter Verwendung dieser falschen Identitäten. Dieser Fall hat eindrücklich gezeigt, dass es möglich ist, die Gesichtserkennung – selbst in großen und theoretisch sicheren Systemen – zu umgehen, wenn die richtigen Werkzeuge zur Verfügung stehen.
Auch im Privatsektor sieht es nicht anders aus. Im Oktober 2024 führte die Zivilpolizei des Bundesdistrikts die Operation „DeGenerative AI“ durch und zerschlug dabei eine Bande, die sich auf das Hacken digitaler Bankkonten mithilfe von KI-Anwendungen spezialisiert hatte. Die Kriminellen unternahmen über 550 Versuche, in die Bankkonten ihrer Kunden einzudringen. Sie nutzten dabei geleakte persönliche Daten und Deepfake-Techniken, um die Bilder der Kontoinhaber zu reproduzieren und so die Eröffnung neuer Konten im Namen der Opfer zu ermöglichen sowie mobile Geräte so zu aktivieren, als gehörten sie ihnen.
Schätzungen zufolge gelang es der Gruppe, rund 110 Millionen Reais über Konten von Privatpersonen und juristischen Personen zu transferieren und dabei Geld aus verschiedenen Quellen zu waschen, bevor der Großteil des Betrugs durch interne Bankprüfungen gestoppt wurde.
Jenseits der Biometrie
Für den brasilianischen Bankensektor ist die Zunahme dieser Hightech-Betrügereien ein Warnsignal. Banken haben im letzten Jahrzehnt massiv investiert, um Kunden auf sichere digitale Kanäle umzustellen und Gesichts- und Fingerabdruckbiometrie als Schutzmaßnahmen gegen Betrug einzuführen.
Die jüngste Betrugswelle deutet jedoch darauf hin, dass biometrische Daten allein nicht ausreichen. Betrüger nutzen menschliches Versagen und technische Sicherheitslücken aus, um sich als Verbraucher auszugeben. Daher ist es unerlässlich, dass Sicherheitslösungen mit mehreren Ebenen und Authentifizierungsfaktoren entwickelt werden und nicht länger auf einem einzigen „magischen“ Faktor basieren.
Angesichts dieser komplexen Situation sind sich Experten in einer Empfehlung einig: die Einführung von Multi-Faktor-Authentifizierung und mehrschichtigen Sicherheitskonzepten. Dies bedeutet die Kombination verschiedener Technologien und Verifizierungsmethoden, sodass bei Ausfall oder Kompromittierung eines Faktors die anderen Faktoren Betrug verhindern. Biometrie bleibt dabei ein wichtiges Element – denn korrekt implementiert mit Lebenderkennung und Verschlüsselung erschwert sie opportunistische Angriffe erheblich.
Allerdings muss es mit anderen Kontrollmechanismen zusammenarbeiten: Einmalpasswörter oder PINs, die an das Mobiltelefon gesendet werden, Analyse des Nutzerverhaltens – sogenannte Verhaltensbiometrie, die Tippmuster und Gerätenutzung erkennt und Alarm auslösen kann, wenn sie feststellt, dass sich ein Kunde „anders als gewöhnlich verhält“ – und intelligente Transaktionsüberwachung.
KI-Tools werden auch zur Unterstützung von Banken eingesetzt, indem sie subtile Anzeichen von Deepfakes in Videos oder Stimmen erkennen – beispielsweise durch die Analyse von Audiofrequenzen zur Erkennung synthetischer Stimmen oder durch die Suche nach visuellen Verzerrungen in Selfies.
Die Botschaft an Bankmanager und IT-Sicherheitsexperten ist letztendlich eindeutig: Es gibt keine Patentlösung. Biometrische Verfahren bieten im Vergleich zu herkömmlichen Passwörtern ein deutlich höheres Sicherheitsniveau – so sehr, dass sich Betrugsmaschen weitgehend darauf verlagert haben, Menschen zu täuschen, anstatt Algorithmen zu knacken.
Betrüger nutzen jedoch jede Schwachstelle aus, sei sie menschlicher oder technischer Natur, um biometrische Systeme zu überlisten. Die angemessene Reaktion besteht in ständig aktualisierter Spitzentechnologie und proaktiver Überwachung. Nur wer seine Abwehrmaßnahmen genauso schnell weiterentwickeln kann wie neue Betrugsmaschen, wird seine Kunden im Zeitalter bösartiger künstlicher Intelligenz umfassend schützen können.
Von Sylvio Sobreira Vieira, CEO und Head of Consulting bei SVX Consultoria.
