Betrugsradar.at: Cybercrime-Polizist launcht Warnsystem für Scam SMS und Co.
Die Zahlen sprechen eine deutliche Sprache: Cybercrime entwickelt sich rasant weiter, und die Maschen der Betrüger werden durch den Einsatz von künstlicher Intelligenz immer raffinierter. Während die Polizei oft erst dann eingreifen kann, wenn das Geld längst auf Auslandskonten verschwunden ist, setzt ein neues Projekt an der entscheidenden Stelle an: dem Moment vor dem Klick. Philipp Genduth, Cybercrime-Ermittler bei der österreichischen Polizei, hat mit betrugsradar.at ein Werkzeug geschaffen, das verdächtige SMS und E-Mails mittels KI auf ihre psychologische Logik prüft. Im Interview erklärt er, warum die Jagd nach den Tätern oft zwecklos ist und warum wir lernen müssen, die emotionalen Trigger der Betrüger zu erkennen, bevor sie unser rationales Denken ausschalten.
Was ist dein professioneller Hintergrund?
Philipp Genduth: Ich komme ursprünglich aus der IT, bin gelernter Server- und Netzwerktechniker aus Kärnten, und daher fasziniert mich das Thema IT, KI, Cybercrime usw. seit jeher. Seit über zehn Jahren bin ich bei der Polizei, davon einige Jahre als IT-Cybercrime-Ermittler für kleinere Cybercrime aber auch große Scams zuständig und fuchse mich da oft rein. Nach hunderten Einvernahmen und tausenden gesehenen Betrugsfällen habe ich aber verstanden: Nacharbeiten ist kaum erfolgreich, daher sollte präventive Aufklärung sollte der Fokus, denn es läuft fast immer gleich ab, nur das technische Gewand wechselt, und das Ziel ist immer dasselbe: Geld und Daten.
Außerdem bin ich Mitgründer der österreichischen Finanzbildungsplattform finanzenverstehen.at. Da habe ich über die Jahre gelernt, dass schon Basis-Finanzbildung ein Grundschutz gegen Anlagebetrug ist. Denn wer weiß, wie viel Rendite der Kapitalmarkt historisch ungefähr bringt, wie volatil Kryptomärkte sind und dass niemand eine Glaskugel hat, fällt auf fixe Renditeversprechen oder “Komm in die Gruppe”-Angebote nicht mehr herein.
Wie funktioniert das Tool grundsätzlich? Wie genau ist es, gibt es eine Fehlerquote?
Man lädt einen Screenshot einer verdächtigen SMS oder E-Mail rauf, alternativ Text oder Link. Der Inhalt wird ausgelesen und dann auf Logik geprüft, und zwar anhand meiner langen Erfahrung aus der Ermittlungspraxis. Im Hintergrund arbeitet aktuell eine API eines großen KI-Anbieters (Anthropic) mit einem umfangreichen Master-Prompt, der nicht nur falsche Logos oder nicht passende Absender prüft, sondern die Nachricht auch logisch zerlegt, nämlich welche psychologischen Trigger werden gedrückt, welche Formulierungen sind typisch für bekannte Maschen, nutzt die Nachricht Autorität, Druck, Liebe, Angst etc.
Das Ergebnis wird via Ampelsystem ausgegeben und ist bewusst vorsichtig kalibriert. Grün gibt es nur, wenn alles passt, lesbar ist und der Absender in meiner Whitelist verifiziert ist. Auf den Screenshots (siehe unten) sieht man das gut: Rot war eine klassische Hallo-Mama-SMS. Gelb war eine echte BAWAG-Seite, bei der aber die zugehörige Domain aus dem Screenshot nicht prüfbar war, also im Zweifel lieber Gelb mit der Info, selbst nochmal zu prüfen. Grün war ein Screenshot der flatex-Website, weil hier alles gepasst hat. Das Tool ist eine Orientierungshilfe, keine verbindliche Auskunft. Eine „unnötige“ Warnung kostet nichts, ein übersehener Betrug kostet viel Geld und oft die Identität.

Langfristig ist das Ziel ein eigenes System auf eigenen Servern, das speziell auf Betrugserkennung trainiert ist zu bauen. Dafür bauen ich im Hintergrund eine Betrugsmaschen-Datenbank auf, die ausschließlich die Maschen speichert ist mit Österreich Bezug, ohne Personendaten der hochladenden Person. Daraus lernt das System laufend und wird besser.
Was ist das primäre Ziel der Betrüger, worauf kommt es ihnen an?
Uns Menschen zu manipulieren und uns eben Geld und Daten abzunehmen. Um das zu schaffen, müssen sie unser rationales Denken ausschalten. Dazu nutzen sie psychologische Tricks und Emotionen, kombiniert mit technischen Mitteln wie gefälschten SMS oder täuschend echten Websites von Banken und Brokern. Das Perfide daran: Die Opfer führen Logins und Überweisungen am Ende selbst durch. Deswegen der allgemeine Tenor „selber schuld“ nein das sind Profis und die wissen was sie tun. Ich sag immer gern: Die haben den ganzen Tag nix andres zu tun um uns zu bescheissen…
Aber im Kern läuft der Betrug fast immer gleich ab, nur in wechselndem technischem Gewand, und genau deshalb ist er meines Erachtens erkennbar. Auch wenn jeder Opfer werden kann, auch ich. 2013 wurde ich bei Onecoin betrogen, daher kenn ich auch die andere Seite und weiß, dass jeder einen Trigger hat. Aber man muss es einem ja nicht leicht machen.
Was tun, wenn der Radar anschlägt? Bei der Polizei melden?
Betrugsradar ist zuallererst Prävention: Lieber vorher hochladen und prüfen, bevor etwas passiert. Wenn das Ergebnis verdächtig ist, sieht man auch gleich, warum. Man lernt die Masche und ihre Tricks kennen und kann beim nächsten Mal selbst reagieren. Eine Anzeige bei der Polizei ist immer möglich und in vielen Fällen sinnvoll. Aber man muss ehrlich sein: In Zeiten von Echtzeitüberweisungen und Krypto-Transaktionen sind Betrugsfälle schwer aufzuklären. Wenn das Geld einmal im Ausland ist, ist es sehr schwer, den gesamten Schaden zurückzuholen oder auch nur einen Teil. Deshalb ist Prävention so viel relevanter und nachhaltiger als alles, was danach kommt.
Steckt ein Business Model dahinter? Bleibt es kostenlos?
Die Basis-Analyse für Privatpersonen bleibt kostenlos, weil ich Menschen schützen will und ich gerne die paar Euro selbst bezahle. Ich sehe täglich Betrugsopfer, das ist meine Motivation. Die Monetarisierung soll über Partnerschaften laufen: Unterstützer und B2B-Einbindungen/Kunden, bei denen Banken, Behörden, Institutionen oder passende Firmen das Tool als zusätzliche Schutzbarriere für ihre Kundinnen und Kunden einbinden. Dazu bin ich aktuell schon mit Instituten und Verbänden im Gespräch, es geht um die Einbindung als weiteres Schutzangebot und um breitere Reichweite in der Gesellschaft zu schaffen, Awareness zu den Leuten zu bringen.
Gab es einen konkreten Anlass?
Ja. Ich sehe diese Betrugsmaschen leider Tag täglich, die Menschen, die Opfer wurden, das psychische Leid und den finanziellen Schaden. Irgendwann habe ich mich dann gefragt: Warum es kein Werkzeug für den Moment davor gibt? Um vorher eingreifen zu können und gar nicht erst Geld zu verlieren. Also habe ich mich hingesetzt und mein Tool zu bauen begonnen. Mit dem großen Ziel die Millionenschäden, die in Österreich und im DACH-Raum jährlich entstehen, zu verringern und im besten Fall zukünftig einige davon zu verhindern.
Warum gerade SMS? Sie sind schnell gebaut, massenhaft verschickt und kosten fast nichts. Dazu kommt Nummern-Spoofing: Die Betrugs-SMS erscheint dann im echten Chat-Verlauf mit der Bank oder dem Broker, und damit sind Autorität und Vertrauen schon da, bevor die erste Zeile gelesen ist. Oder die klassische Paket-SMS: Sie funktioniert, weil gefühlt jeder immer irgendein Paket erwartet, gerade im Vorweihnachtsstress.

