Was ist Identitätssicherung und wie bauen Unternehmen Vertrauen in die digitale Identität auf?

Ein Kunde hat Ihre Onboarding-Prüfungen vor sechs Monaten bestanden. Heute loggt sich jemand von einem neuen Gerät in einem anderen Land in dasselbe Konto ein und überweist den gesamten Betrag an einen Empfänger, an den der Kunde noch nie zuvor gezahlt hat. Die Frage ist: Handelt es sich noch um dieselbe Person?

Diese Frage ist der Kerngrund für die Notwendigkeit der Identitätssicherung. Eine einmalige Verifizierung bei der Registrierung zeigt lediglich, wer das Konto eröffnet hat. Sie gibt nicht unbedingt Aufschluss darüber, wer das Konto aktuell nutzt. Für Banken, Fintechs und Krypto-Plattformen liegt die aktuelle Lücke zwischen diesen Informationen nicht nur im Kern des Betrugs, sondern bietet ihm auch ideale Bedingungen für erfolgreiche Betrugsfälle.

Das Problem: Identität ist kein einmaliges Ereignis

Die meisten Compliance-Teams behandeln Identität immer noch wie ein Türschloss. Sie prüfen zunächst den Ausweis, lassen die Person herein und gehen davon aus, dass es sich immer um dieselbe Person handelt. Dabei unterschätzen sie, wie weit Betrüger gehen. Ein Jahrzehnt lang haben sie genau diese Annahme ausgenutzt.

Kontoübernahmen, Identitätsmissbrauch und Social-Engineering-Betrug sind auch nach Abschluss des Verifizierungsprozesses noch möglich. Laut der Studie „Identity Fraud Study 2024“ von Javelin Strategy & Research verursachten Identitätsbetrug und -betrug in den USA innerhalb eines Jahres Kosten in Höhe von 43 Milliarden US-Dollar, wobei allein Kontoübernahmen 15.6 Milliarden US-Dollar kosteten. Der Betrug fand nicht während des KYC-Prozesses statt, sondern erst Monate später – und zwar gegen genau die Konten, die diesen bereits erfolgreich durchlaufen hatten.

Die Bestätigung der Identität beantwortet jedoch eine noch schwierigere Frage: Wie sicher sind wir, dass die Person, die dieses Konto aktuell nutzt, noch dieselbe Person ist, die wir ursprünglich verifiziert haben?

Worin unterscheiden sich Reassurance, Verification und Assurance?

Nachfolgend sind die drei Begriffe aufgeführt, die synonym verwendet werden, sich aber in ihrer Kerndefinition stark unterscheiden. 

Identitätsprüfung: Im Wesentlichen geht es darum, ein Dokument zu erfassen, eine Datenbankabfrage durchzuführen und ein Selfie abzugleichen. Dies geschieht zu einem bestimmten Zeitpunkt, üblicherweise während des Onboarding-Prozesses.

Identitätssicherung: Das ist das Maß an Vertrauen, das durch diese Verifizierung erzeugt wird. NIST SP 800-63-3 definiert verschiedene Identitätssicherung Die Stufen (IAL1–IAL3) basieren primär darauf, wie gründlich die Identitätsprüfung durchgeführt wurde. Der britische Leitfaden für bewährte Verfahren (Good Practice Guide 45) bewertet die Sicherheit anhand von fünf verschiedenen Komponenten als niedrig, mittel, hoch oder sehr hoch.

Identitätsbestätigung: Die Vertrauenswürdigkeitsprüfung ist eine fortlaufende Bewertung, die über einen längeren Zeitraum hinweg erfolgt. Sie gibt an, wie vertrauenswürdig eine Identität bleibt, während der Kunde Transaktionen durchführt, sich von neuen Geräten anmeldet oder sich außerhalb der festgelegten Kriterien verhält. Vereinfacht gesagt, dient die Verifizierung dem einmaligen Identitätsnachweis, die Vertrauenswürdigkeitsprüfung bewertet diesen Nachweis weiter, und die Bestätigung sorgt dafür, dass die Bewertung dauerhaft korrekt bleibt.

Beweis dafür, dass das Einzelverifikationsmodell nicht mehr funktioniert

Das FATF-Leitfaden zur digitalen Identität Die Verordnung weist regulierte Unternehmen an, dass die Identitätsprüfung risikogerecht sein und im gesamten Kundenlebenszyklus regelmäßig überprüft werden sollte, nicht nur bei der Registrierung. Identitätsbetrug mit synthetischen Identitäten wird beim ersten KYC-Verfahren häufig nicht erkannt, da alle einzelnen Datenpunkte als korrekt gelten. Er fällt erst auf, wenn das Verhaltensmuster im Nachhinein analysiert wird.

Der Einsatz von Deepfakes beim Onboarding erhöht den Druck zusätzlich. Selbst eine starke biometrische Verifizierung kann ohne Lebendigkeitsprüfungen gegen bereits bekannte Präsentationsangriffe umgangen werden. Technologiedemonstration des US-Heimatschutzministeriums zur Fernidentitätsvalidierung hat gezeigt, dass viele Systeme, die Papierzertifikate anerkennen, letztendlich doch scheitern..

Der „verifizierte“ Status eines Kunden bei der Kontoeröffnung sagt nach einem Jahr so ​​gut wie nichts über sein Risiko aus.

Wo stoßen die meisten bereits existierenden Lösungen bei der Betrugserkennung an ihre Grenzen?

Drei Muster tauchen bei der Untersuchung von Betrugsfällen immer wieder auf:

1. Statische KYC-Bewertung. Einmal gewertet, als grün markiert, wird nie aktualisiert, es sei denn, ein Mensch hat sich darum bemüht.t zu zurückstellen Es. Gemeinsam genutzte Geräte, kompromittierte Zugangsdaten und auch die Verhaltensänderungen treten nicht auf.
2. Compliance-Tools und Betrug in isolierten Bereichen. Das KYC-System bestätigt die Legitimität des Kunden; die Betrugserkennung meldet jedoch verdächtige Vorgänge. Die beiden Ansichten werden nicht miteinander verknüpft.
3. Kein Feedback-Mechanismus durch laufende AML-Maßnahmen. Der PEP-Status ändert sich, eine Sanktion wird verhängt, ein neuer negativer Medienbericht erscheint und die Daten landen in einem Sammelbericht, den niemand bis zur vierteljährlichen Überprüfung liest.

Reassurance schließt solche Lücken, indem es das Vertrauen in die Identität als eine dynamische Variable behandelt und nicht als einen einzelnen Eintrag in der KYC-Datei.

Welche Signale bilden die Grundlage für einen Identitäts-Konfidenzwert?

Ein Identitätsvertrauenswert fasst Signale in einer Zahl oder einem Bereich zusammen (Niedrig / Mittel / Hoch / Sehr hoch, gemäß GPG 45 oder ein Wert von 0–100) dass nachgelagerte Systeme darauf reagieren können.

Es wird von fünf Signalgruppen gespeist:

1. Dokumenten- und biometrische Nachweise aus dem ursprünglichen Verifizierungstyp, Aussteller, Manipulationsprüfungen, Selfie-zu-Dokument-Abgleich.
2. Datenbank- und eID-Abgleich. eIDV Überprüfungen anhand von Regierungsregistern, Kreditauskunfteien und nationalen eID-Systemen liefern innerhalb von Sekunden eine Bestätigung.
3. Verhaltens- und Gerätesignale Anmeldeort, Geräte-Fingerabdruck, Sitzungsgeschwindigkeit. Ein plötzlicher Wechsel von einem iPhone in Frankfurt zu einem Android-Gerät in Lagos um 3 Uhr morgens ist ein beruhigendes Ereignis und nicht nur ein Betrugsalarm.
4. Ergebnisse des laufenden Screenings Sanktionen, PEP und negative Medienberichte aus ständiger AML-Screening.
5. Auslöser für erneute Verifizierung Intensivere biometrische Kontrollen in Hochrisikosituationen (neuer Leistungsempfänger, große Überweisungen, Zurücksetzung der Zugangsdaten).

Kein einzelnes Signal ist ausschlaggebend. Die richtige Gewichtung spiegelt das tatsächliche Risiko wider, ohne legitime Kunden für ein neues Telefon zu bestrafen.

Welche Branchen benötigen dies am dringendsten?

Digitale Banken und Fintechs wickeln die Kundenregistrierung remote ab und sind dem vollen Risiko von Zahlungsbetrug ausgesetzt. Kryptobörsen befassen sich mit irreversiblen Transaktionen. Glimmer und die FATF-Reiseregel. Glücksspielanbieter unterliegen Alterskontrollverpflichtungen, die sich während der Spielzeit ändern können. Versicherer und Kreditgeber pflegen langjährige Geschäftsbeziehungen, in denen sich Identitätsmerkmale verändern können.

Die EU eIDAS 2.0-Verordnung Und die kommende digitale Identitäts-Wallet behandelt Identität bereits als wiederverwendbaren, fortlaufend bestätigten Nachweis. Die Regulierung zielt darauf ab, Vertrauen zu schaffen.

Wie Shufti Vertrauen in eine einzige Plattform integriert

Shuftis Identitätsprüfung Die Plattform wurde für den gesamten Kundenlebenszyklus konzipiert, nicht nur für den Einstieg. Unternehmen können mit dem Onboarding beginnen und die Kundenbetreuung ohne Plattformwechsel ausweiten.

• Erste Korrekturphase. Dokumentenprüfung, biometrischer Selfie-Abgleich und Gesichtsverifizierung mit Lebenderkennung einrichten IAL2 oder eine gleichwertige Anfangssicherheit gemäß IAL3. Die biometrische Engine von Shufti ist iBeta Level 1 und Level 2 zertifiziert und wurde als DHS RIVR 2025 Top Performer ausgezeichnet.
• Datenbank- und eID-Abgleich. eIDV Pro deckt mehr als 85 Länder ab passiv und über 30 nationale eID-Systeme aktiv, die eine Bestätigung in unter 3 Sekunden zurückgeben.
• Laufende Maßnahmen zur Bekämpfung der Geldwäsche Durch kontinuierliche Überprüfung anhand von mehr als 3,500 Beobachtungslisten, 2.6 Millionen PEP-Profilen und mehr als 50,000 negativen Medienquellen wird der Vertrauenswert stets aktuell gehalten.
• Stufenweise Verifizierung. FastID Verwaltet wiederverwendbare Identitäten für wiederkehrende Benutzer, und eine risikoabhängige erneute Verifizierung löst eine biometrische oder Dokumentenprüfung aus, wenn ein Ereignis dies erfordert – nicht bei jeder Anmeldung.
• Risikobewertung. Benutzerrisikobewertung fasst die Signale zu einem Gesamtscore zusammen, der in nachgelagerte Betrugsbekämpfungs- und Transaktionsüberwachungssysteme integriert wird, und KYC zum Arbeitsablauf

Die Compliance- und Betrugsbekämpfungsteams streiten nicht mehr darüber, welches System für den Kunden zuständig ist. Sie nutzen einen gemeinsamen Score, der nahezu in Echtzeit aktualisiert wird und über einen vollständigen Prüfpfad verfügt, der die Einflussfaktoren auf diesen Score dokumentiert.

Vertrauen messen und wo man anfangen soll

Sie müssen Ihre Identitätsarchitektur nicht komplett neu aufbauen. Drei Fragen zeigen den meisten Teams, wo die Lücken liegen:

6. Wenn sich der PEP- oder Sanktionsstatus eines Kunden morgen ändert, wie lange dauert es, bis Ihre Systeme dies widerspiegeln?
7. Wenn sich ein Benutzer aus einem neuen Land einloggt und eine große Überweisung veranlasst, kombiniert dann irgendein System seinen KYC-Status mit dem Sitzungsrisiko?
8. Wenn eine Aufsichtsbehörde fragen würde, warum Sie einer zwei Jahre alten Bestätigung noch vertrauen, welche Beweise würden Sie vorlegen?

Lauten die ehrlichen Antworten „Wochen“, „nein“ und „nicht viel“, dann ist die nächste Investition die Beruhigung, nicht eine weitere punktuelle Lösung.

Die Plattform von Shufti beantwortet alle drei Fragen mit einer einzigen Integration. Um zu sehen, wie ein Live-Konfidenzwert im Vergleich zu Ihrem eigenen Onboarding-Prozess aussieht, oder fordere eine Demo an oder besprechen Sie eine maßgeschneiderte Bewertung für Ihre Bankwesen or Betrugsprävention Anwendungsfall.