Leitfaden zu Identitätsverifizierungsprotokollen: Alles, was Unternehmen benötigen

In der globalen Bedrohungsanalyse von InterPol durch Finanzbetrug wurden die weltweiten Verluste im Zusammenhang mit Finanzbetrug auf 442 Milliarden US-Dollar geschätzt.  Für Compliance- und Risikoteams in regulierten Branchen wirft diese Zahl eine direkte Frage auf: Sind die derzeitigen Identitätsprüfungsprotokolle auf die jeweilige Bedrohung abgestimmt, oder handelt es sich um eine Sammlung von Methoden ohne klare Zuordnung zum Risiko?

Dieser Leitfaden behandelt die drei wichtigsten Protokollrahmenwerke, auf die Unternehmen zurückgreifen, deren jeweilige Anforderungen und wie ein risikobasierter Ansatz entwickelt werden kann, der regulatorischen Prüfungen standhält. Wenn Ihr Team an der Umsetzung von NIST 800-63, den erweiterten Sorgfaltspflichten der FATF oder der Vorbereitung auf eIDAS 2.0 arbeitet, ist dies der ideale Einstieg.

Was ist ein Identitätsverifizierungsprotokoll?

Ein Identitätsverifizierungsprotokoll ist ein definiertes Regelwerk, das festlegt, welche Nachweise eine Organisation akzeptiert, wie diese validiert werden und welches Sicherheitsniveau die Prüfung erreichen muss, bevor ein Benutzer fortfahren kann. Eine Verifizierungsmethode, wie beispielsweise ein Dokumentenscan oder eine biometrische Prüfung, ist eine Komponente eines umfassenderen Protokolls. Ein Unternehmen verwendet typischerweise mehrere Protokolle parallel, die jeweils auf eine andere Risikostufe des Kunden abgestimmt sind.

Die drei Protokollrahmen, auf die sich Unternehmen verlassen

Die meisten regulierten Unternehmen leiten ihre Anforderungen aus drei sich überschneidenden Standards ab, insbesondere NIST800-63, die risikobasierten Sorgfaltsstufen der FATF für Kundenprüfungen und eIDAS 2.0. Diese Rahmenwerke befassen sich mit digitale Identitätsprüfung aus verschiedenen Blickwinkeln, aber ihre Anforderungen konvergieren auf höheren Sicherheitsniveaus.

NIST 800-63 und Identitätssicherungsstufen

NIST SP 800-63A definiert drei Identitätssicherungsstufen.

IAL1 ermöglicht die Identitätsfeststellung aus der Ferne durch Selbstbestätigung mit grundlegender Nachweisprüfung und optionaler Biometrie. IAL2 erhöht die Anforderungen. Die Nachweise müssen anhand einer autorisierten Quelle validiert werden, und der Antragsteller muss durch biometrischen Abgleich oder postalische Bestätigung an diese Nachweise gebunden sein. IAL3 schreibt die physische Anwesenheit, die persönliche Überprüfung vor Ort und die Entnahme biometrischer Proben durch einen geschulten Prüfer vor und ist den höchsten Sicherheitsanforderungen vorbehalten.

Für die Registrierung von Finanzdienstleistern und Fintech-Unternehmen ist IAL2 der Standard für operative Prozesse. Hochrisikoereignisse wie Kontowiederherstellung, Überweisungen großer Beträge oder der Zugriff auf geschützte Vermögenswerte erfordern in der Regel Kontrollen, die IAL3 entsprechen, selbst wenn die lokalen Aufsichtsbehörden die NIST-Terminologie nicht direkt verwenden.

FATF-Risikostufen-Verifizierungsanforderungen

Das FATF-Empfehlungen Erfordert einen risikobasierten Ansatz bei der Kundenprüfung. Standardmäßige Kundenprüfungen umfassen die Identitätsbestätigung anhand zuverlässiger Dokumente oder Daten. Erweiterte Due Diligence Die EDD-Regelung kommt zum Einsatz, wenn der Kunde oder die Transaktion ein erhöhtes Risiko darstellt, beispielsweise bei politisch exponierten Personen, grenzüberschreitenden Zahlungen mit hohem Wert, Onboarding ohne persönlichen Kontakt in Hochrisikogebieten und komplexen Eigentümerstrukturen.

Die Anforderungen der erweiterten Sorgfaltspflichten (EDD) gehen über die bloße Bestätigung der Identität einer Person hinaus. Das Protokoll muss die Herkunft der Gelder, die wirtschaftlich Berechtigten bis hin zur Ebene des wirtschaftlich Berechtigten (UBO) und die politische Verflechtung überprüfen und erfordert eine kontinuierliche Überwachung während der gesamten Kundenbeziehung. In den USA … FinCEN CDD-Endgültige Regelung kodifiziert diese Verpflichtungen und schreibt die Identitätsprüfung von natürlichen Personen vor, die 25 % oder mehr der Anteile an einem juristischen Kunden besitzen.

eIDAS 2.0 und der Übergang zu digitalen Identitätsnachweisen

Europäische Unternehmen stehen vor einer dringenden Frist zur Einhaltung der Vorschriften. Bis Dezember 2027 müssen Unternehmen aus den Bereichen Bankwesen, Energie, Gesundheitswesen, Bildung und Telekommunikation die neuen Bestimmungen akzeptieren. Digitale Identitäts-Wallets der EU Wenn Benutzer sie vorlegen, gemäß eIDAS 2.0. Alle 27 Mitgliedstaaten sind verpflichtet, ihren Bürgern bis Dezember 2026 Wallets zur Verfügung zu stellen.

Für Teams zur Identitätsprüfung ergibt sich daraus ein unmittelbarer Bedarf an Protokollplanung. Die EUDI-Wallet gilt gemäß dem NIST-Rahmenwerk als „SUPERIOR“-Nachweis, d. h. sie ist kryptografisch verifizierbar, vom Aussteller signiert und manipulationssicher. Systeme, die sie akzeptieren, müssen die digitalen Sicherheitsmerkmale direkt überprüfen und dürfen nicht einfach ein fotografiertes Dokument vergleichen.

Unternehmen, die derzeit für europäische Nutzer ausschließlich die Dokumenten-Upload-Verifizierung nutzen, stehen vor der größten Herausforderung. Ein Workflow, der 2026 Pässe und Führerscheine verarbeitet, muss bis 2027 die digitale Vorlage von Ausweisdokumenten unterstützen. Diejenigen, die bereits implementiert haben, … elektronische Identitätsprüfung Durch nationale Datenbanksysteme wie BankID, MitID und Singpass sind sie besser gerüstet, diesen Wandel aufzufangen, ohne von Grund auf neu aufbauen zu müssen.

Wie man ein risikobasiertes Protokoll zur Identitätsverifizierung aufbaut

Ein risikobasiertes Protokollframework ordnet jedes Kundensegment der passenden Sicherheitsstufe zu, bevor Verifizierungsvorgänge durchgeführt werden. Dies unterscheidet sich von der Anwendung eines einheitlichen Standardablaufs für alle Benutzer.

Zuordnung des Kundenrisikos zum richtigen Sicherheitsniveau

Das Rahmenwerk arbeitet mit mindestens drei Kundenrisikostufen. Standardkunden mit geringem Transaktionsvolumen und ohne Warnsignale können eine IAL1-äquivalente Verifizierung mit einfacher Dokumentenprüfung durchlaufen. Kunden mit erhöhtem Risiko, insbesondere solche aus eingeschränkten Branchen, mit Transaktionen oberhalb definierter Schwellenwerte oder aus Hochrisikogebieten, benötigen IAL2-Kontrollen, einschließlich quellenübergreifender Attributvalidierung und biometrischer Verknüpfung. Hochrisikokunden, darunter politisch exponierte Personen (PEP) und solche mit komplexen wirtschaftlich Berechtigtenstrukturen (UBO), benötigen ein vollständiges EDD-Protokoll mit dokumentierten Nachweisen und fortlaufender Transaktionsüberwachung.

Die FATF Leitfaden zur digitalen Identität unterstützt ausdrücklich diesen gestaffelten Ansatz und bestätigt, dass ein gut konzipiertes digitales Identitätssystem die Anforderungen an die AML/CFT-Sicherheit erfüllen kann, wenn die Verifizierungsmethode dem Risikoergebnis korrekt zugeordnet ist.

Protokollanpassung ohne Entwicklerteam

Ein häufiges Problem beim Übergang zu einem risikogestuften Modell sind die Entwicklungskosten. Drei separate Verifizierungsabläufe für drei Risikostufen bedeuteten bisher drei separate Integrationen. Moderne No-Code-Lösungen Tools für den Verifizierungs-Workflow Compliance-Teams können die Protokolllogik für jede Risikostufe konfigurieren und dabei Dokumentanforderungen, biometrische Schwellenwerte, die Akzeptanz von eID-Systemen und Auslöser für Risikostufen festlegen, ohne die zugrunde liegende API zu ändern. Die Risikostufenzuordnung wird in Echtzeit aktualisiert, sobald sich Kundenprofile ändern. So löst beispielsweise ein Standardkunde, der einen Transaktionsschwellenwert überschreitet, automatisch das erhöhte Protokoll aus.

Welche Fehler Unternehmen bei der Auswahl von Identitätsverifizierungsprotokollen machen

Der häufigste Fehler besteht darin, „Verifizierungsmethode“ und „Verifizierungsprotokoll“ gleichzusetzen. Eine biometrische Überprüfung ist eine Methode. Das Protokoll definiert, wann diese Überprüfung erforderlich ist, welchen Sicherheitsstandard sie erfüllen muss und was bei einem Verifizierungsfehler geschieht.

Ein weiterer häufiger Fehler besteht darin, die anfängliche Überprüfung beim Onboarding als vollständiges Protokoll zu betrachten. Sowohl die CDD-Regeln der FATF als auch von FinCEN fordern eine fortlaufende Überwachung nach dem Onboarding, nicht nur eine einmalige Identitätsbestätigung. Ein Unternehmen mit gründlichen Zugangskontrollen, aber ohne Überprüfungsprozess nach dem Onboarding, weist eine strukturelle Lücke in seinem Protokoll auf.

Unternehmen, die in den EU-Markt eintreten, unterschätzen ebenfalls den Zeitrahmen für die Umsetzung von eIDAS 2.0. Die Frist für die Einhaltung der Vorschriften ist Dezember 2027, doch Tests zur Interoperabilität der digitalen Geldbörsen, die technische Integration und die Mitarbeiterschulung benötigen Vorlaufzeit. Ein Überblick über wie eIDAS 2.0 gestaltet die Identitätsprüfung neu Europäische Finanzinstitute vermeiden dadurch einen späteren, hektischen Compliance-Sprint unter Druck.

Protokollabweichungen und die uneinheitliche Anwendung von Identitätsprüfungsprotokollen über verschiedene Kundenrisikostufen hinweg zählen zu den direktesten Risikofaktoren für regulatorische Angelegenheiten bei Unternehmen aus den Bereichen Finanzdienstleistungen, Fintech und Glücksspiel. Shufti deckt das gesamte Protokollspektrum ab – von passiven Datenbankprüfungen gemäß IAL1 und biometrischer Verifizierung bis hin zu über 30 nationalen eID-Systemen für die eIDAS 2.0-Konformität. Alle Protokolle sind über eine benutzerfreundliche Oberfläche ohne Programmierung nach Risikostufe konfigurierbar. Demo anfordern um Ihre Kundensegmente dem richtigen Verifizierungsprotokoll zuzuordnen und den gesamten Ablauf anhand Ihrer eigenen Anwendungsfälle zu sehen.