Was sind Identitätsverifizierungsdienste? Ein Leitfaden für Unternehmen zum Outsourcing von IDV

Die meisten Unternehmen, die sich für den Aufbau einer eigenen Identitätsverifizierungslösung entscheiden, kommen letztendlich zum selben Schluss: Es ist schwieriger als gedacht, dauert länger als ursprünglich geplant und verursacht höhere Kosten. Bis man Dokumentendatenbanken lizenziert, ein biometrisches Modell trainiert, Daten von AML-Watchlists beschafft und die von den Aufsichtsbehörden geforderten Zertifizierungen erhalten hat, ist ein ganzes Jahr vergangen – und man deckt immer noch nicht einmal die Hälfte der von den Nutzern eingereichten Dokumententypen ab.

Identitätsverifizierungsdienste sind Drittanbieterplattformen, die Ihnen die gesamte Infrastruktur abnehmen. Sie ermöglichen es Unternehmen, die Identität eines Nutzers durch Dokumentenauthentifizierung, biometrische Gesichtserkennung, Lebenderkennung und AML-Datenbankabfrage zu bestätigen. Die Bereitstellung erfolgt über eine API oder ein SDK, das direkt mit Ihrem Produkt verbunden wird. Anstatt die Infrastruktur selbst aufzubauen, rufen Sie einfach den Dienst auf. Ihre Aufgabe ist es, auf das Ergebnis zu reagieren.

Dieser Beitrag geht detailliert darauf ein, was genau diese Dienste beinhalten, wie die API- und SDK-Integration funktioniert und wie die Preisgestaltung im Jahr 2026 aussieht, sowie auf die spezifischen Anforderungen hinsichtlich der Evaluierung. AML-Konformität.

Was genau beinhalten Identitätsprüfungsdienste?

Der Begriff „Identitätsprüfung“ umfasst ein breites Spektrum an Prozessen, von einfachen Dokumentenscans bis hin zu umfassenden Compliance-Workflows. Ein moderner Online-Identitätsprüfungsdienst integriert typischerweise vier Mitarbeiter mit jeweils eigenen Funktionen in eine einzige Plattform. 

Dokumentenüberprüfung Shufti validiert amtliche Ausweisdokumente mittels forensischer Analyse und optischer Zeichenerkennung (OCR). Dabei wird die Einhaltung der MRZ- und ICAO-Standards geprüft, holografische Elemente validiert, physische und digitale Veränderungen erkannt und das Dokument mit einer Datenbank bekannter Vorlagen abgeglichen. Die Dokumentenverifizierung von Shufti deckt über 230 Länder ab und liefert Ergebnisse in weniger als zwei Sekunden.

Biometrische Zugangskontrolle Gesichtsverifizierung Shufti gleicht ein Selfie mithilfe von Gesichtserkennung und Lebenderkennung mit dem Dokumentenfoto ab. Die Lebenderkennung verhindert, dass jemand ein Foto vor die Kamera hält. Die biometrische Gesichtserkennung von Shufti erreicht in den iBeta-Versionen Level 1 und Level 2 eine Genauigkeit von 98.72 % und eine Erfolgsquote von 95 % beim ersten Erfassungsversuch.

Die AML-Prüfung gleicht Namen, Organisationen und wirtschaftlich Berechtigte mit Sanktionsregimen und PEP-Datenbanken ab. nachteilige Medienund Beobachtungslisten. Die Qualität hängt vollständig davon ab, wie häufig die Daten aktualisiert werden. Shuftis AML-Screening wird alle 15 Minuten aktualisiert und umfasst über 215 Sanktionsregime und mehr als 3,500 offizielle Beobachtungslisten.

Die Nutzerdaten werden gegengeprüft durch elektronische Identitätsprüfung (eIDV) gegen zahlreiche staatliche sowie private Datenbanken (Kreditauskunfteien, Telekommunikationsunternehmen und Versorgungsunternehmen) ohne dass ein physisches Dokument erforderlich ist. 

Der praktische Vorteil des Outsourcings liegt darin, dass alle vier Komponenten vorintegriert und mit bereits vorhandenen Zertifizierungen geliefert werden. Man spart sich die 12-monatige Wartezeit bis zur iBeta-Phase. Eine Sanktionsdatenpipeline wird nicht von Grund auf neu entwickelt. 

Wie funktionieren APIs und SDKs zur Identitätsverifizierung eigentlich?

Eine API zur Identitätsverifizierung ist eine Programmierschnittstelle, über die Ihre Anwendung Benutzerdaten an eine externe Verifizierungs-Engine senden und im Gegenzug eine strukturierte Entscheidung zurückerhält. Ihr System führt die Prüfungen nicht selbst durch. Es sendet eine Anfrage, der IDV-Anbieter verarbeitet alles, und Sie erhalten eine JSON-Antwort: verifiziert, Überprüfung erforderlich oder abgelehnt, inklusive der extrahierten Dokumentfelder.

Der Ablauf sieht üblicherweise so aus, sobald der Nutzer seine ID und sein Selfie über Ihre Benutzeroberfläche bereitgestellt hat. Ihr Backend sendet die Daten daraufhin über HTTPS mit Ihrem Authentifizierungstoken an den API-Endpunkt. Die Engine führt Dokumentenanalyse und biometrischen Abgleich durch. Lebendigkeitserkennungund optional im Anschluss eine AML-Prüfung. Die Antwort kommt zurück. Bei Shufti ist der gesamte Zyklus für Standard-KYC-Abläufe auf GPU-beschleunigter Infrastruktur in unter 15 Sekunden abgeschlossen. Allein die OCR-Verarbeitung dauert weniger als 2 Sekunden.

Der Unterschied zwischen einer API und einem SDK liegt darin, wo die nutzerseitige Datenerfassung stattfindet. Eine API übernimmt den Datenaustausch im Backend. Die eigentliche Aufnahmefunktion – beispielsweise eine Webcam-Schnittstelle oder einen Datei-Upload für Web-Apps – entwickeln Sie selbst. Ein SDK bietet darüber hinaus weitere Funktionen. Es stellt vorgefertigte Kameramodule für iOS und Android bereit, unterstützt Nutzer in Echtzeit beim Positionieren ihres Ausweises im Bildausschnitt, korrigiert automatisch Blendung und Unschärfe vor dem vollständigen Upload und ermöglicht die Gesichtserkennung mit dynamischer Landmarken-Vorvalidierung. Insbesondere für mobile Apps ist das SDK nach wie vor die richtige Wahl. Die Erfolgsquote beim ersten Versuch ist meist niedrig. Eine höhere Erfolgsquote beim ersten Versuch resultiert aus der besseren Bildqualität, die wiederum zu weniger Abbrüchen beiträgt. 

Für Web-App-IntegrationEine direkte API ist in der Regel ausreichend, alternativ können Sie den gehosteten Verifizierungsprozess von Shufti nutzen. Bei dieser Option werden Nutzer zu einem Verifizierungslink weitergeleitet, schließen den Vorgang ab und kehren mit einer Statusmeldung zu Ihrer App zurück. Es ist nahezu kein Programmieraufwand erforderlich. Die Standardintegrationszeit beträgt in beiden Fällen weniger als 48 Stunden.

Vor dem Livegang ist Folgendes zu testen: Eine produktionsreife IDV-API sollte eine Sandbox enthalten, die die Live-Umgebung exakt widerspiegelt – mit denselben Antwortstrukturen, Fehlercodes und Webhook-Payloads. Nutzen Sie diese Sandbox, um erfolgreiche Abläufe, Ablehnungen, biometrische Abweichungen und AML-Treffer abzudecken. Führen Sie anschließend einen kleinen Pilotversuch durch; dies sollte vor dem eigentlichen vollständigen Launch erfolgen. Sandbox-Tests können Lichtverhältnisse und Gerätevielfalt nicht so umfassend simulieren wie ein Live-Pilotversuch.

Wie hoch sind die Kosten pro Anruf für Dienstleistungen im Zusammenhang mit der digitalen Identitätsprüfung?

Für die digitale Identitätsprüfung und alle damit verbundenen Dienstleistungen liegen die Preise pro Prüfung üblicherweise zwischen relativ geringen Beträgen und hängen von den zusätzlich in Anspruch genommenen Dienstleistungen sowie dem Transaktionsvolumen des Unternehmens ab. Die drei Standardmodelle:

Was die meisten Teams bei der Beschaffung übersehen, ist die Ermittlung der Gesamtkosten für Fehlalarme. Ein Anbieter mit niedrigeren Gebühren pro Anruf, aber einer hohen Fehlalarmrate führt in der Regel zu einem Anstieg manueller Prüfungen, mehr Kundensupportanfragen und mehr Nutzern, die den Onboarding-Prozess abbrechen. Ein System, das 10 % der legitimen Nutzer fälschlicherweise als verdächtig einstuft, verursacht Folgekosten, die den Unterschied in der API-Preisgestaltung bei Weitem übersteigen. Die Gebühr pro Anruf ist nur ein Faktor. Die tatsächlichen Kosten der gesamten Verifizierung, einschließlich des Aufwands für manuelle Prüfungen und der Abbrüche im Onboarding-Prozess, bleiben die entscheidenden Zahlen.

Achten Sie insbesondere bei der Geldwäscheprüfung darauf, wie die Anbieter ihre Leistungen bündeln. Manche berechnen jede Überprüfung auf der Watchlist separat. Eine Plattform, die Geldwäscheprüfung, Dokumentenverifizierung und biometrische Datenabgleiche zu einem einzigen Preis pro Überprüfung anbietet, ist in der Praxis fast immer kostengünstiger.

Was sollten Fintech-Teams im Jahr 2026 im Hinblick auf die Einhaltung der AML-Vorschriften tatsächlich prüfen?

Im ersten Quartal 2025 FATF Die Standards wurden aktualisiert, um zu bestätigen, dass digitales Onboarding nicht länger als grundsätzlich risikoreich eingestuft wird, sofern Unternehmen die Qualität ihrer Kontrollmechanismen nachweisen können. Der EU-Geldwäscherahmen (AMLA), der Mitte 2026 in Kraft tritt, verschärft die Anforderungen an die laufende Überwachung von Hochrisikokunden. FinCEN Die Regeln für wirtschaftliche Eigentümer verlangen weiterhin einen dokumentierten Identitätsnachweis bei der Kontoeröffnung.

Das bedeutet konkret: Die Regulierungsbehörden fragen nicht, ob Sie Nutzer verifizieren. Sie fragen, ob Sie die Glaubwürdigkeit der Verifizierung nachweisen können.

Die Abdeckung hat Vorrang vor der Anzahl der abgedeckten Länder. Ein Anbieter, der über 230 Länder für die Dokumentenverifizierung abdeckt, aber nur 40 für die Dokumentenprüfung. AML-ScreeningDadurch entstehen Lücken, die manuell geschlossen werden müssen. Die Aktualisierungsrate der AML-Daten ist ein entscheidender Faktor: Eine Aktualisierung der Watchlist-Daten alle 15 Minuten anstatt alle 24 Stunden birgt erhebliche Compliance-Risiken während risikoreicher Onboarding-Phasen.

Das Falsch-Positiv-Rate Die operative Umsetzung ist genauso wichtig wie die Erkennungsrate. Ein System, das 20 % der legitimen Kunden zur manuellen Überprüfung kennzeichnet, verursacht ein unnötiges Kundenservicevolumen, das das Wachstum von Unternehmen behindert. Die Spracherkennungs-Engine von Shufti verarbeitet regional unterschiedliche Namenskonventionen, Transliterationen und Fuzzy-Matching in über 80 Sprachen und hält so die Anzahl falsch positiver Ergebnisse gering, ohne die Erkennungsabdeckung zu beeinträchtigen. Audit-Trails entscheiden darüber, ob Sie die Einhaltung von Vorschriften auf Anfrage einer Aufsichtsbehörde nachweisen können.

Für Identitätsverifizierungsdienste im Fintech-Bereich bietet Shufti... automatisierte KYC-Lösung Die Lösung deckt die gesamte Kette mit einem einzigen API-Aufruf ab: Dokumentenauthentifizierung, biometrischer Abgleich, Lebenderkennung, Geldwäscheprüfung und elektronische Identitätsprüfung. Die Betrugswahrscheinlichkeitsberechnungs-Engine synthetisiert über 500 Signale zu einem konfigurierbaren Risikoscore. KI-basierte Modelle zur Identitätsverifizierung werden stündlich anhand von simulierten Betrugsdaten neu trainiert. Dadurch bleibt die Erkennungsrate von 99.3 % auch bei sich ändernden Betrugsmustern konstant.

Shufti hält DHS RIVR 2025 Auszeichnung als Top-Performer, iBeta Level 1- und Level 2-Biometriezertifizierung, PCI DSS, SOC 2, DSGVO-Konformität und ISO 27001. Für KYC-Identitätsprüfungsdienste in regulierten Umgebungen reduzieren diese Zertifizierungen Ihren Aufwand für die Nachweisführung bei behördlichen Prüfungen erheblich.

Die Auslagerung der KI-basierten Identitätsprüfung ist für die meisten Unternehmen die vergleichsweise schnellere und wirtschaftlich sinnvollere Option im Vergleich zur Eigenentwicklung. Der Zeitaufwand für die Entwicklung, die Zertifizierung und die Wartung des Betrugsmodells, die erforderlich wären, um mit den Leistungen eines spezialisierten IDV-Anbieters mithalten zu können, lohnen sich für Unternehmen, deren Kernprodukt etwas anderes ist, schlichtweg nicht.

Die entscheidenden Kriterien sind einfach: Abdeckung, Qualität der AML-Daten, Fehlalarmrate, Zertifizierungsstatus und ob der Anbieter Eigentümer der bereitgestellten Technologie ist. Preis pro Anruf und Geschwindigkeit sind zweitrangig.

Ich bin gespannt, wie Biometrie funktionieren wird. Identitätsprüfungsdienste Von Anfang bis Ende funktionieren? Legen Sie noch heute mit Shufti los! und Live-Verifizierungen innerhalb von 48 Stunden durchführen können.