Die Identitätsprüfung endet für viele Unternehmen noch immer mit dem digitalen Onboarding. Nach Einschätzung von Signicat reicht dieser Ansatz jedoch nicht mehr aus, da sich Betrugsversuche zunehmend auf bestehende Kundenkonten und laufende Geschäftsbeziehungen verlagern. Gefordert sind Sicherheitskonzepte, die Identitäten kontinuierlich überprüfen und Authentifizierungsverfahren an das jeweilige Risiko anpassen.
In Deutschland zählen KYC-Prozesse („Know Your Customer“) insbesondere im Finanzsektor zu den regulatorischen Standardanforderungen. VideoIdent-Verfahren, dokumentenbasierte Identitätsprüfungen, bankgestützte Verfahren, qualifizierte Vertrauensdienste sowie zunehmend auch eID-gestützte Lösungen sind etablierte Bestandteile des digitalen Onboardings. Nach Angaben von Signicat konzentrieren sich Angreifer inzwischen jedoch auf deutlich mehr Angriffspunkte entlang der gesamten Kundenbeziehung.
Neben der Übernahme bestehender Nutzerkonten gehören Social Engineering, manipulierte Kontakt- oder Auszahlungsdaten, missbrauchte Recovery-Prozesse sowie gefälschte oder synthetische Identitäten zu den Methoden, mit denen Kriminelle Identitätsprüfungen umgehen.
Betrugsversuche verlagern sich auf bestehende Kundenbeziehungen
Besonders deutlich zeigt sich diese Entwicklung nach Angaben des Unternehmens im Zahlungsverkehr. Der gemeinsame „2025 Report on Payment Fraud“ von EBA und EZB bestätigt laut Pressemitteilung, dass die starke Kundenauthentifizierung zwar weiterhin wirksam ist, Betrüger ihre Methoden jedoch zunehmend auf die Manipulation von Zahlenden ausrichten. Ergänzend verweist der „2025 Payments Threats and Fraud Trends Report“ des European Payments Council auf Social Engineering, Phishing, Identitätsdiebstahl und KI-gestützte Angriffe als wesentliche Bedrohungen.
Auch der Deutschland-Report „The Battle in the Dark: Insights on identity fraud in Germany“ von Signicat kommt zu ähnlichen Ergebnissen. In einer Befragung von 100 Verantwortlichen für Betrugsprävention und -bekämpfung berichteten 65 Prozent von einer Zunahme der Betrugsversuche innerhalb der vergangenen zwölf Monate. Gleichzeitig beobachteten 64 Prozent einen Anstieg erfolgreicher Angriffe.
„Identitätsbetrug ist kein punktuelles Risiko mehr, das sich mit einer einmaligen Prüfung beim Onboarding beherrschen lässt. Angriffe verlagern sich in die Nutzung bestehender Konten, in Transaktionen und in Recovery-Prozesse. Unternehmen brauchen deshalb ein Sicherheitsmodell, das digitale Identität über den gesamten Lebenszyklus hinweg prüft und schützt – risikobasiert, nutzerfreundlich und regulatorisch belastbar“, sagt Philipp Wegmann, Country-Manager DACH bei Signicat.
Risikobasierte Authentifizierung statt statischer Prozesse
Nach Einschätzung des Anbieters sollte die Identitätsprüfung deshalb nicht auf den Einstieg in die Kundenbeziehung beschränkt bleiben. Vielmehr müssten Unternehmen risikobasierte Signale, Geräteinformationen, Verhaltensmuster, Datenvalidierung und kontextbezogene Authentifizierung miteinander kombinieren.
Besonders bei sicherheitskritischen Vorgängen wie Log-ins von unbekannten Geräten, Passwort-Resets, Änderungen persönlicher Daten oder dem Hinzufügen neuer Zahlungsempfänger könne eine situationsabhängige Prüfung sinnvoll sein. Je nach Risiko lasse sich beispielsweise eine eID-basierte Step-up-Verifizierung, eine NFC-gestützte Prüfung elektronischer Ausweisdokumente oder eine erneute biometrische Authentifizierung auslösen.
Mehrschichtige Sicherheitsmodelle gewinnen an Bedeutung
Entscheidend sei dabei die Orchestrierung der unterschiedlichen Identitäts- und Authentifizierungsverfahren. Ziel sei es, Sicherheitsmaßnahmen an das jeweilige Risiko sowie regulatorische Anforderungen anzupassen und gleichzeitig eine möglichst reibungslose Nutzererfahrung zu gewährleisten.
„Ein mehrschichtiger Ansatz hat sich hierbei bewährt“, sagt Wegmann. „Frühe Risikosignale, starke Identitätsprüfung, kontinuierliche Datenvalidierung, sichere Authentifizierung, KI-gestützte Betrugserkennung sowie die Sensibilisierung von Mitarbeitenden und Kunden müssen zusammen gedacht werden“.
Nach Angaben von Signicat sollten Unternehmen ihre BaFin- und GwG-konformen Onboarding-Prozesse daher um Maßnahmen erweitern, die den gesamten Lebenszyklus digitaler Identitäten absichern. Gleichzeitig empfiehlt das Unternehmen, KYC- und AML-Prozesse frühzeitig auf die ab dem 10. Juli 2027 geltende europäische Anti-Geldwäscheverordnung (AMLR) vorzubereiten. Dazu gehören unter anderem angepasste Identifizierungsverfahren, die Dokumentation von Risikobewertungen sowie die kontinuierliche Aktualisierung von Kundendaten.
KI und digitale Identitäten rücken stärker in den Fokus
Künstliche Intelligenz kann nach Auffassung von Signicat Bestandteil eines mehrschichtigen Betrugspräventionsmodells sein, indem sie Risikosignale erkennt, Muster bewertet und potenzielle Angriffe frühzeitig identifiziert.
Mit der EUDI-Wallet, dem Online-Ausweis und weiteren europäischen Vorgaben entstehen zugleich neue Rahmenbedingungen für vertrauenswürdige digitale Identitäten. Ihr Potenzial entfaltet sich nach Einschätzung des Unternehmens jedoch erst dann vollständig, wenn Identitätsnachweise, Identitätsprüfung und Authentifizierung durchgängig in die Prozesse über den gesamten Identitätslebenszyklus integriert werden.
Quelle: SignicatHier finden Sie weitere Informationen zur Signicat GmbH.
