,

„Betrugsrisiken sind durch Online-Legitimation gesunken“

Auch in einer Zeit, in der immer stärker auf Online-Legitimationsverfahren gesetzt wird, bedarf es professionell geschulter Ident-Spezialisten. Michael Sittek, Geschäftsführer von IDnow, berichtet von aktuellen Betrugsrisiken und den Möglichkeiten, welche die Video-Identifikation zu deren Bekämpfung bereithält. Interview: Philipp Scherber


Michael Sittek ist seit 2014 Geschäftsführer bei IDnow. Der Diplom-Kaufmann arbeitete zuvor u.a. bei EuroCoin, wo er den Non-Cash-Bereich verantwortete. 2004 übernahm er eine der Tochtergesellschaften durch Management Buy-out. Nach dem Verkauf des Unternehmens begann er mit dem Aufbau von Amazon Payments Deutschland.

BANKINGNEWS: Welche Risiken im Bereich Legitimation und Authentifizierung können derzeit beobachtet werden?

Michael Sittek: Bei der Legitimation registrieren wir vor allem Teil- und Vollfälschungen, Ähnlichkeitsbetrug, Social Engineering und technische Angriffe. Fälschungen, bei denen echte Ausweise manipuliert oder Ausweisdokumente komplett neu erstellt werden, sind altbekannt und werden nur in überschaubarer Anzahl praktiziert. Beim Ähnlichkeitsbetrug wird der Ausweis einer ähnlich aussehenden Person verwendet. Auch hiervon gibt es nur wenige Fälle. Am weitesten verbreitet  ist Social Engineering: Hierbei wird eine echte Person unter Vorspiegelung falscher Tatsachen z.B. dazu gebracht, ein Bankkonto zu eröffnen. Die Zugangsdaten gehen dann direkt an den Betrüger. Und schließlich zielen einige technische Angriffsszenarien darauf ab, die Ausweisdaten oder den Gesichtsabgleich während des Ident-Vorgangs digital zu manipulieren. Diese Fälle treten bisher fast gar nicht auf. Ergänzend kommt bei der Authentifizierung das Ausspähen von Passwörtern hinzu, z.B. über Phishing.

Technologie plus Expertise

Wie haben sich die Betrugsrisiken durch den Einsatz der Online-Legitimation entwickelt?

Die analogen Betrugsversuche wurden über Jahrhunderte entwickelt und verfeinert, während es digitale Betrugsszenarien erst seit ein paar Jahren gibt. Die Betrugsrisiken sind durch den Einsatz der Online-Legitimation stark gesunken, weil es viel aufwändiger ist, die Software mit ihren Sicherheitsalgorithmen zu überlisten. In Kombination mit der menschlichen Expertise deckt die Video-Identifikation Betrugsversuche zuverlässig auf. Dabei werden Bilder von Ausweisdokument und Person angefertigt. Das scheuen Betrüger.

Ist es nicht einfacher, einem Video-Agenten einen gefälschten Ausweis „unterzuschieben“ als dem Mitarbeiter in der Postfiliale?

Nein, ganz im Gegenteil. Natürlich fällt bei der Video-Identifikation die haptische Komponente weg, während ein Postmitarbeiter den Ausweis zur Überprüfung in die Hand nehmen und künftig auf einen Ausweisscanner legen kann. Dafür setzen die Ident-Spezialisten bei der Video-Identifikation eine hochspezialisierte Software ein. Sie ist deutlich schwerer zu überlisten als das menschliche Auge und führt einen technischen Abgleich von Person und Ausweis durch.  Ergänzend haben die geschulten Ident-Spezialisten durch die täglichen Identifikationen sehr viel Erfahrung. Damit sind sie echte Profis darin, Betrugsversuche zu entlarven.

Wo liegen die Sicherheitsvorteile von Video-Ident im Vergleich zu anderen Verfahren?

Die Video-Identifikation erfüllt höchste, mit dem BSI abgestimmte Sicherheitsstandards. Diese hat die BaFin in ihrem aktuellen Rundschreiben von Anfang April gerade wieder bestätigt. Die Vorteile liegen im Zusammenspiel aus qualifizierten Ident-Spezialisten und innovativer Technologie. Die Ident-Spezialisten werden regelmäßig geschult und können etwa anhand psychologischer Fragestellungen Betrüger und Social-Hacking-Opfer erkennen. Auf technischer Seite setzen wir eine hochspezialisierte Software mit selbstbetriebener Video-Technologie ein, die so präzise ist, dass sie kleinste Abweichungen von der Norm erkennt. Sie überprüft etwa die Ausweisdaten automatisch auf Konsistenz und führt einen automatischen Gesichtsabgleich durch. Das kann natürlich keine normale Video-Chat-Software leisten. Wir sind deshalb froh, dass die BaFin kommerzielle Systeme wie z.B. Skype ab Mitte Juni ausdrücklich aus dem Ident-Prozess verbannt hat. Zusätzlich verwenden wir Blacklists gestohlener Ausweise und Datenbanken mit Hinweisen und Sicherheitsmerkmalen aller erlaubten Ausweisdokumente. In einem Review-Prozess kontrolliert ein weiterer Ident-Spezialist die Identifikation ergänzend nach dem Vier-Augen-Prinzip. Diese Sicherheitsvorteile lassen sich übrigens auch auf unser anderes Produkt, die elektronische Vertragsunterzeichnung übertragen. Denn mit der qualifizierten elektronischen Signatur (QES) werden handschriftliche Unterschriftenfälschungen, wie sie jahrhundertelang durchgeführt wurden, nahezu unmöglich.

Wird die menschliche Expertise durch Softwareeinsatz irgendwann obsolet?

Nicht unbedingt. Natürlich tritt die Softwarekomponente immer stärker in den Vordergrund, da sie ein effektives Mittel gegen Online-Betrugsversuche ist. Aber der Faktor Mensch bleibt dennoch ein entscheidender Bestandteil der Video-Identifikation – sowohl beim eigentlichen Ident-Vorgang als auch im Review-Prozess. So kann man beispielsweise nur durch Erfahrung und spezielle Fragestellungen herausfinden, ob eine Person überhaupt weiß, wofür sie sich identifiziert. Und schließlich ist es derzeit schon aufgrund der aktuellen Regelungen der BaFin nicht möglich, auf die menschliche Komponente in der Video-Identifikation zu verzichten. Die technische Komponente sorgt jedoch für eine Erhöhung des Sicherheitsniveaus, unterstützt den Menschen massiv und erleichtert ihm den Prozess der Identifikation.