„Betrugsrisiken sind durch Online-Legitimation gesunken“

Auch in einer Zeit, in der immer stärker auf Online-Legitimationsverfahren gesetzt wird, bedarf es professionell geschulter Ident-Spezialisten. Michael Sittek, Geschäftsführer von IDnow, berichtet von aktuellen Betrugsrisiken und den Möglichkeiten, welche die Video-Identifikation zu deren Bekämpfung bereithält. Interview: Philipp Scherber

Michael Sittek ist seit 2014 Geschäftsführer bei IDnow. Der Diplom-Kaufmann arbeitete zuvor u.a. bei EuroCoin, wo er den Non-Cash-Bereich verantwortete. 2004 übernahm er eine der Tochtergesellschaften durch Management Buy-out. Nach dem Verkauf des Unternehmens begann er mit dem Aufbau von Amazon Payments Deutschland.

BANKINGNEWS: Welche Risiken im Bereich Legitimation und Authentifizierung können derzeit beobachtet werden?

Michael Sittek: Bei der Legitimation registrieren wir vor allem Teil- und Vollfälschungen, Ähnlichkeitsbetrug, Social Engineering und technische Angriffe. Fälschungen, bei denen echte Ausweise manipuliert oder Ausweisdokumente komplett neu erstellt werden, sind altbekannt und werden nur in überschaubarer Anzahl praktiziert. Beim Ähnlichkeitsbetrug wird der Ausweis einer ähnlich aussehenden Person verwendet. Auch hiervon gibt es nur wenige Fälle. Am weitesten verbreitet  ist Social Engineering: Hierbei wird eine echte Person unter Vorspiegelung falscher Tatsachen z.B. dazu gebracht, ein Bankkonto zu eröffnen. Die Zugangsdaten gehen dann direkt an den Betrüger. Und schließlich zielen einige technische Angriffsszenarien darauf ab, die Ausweisdaten oder den Gesichtsabgleich während des Ident-Vorgangs digital zu manipulieren. Diese Fälle treten bisher fast gar nicht auf. Ergänzend kommt bei der Authentifizierung das Ausspähen von Passwörtern hinzu, z.B. über Phishing.

Technologie plus Expertise

Wie haben sich die Betrugsrisiken durch den Einsatz der Online-Legitimation entwickelt?

Die analogen Betrugsversuche wurden über Jahrhunderte entwickelt und verfeinert, während es digitale Betrugsszenarien erst seit ein paar Jahren gibt. Die Betrugsrisiken sind durch den Einsatz der Online-Legitimation stark gesunken, weil es viel aufwändiger ist, die Software mit ihren Sicherheitsalgorithmen zu überlisten. In Kombination mit der menschlichen Expertise deckt die Video-Identifikation Betrugsversuche zuverlässig auf. Dabei werden Bilder von Ausweisdokument und Person angefertigt. Das scheuen Betrüger.

Ist es nicht einfacher, einem Video-Agenten einen gefälschten Ausweis „unterzuschieben“ als dem Mitarbeiter in der Postfiliale?

Nein, ganz im Gegenteil. Natürlich fällt bei der Video-Identifikation die haptische Komponente weg, während ein Postmitarbeiter den Ausweis zur Überprüfung in die Hand nehmen und künftig auf einen Ausweisscanner legen kann. Dafür setzen die Ident-Spezialisten bei der Video-Identifikation eine hochspezialisierte Software ein. Sie ist deutlich schwerer zu überlisten als das menschliche Auge und führt einen technischen Abgleich von Person und Ausweis durch.  Ergänzend haben die geschulten Ident-Spezialisten durch die täglichen Identifikationen sehr viel Erfahrung. Damit sind sie echte Profis darin, Betrugsversuche zu entlarven.

Wo liegen die Sicherheitsvorteile von Video-Ident im Vergleich zu anderen Verfahren?

Die Video-Identifikation erfüllt höchste, mit dem BSI abgestimmte Sicherheitsstandards. Diese hat die BaFin in ihrem aktuellen Rundschreiben von Anfang April gerade wieder bestätigt. Die Vorteile liegen im Zusammenspiel aus qualifizierten Ident-Spezialisten und innovativer Technologie. Die Ident-Spezialisten werden regelmäßig geschult und können etwa anhand psychologischer Fragestellungen Betrüger und Social-Hacking-Opfer erkennen. Auf technischer Seite setzen wir eine hochspezialisierte Software mit selbstbetriebener Video-Technologie ein, die so präzise ist, dass sie kleinste Abweichungen von der Norm erkennt. Sie überprüft etwa die Ausweisdaten automatisch auf Konsistenz und führt einen automatischen Gesichtsabgleich durch. Das kann natürlich keine normale Video-Chat-Software leisten. Wir sind deshalb froh, dass die BaFin kommerzielle Systeme wie z.B. Skype ab Mitte Juni ausdrücklich aus dem Ident-Prozess verbannt hat. Zusätzlich verwenden wir Blacklists gestohlener Ausweise und Datenbanken mit Hinweisen und Sicherheitsmerkmalen aller erlaubten Ausweisdokumente. In einem Review-Prozess kontrolliert ein weiterer Ident-Spezialist die Identifikation ergänzend nach dem Vier-Augen-Prinzip. Diese Sicherheitsvorteile lassen sich übrigens auch auf unser anderes Produkt, die elektronische Vertragsunterzeichnung übertragen. Denn mit der qualifizierten elektronischen Signatur (QES) werden handschriftliche Unterschriftenfälschungen, wie sie jahrhundertelang durchgeführt wurden, nahezu unmöglich.

Wird die menschliche Expertise durch Softwareeinsatz irgendwann obsolet?

Nicht unbedingt. Natürlich tritt die Softwarekomponente immer stärker in den Vordergrund, da sie ein effektives Mittel gegen Online-Betrugsversuche ist. Aber der Faktor Mensch bleibt dennoch ein entscheidender Bestandteil der Video-Identifikation – sowohl beim eigentlichen Ident-Vorgang als auch im Review-Prozess. So kann man beispielsweise nur durch Erfahrung und spezielle Fragestellungen herausfinden, ob eine Person überhaupt weiß, wofür sie sich identifiziert. Und schließlich ist es derzeit schon aufgrund der aktuellen Regelungen der BaFin nicht möglich, auf die menschliche Komponente in der Video-Identifikation zu verzichten. Die technische Komponente sorgt jedoch für eine Erhöhung des Sicherheitsniveaus, unterstützt den Menschen massiv und erleichtert ihm den Prozess der Identifikation.

TEILEN
Vorheriger ArtikelOxfords oder Budapester?
Nächster ArtikelGIROMATCH
Philipp Scherber, Jahrgang 1987, ist seit Januar 2016 Redakteur bei BANKINGNEWS. Während seines Studiums der Geschichte und Medienwissenschaft, das er mit dem Master of Arts abschloss, sammelte er praktische Erfahrungen im TV- und Online-Journalismus. An der Universität zu Köln verantwortete er von 2012 bis 2016 das Online-Rezensionsjournal www.lesepunkte.de.

5 KOMMENTARE

  1. Also ich bin nicht sonderlich überzeugt – ich identifiziere mich, aber wie schaut es andersrum aus? Identitäten sind mehr wert als ein mancher Mensch denkt – und daher können sie gestohlen und missbraucht werden. Hier wird das in meinen Augen vereinfacht.

  2. Hallo Frau Klingel,

    Ihre Skepsis ist verständlich, da Datenmissbrauch (online wie offline) generell ein hohes Risiko darstellt. Aus diesem Grund gibt es für alle an der Online-Identifizierung beteiligten Firmen sowie einzelne Personen hohe Auflagen zum Umgang mit persönlichen Daten. Die eingesetzte Technik bietet darüber hinaus einen sehr hohen Schutz, sei es etwa bei der Datenübertragung, verarbeitung oder der Datenerhebung. Insofern besteht bei der Online-Identifizierung speziell in Deutschland ein sehr hohes Sicherheitsniveau, das Ihre Daten bestmöglich schützt.

    Konkrete Sicherheitsmaßnahmen bei der Handhabung des Verfahrens finden Sie in dem aktuellen BaFin-Rundschreiben: https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Rundschreiben/2017/rs_1703_gw_videoident.html

    Viele Grüße

    Danielle Rietsch

    • Hallo Frau Rietsch,

      vielen Dank für Ihre schnelle Antwort – allerdings haben Sie mich falsch verstanden, die Auflagen sind mir bekannt. Viel eher geht es um diejenige Person, der eine Identität zukommt. Sicher, großen Firmennaen traut man schnell – aber im Zeitalter der Digitalisierung und Dezentralisierung des Arbeitsmarktes kann an auch schnell an kleine Firmen oder Arbeitsvermittler geraten. Ein aktuell nicht unbekanntes Problem – Identitätsklau durch angebliche private Arbeitsvermittler. Via IDNow sind mir persönlich Fälle bekannt, wo es hier zum Identitätsklau kam. Auf die nachfrage hin, ob der Geschäftskunde sich denn selbst sicher ausweisen konnte betretenes Schweigen. Da läuft doch etwas falsch.

      Liebe Grüße,

      D. Klingel

  3. Hallo Frau Klingel,

    unsere Business-Kunden sind in erster Linie Unternehmen, die nach dem Geldwäschegesetz dazu verpflichtet sind, ihre Kunden entsprechend zu legitimieren, wie Banken und Finanzdienstleister. Selbstverständlich überprüfen wir den jeweiligen Kunden, bevor wir unseren Service live schalten. Unsere Kunden unterliegen nicht nur dem Geldwäschegesetz, sondern auch dem strengen deutschen Datenschutzgesetz. Und wie bereits erwähnt, sorgen wir für ein extrem hohes Sicherheitsniveau, um die Übertragung und Speicherung der Daten zu schützen. Sollte bekannt werden, dass ein Unternehmen mit den Daten, die wir übermitteln, Missbrauch treibt, sehen wir uns gezwungen, die Zusammenarbeit zu beenden.

    Sie schreiben, dass Sie bei IDnow nachgefragt haben, ob sich ein bestimmter Geschäftskunde ausweisen konnte. Da wir diese Kontaktaufnahme in Ihrem Fall nicht nachvollziehen können, treten Sie gerne nochmals mit uns direkt in Kontakt, um diesen konkreten Fall aufzuklären: http://www.idnow.de/unternehmen/kontakt/b2c/

    Beste Grüße
    Claudia Grzelke

  4. Komisch, den crimenetwork kiddies im darknet scheint das so „sichere“ Video Identverfahren NULL Probleme zu bereiten, weiterhin täglich Bankkonten für kriminelle Machenschaften zu eröffnen.
    In den Untergrund-Foren werden extra mit Videoident eröffnete sog. BANKDROPS angeboten wie warme Semmeln.

HINTERLASSEN SIE EINE ANTWORT

Please enter your comment!
Please enter your name here

*

code