Die digitale Identitätsprüfung ist heute eines der Schlüsselelemente des digitalen Kunden-Onboardings in Branchen wie Banken, Fintech, Telekommunikation, Leasing oder Versicherungen. Sie bildet außerdem die Grundlage für den Prozess der Fernbeantragung qualifizierter elektronischer Signaturen. Dies ist ein besonders sensibler Bereich, da jeder Fehler im Prozess nicht nur zu finanziellen Verlusten, sondern auch zu rechtlichen oder reputationsbezogenen Risiken für ein Unternehmen oder einen einzelnen Nutzer führen kann. Daher sind die Sicherheit des Prozesses und des zugrunde liegenden Systems von entscheidender Bedeutung.
Bei SIGNIUS arbeiten wir mit IDnow zusammen, Europas führendem Anbieter für digitale Identität und Betrugsprävention. Die KI-gestützte, eIDAS-konforme Verifikationstechnologie bildet die Identitätsebene hinter unserer Dokumentensignaturplattform und stellt sicher, dass jede Signatur durch eine verifizierte, vertrauenswürdige Identität abgesichert ist.
In diesem Artikel stellen wir die wichtigsten Aspekte der Sicherheit des Onboarding-Prozesses und des Datenschutzes bei der automatisierten Identitätsprüfungsmethode vor, die auf unserer Plattform verwendet wird und sowohl biometrische Prüfungen als auch die Dokumentenverifikation umfasst.
Der Artikel wurde in Zusammenarbeit mit unserem Partner für Identitätsprüfung, IDnow, erstellt.
Maximale Sicherheit und positive Benutzererfahrung
Zu Beginn ist hervorzuheben, dass die automatisierte Identitätsprüfungslösung von IDnow entwickelt wurde, um zwei Ziele miteinander zu vereinen: maximale Sicherheit und eine positive Benutzererfahrung. Die Grundlage dieses Ansatzes bildet eine mehrschichtige Sicherheitsarchitektur, die den gesamten Prozess schützt – von der Dokumentenprüfung und Biometrie bis hin zum Datenschutz nach Abschluss der Verifikation.
Ein mehrschichtiger Sicherheitsansatz
Die Sicherheit bei der Fernidentitätsprüfung von IDnow basiert nicht auf einem einzelnen Mechanismus, sondern auf einer Kombination mehrerer Ebenen, die jeweils unterschiedliche Bedrohungsarten adressieren. Dadurch schützen die übrigen Ebenen den Prozess weiterhin, selbst wenn eine Schicht versagen sollte.
„Unsere automatisierte Identitätsprüfungslösung verlässt sich nicht auf eine einzelne Prüfung – sie kombiniert Dokumentenforensik, biometrische Lebenderkennung, Chip-Authentifizierung und die Erkennung von Injection-Angriffen, um jede Tür zu schließen, die Betrüger zu öffnen versuchen könnten“, kommentiert Christoph Bruetting, Director of Product bei IDnow.
Verifizierung von Identitätsdokumenten
Der erste und grundlegende Schritt ist die Analyse des Identitätsdokuments. Das System liest nicht nur die Daten aus, sondern führt eine mehrstufige Echtheitsprüfung durch, darunter:
- Identifizierung des Dokumententyps (z. B. Personalausweis, Reisepass),
- Auslesen der MRZ (Machine Readable Zone) mittels OCR,
- Überprüfung von Ablaufdaten und Datenintegrität anhand von Prüfsummen.
Dadurch können grundlegende Betrugsversuche erkannt werden, wie etwa abgelaufene oder gefälschte Dokumente. Die Lösung erkennt auch Betrugsversuche, bei denen ein Foto eines Dokuments auf einem Handybildschirm gezeigt oder eine gedruckte Kopie anstelle des Originaldokuments verwendet wird.
Dynamische Analyse
Ein statisches Bild eines Dokuments reicht nicht aus, um dessen Echtheit zu bestätigen. Deshalb nutzt die Lösung eine Echtzeit-Videoanalyse. Der Nutzer wird gebeten, das Dokument leicht zu kippen, wodurch Elemente erkannt werden können, die nur in Bewegung sichtbar sind, wie Hologramme oder optisch variable Tinten. Dies ist ein entscheidender Schutzmechanismus, da solche Merkmale bei gefälschten Dokumenten äußerst schwer nachzubilden sind.
Kryptografische Chip-Verifizierung
Bei modernen elektronischen Dokumenten (E-Reisepässe, elektronische Personalausweise) wird das höchste Sicherheitsniveau durch einen kryptografischen Chip gewährleistet. Die Identitätsprüfungslösung von IDnow überprüft den Chip aus verschiedenen Perspektiven und sorgt damit für das höchstmögliche Vertrauen in die Echtheit des Dokuments. Das Fälschen des Chips ohne Zugriff auf den privaten Schlüssel des ausstellenden Landes ist praktisch unmöglich.
Biometrie und Lebenderkennung
Selbst wenn das Dokument echt ist, muss dennoch sichergestellt werden, dass die Person, die es verwendet, auch dessen rechtmäßiger Besitzer ist. Daher verwendet das System Gesichtsabgleich (Selfie vs. Dokument) und biometrische Analyse. Ein zentrales Element hierbei ist die Lebenderkennung. Das System analysiert ein kurzes Video (weniger als 2 Sekunden), um zu überprüfen, ob sich eine reale Person vor der Kamera befindet und nicht etwa ein Foto, eine 3D-Maske, eine Videoaufnahme oder ein Deepfake. Im Zeitalter generativer KI ist dieses Element zu einem der wichtigsten Schutzmechanismen im gesamten KYC-Prozess geworden.
Menschliche Qualitätskontrolle in Grenzfällen
Die Lösung von IDnow berücksichtigt auch Situationen, in denen eine menschliche Bewertung erforderlich ist. In Grenzfällen wird eine manuelle Verifikation durch geschulte Spezialisten durchgeführt. Darüber hinaus erfolgt eine Qualitätsbewertung abgeschlossener Verifikationen. Dadurch wird ein Gleichgewicht zwischen Automatisierung und kontextbezogenen Faktoren sichergestellt, die ein Algorithmus möglicherweise nicht erfassen kann.
Datenschutz nach der Identitätsprüfung
Die Sicherheit endet nicht mit der Identitätsprüfung. Ebenso wichtig ist, was anschließend mit den Daten geschieht. Die Lösung von IDnow basiert auf verschiedenen Säulen des Datenschutzes, darunter:
- Verschlüsselung der Daten während der Übertragung,
- Verschlüsselung der Daten im Ruhezustand,
- eine Infrastruktur auf Basis von zwei Rechenzentren im Active-Active-Modus,
- vollständige Speicherung der Daten innerhalb der Europäischen Union,
- vollständige Kontrolle des Datenzugriffs (Prinzip der geringsten Rechte, verpflichtende Zwei-Faktor-Authentifizierung (2FA) sowie das „Vier-Augen-Prinzip“ bei administrativen Vorgängen).
„Alle Identifikationsdaten werden innerhalb der Europäischen Union gespeichert. IDnow verwendet ausschließlich zertifizierte Hosting-Anbieter, die Branchenstandards und EU-Vorschriften entsprechen“, sagt Christoph Bruetting, Director of Product bei IDnow.
Datenspeicherung
Die Frage der Datenspeicherung nach der Identitätsprüfung ist von großer Bedeutung. Entscheidend ist, dass Identifikationsdaten nicht unbegrenzt gespeichert werden. Der standardmäßige Datenlebenszyklus umfasst:
- 60 Tage Speicherung der Produktionsdaten,
- 30 Tage für Backups.
Zertifizierung
Das Niveau der Sicherheit und des Datenschutzes der Lösung von IDnow wird unabhängig durch international anerkannte Zertifikate, externe Audits und kontinuierliche Testprogramme bestätigt. Dadurch erhalten Kunden eine objektive und unabhängige Bestätigung der Sicherheitsstandards der Identitätsprüfung von IDnow.
Das System erfüllt Anforderungen wie:
- ISO 27001,
- ISAE 3402,
- DSGVO.
Penetrationstests und Schwachstellen-Scans
Penetrationstests werden jährlich von qualifizierten externen Sicherheitsspezialisten durchgeführt. Diese Tests simulieren reale Angriffsszenarien, um Schwachstellen zu identifizieren, bevor sie ausgenutzt werden können.
Darüber hinaus werden vierteljährliche Schwachstellen-Scans für alle externen IP-Adressen durchgeführt, wodurch eine kontinuierliche Überwachung der öffentlich zugänglichen Angriffsfläche gewährleistet wird.
Zusammenfassung
Die automatisierte online Identitätsprüfung von IDnow ist ein komplexes Sicherheitsökosystem, in dem jedes Element eine unterschiedliche, aber wichtige Rolle spielt.
Die Stärke des Ansatzes von IDnow liegt darin, dass er sich nicht auf einen einzelnen Datenschutzmechanismus verlässt, sondern auf ein mehrschichtiges System zur Betrugsresistenz, das KI, Kryptografie, Biometrie und menschliche Kontrolle kombiniert.
Dadurch ist der Identitätsprüfungsprozess von IDnow sowohl schnell und benutzerfreundlich als auch sicher und widerstandsfähig gegenüber modernen Formen des Cyberbetrugs – von einfachen Fälschungen bis hin zu fortgeschrittenen Angriffen auf Basis künstlicher Intelligenz. Dank Verschlüsselung, strenger Zugriffskontrollen und regulatorischer Compliance bleiben die Nutzerdaten in jeder Phase ihres Lebenszyklus sicher.
