Jetzt Mitglied werden
Compliance

„Betrugsrisiken sind durch Online-Legitimation gesunken“

Auch in einer Zeit, in der immer stärker auf Online-Legitimationsverfahren gesetzt wird, bedarf es professionell geschulter Ident-Spezialisten. Michael Sittek, Geschäftsführer von IDnow, berichtet von aktuellen Betrugsrisiken und den Möglichkeiten, welche die Video-Identifikation zu deren Bekämpfung bereithält. Interview: Philipp Scherber

Von Philipp Scherber - 28. April 2017

Michael Sittek ist seit 2014 Geschäftsführer bei IDnow. Der Diplom-Kaufmann arbeitete zuvor u.a. bei EuroCoin, wo er den Non-Cash-Bereich verantwortete. 2004 übernahm er eine der Tochtergesellschaften durch Management Buy-out. Nach dem Verkauf des Unternehmens begann er mit dem Aufbau von Amazon Payments Deutschland.

BANKINGNEWS: Welche Risiken im Bereich Legitimation und Authentifizierung können derzeit beobachtet werden?

Michael Sittek: Bei der Legitimation registrieren wir vor allem Teil- und Vollfälschungen, Ähnlichkeitsbetrug, Social Engineering und technische Angriffe. Fälschungen, bei denen echte Ausweise manipuliert oder Ausweisdokumente komplett neu erstellt werden, sind altbekannt und werden nur in überschaubarer Anzahl praktiziert. Beim Ähnlichkeitsbetrug wird der Ausweis einer ähnlich aussehenden Person verwendet. Auch hiervon gibt es nur wenige Fälle. Am weitesten verbreitet  ist Social Engineering: Hierbei wird eine echte Person unter Vorspiegelung falscher Tatsachen z.B. dazu gebracht, ein Bankkonto zu eröffnen. Die Zugangsdaten gehen dann direkt an den Betrüger. Und schließlich zielen einige technische Angriffsszenarien darauf ab, die Ausweisdaten oder den Gesichtsabgleich während des Ident-Vorgangs digital zu manipulieren. Diese Fälle treten bisher fast gar nicht auf. Ergänzend kommt bei der Authentifizierung das Ausspähen von Passwörtern hinzu, z.B. über Phishing.

Technologie plus Expertise

Wie haben sich die Betrugsrisiken durch den Einsatz der Online-Legitimation entwickelt?

Die analogen Betrugsversuche wurden über Jahrhunderte entwickelt und verfeinert, während es digitale Betrugsszenarien erst seit ein paar Jahren gibt. Die Betrugsrisiken sind durch den Einsatz der Online-Legitimation stark gesunken, weil es viel aufwändiger ist, die Software mit ihren Sicherheitsalgorithmen zu überlisten. In Kombination mit der menschlichen Expertise deckt die Video-Identifikation Betrugsversuche zuverlässig auf. Dabei werden Bilder von Ausweisdokument und Person angefertigt. Das scheuen Betrüger.

Ist es nicht einfacher, einem Video-Agenten einen gefälschten Ausweis „unterzuschieben“ als dem Mitarbeiter in der Postfiliale?

Nein, ganz im Gegenteil. Natürlich fällt bei der Video-Identifikation die haptische Komponente weg, während ein Postmitarbeiter den Ausweis zur Überprüfung in die Hand nehmen und künftig auf einen Ausweisscanner legen kann. Dafür setzen die Ident-Spezialisten bei der Video-Identifikation eine hochspezialisierte Software ein. Sie ist deutlich schwerer zu überlisten als das menschliche Auge und führt einen technischen Abgleich von Person und Ausweis durch.  Ergänzend haben die geschulten Ident-Spezialisten durch die täglichen Identifikationen sehr viel Erfahrung. Damit sind sie echte Profis darin, Betrugsversuche zu entlarven.

Wo liegen die Sicherheitsvorteile von Video-Ident im Vergleich zu anderen Verfahren?

Die Video-Identifikation erfüllt höchste, mit dem BSI abgestimmte Sicherheitsstandards. Diese hat die BaFin in ihrem aktuellen Rundschreiben von Anfang April gerade wieder bestätigt. Die Vorteile liegen im Zusammenspiel aus qualifizierten Ident-Spezialisten und innovativer Technologie. Die Ident-Spezialisten werden regelmäßig geschult und können etwa anhand psychologischer Fragestellungen Betrüger und Social-Hacking-Opfer erkennen. Auf technischer Seite setzen wir eine hochspezialisierte Software mit selbstbetriebener Video-Technologie ein, die so präzise ist, dass sie kleinste Abweichungen von der Norm erkennt. Sie überprüft etwa die Ausweisdaten automatisch auf Konsistenz und führt einen automatischen Gesichtsabgleich durch. Das kann natürlich keine normale Video-Chat-Software leisten. Wir sind deshalb froh, dass die BaFin kommerzielle Systeme wie z.B. Skype ab Mitte Juni ausdrücklich aus dem Ident-Prozess verbannt hat. Zusätzlich verwenden wir Blacklists gestohlener Ausweise und Datenbanken mit Hinweisen und Sicherheitsmerkmalen aller erlaubten Ausweisdokumente. In einem Review-Prozess kontrolliert ein weiterer Ident-Spezialist die Identifikation ergänzend nach dem Vier-Augen-Prinzip. Diese Sicherheitsvorteile lassen sich übrigens auch auf unser anderes Produkt, die elektronische Vertragsunterzeichnung übertragen. Denn mit der qualifizierten elektronischen Signatur (QES) werden handschriftliche Unterschriftenfälschungen, wie sie jahrhundertelang durchgeführt wurden, nahezu unmöglich.

Wird die menschliche Expertise durch Softwareeinsatz irgendwann obsolet?

Nicht unbedingt. Natürlich tritt die Softwarekomponente immer stärker in den Vordergrund, da sie ein effektives Mittel gegen Online-Betrugsversuche ist. Aber der Faktor Mensch bleibt dennoch ein entscheidender Bestandteil der Video-Identifikation – sowohl beim eigentlichen Ident-Vorgang als auch im Review-Prozess. So kann man beispielsweise nur durch Erfahrung und spezielle Fragestellungen herausfinden, ob eine Person überhaupt weiß, wofür sie sich identifiziert. Und schließlich ist es derzeit schon aufgrund der aktuellen Regelungen der BaFin nicht möglich, auf die menschliche Komponente in der Video-Identifikation zu verzichten. Die technische Komponente sorgt jedoch für eine Erhöhung des Sicherheitsniveaus, unterstützt den Menschen massiv und erleichtert ihm den Prozess der Identifikation.

Lesen Sie auch

Die besonderen Herausforderungen der GwG-Meldepflicht

Der § 43 GwG, die unverzügliche Meldepflicht von[…]

Thomas Seidel

Moral, MiFID II und Verletzungen beim Handball

Nachbericht zum Kongress COMPLIANCEforBANKS 2018

Tobias Schenkel

Ausgewählte Neuerungen zum Thema Auslagerungen in der 5. MaRisk-Novelle

Am 27. Oktober 2017 veröffentlichte die Bundesanstalt für[…]

Christian Gudat

Geschützt: Vorträge ComplianceForBanks 2018 (exklusiv für Mitglieder und Teilnehmer)

Es gibt keine Kurzfassung, da dies ein geschützter[…]

Redaktion

Der goldene Mittelweg im Spannungsfeld der Regularien

Eine der größten Herausforderungen und gleichzeitig wichtigsten Aufgaben[…]

Elfriede Jirges

Die Entourage von politisch exponierten Personen als Bankkunden

Banken müssen im Rahmen der Erfüllung ihrer gesetzlichen[…]

André Blum

Eine Revolution auf dem Markt für Identitätsprüfungen

In Zeiten der rasanten Digitalisierung können Banken und[…]

Uwe Stelzig

„APT10 greift vor allem Managed Service Provider an“

Seit etwa einem Jahr kam es vermehrt zu[…]

Philipp Scherber

Das Onlinebanking-Konto kann mehr als Zahlungen: Mit Smart Data Fraud-Risiken minimieren

Die Betrugsrisiken nehmen im Bankenumfeld weiter zu: Zahlreiche[…]

Martin Schmid

Der alte Mann und die Malware

Der Rückgang von Filialen sowie Gebühren für Überweisungen[…]

Daniel Fernandez

UK Bribery Act 2.0 – Erfahrungen im Umgang mit Geschäftspartnern

Seit Inkrafttreten des UK Bribery Act im Juli[…]

Johanna Duenser

Die Verschärfung des Korruptionsstrafrechts und die Auswirkungen auf Kreditinstitute

Die Verhinderung von Korruption war abseits der Schwerpunktthemen[…]

Fabian Malkoc

Der Regierungsentwurf zur Umsetzung der 4. Geldwäsche-Richtlinie der EU

Am 22. Februar 2017 legte die Bundesregierung ihren[…]

Indranil Ganguli

Cybercrime-Bedrohungen im Jahr 2017

Im vergangenen Jahr wurde Cybersicherheit im Rahmen zahlreicher[…]

Michael Hagebölling

Business Judgement Rule im Privatstiftungsrecht

Nach einer kürzlich ergangenen Entscheidung des Obersten Gerichtshofs[…]

Manfred Wieland

Deutsche Bank einigt sich mit amerikanischen Behörden

Die Deutsche Bank hat sich im Streit über[…]

Daniel Fernandez

Gemeinsam gegen Betrugsversuche

Ob manipulierte Unterlagen wie Gehaltsabrechnungen bei Kreditanträgen oder[…]

Stephan R. Peters

Fraud: der menschliche Faktor

Mit betrügerischen Handlungen beschäftigt man sich im geschäftlichen[…]

Michael Leuthner

Digitalisierung = Illegalisierung?

Eine Firewall zu überwinden, stellt heute für Geübte[…]

Christian Grosshardt

Hanns Feigen

Landgericht München, 25. April 2016, Verfahren gegen fünf[…]

Philipp Scherber

Wasch mich, aber mach mich nicht nass – Vol. 2

Es kommt nicht oft vor, dass eine Bank[…]

Thorsten Hahn

Quo vadis MiFID II? Anlegerschutz oder das Ende der Anlageberatung?

MiFID II wird auf Anfang 2018 verschoben, und[…]

Andreas Gehrke

Zwischen der Schulung und der Praxis liegt das Meer

Die Umsetzung von Schulungsinhalten kann Mitarbeiter vor Probleme[…]

Ronny Fuchs

„Willkommen beim Rudern“

MiFID II um ein Jahr verschoben. Aufatmen bei[…]

Philipp Scherber

Kosten- und Risikoreduzierung durch qualitativ hochwertige Kundendaten

Entity Resolution, also die Systematisierung, Verlinkung und Gruppierung[…]

Philipp Scherber

Das Ende der improvisierten IT

Immer, wenn Banken und Versicherungen versuchen, Anforderungen der[…]

Carsten Krah

Datensicherheit: Einfallstor Drucker

Cyberattacken gehören für Unternehmen mittlerweile zum Alltag. Umso[…]

Julian Achleitner

„IS-Terroristen nutzten Flüchtlings- konto zur Finanzierung der Attentate“

Die Schlagzeile ist fiktiv, doch das Risiko ist[…]

Carsten Lang

Weniger ist manchmal mehr

MiFID II steht in den Startlöchern und viele[…]

Christian Grosshardt

Compliance-Paranoia in deutschen Banken?

Eine Überlegung.

Julian Achleitner

Compliance-Vorschriften und Probleme mit der Datenaufbereitung?

Die Einhaltung regulatorischer Vorgaben wird immer komplexer. Die[…]

Chris Atkinson

Wir korrumpieren eine Welt, die uns nicht gehört.

Die Sonne ist nicht über uns. Wir werden[…]

Julian Achleitner

Des Kunden innigster Wunsch – Ein Diskurs im Elfenbeinturm

Die Chefetagen verschiedener Kreditinstitute beraten darüber, wie sie[…]

Christian Grosshardt

Geldwäscheprävention, ein reines Bankenthema?

Bei Geldwäsche denken die meisten Menschen sofort intuitiv[…]

Thomas Hensel

Datenweitergabe immer noch Grauzone

Vor gut zweieinhalb Jahren veröffentliche 3sat auf seiner[…]

Christian Grosshardt

Cyberattacke – planen Sie Ihre Kommunikationsstrategie vor dem Angriff

Anfang 2015 haben Hacker bis zu eine Milliarde[…]

Claudia Böhnert

„Der Schutz und die Sicherheit von Daten ist das wichtigste Kundeninteresse!“

Offen gestaltete Filialen sind keine Seltenheit mehr in[…]

Christian Grosshardt

Illegal geht auch digital

Bargeld hat derzeit nicht den allerbesten Ruf bei[…]

Julian Achleitner

Risikofaktor „Risikomodell“

Enterprise Governance Risc Compliance (EGRC) gehört zu den[…]

Carsten Krah

Fraud im internationalen Umfeld einer Privatbank

Der Schutz vor Wirtschaftskriminalität gewinnt auch für Privatbanken[…]

Ramon Schürer

Fraud ist aktueller denn je

Betrügerische Handlungen versursachen hohe Kosten, wobei die Folgekosten[…]

Thorsten Almoneit

Insidergeschäfte aufgeflogen

Pressemitteilungen sind Millionen Wert, sofern man sie zu[…]

Julian Achleitner

„Was soll ich von einer Firma halten, die sich nicht um Datenschutz kümmert?“

Die Angst ist omnipräsent. Doch vergessen viele dabei,[…]

Julian Achleitner

Standards und APIs verbessern Compliance und Sicherheit!

Viele FinTechs haben die großen Chancen und Möglichkeiten[…]

Jan Wendenburg

Compliance ist der Schlüssel – glauben oder sterben?!

Wir lieben die großen FinTechs wie Paypal, Klarna[…]

Jan Wendenburg

Für Joseph hat sich das Blatt gewendet

Der 27. Mai 2015 darf als historisches Datum[…]

Christian Grosshardt

Regulatorische Herausforderungen für Factoringinstitute

Einheitliche Implementierung der Compliance- und Geldwäschepräventionsfunktion unter Berücksichtigung[…]

Dr. Ramin Romus

Ein notwendiges Übel? Über die Wichtigkeit von Compliance

Am 21. und 22. April versammelten sich zum[…]

Christian Grosshardt

Die Chance auf eine bessere Kundenbeziehung

Das Beratungsprotokoll bedeutet ein Mehr an Bürokratie –[…]

Andreas Gehrke