In einer Zeit, in der die digitale Kommunikation und der Online-Handel rapide zunehmen, ist es von größter Wichtigkeit, mittels Identitätsprüfung/Identitätscheck (auch geläufig unter KYC-Check) die Identität von Personen zu verifizieren.
Dieser Glossarartikel wird die verschiedenen Aspekte der Identitätsprüfung beleuchten und die Bedeutung dieses Prozesses erörtern.
ToC – Identitätsprüfung
Was versteht man unter Identitätsprüfung?
Kurz gesagt: Die Identitätsprüfung bzw. der Identitätscheck gewährleistet, dass eine tatsächlich existierende Person, die den Vorgang der Verifizierung der Identität durchführt und bestätigt, dass sie die ist, für die sie sich ausgibt.
Anderes herum gesagt: Durch Identitätsprüfungen wird verhindert, dass jemand unbefugt im Namen einer anderen Person handelt indem der/die zu identifizierende Person die Identität einer anderen (existierenden oder fiktiven Person) annimmt, um z. B. illegale Praktiken wie z. B. Geldwäsche zu forcieren.
Was wird bei einer Identitätsprüfung gemacht?
Bei einer Identitätsprüfung wird eine Reihe von Schritten und Maßnahmen durchgeführt, um sicherzustellen, dass eine Person tatsächlich die ist, für die sie sich ausgibt. Die genauen Verfahren und Methoden können je nach Kontext und den geltenden Gesetzen und Vorschriften variieren. Hier sind die typischen Schritte, die bei einer Identitätsprüfung durchgeführt werden:
- Überprüfung von Dokumenten: In vielen Fällen werden offizielle Identifikationsdokumente überprüft, wie Personalausweise, Reisepässe, Führerscheine oder andere behördlich ausgestellte Dokumente. Der Prüfer vergleicht die auf dem Dokument angegebenen Informationen (z. B. Name, Geburtsdatum, Foto) mit den Angaben der Person, die überprüft wird.
- Biometrische Daten: In einigen Fällen werden biometrische Merkmale überprüft, wie Fingerabdrücke, Gesichtserkennung oder Iris-Scans. Diese Methoden sind besonders sicher, da sie eindeutige körperliche Merkmale einer Person verwenden.
- Abgleich mit Datenbanken: In bestimmten Situationen, wie bei Grenzkontrollen oder in der Strafverfolgung, wird die Identität einer Person mit Datenbanken abgeglichen, um festzustellen, ob sie auf Fahndungslisten steht oder besondere Einschränkungen hat.
- Kontakt mit der ausstellenden Behörde: Bei der Überprüfung von Ausweisdokumenten kann es vorkommen, dass die ausstellende Behörde kontaktiert wird, um die Echtheit des Dokuments zu bestätigen.
- Online-Verifikation: In der digitalen Welt können Identitätsprüfungen online durchgeführt werden, indem Benutzerdaten mit elektronischen Datenbanken abgeglichen werden.
- Persönliche Interviews: In einigen Fällen kann eine persönliche Befragung oder ein Interview durchgeführt werden, um zusätzliche Identitätsnachweise zu sammeln oder Unstimmigkeiten zu klären.
- Schriftliche Bestätigung: In bestimmten rechtlichen oder finanziellen Transaktionen kann eine schriftliche Bestätigung der Identität erforderlich sein, die von einem Notar oder einer anderen autorisierten Person ausgestellt wird.
- Sicherheitsmerkmale überprüfen: Bei der Überprüfung von Dokumenten werden auch Sicherheitsmerkmale wie Wasserzeichen, Hologramme und spezielle Drucktechniken geprüft, um Fälschungen zu erkennen.
Die genauen Schritte und Verfahren hängen von der Art der Identitätsprüfung und den gesetzlichen Anforderungen ab. Die Identitätsprüfung dient dazu, die Sicherheit und Integrität von Transaktionen und Interaktionen zu gewährleisten und gleichzeitig Identitätsdiebstahl und Betrug zu verhindern.
Was zählt alles als Identitätsnachweis?
Es gibt verschiedene Arten von Dokumenten und Methoden, die als Identitätsnachweis akzeptiert werden können, je nach dem Kontext und den Anforderungen der jeweiligen Organisation oder Behörde. Hier sind einige gängige Formen von Identitätsnachweisen:
- Personalausweis: Der Personalausweis ist ein häufig akzeptierter Identitätsnachweis und enthält typischerweise Informationen wie den Namen der Person, das Geburtsdatum, ein Foto und eine Unterschrift.
- Reisepass: Der Reisepass ist ein international anerkannter Identitätsnachweis und enthält Angaben zur Identität der Person sowie Informationen zur Staatsangehörigkeit.
- Führerschein: Der Führerschein wird oft als Identitätsnachweis akzeptiert und enthält den Namen, ein Foto und gelegentlich das Geburtsdatum der Person.
- Geburtsurkunde: Die Geburtsurkunde ist ein Dokument, das die Geburt einer Person bescheinigt und oft zur Identitätsprüfung verwendet wird.
- Sozialversicherungsausweis: In einigen Ländern wird der Sozialversicherungsausweis als Identitätsnachweis für soziale und behördliche Zwecke akzeptiert.
- Staatsbürgerschaftsnachweis: Der Nachweis der Staatsbürgerschaft wird oft verlangt, um die Identität und die rechtliche Zugehörigkeit zu einem bestimmten Land zu bestätigen.
- Biometrische Merkmale: Biometrische Identifikationsmethoden wie Fingerabdrücke, Gesichtserkennung oder Iris-Scans werden in einigen Fällen verwendet, um die Identität einer Person zu überprüfen.
- Online-Identifikationsdienste: In der digitalen Welt werden Online-Identifikationsdienste und -verfahren verwendet, um die Identität von Benutzern in Online-Umgebungen zu überprüfen. Dies kann die Verwendung von Benutzername und Passwort, Zwei-Faktor-Authentifizierung oder biometrischen Daten umfassen.
- Arbeitgeberausweis: Ein Arbeitgeberausweis kann zur Identitätsprüfung verwendet werden, insbesondere in geschäftlichen oder beruflichen Kontexten.
- Notarielle Beglaubigung: Ein notariell beglaubigtes Dokument, das von einem Notar ausgestellt wurde, kann zur Bestätigung der Identität und der Authentizität von Unterschriften verwendet werden.
- Studentenausweis: In Bildungseinrichtungen kann der Studentenausweis als Identitätsnachweis dienen.
- Gesundheitskarte: In einigen Ländern werden Gesundheitskarten als Identitätsnachweis im Gesundheitswesen verwendet.
Es ist wichtig zu beachten, dass die Akzeptanz eines bestimmten Identitätsnachweises von den jeweiligen Anforderungen und den geltenden Gesetzen und Vorschriften abhängt. In bestimmten Situationen können auch mehrere Identitätsnachweise erforderlich sein, um die Identität einer Person zu bestätigen.
Warum ist Identitätsprüfung wichtig?
Identitätsprüfung ist ein wesentlicher Bestandteil und gleichzeitig Voraussetzung für die erfolgreiche Durchführung vieler Online- und Offline-Prozesse und Verfahren und kommt in zahlreichen Anwendungsfällen vor, angefangen bei der Eröffnung eines Bankkontos bis hin zum Online-Antrag von Krediten.
Hier sind sieben Bereiche, in denen die Wichtigkeit von Identitätsprüfungen besonders zum Tragen kommen:
- Rechtliche Compliance: In vielen Ländern und Branchen gibt es rechtliche Vorschriften, die die Identitätsprüfung vorschreiben, um Geldwäsche, Betrug und andere illegale Aktivitäten zu bekämpfen. Unternehmen und Organisationen müssen diese Vorschriften einhalten, um Strafen zu vermeiden.
- Schutz von Minderjährigen: Die Überprüfung der Identität kann dazu beitragen, sicherzustellen, dass Minderjährige keinen Zugang zu bestimmten Diensten oder Inhalten haben, die für ihre Altersgruppe ungeeignet sind, wie beispielsweise Glücksspiel oder Alkoholkäufe.
- Verhinderung von Identitätsdiebstahl und Betrug: Die Identitätsprüfung schützt Einzelpersonen vor Identitätsdiebstahl, indem sie sicherstellt, dass niemand in ihrem Namen betrügerische Aktivitäten ausführt.
- Schutz von Daten: In Unternehmen, Regierungsbehörden und Organisationen wird die Identitätsprüfung oft verwendet, um sicherzustellen, dass nur autorisierte Mitarbeiter auf bestimmte Ressourcen und Daten zugreifen können. Dies ist entscheidend, um Datenschutzbestimmungen und -richtlinien einzuhalten.
- Finanzielle Transaktionen: Bei Finanzdienstleistungen ist die Identitätsprüfung entscheidend, um sicherzustellen, dass Geldtransaktionen von autorisierten Personen durchgeführt werden und um Betrug zu verhindern.
- Schutz vor Cyberkriminalität: In der Online-Welt hilft die Identitätsprüfung, Cyberkriminalität zu bekämpfen, indem sie sicherstellt, dass Benutzerkonten nicht von unbefugten Personen übernommen werden.
- Ausschluss von Politisch Exponierten Personen, Personen auf Sanktionslisten oder Personen auf dem Glücksspiel-Ausschlussregister von wichtigen Geschäftstätigkeiten wie z. B. der Eröffnung eines Bankkontos oder Online-Glücksspiel-Accounts.
Welche Arten der Identitätsprüfung und Ident Verfahren gibt es?
Es gibt verschiedene Methoden der Identitätsprüfung bzw. Ident Verfahren, die je nach Anforderungen und Einsatzbereich verwendet werden. Hier sind einige der gängigsten Methoden und eine kurze Beschreibung, wie die verschiedenen Arten der Identitätsprüfung in der Praxis funktionieren:
1. Passwörter und PINs
Passwörter und persönliche Identifikationsnummern (PINs) sind weit verbreitete Methoden zur Identitätsprüfung. Benutzer müssen sich mit einem geheimen Passwort oder einer PIN authentifizieren, um auf ihre Konten oder Geräte zuzugreifen.
2. Biometrische Verfahren
Biometrische Verfahren wie Fingerabdruckerkennung, Gesichtserkennung und Iris-Scan werden immer häufiger eingesetzt. Diese Methoden bieten eine hohe Sicherheit, da sie auf einzigartigen physischen Merkmalen basieren.
3. Zwei-Faktor-Authentifizierung (2FA)
Die Zwei-Faktor-Authentifizierung erfordert zwei verschiedene Arten der Identitätsprüfung, normalerweise etwas, das der Benutzer weiß (z. B. Passwort) und etwas, das der Benutzer besitzt (z. B. ein Mobilgerät). Dies erhöht die Sicherheit erheblich.
4. Überprüfung von Dokumenten
Die im KYC-Check einer Online-Identitätsprüfung vorgelegten Dokumente wie Reisepass, Personalausweis oder Führerschein werden sorgfältig auf Echtheit, Gültigkeit und Übereinstimmung mit den gemachten Angaben zur eigenen Person überprüft. Dies kann durch visuelle Inspektion der Dokumente und/oder durch den Einsatz von Technologien wie OCR (Optical Character Recognition) erfolgen, um die Informationen aus den Dokumenten zu extrahieren.
5. Hardware-basierte Methoden
Hardware-basierte Methoden zur Identitätsüberprüfung beziehen sich auf Technologien und Geräte, die physische Hardwarekomponenten verwenden, um die Identität einer Person zu überprüfen. Diese Methoden bieten in der Regel zusätzliche Sicherheit und Authentifizierung, da sie schwer zu fälschen sind. Hier sind einige gängige hardwarebasierte Methoden zur Identitätsprüfung:
- Smartcards: Smartcards sind physische Karten, die einen eingebetteten Mikrochip enthalten. Sie können für verschiedene Identitätszwecke verwendet werden, wie z.B. Zugangskontrolle, Zahlungen oder digitale Signatur. Der Benutzer muss die Smartcard in ein Lesegerät einführen und oft auch eine PIN eingeben, um seine Identität zu bestätigen.
- Biometrische Scanner: Biometrische Scanner sind Hardwaregeräte, die biometrische Merkmale einer Person erfassen und überprüfen, wie z.B. Fingerabdruckscanner, Gesichtserkennungskameras, Iris-Scanner oder Handvenenscanner. Diese Geräte ermöglichen eine eindeutige Identifizierung basierend auf den einzigartigen biometrischen Merkmalen einer Person.
- Hardware-Token: Hardware-Token sind kleine physische Geräte, die oft als Schlüsselanhänger oder Kartenanhänger ausgeführt sind. Sie erzeugen in der Regel regelmäßig Einmalpasswörter (OTP) oder Sicherheitscodes, die bei der Anmeldung oder Transaktion eingegeben werden müssen. Dadurch wird ein zusätzlicher Sicherheitsfaktor für die Identitätsprüfung hinzugefügt.
- USB-Token: Diese Hardware-Geräte werden über USB-Anschlüsse an Computer oder andere Geräte angeschlossen. Sie können zur Speicherung von digitalen Zertifikaten oder zur Durchführung von sicheren Transaktionen verwendet werden. Der Zugriff auf das Token erfordert in der Regel eine PIN oder ein Passwort.
- NFC-Tags: Near Field Communication (NFC) Tags sind kleine Hardware-Geräte, die drahtlose Kommunikation ermöglichen. Sie können in Ausweisen oder Karten (Online Ausweisfunktion, eID) eingebettet sein und zur Übertragung von Identitätsinformationen bei der Annäherung an ein NFC-fähiges Lesegerät verwendet werden.
- Hardware Security Module (HSM): HSMs sind spezialisierte Hardwaregeräte, die zur sicheren Verwaltung von kryptografischen Schlüsseln und zur Durchführung sicherer Verschlüsselungs- und Entschlüsselungsvorgänge verwendet werden. Sie werden oft in sicherheitskritischen Umgebungen wie Finanzinstituten oder Behörden eingesetzt.wie z.B. Signaturkarten mit Kartenlesegerät und Signatursoftware
6. Bankkonten (BankIdent)
Bankkonten können zur Identitätsüberprüfung genutzt werden, indem kleine Geldbeträge wie 1 Cent (oder ein anderer minimaler Betrag) auf das Konto überwiesen werden. Dieses Verfahren wird oft als „Kontoverifikation“ oder „Kontobestätigung“ bezeichnet und dient dazu, die Identität einer Person zu überprüfen.
7. Expertengestützte Identitätsprüfung
Die expertengestützte Identitätsprüfung ist ein Verfahren zur Überprüfung der Identität einer Person über Videoanruf, bei dem ein geschulter Mitarbeiter des Unternehmens die Identitätsprüfung durchführt. Während des Videoanrufs wird die Person aufgefordert, ihr Ausweisdokument, wie einen Reisepass oder Personalausweis, vor der Kamera zu präsentieren. Der Experte überprüft das Dokument auf Echtheit, vergleicht das Foto mit dem Erscheinungsbild der Person und stellt sicher, dass alle Daten korrekt sind. Dieses Verfahren bietet eine zusätzliche Sicherheitsebene und wird häufig in Branchen wie Finanzdienstleistungen und Telekommunikation eingesetzt, um Identitätsdiebstahl zu verhindern und die Compliance-Vorschriften einzuhalten.
8. Vollautomatisierte Identitätsprüfung
Die vollautomatisierte Identitätsprüfung (geldwäschegesetzkonform oder für unregulierte Anwendungsfälle) ist ein Verfahren zur Überprüfung der Identität einer Person, das ohne menschliche Beteiligung auskommt. Der Prozess erfolgt in der Regel über eine App oder eine Website, bei der die Person aufgefordert wird, ein Foto ihres Ausweisdokuments (z.B. Reisepass oder Personalausweis) sowie ein Selfie zu machen. Eine spezielle Software analysiert dann die Dokumente und vergleicht das Foto im Dokument mit dem Selfie, um die Übereinstimmung der Identität zu überprüfen. Diese Methode bietet schnelle und effiziente Identitätsprüfung und wird häufig in digitalen Dienstleistungssektoren wie E-Commerce und Online-Finanzdienstleistungen eingesetzt.
Wie lange dauert eine Identitätsprüfung?
Die Dauer einer Identitätsprüfung kann je nach der verwendeten Methode erheblich variieren. Hier ist eine grobe Schätzung der durchschnittlichen Dauer für verschiedene Identifikationsmethoden:
- Eigenständige Identifikationsmethoden (z.B. eID, NFC): Diese Methoden sind in der Regel recht schnell und effizient. Die Identifikation kann in wenigen Minuten oder sogar Sekunden abgeschlossen sein, vorausgesetzt, dass die erforderlichen technischen Voraussetzungen erfüllt sind und die Person über die notwendigen Geräte und Informationen verfügt.
- Vollautomatisierte Identifikationsmethode (z.B. AutoIdent): Vollautomatisierte Identifikationsmethoden sind ebenfalls ziemlich schnell. Die Identitätsprüfung kann in der Regel in wenigen Minuten abgeschlossen sein, da sie auf automatisierter Software basiert, die die Dokumente und Daten rasch verarbeiten kann.
- Expertengestützte Identifikationsmethode (z.B. VideoIdent): Bei expertengestützten Methoden hängt die Dauer oft von der Verfügbarkeit des geschulten Mitarbeiters ab. Die Identifikation kann in der Regel in 10 bis 30 Minuten abgeschlossen sein, abhängig von der Komplexität des Prozesses und der Anzahl der zu überprüfenden Dokumente.
Es ist wichtig zu beachten, dass diese Zeitschätzungen allgemein sind und variieren können. Die genaue Dauer hängt von verschiedenen Faktoren ab, einschließlich der Effizienz des verwendeten Identifikationssystems, der Verfügbarkeit von Personen oder Experten, die den Prozess überwachen, und der Bereitschaft der zu identifizierenden Person, die erforderlichen Schritte schnell durchzuführen.
Welche gesetzlichen und regulatorischen Vorgaben gibt es zur Identitätsprüfung in Deutschland?
In Deutschland gibt es verschiedene gesetzliche und regulatorische Vorgaben zur Identitätsprüfung, insbesondere im Bereich des Geldwäscheschutzes und der Terrorismusbekämpfung.
Die wichtigsten Vorgaben sind:
Geldwäschegesetz (GwG):
Das Geldwäschegesetz regelt die Identitätsprüfung und die Sorgfaltspflichten von Unternehmen und Finanzinstituten zur Verhinderung von Geldwäsche und Terrorismusfinanzierung. Gemäß dem GwG müssen diese Organisationen die Identität ihrer Kunden überprüfen und aufzeichnen.
IDW PS 951:
Die IDW Prüfungsstandard 951 des Instituts der Wirtschaftsprüfer (IDW) behandelt die Prüfung von Identifikations- und Legitimationsprozessen nach dem Geldwäschegesetz. Er legt Prüfungsgrundsätze und -verfahren fest, die von Wirtschaftsprüfern bei der Überprüfung der Identitätsprüfung eingesetzt werden.
BaFin-Rundschreiben:
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) gibt Rundschreiben heraus, die die Anforderungen an die Identitätsprüfung und die Sorgfaltspflichten im Finanzsektor spezifizieren. Diese Rundschreiben richten sich an Banken, Versicherungen und andere Finanzdienstleister.
Verordnung über die Mitteilungspflichten von Zahlungsdienstleistern nach dem Geldwäschegesetz (GwGMeldV):
Diese Verordnung regelt die Meldepflichten von Zahlungsdienstleistern in Bezug auf verdächtige Transaktionen und die Verwendung von Identifikationsdaten.
EU-Geldtransferverordnung (Verordnung (EU) 2015/847):
Diese Verordnung legt die Anforderungen an die Identitätsprüfung und die Aufzeichnung von Informationen bei grenzüberschreitenden Geldtransfers fest.
Personalausweisgesetz (PAuswG):
Das Personalausweisgesetz regelt die Ausstellung und Verwendung von Personalausweisen und stellt Anforderungen an die Identitätsprüfung bei der Beantragung von Ausweisen.
Telekommunikationsgesetz (TKG):
Das TKG enthält Vorschriften zur Identitätsprüfung von Prepaid-Mobilfunkkunden und zur Speicherung von Kundendaten durch Telekommunikationsanbieter.
Datenschutzgesetz (BDSG):
Das Bundesdatenschutzgesetz regelt den Umgang mit personenbezogenen Daten im Zusammenhang mit der Identitätsprüfung und legt Datenschutzanforderungen fest.
Die genauen Anforderungen und Verfahren zur Identitätsprüfung können je nach Branche und Unternehmen variieren, sollten jedoch immer im Einklang mit den oben genannten gesetzlichen und regulatorischen Vorgaben stehen. Die Einhaltung dieser Vorschriften ist entscheidend, um Geldwäsche, Terrorismusfinanzierung und Identitätsdiebstahl zu verhindern und die finanzielle Integrität des Landes zu gewährleisten.
Wie versuchen Betrüger Identitätschecks (KYC Checks) zu überlisten?
Betrügerische Versuche den Prozess der Identitätsprüfung zu umgehen, werden in der Praxis durch folgende Arten von Identitätsbetrug (EN. Identity Fraud) unternommen:
- Dokumentenbetrug (gestohlene, gefälschte, reproduzierte, modifizierte bzw. manipulierte, nachgeahmte/synthetische Identitätsdokumente)
- Identitätsdiebstahl: Wenn sie Zugang zu persönlichen Informationen wie Sozialversicherungsnummern oder Geburtsdaten haben, können Betrüger versuchen, sich als die tatsächliche Person auszugeben und deren Identität zu stehlen.
- Synthetische Identitäten: Betrüger können synthetische Identitäten erstellen, indem sie echte Informationen mit gefälschten kombinieren. Auf diese Weise können sie Bankkonten eröffnen oder Kreditkarten beantragen, ohne als Betrüger erkannt zu werden.
- Manipulation von Biometrie: Während der Gesichtserkennung werden biometrische Merkmale via Deepfake imitiert bzw. simuliert.
- Strohmann-Betrug: Bei diesem Trick verwenden Betrüger eine dritte Person, um sich für sie auszugeben und die KYC-Prüfung zu bestehen. Diese dritte Person könnte unwissentlich oder wissentlich in den Betrug verwickelt sein.