Digitale Identitätsprüfung im Bankenwesen

Die Szene ist schnell umrissen: Eine vermeintlich echte Kundin legitimiert sich per Videoident-Verfahren, spricht akzentfrei, zeigt scheinbar stimmige Unterlagen. Doch das Konto, das sie eröffnet, dient Wochen später der Geldwäsche. Der Betrug fliegt erst auf, als die Staatsanwaltschaft bereits ermittelt. Die Kundin? Existiert so gar nicht. Willkommen in der Realität des synthetischen Identitätsbetrugs.

Identitätsbetrug 2025: KI als Gamechanger im Finanzwesen

Laut Sumsub-Bericht sowie dem Signicat-Report 2024 „Battle Against AI-Driven Identity Fraud“ haben sich Deepfakes und synthetische Ausweisdokumente in Rekordzeit von Exoten zu Alltagstools der Betrugsindustrie entwickelt.:

• +1.100 % Deepfake-Angriffe auf Banken in Deutschland seit 2022
• 42,5 % aller aufgedeckten Betrugsversuche im Finanzsektor basieren auf KI
• Nur 22 % der Banken nutzen bislang selbst KI-Tools zur Betrugsabwehr

Besonders perfide: Die Angreifer kombinieren reale Daten von älteren Menschen, Kindern oder sogar Verstorbenen mit fiktiven Inhalten und schaffen nahezu unentdeckbare „Frankenstein-Identitäten“ mit eigenem Gesicht, Stimme und Ausweis.

Warum DORA nicht nur die IT-Abteilung betrifft

Die EU-Verordnung DORA verlangt von Banken Resilienz gegen digitale Risiken – nicht nur im IT-Kern, sondern auch in abhängigen Prozessen wie KYC, AML und der Dienstleistersteuerung. Damit wird die Identitätsprüfung zur strategischen Achillesferse:

Pflicht zur Widerstandsfähigkeit:

• Banken müssen Identifikationsprozesse gegen technische Angriffe härten.
• KI-Manipulationen und automatisierte Fälschungen gelten explizit als Risikoquellen.

Pflicht zur Kontrolle:

• Auch ausgelagerte Prüfschritte (z. B. an KYC-Dienstleister) unterliegen der DORA-Compliance (Art. 28, Abs. 1, 2 & 4).
• Die Aufsicht verlangt dokumentierte Haftungs- und Risikoverteilungsmodelle.

Die Outsourcing-Falle: Günstig, bequem – aber riskant

Viele Banken setzen auf externe – vermeintlich günstige – Identifikationsdienstleister. So belaufen sich die Kosten pro Vorgang auf gerade einmal sieben Euro. Doch die scheinbare Effizienz birgt rechtliche Fallstricke:

• Rechtliches Risiko: Dienstleister haften oft nur bei grober Fahrlässigkeit. Das GwG-Risiko bleibt beim Institut.
• Reputationsverlust: Die erste Kundeninteraktion erfolgt nicht mehr „in der Bank“.
• Audit-Komplexität: DORA verlangt ständige Kontrolle externer Partner (IKT-Drittparteienrisiko: Art. 28, Abs. 1, 2 & 4)

Kostenexplosion: Compliance wird zur Budgetfrage

Dass die KYC-Kosten steigen, zeigt auch der KYC-Trendreport von Fenergo, einem führenden Anbieter von KYC- und Onboarding-Software für Finanzdienstleister weltweit:

• 2.627 € pro Firmenkunden (DE-Durchschnitt) für KYC
• +10 % höher als der globale Durchschnitt
• +44 % mehr Geldwäschefälle laut BKA

Compliance ist schon lange mehr als nur ein Kostenblock, den Geschäftsführer und Vorstände wegverhandeln können. Vielmehr müssen sich Entscheider zukünftig an der Frage messen lassen, wie sie auch bei steigender Internet- und Wirtschaftskriminalität weiterhin als sicherer und vertrauenswürdiger Zahlungsdienstleister auftreten können.

Make-or-Buy? Der strategische Blick auf die Identitätsprüfung

Banken und Sparkassen stehen in Deutschland daher vor einer strategischen Weichenstellung: Soll Identitätsprüfung weiterhin extern eingekauft werden (Buy-Strategie)? Oder werden die Finanzinstitute langfristig auf den Aufbau einer eigenen Prüfkompetenz setzen, um sich optimal abzusichern (Make-Strategie)?

1. Buy-Strategie professionalisieren

   • Verträge mit Dienstleistern nachschärfen (z. B. Haftung, Auditierung, Shared Responsibility)
   • Technische Transparenz schaffen: Verwendet der Dienstleister z. B. Liveness Detection, biometrische Checks, Verhaltensanalyse?

2. Make-Strategie entwickeln

   • Aufbau eigener Prüfkompetenz mit KI-unterstützten Tools
   • Kombination aus Verhaltensanalytik, Echtzeit-Risikoscores, Schulungen zur Deepfake-Erkennung im Haus

Unabhängig von Make oder Buy zeigt die Realität eindeutig: Hier muss investiert werden. Doch wer die nötigen Mittel in die Hand nimmt, kauft Resilienz, Vertrauen und Compliance-Tauglichkeit.

Fazit: Identitätsprüfung ist der neue Kern von Resilienz

Die digitale Identitätsprüfung ist kein technischer Spezialfall mehr. Sie ist zur strategischen Sicherheitsfrage für Banken geworden. Wer heute in moderne, KI-resiliente Prüfverfahren investiert – sei es intern oder über Partner –, legt das Fundament für regulatorische Sicherheit, operative Belastbarkeit und digitale Kundenzugänge.

Denn eines ist klar: Die nächste Deepfake-Welle kommt. Ob Ihre Bank darauf vorbereitet ist, entscheidet sich nicht erst beim nächsten Kontoantrag.