Cybersicherheit: KYC und seine Verfahren
Cybersicherheit: KYC und seine Verfahren
Wissen Sie, egal ob man eine Zeitung öffnet, die Nachrichten ansieht, Newsletter liest, hier und da einen neuen Account für was auch immer eröffnet oder Online-Einkäufe tätigt – wie so oft stelle ich fest: Jeder Informationstransfer und jedes Angebot, an das wir Menschen uns im Zuge historischer Phasen gewöhnt haben, ist im Grunde im selben Maße oder sogar mittlerweile inflatorisch verfügbar. Und alles geht rasend schnell, Prozesse gleichen sich an Anforderungen an. Während die Kinder der 1990er Jahre einen mehrwöchigen und postalischen Bankkontoeröffnungsprozess durchlaufen haben – wie die Generationen vor Ihnen – ist es für Millennials normal, zwischen zwei Haltestellen auf dem Schulweg ein neues Konto zu eröffnen: per Smartphone, versteht sich. Und ob diese Tatsache für manche nun sehr spannend oder für andere eben wahnsinnig dröge klingt – was oft vergessen wird, ist Folgendes: Online bewegen wir uns im öffentlichen Raum! Und rechtsfrei ist dieser Raum keinesfalls – auch wenn es sich oft so anfühlt. Doch wie sollen Unternehmen Regularien einhalten und dennoch die von der Zielgruppe geforderten Kurzzeitprozesse bereitstellen? Dabei ist vollkommen eindeutig der Bereich KYC („Know your Costumer“) näher zu betrachten, denn davon hängt nun einmal alles ab.
KYC – eine kurze Bestandsaufnahme
„Know your Customer“ (deutsch: „Kenne deinen Kunden“) beschreibt im weitesten Sinne eine Legitimationsprüfung, sprich: das Prinzip, die Identität der Kundschaft zu überprüfen, bevor Geschäfte mit ihr gemacht wird. Somit kann ein KYC-Prozess letztlich als übergeordneter Begriff verstanden werden, der verschiedene Due-Diligence- und Compliance-Prüfungen enthält. Während diese Prozesse in manchen Geschäftsfeldern und Unternehmen optional bleiben, sind hingegen regulierte Sektoren – wie beispielsweise die Finanzindustrie – gesetzlich dazu verpflichtet, das KYC-Prinzip in ihrem Onboarding-Prozess zu integrieren, gerade im Hinblick auf den Online-Bereich. Das ist nicht verwunderlich: Die Welt hat sich verändert, Kundinnen und Kunden kommen nicht mehr in die Filiale und legen ihren Pass im Original vor – alles passiert online und wird zu 90 % von Computersystemen geprüft. Der tiefere Sinn dahinter: Betrugsprävention!
Neben KYC ist „AML“ ein weiteres Schlagwort der Branche. Die Abkürzung AML steht für „Anti Money Laundering“ und bedeutet Prävention von Geldwäsche. Dazu gehören kriminelle Aktivitäten wie Terrorismusfinanzierung, Handel mit illegalen Waren oder Finanzierungen von Korruption aller Art. KYC- und AML-Prozesse dienen damit unser aller Schutz. Es geht in der Summe darum, eine ausreichende Menge an Daten zu erhalten, um festzustellen, ob eine Onlinetransaktion legal oder illegal ist. Dies allerdings zu bewerkstelligen, ohne den Schutz privater Daten zu gefährden, wäre die Quadratur des Kreises. Genau aus diesem Grund bin ich ein Befürworter einer intelligenten digitalen Identität! Sie ist imstande, die Privatsphäre des Individuums maximal zu schützen, dennoch könnten im Betrugsfall den Behörden alle Detaildaten offengelegt werden. Ermittlungsprozesse würden verkürzt, die Aufklärungsrate erhöht. Grundlage einer sicheren digitalen Identität sind innovative KYC-Verfahren – somit möchte ich Ihnen hier im Blog die modernsten Verfahren zur Online-Personenüberprüfung vorstellen.
KYC-Verfahren im Überblick
Lassen Sie uns nun einige ausgewählte KYC-Verfahren näher beleuchten. Zunächst sei aber vorab erwähnt: Natürlich gibt es immer wieder Personen innerhalb der Verbraucherschaft, die Legitimationsprüfverfahren als lästig ansehen. Allerdings sollten sich eben jene besser glücklich schätzen, dass wir heutzutage diese Möglichkeiten haben: Identitätsdiebstahl im Onlinebereich ist zu einem schwerwiegenden Problem geworden, dem wir uns allerdings durch sichere KYC-Verfahren entgegenstellen können. Lassen Sie uns also etwas mehr in die Materie eintauchen, denn abgesehen von der eher bekannteren Videoidentifikation gibt es zahlreiche weitere Möglichkeiten. Einige davon werden im Folgenden aufgeführt:
1. Sanktionsprüfungen
Im Zuge dieses Verfahrens werden in vielfacher Geschwindigkeit mögliche Übereinstimmungen eines Userprofils mit der Datenbank politisch exponierter Personen (PEP) abgeglichen. Daneben wird automatisch überprüft, ob Organisationen und/oder Personen bereits mit Betrugsvorgängen in Verbindung standen und dementsprechend ein erhöhtes Betrugsrisiko darstellen.
2. Moderne Prüfung offizieller Dokumente
Hierbei werden in der Regel mithilfe verschiedener Cross-Checks die Echtheit von Identifikationsdokumenten (beispielsweise Ausweise oder Reisepässe) überprüft. Dadurch können automatisch Querverweise zu unterschiedlichen Quellen geschaffen und personenbezogene Daten (wie aus Mikrochips, Barcodes, Fotos etc.) ausgewertet werden.
3. Biometrische Gesichtsanalyse
Der technologische Fortschritt im Bereich der Gesichtserkennung hat eine der fälschungssichersten Methoden zur Personenidentifizierung geschaffen – und dies auf Basis von Bildern und Videos: Mittlerweile können Aufnahmen von Gesichtern anhand von über 20 Datenpunkten in 2D- und über 100 Datenpunkten in 3D-Bildern ausgewertet werden.
4. Adressvalidierung
Identifizierung und Verifikation von Adressdaten erfolgen oftmals in einem mehrschichtigen Prüfverfahren: Zunächst wird die personenbezogene Adresse auf einem Ausweisdokument ermittelt, extrahiert und überprüft. Anschließend erfolgt die Verifikation dieser Adresse: Sie wird mit den Daten eines offiziellen Dokuments verglichen, das die jeweilige Person zusätzlich übermittelt – z. B. eine aktuelle Stromrechnung oder ein Kontoauszug.
5. Standortüberprüfung
In der heutigen Zeit lässt sich feststellen, ob angegebene Standorte zutreffen – nahezu jede Person ist online auffindbar. Dabei erfolgt oftmals eine Prüfung entsprechender IP-Adressen, mit denen eine Verbindung hergestellt wurde. Dadurch kann direkt beim Online-Antrag erkannt werden, ob der tatsächliche Geo-Standort einer Person mit ihren angegebenen Adressdaten übereinstimmt. Wenn dies nicht der Fall ist – oder User einen Browser nutzen, der ihre IP-Adresse manipuliert – wird ein Warnhinweis gegeben.
Forensische Analyse von Daten
Eine forensische Datenanalyse überprüft eingereichte Dokumente auf Echtheit. Diese Untersuchung wird mit mehreren Untersuchungsebenen für jede Dokumentart oder Identifikationspapiere angewandt: Metadatenprüfungen, die Analyse der Verwendung von Bild- und Klonstempelwerkzeugen sowie die Überprüfung von Textur, visuellem Rauschen oder Kontrast. Dadurch werden Betrugs- und Fälschungsversuche durch Fotobearbeitungssoftware oder digitale Verzerrungen erkannt und erfolgreich abgewendet.
Fazit
Wie Sie sehen, gibt es in Sachen KYC unterschiedlichste Möglichkeiten zur Betrugsprävention – die sich im Übrigen stetig weiterentwickeln. Dabei steigen natürlich ebenfalls die Sicherheitsstandards, die sich nicht nur an regulatorischen Maßgaben ausrichten, sondern gleichermaßen am Nutzungsverhalten der Verbraucherschaft. Somit handelt es sich hierbei keinesfalls um lästige Verordnungen durch Regularien, sondern vielmehr um eine echte Chance zur positiven Gestaltung des digitalen Zeitalters! Der Schutz vor Cyberkriminalität ist hierbei ein zentraler Punkt – daher ist es unbedingt notwendig, einen aufklärenden Informationstransfer anzustoßen, um KYC-Verfahren noch effektiver zu konstruieren. Wir alle erwarten maximalen Komfort und fordern online uneingeschränkte Freiheiten, ohne dass der Schutz unserer Identität gefährdet wird. Dafür ist es immens wichtig, dass wir nicht aufgrund mangelhafter KYC-Prüfverfahren mit Betrügern im Internet in Verbindung kommen. Auch hier wird in Zukunft sicherlich die Blockchain immer mehr in den Fokus rücken: Das Schaffen und Schützen digitaler Identitäten muss unser Ziel sein – zum Wohle einer sicheren digitalen Welt, in der die Privatsphäre aller Menschen bestens geschützt wird!
