Identitätsbetrug ist ein Problem der Digitalisierung, seit das Internet seine ersten Schritte unternommen hat. Die Anonymität des Internets ist der Nährboden für Internetkriminalität, die parallel zur Ausweitung des Internetzugangs zunimmt und seit Beginn der Covid-19-Pandemie drastisch angestiegen ist.
In diesem Beitrag befassen wir uns damit, was Online-Identitätsbetrug ist und wie Unternehmen ihn bereits bei der Anmeldung eines Nutzers verhindern können.
Identitätsbetrug: ein wachsendes Problem
In den ersten vier Monaten 2020 blieb die ganze Welt zu Hause, um die Covid-19-Pandemie einzudämmen. Öffentliche Einrichtungen und private Unternehmen haben rasch Systeme für den digitalen Geschäftsverkehr und die Heimarbeit eingeführt.
Parallel dazu haben, wie Interpol selbst festgestellt hat, Internetkriminelle ihre böswilligen Aktivitäten verstärkt. Unter dem Vorwand, sich als Gesundheits- und Regierungsbehörden auszugeben, verschickten sie Mitteilungen, um persönliche Daten zu sammeln (eine Technik, die als Phishing bezeichnet wird) und um Malware zu installieren. Ziel dieser Angriffe ist es, sich als Benutzer auszugeben, um Straftaten zu begehen.
Online-Identitätsbetrug oder Identitätsdiebstahl liegt vor, wenn eine Person beim Zugriff auf einen Dienst oder eine digitale Plattform vorgibt, eine andere Person zu sein, um kriminelle Handlungen zu begehen: Betrug, Belästigung, Erlangung vertraulicher Daten oder Informationen, Zugriff auf Girokonten, Verwendung von Kreditkarten usw.
Es gibt verschiedene Möglichkeiten, die digitale Identität einer Person zu stehlen. Zu den beiden wichtigsten gehören die Erstellung gefälschter Profile (z. B. in sozialen Netzwerken) und der Zugriff auf Benutzerkonten durch Phishing und Malware. Eine weiteres Problem, das zunehmend an Bedeutung gewinnt, ist das Spoofing, d. h. die Verwendung von Mechanismen, mit denen Verifizierungssysteme durch Nachahmung des Gesichts einer Person ausgetrickst werden.
Im Unternehmensbereich ist der Identitätsdiebstahl eng mit Straftaten wie Geldwäsche verbunden. Die europäische Verordnung (AML) geht direkt auf dieses Problem ein und verlangt von den Unternehmen, KYC (Know Your Client) einzuführen und die digitale Identität aller ihrer Kunden zu überprüfen, um Geldwäsche aus Drogenhandel, Korruption und anderen Formen des organisierten Verbrechens zu verhindern.
Das könnte Sie auch interessieren: Betrugsprävention und Risikomanagement: Technische Innovation als bester Verbündeter
Wie kann man Identitätsbetrug mit elektronischen Signaturen bekämpfen?
In Bereichen mit zunehmender digitaler Aktivität, wie dem Bankwesen und dem elektronischen Handel, ist die Identitätsüberprüfung eine Herausforderung, die bereits bei Vertragsabschluss einer Dienstleistung oder bei der Registrierung eines Nutzers beginnt.
Elektronische Signaturen sind die zuverlässigste, einfachste und effizienteste Lösung, um in jedem Prozess nachzuweisen, dass ein Benutzer derjenige ist, der er vorgibt zu sein.
Zunächst muss bei der Erlangung einer hochsicheren elektronischen Signatur die Identität des Nutzers anhand von Ausweispapieren überprüft werden. Hinzu kommt die Erfassung biometrischer Merkmale wie Fingerabdrücke, Gesichtszüge oder Stimme sowie die Videoerfassung.
Dem folgt, dass die elektronische Signatur eine doppelte Verifizierung erfordert, d. h. sie kann nicht isoliert verwendet werden, sondern wird durch einen persönlichen Code, einen PIN-Code, der auf das Mobiltelefon oder an die E-Mail gesendet wird, oder die Verwendung einer biometrischen Authentifizierung ergänzt. Technische Lösungen wie unsere elektronische Unterschrift ermöglichen all diese Alternativen in einer sicheren und kanalübergreifenden Erfahrung.
Anders ausgedrückt: Eine einmalige Identitätsprüfung bei der Registrierung der elektronischen Signatur reicht nicht aus; der Vorgang muss bei Abschluss einer Dienstleistung oder beim Kauf eines Produkts wiederholt werden. Damit wird Betrug wie die Aneignung oder Weitergabe elektronischer Signaturen verhindert.
Wie werden digitale Identitätsprüfungen durchgeführt?
Die Europäische Union verfügt über eine der weltweit fortschrittlichsten Regelungen zur Identitätsüberprüfung, die in der EIDAS-Verordnung.
Die Einrichtung eines Verzeichnisses vertrauenswürdiger Anbieter ist einer der Eckpfeiler des Systems, da es privaten Entwicklern wie Electronic IDentification ermöglicht, Unternehmen und Institutionen maßgeschneiderte technologische Lösungen anzubieten und dabei die Standards für Qualität, Sicherheit und Interoperabilität einzuhalten.
Sicherheitsstufen bei elektronischen Signaturen (einfach, fortgeschritten und qualifiziert)
Ein weiteres Kernelement der europäischen Verordnung ist die Einführung von drei Sicherheitsstufen oder -graden für elektronische Signaturen, die sich nach dem Identifikationsbedarf des Nutzers richten:
- Einfache elektronische Signatur: Dies ist die niedrigste Stufe, bei der die Identität des Benutzers nicht garantiert werden kann. In der Regel muss ein Feld ausgefüllt oder eine PIN eingegeben werden.
- Fortgeschrittene elektronische Signatur: Gestattet die einmalige Unterzeichnung eines elektronischen Datensatzes und verhindert dessen nachträgliche Änderung durch Einfügen eines Zeitstempels. Diese Art der Signatur unterstützt Alternativen wie die Verwendung von per SMS empfangenen Schlüsseln.
- Qualifizierte elektronische Signatur (QES): Sie ist die höchste Sicherheitsstufe und hat die gleiche Rechtsgültigkeit wie eine handschriftliche Unterschrift. Erfordert spezielle Software von einem vertrauenswürdigen Anbieter und die persönliche Identifizierung des Unterzeichners.
Das könnte Sie auch interessieren: Gesichtserkennung: Funktionsweise und Sicherheit
eIDAS und ETSI: Europas Verordnung zur Bekämpfung von Identitätsbetrug
Die europäische eIDAS-Verordnung (Akronym für electronic IDentification, Authentication and trust Services) gibt der EU ein einheitliches Kriterium zur Sicherheitgewährleistung elektronischer Identifizierungsmedien an die Hand. Die Verordnung ist in allen Mitgliedstaaten verbindlich und stellt eines der wichtigsten Instrumente zur Verhinderung und Aufdeckung von Identitätsdiebstahl dar.
Die Einführung von Verifizierungstechnologien wie die qualifizierte elektronische Signatur ist Teil der Maßnahmen zur Bekämpfung der Internetkriminalität auf europäischer Ebene. Dieses Ziel ist in der fünften Richtlinie zur Bekämpfung der Geldwäsche (5AMLD) verankert, die von den Finanzinstituten technologische Lösungen zur Aufdeckung und Verhinderung von Geldwäsche verlangt.
Die Standardisierung elektronischer Signatursysteme liegt in der Verantwortung des Europäischen Instituts für Telekommunikationsnormen (ETSI). Diese unabhängige aber von der Europäischen Kommission anerkannte Organisation ist über ihre ursprünglichen Grenzen hinausgewachsen: Sie umfasst mehr als 60 Mitgliedsländer und ihre Standards werden in der ganzen Welt anerkannt und verwendet.
ETSI ist eine der drei „European Standards Organisations“ (ESO), die europäische Regelungen durch die Schaffung harmonisierter Normen unterstützen. Die ETSI-Standardisierung ergänzt die eIDAS-Verordnung beim Aufbau einer digitalen Lösung für Unternehmen und Behörden, die zu 100 % ortsunabhängig mit ihren Kunden und Nutzern arbeiten können.
Qualifizierte elektronische Signatur, die Lösung für die Electronic IDentification
Unsere technologische Lösung für elektronische Signaturen erfüllt alle von der EU festgelegten Anforderungen und ist auf dem Markt einzigartig, da sie sich an alle Risikostufen und rechtlichen Anforderungen anpasst.
Die elektronische Signaturlösung von Electronic IDentification bietet eine einfache, fortgeschrittene und qualifizierte elektronische Signatur mit einem einzigen Klick. Es handelt sich um eine kanalübergreifende Technologie, d. h. sie kann auf allen Medien und in allen Konfigurationen eingesetzt werden, wie beispielsweise die digitale handschriftliche Unterschrift, die biometrische Gesichtserkennung, per Telefonnachricht übermittelte Codes oder die Verwendung einer PIN-Nummer. Als vertrauenswürdiger Anbieter bieten wir eine Technologie mit der Unternehmen die KYC-Anforderungen im Kampf gegen Identitätsbetrug und Identitätsdiebstahl erfüllen können.