Skip to content
KundenreferenzPreiseSicherheitVergleichBlog

Europe

Americas

Oceania

Branche8 min Lesezeit

Praevention von Identitaetsbetrug: Erkennungstechniken fuer Unternehmen

Erkennungstechniken fuer Identitaetsbetrug in Unternehmen: Deepfakes, gefaelschte Dokumente, biometrische Verifizierung und deutsche Rechtsanforderungen.

Dr. Katrin Hoffmann, Expertin für regulatorische Compliance
Dr. Katrin Hoffmann, Expertin für regulatorische Compliance·
Illustration for Praevention von Identitaetsbetrug: Erkennungstechniken fuer Unternehmen — Branche

Diesen Artikel zusammenfassen mit

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Das Bundeskriminalamt (BKA) registrierte im Jahr 2024 insgesamt 48 700 Faelle von Urkundendelikten in Deutschland, davon 12 300 mit direktem Bezug zu Identitaetsfaelschung. Die Polizeiliche Kriminalstatistik (PKS) 2024 verzeichnet einen Anstieg von 34 % bei digitalen Dokumentenfaelschungen gegenueber dem Vorjahr. Gleichzeitig schaetzt der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) die jaehrlichen Schaeden durch Identitaetsbetrug auf ueber 1,5 Milliarden Euro.

Fuer deutsche Unternehmen ist die Erkennung von Identitaetsbetrug sowohl eine gesetzliche Pflicht als auch eine betriebswirtschaftliche Notwendigkeit. Das Geldwaeschegesetz (GwG), die eIDAS-Verordnung und sektorspezifische Vorgaben der BaFin definieren klare Anforderungen an die Identitaetspruefung. Gleichzeitig haben sich die Faelschungstechniken grundlegend veraendert: KI-generierte Dokumente, biometrische Deepfakes und synthetische Identitaeten uebersteigen die Moeglichkeiten manueller Kontrollen.

Dieser Artikel analysiert die wichtigsten Betrugstypen, die verfuegbaren Erkennungstechniken und den regulatorischen Rahmen fuer deutsche Unternehmen.

Typen von Identitaetsbetrug in Deutschland

Identitaetsbetrug umfasst verschiedene Techniken mit unterschiedlichen Komplexitaetsgraden und Haeufigkeiten. Die folgende Tabelle fasst die wichtigsten Typen, ihre Verbreitung in Deutschland und die Schwierigkeit der manuellen Erkennung zusammen.

Betrugstyp Verbreitung in Deutschland Schwierigkeit manueller Erkennung Primaerer Kanal
Faelschung von Ausweisdokumenten (Bearbeitung) Hoch Mittel Scans, PDF
Synthetische Dokumente (KI-generiert) Schnell zunehmend Sehr hoch Generative KI
Identitaetsdiebstahl (gestohlene echte Daten) Sehr hoch Hoch Phishing, Datenlecks
Synthetische Identitaet (gemischte Daten) Zunehmend Sehr hoch Kompromittierte Datenbanken
Biometrischer Deepfake (Video/Selfie) Aufkommend Sehr hoch Virtuelle Kamera
Gefaelschte Belege (Gehaltsabrechnungen, Rechnungen) Hoch Mittel Vorlagen, KI

Quellen: BKA PKS 2024, BSI-Lagebericht 2025.

Klassische und synthetische Dokumentenfaelschung

Die Faelschung von Personalausweis, Reisepass und Fuehrerschein ist die haeufigste Form des Identitaetsbetrugs in Deutschland. Traditionell bestand dies aus der Bearbeitung authentischer Dokumente: Austausch des Lichtbildes, Aenderung persoenlicher Daten oder Manipulation des Ablaufdatums. Seit 2024 produzieren generative KI-Modelle vollstaendige Dokumente, die die Sicherheitsmerkmale deutscher Ausweisdokumente nachahmen, einschliesslich simulierter Hologramme und der maschinenlesbaren Zone (MRZ).

Das BSI (Bundesamt fuer Sicherheit in der Informationstechnik) warnt in seinem Lagebericht 2025, dass KI-generierte Identitaetsdokumente eine der am schnellsten wachsenden Bedrohungen fuer die digitale Sicherheit darstellen. Die Urkundenfaelschung ist in den Paragraphen 267 bis 271 des Strafgesetzbuches geregelt, mit Freiheitsstrafen bis zu fuenf Jahren oder Geldstrafen.

Synthetische Identitaeten und eID-Missbrauch

Die synthetische Identitaet kombiniert echte und fiktive Daten: eine authentische Steuer-ID, ein erfundener Name, eine reale Adresse einer leerstehenden Immobilie. Dieser Betrugstyp ist besonders schwer zu erkennen, da jedes einzelne Datenelement eine isolierte Pruefung bestehen kann.

Der elektronische Personalausweis (eID) bietet grundsaetzlich einen hohen Schutz gegen Identitaetsbetrug, da die Daten auf dem Chip kryptographisch gesichert sind. Allerdings nutzen laut dem Digitalverband Bitkom nur 12 % der Deutschen die eID-Funktion ihres Personalausweises regelmaessig, was die Verbreitung als Verifizierungsinstrument begrenzt. Die geringe Nutzungsrate bedeutet, dass Unternehmen sich nicht ausschliesslich auf die eID-Pruefung verlassen koennen.

Erkennungstechniken: Was tatsaechlich funktioniert

Effektive Erkennung von Identitaetsbetrug erfordert einen mehrschichtigen Ansatz. Keine einzelne Technik deckt alle Betrugstypen ab. Die drei grundlegenden Schichten sind Dokumentenanalyse, biometrische Verifizierung und Datenabgleich.

Automatisierte Dokumentenanalyse

Die automatisierte Dokumentenverifizierung prueft die strukturelle Integritaet von Ausweisdokumenten: typographische Konsistenz, Integritaet der Sicherheitsmerkmale, MRZ-Konformitaet, pixelgenaue Manipulationserkennung und Metadatenanalyse. Fortschrittliche Systeme sind mit Tausenden authentischen Dokumentenvorlagen pro ausstellendem Land trainiert.

Fuer den deutschen Kontext bietet die NFC-Verifizierung des elektronischen Personalausweises eine zusaetzliche Schicht. Der Personalausweis (seit November 2010) und der Reisepass enthalten Chips mit biometrischen Daten, die kryptographisch gesichert sind. Das Auslesen des Chips bestaetigt die Authentizitaet des Dokuments auf eine Weise, die grafische Faelschungen nicht nachahmen koennen.

Fuer einen vollstaendigen Ueberblick ueber Verifizierungstechnologien lesen Sie unseren Leitfaden zu Methoden der Identitaetspruefung.

Biometrische Verifizierung und Lebenderkennung

Die biometrische Verifizierung vergleicht das Dokumentenfoto mit einer Live-Aufnahme des Inhabers. Die Lebenderkennung (Liveness Detection) bestaetigt, dass die Person physisch anwesend ist und es sich nicht um ein gedrucktes Foto, eine Maske oder ein Deepfake-Video handelt.

Drei Stufen der Lebenderkennung sind in der Praxis verfuegbar:

  • Passive Liveness: Analysiert ein einzelnes Bild auf Artefakte wie Bildschirmreflexionen, unnatuerliche Hauttextur oder flache Beleuchtung. Wirksam gegen gedruckte Fotos; unzureichend gegen fortgeschrittene Deepfakes.
  • Aktive Liveness: Fordert den Nutzer auf, Aktionen durchzufuehren (Kopf drehen, blinzeln). Robuster, aber anfaellig fuer Echtzeit-Deepfake-Generatoren.
  • Zertifizierte Liveness: Konform mit ISO/IEC 30107-3, kombiniert aktive und passive Analyse mit Echtzeit-Videostromauswertung. Das angemessene Niveau fuer regulierte KYC-Verifizierungen.

Die Bedrohung durch biometrische Deepfakes wird ausfuehrlich in unserem Artikel ueber Deepfakes und synthetische Identitaetsdokumente analysiert.

Datenabgleich und Kreuzverifizierung

Die dritte Schicht prueft die Konsistenz der angegebenen Daten gegen externe autoritative Quellen: Melderegister, Handelsregister, Schufa und andere Auskunfteien. In Deutschland ermoeglicht der Zugriff auf das Melderegister und die Datenbanken der Finanzaemter den Abgleich von Identitaetsdaten.

Der Datenabgleich ist besonders wirksam gegen synthetische Identitaeten. Ein visuell perfektes Dokument, dessen Steuer-ID nicht mit dem angegebenen Geburtsdatum uebereinstimmt, wird durch diese Art der Kontrolle erkannt.

Entscheidungsmatrix: Das richtige Verifizierungsniveau waehlen

Die Wahl der Verifizierungsmethode haengt vom Risikoniveau der Transaktion, dem anwendbaren regulatorischen Rahmen und dem Interaktionskanal mit dem Kunden ab.

Risikoniveau Empfohlener Ansatz Dokumentenpruefung Biometrie Datenverifizierung Standard
Niedrig OCR + Konsistenz Ja Nein Nein Interne Richtlinie
Standard Dokument + Selfie Ja Passive Liveness Optional GwG Basis
Hoch (KYC) Dokument + Video + Daten Ja Aktive Liveness Ja GwG verstaerkt
Sehr hoch (PEP/Sanktionen) Vollstaendig mehrschichtig Ja Zertifizierte Liveness Ja + verstaerkte Sorgfaltspflicht BaFin-Vorgaben

Fuer dokumentspezifische Verifizierungsanleitungen lesen Sie unseren Leitfaden zur Reisepass- und Ausweisdokument-Verifizierung.

Deutscher Regulierungsrahmen

Geldwaeschegesetz (GwG)

Das Geldwaeschegesetz (GwG) verpflichtet die nach Paragraph 2 Verpflichteten (Kreditinstitute, Versicherungsunternehmen, Rechtsanwaelte, Immobilienmakler, Wirtschaftspruefer und andere) zur Identifizierung und Verifizierung der Identitaet ihrer Kunden vor Begruendung einer Geschaeftsbeziehung. Paragraph 10 regelt die allgemeinen Sorgfaltspflichten, Paragraph 15 die verstaerkten Sorgfaltspflichten.

Bei Verstoessen gegen die Identifizierungspflichten koennen Geldbussen von bis zu 5 Millionen Euro oder 10 % des Jahresumsatzes verhaengt werden (Paragraph 56 GwG). Die BaFin hat in den Jahren 2023 bis 2025 mehrere Sanktionen gegen Institute mit unzureichenden Identifizierungsverfahren verhaengt.

Elektronischer Personalausweis (eID)

Der elektronische Personalausweis bietet seit November 2010 eine eID-Funktion, die eine sichere elektronische Identifizierung ermoeglicht. Die eID-Funktion nutzt den kontaktlosen Chip des Ausweises und einen sechsstelligen PIN. Fuer Unternehmen stellt die eID-Verifizierung die hoechste Sicherheitsstufe bei der Fernidentifizierung dar, da sie auf kryptographisch gesicherten, vom Bundesdruckerei ausgegebenen Zertifikaten basiert.

Das BSI empfiehlt die eID als bevorzugtes Mittel fuer die Fernidentifizierung im regulierten Umfeld. Die geringe Nutzungsrate (12 %) begrenzt jedoch die praktische Einsetzbarkeit als alleiniges Verifizierungsinstrument.

BSI-Empfehlungen zur Identitaetssicherheit

Das BSI veroeffentlicht Technische Richtlinien zur Identitaetspruefung, darunter die TR-03147 (Vertrauensniveauabbildung) und die TR-03107 (Elektronische Identitaeten und Vertrauensdienste). Diese Richtlinien definieren technische Mindestanforderungen fuer die Identitaetspruefung in verschiedenen Risikoszenarien und bilden die Grundlage fuer die Bewertung von Verifizierungsloesungen.

Praktische Umsetzung fuer Unternehmen

Verifizierungspunkte identifizieren

Der erste Schritt besteht darin, alle Punkte in der Kundenreise zu identifizieren, an denen die Identitaet festgestellt oder genutzt wird: Kontoeroeffnung, Vertragsunterzeichnung, Zugang zu regulierten Dienstleistungen. Jeder Punkt stellt eine potenzielle Angriffsflaeche dar.

Erkennungsschichten kombinieren

Keine einzelne Methode bietet allein ausreichenden Schutz. Der Konsens der deutschen Aufsichtsbehoerden -- BaFin, BSI und die GwG-Leitlinien -- ist eindeutig: Die Kombination von Dokumentenanalyse, Biometrie und Datenabgleich ist fuer Standard- und Hochrisikotransaktionen erforderlich.

Teams schulen

Technologie ersetzt nicht die menschliche Wachsamkeit. Mitarbeiter mit Kundenkontakt muessen geschult werden, um Warnsignale zu erkennen: Unstimmigkeiten zwischen dem vorgelegten Dokument und den Angaben des Kunden, auffaelliges Verhalten waehrend der Videoverifizierung, Zoegern bei der Vorlage ergaenzender Dokumente.

Fuer eine branchenspezifische Uebersicht der Verifizierungsanforderungen besuchen Sie unseren Leitfaden zur Branchenverifizierung.

FAQ

Wie viele Faelle von Identitaetsbetrug werden in Deutschland jaehrlich registriert?

Das BKA registrierte 2024 insgesamt 48 700 Urkundendelikte, davon 12 300 mit direktem Bezug zu Identitaetsfaelschung. Branchenschaetzungen gehen davon aus, dass die tatsaechliche Zahl drei- bis fuenfmal hoeher liegt, da viele Faelle nicht erkannt oder gemeldet werden.

Ist die eID-Funktion des Personalausweises fuer die Identitaetspruefung ausreichend?

Die eID-Funktion bietet die hoechste Sicherheitsstufe bei der Fernidentifizierung, da sie auf kryptographisch gesicherten Zertifikaten basiert. Allerdings nutzen nur 12 % der Deutschen diese Funktion regelmaessig. Unternehmen muessen daher alternative Verifizierungsmethoden anbieten und koennen sich nicht ausschliesslich auf die eID stuetzen.

Welche Strafen drohen bei Verstoessen gegen die Identifizierungspflichten?

Verstoesse gegen die Sorgfaltspflichten nach dem GwG koennen mit Geldbussen von bis zu 5 Millionen Euro oder 10 % des Jahresumsatzes geahndet werden. Schwere Verstoesse koennen zudem strafrechtliche Konsequenzen nach sich ziehen. Die BaFin hat in den vergangenen Jahren mehrere Sanktionen gegen Institute mit unzureichenden Verfahren verhaengt.

Was ist der Unterschied zwischen Identitaetsdiebstahl und synthetischer Identitaet?

Beim Identitaetsdiebstahl verwendet ein Betrueger die Daten einer existierenden Person. Bei der synthetischen Identitaet wird eine neue, nicht existierende Identitaet durch Kombination echter und fiktiver Daten geschaffen. Synthetische Identitaeten sind schwerer zu erkennen, da kein echtes Opfer existiert, das Alarm schlaegt.

Wie oft sollten Unternehmen ihre Betrugserkennungssysteme aktualisieren?

Mindestens jaehrlich. In der Praxis empfiehlt sich eine quartalsweise Ueberpruefung der Erkennungsregeln und Schwellenwerte, angesichts der schnellen Entwicklung KI-generierter Betrugstechniken. Das BSI empfiehlt zudem, aktuelle Bedrohungsinformationen aus dem Lagebericht und von branchenspezifischen Warnmeldungen der BaFin zu beruecksichtigen.

Fuer eine Vertiefung der Verifizierungsanforderungen in Ihrer Branche besuchen Sie unseren Leitfaden zur Branchenverifizierung. Weitere Informationen zu unseren Loesungen finden Sie auf unserer Homepage oder der Preisseite.

Thema vertiefen

Entdecken Sie unsere Praxisleitfäden und Ressourcen zur Dokumenten-Compliance.

Verwandte Artikel

Branche9 min

Notar Identitaetspruefung: digitale Transformation

Pflichten der Identitaetspruefung fuer Notare in Deutschland: rechtlicher Rahmen, digitale Werkzeuge, GwG-Compliance und digitale Transformation von Notariaten.

Lesen
Branche10 min

Dokumentenprüfung nach Branche: Sektorleitfaden 2026

Dokumentenprüfung nach Branche: Versicherung, Immobilien, Kanzleien, Steuerberater, Leasing, öffentlicher Sektor. Anforderungen und Lösungen pro Sektor.

Lesen
Branche9 min

Autohandel Dokumenten-Compliance: Kfz-Zulassung und Identitätsprüfung des Käufers

Vollständiger Leitfaden zur Dokumenten-Compliance im Autohandel in Deutschland: Kfz-Zulassung, Zulassungsbescheinigung Teil I und II, HU/TÜV, Halterwechsel beim KBA, Identitätsprüfung des Käufers und Dokumente je Transaktionstyp.

Lesen