Probleme mit digitaler ID durch Fragmentierung und KI

Transparenz

In verschiedenen Ländern wird die Einführung digitaler IDs zur Identifizierung für verschiedene Dienste und schließlich für Wallets mit digitalen Zentralbankwährungen (CBDC) angestrebt.

Doch weltweit hat sich die Umsetzung weitgehend verzögert, da die Regierungen daran arbeiten, die Fehler in den Systemen auszubügeln und den Widerstand der Öffentlichkeit zu überwinden.

Im Dezember 2024 veröffentlichte die britische Regierung Pläne zur Verabschiedung eines neuen Gesetzes im Jahr 2025.

Danach sollen Kneipen, Bars und Geschäfte eine digitale ID von einer genehmigten Liste von Ausstellern als Altersnachweis akzeptieren.

Diese freiwillige Option ist jedoch weit von einem vollständigen nationalen digitalen ID-System entfernt.

Länder wie Australien führen Pilotprojekte durch und wollen bis 2030 voll funktionsfähige digitale Ausweise einführen.

In den USA ist es noch schwieriger, da es kein föderales System für den Start des Prozesses gibt, weil die IDs von den einzelnen Staaten verwaltet werden.

So werden beispielsweise mobile Führerscheine nur in 13 US-Bundesstaaten akzeptiert. Damit sie einen brauchbaren Ersatz für herkömmliche Ausweise darstellen können, sind umfangreiche Infrastruktur-Upgrades erforderlich.

Trotz technischer Verzögerungen, regulatorischer Herausforderungen und öffentlichem Widerstand gibt es auch Tools für generative KI und Randomisierung, mit denen es für Cyberkriminelle einfacher denn je ist, Identitätsdiebstahl zu begehen und gefälschte Identitäten zu erstellen, die immer schwerer zu erkennen sind.

Techopedia untersucht die zunehmende Zahl von digitalem Identitätsbetrug und gibt Ratschläge für Unternehmen, die im Rahmen ihrer Aufgaben auf die ID angewiesen sind.

Wichtigste Erkenntnisse

  • Digitale IDs spielen für die sichere Identifizierung eine immer größere Rolle, stehen aber vor Herausforderungen bei der weltweiten Einführung.
  • Eine fehlende Standardisierung behindert die grenzüberschreitende Übernahme der digitalen Identität und erfordert zumindest deren Einführung auf nationaler Ebene.
  • Generative KI-Tools ermöglichen einfache Angriffe auf die Identität, was die Sicherheitsmaßnahmen erschwert.
  • Biometrie– und Blockchain-Technologien erhöhen die Ausweissicherheit, bedürfen aber einer breiten Akzeptanz.
  • Unternehmen müssen Schutzmaßnahmen zur Bekämpfung der sich entwickelnden Betrugstaktiken ergreifen.

Warum verzögert sich die Einführung der digitalen ID?

In einigen Regionen sind die Initiativen zur Einführung nationaler digitaler IDs bereits vorangekommen, so z. B. in Indien mit dem Aadhaarsystem, das 2009 gestartet wurde und in dem rund 99 % der Erwachsenen des Landes erfasst sind.

Verschiedene Staaten in Subsahara-Afrika haben biometrische digitale Ausweissysteme eingeführt, zeitgleich mit der zunehmenden Nutzung von Smartphones zur Registrierung von Personen für den Zugang zu Dienstleistungen.

Eine der Herausforderungen für eine breite Durchsetzung auf der ganzen Welt ist jedoch der Mangel an Standardisierung und Interoperabilität.

Ofer Friedman, Chief Business Development Officer beim Identitätsprüfungsunternehmen AU10TIX, erklärte gegenüber Techopedia Folgendes:

„Jede Regierung oder Region hat ihre eigenen Standards und Rahmenbedingungen, so dass die Lösungen in der Regel nicht ‚miteinander sprechen‘, obwohl viele Märkte grenzüberschreitend sind.“

„Einige sind eher besorgt darüber, was und wie digitale IDs existieren sollten, während andere zuversichtlicher sind. Viele Länder gehen eher stückweise vor, als dass sie an einem einheitlichen, globalen Rahmen mitarbeiten.“ 

„Die USA sind ein perfektes Beispiel dafür, dass es kein einheitliches föderales System für digitale Ausweise gibt und die einzelnen Bundesstaaten und Privatunternehmen mit Lösungen wie mobilen Führerscheinen experimentieren.“

Da die Umstellung eines Identitätssystems für alle Bürger und Einwohner ein großes Unterfangen ist, gehen die Regierungen mit unterschiedlichem Tempo an die Einführung heran, was laut Friedman den Tätern ein längeres Zeitfenster bietet.

„Ohne allgemeine Akzeptanz, grenzüberschreitende Interoperabilität, eine Infrastruktur, die sowohl die öffentliche als auch die private Übernahme unterstützt, und ein sich ausbreitendes Gefühl des Vertrauens in ein digitales Identitätssystem wird die Zersplitterung dieser Bemühungen den Fortschritt weiter aufhalten“, fügte Friedman hinzu.

Es gibt mehrere Faktoren, die Ländern helfen können, digitale IDs erfolgreich einzuführen, so Friedman:

  • Eine Einigung auf universelle Standards und grenzüberschreitende Interoperabilität – vorzugsweise weltweit oder zumindest auf regionaler Ebene.
  • Eine vollständige Arbeitsumgebung, die Benutzerlösungen und Backend-Lösungen umfasst.
  • Ein einflussreicher Vorreiter, wie z. B. Australien, das eine Altersfreigabe einführt, die den Markt auf das Konzept vorbereitet.
  • Allgemeine Akzeptanz bei Regierungen und privaten Dienstleistern. Ohne diese Elemente wird die Übernahme fragmentiert bleiben, was das volle Potenzial der digitalen Identitäten einschränkt. So haben beispielsweise die Länder der Europäischen Union Pilotprogramme für verschlüsselte digitale Identitäts-Wallets gestartet.
  • Benutzerfreundlichkeit durch allgemein verbreitete Identitäts-Wallets, die ein einfaches, vertrauenswürdiges Nutzererlebnis bieten.

Die Priorisierung von Sicherheit und Interoperabilität auf regionaler Ebene wäre ein wichtiger Schritt nach vorn.

Darüber hinaus können die Tests skalierbarer und sicherer digitaler ID-Systeme in Afrika Aufschluss darüber geben, wie Regionen mit Herausforderungen die Einführung erfolgreich angehen können.

„Universelle Standards gibt es noch nicht, aber mit den neuesten Richtlinien des National Institute of Standards and Technology (NIST) zur digitalen Identität (SP 800-63 Revision 4), die ein Gleichgewicht zwischen Sicherheit und tatsächlicher Nutzbarkeit dieser Systeme herstellen sollen, sind echte Fortschritte zu verzeichnen.“

„Sie konzentrieren sich auf einige wichtige Bereiche wie die Sicherstellung, dass die Authentifizierung nicht gefälscht werden kann, und den Schutz vor ausgeklügelten Social Engineering-Angriffen. Aber es gibt noch viel zu tun“, so Friedman.

„Wir brauchen vor allem drei Dinge: Erstens müssen diese Ausweise grenzüberschreitend funktionieren – ohne Ausnahmen. Zweitens brauchen wir solide Sicherheitsprotokolle, insbesondere im Bereich der Biometrie, da die persönlichen Daten der meisten Menschen bereits durch verschiedene Sicherheitsverletzungen kompromittiert worden sind. Drittens: Wir brauchen eine breite Akzeptanz. Die Standards stehen auf dem Papier, aber wie bekommen wir jeden dazu, sie tatsächlich umzusetzen? Das ist die eigentliche Herausforderung.“

Würden allgemein verwendete digitale IDs KI-gesteuerten Betrug verhindern?

Digitale IDs können einen wirksamen Schutz gegen KI-gestützten Betrug bieten, indem sie stärkere, standardisierte Maßnahmen zur Identitätsüberprüfung einführen.

Sie enthalten biometrische Daten wie Fingerabdrücke, Gesichtserkennung und Iris-Scans, die es KI-generierten synthetischen Identitäten erschweren, die Verifikationssysteme zu umgehen.

Denn wenn es um biometrische Scans geht, hat die generative KI Schwierigkeiten, physische Merkmale effektiv zu duplizieren.

Die Abkehr von statischen Identifikatoren wie Geburtsdaten, Adressen und staatlichen Ausweisnummern ist wichtig, da diese leicht kompromittiert werden können.

Darüber hinaus können viele Systeme für digitale Identitäten auf Blockchains oder anderen dezentralen Plattformen aufgebaut werden, ohne dass es einen einzigen Ausfallpunkt gibt.

Außerdem können sie zur Authentifizierung der Identität einer Person kryptografische Techniken wie öffentlich-private Schlüsselpaare und digitale Signaturen verwenden. Dies verhindert Manipulationen und Nachahmungen durch KI-Tools.

Eine Multi-Faktor-Authentifizierung oder eine kontinuierliche Identitätsprüfung in Echtzeit, z. B. anhand von Tastenanschlagsmustern und Mausbewegungen, kann auch KI-gesteuerte automatisierte Versuche zur Verletzung der Sicherheit erkennen.

„Es ist nicht nur KI an sich, die den erheblichen Anstieg des Betrugs ermöglicht. Es ist das Aufkommen von fertigen ‚Lösungen‘, die eine Massenproduktion von Nachahmungen, Umgehungen und zielgerichteten Anpassungen bieten.“

„Ohne diese Lösungspakete würden die KI-Tools eine lange Liste von Schrauben und Muttern bleiben, deren effektive Implementierung viel Zeit und Mühe erfordert“, so Friedman.

„Die neuesten KI-Betrugsplattformen bieten IDFaas (ID Fraud as a Service), ergänzt durch Randomisierung und andere Algorithmen.“

„Mit solchen Werkzeugen können Betrüger endlose Variationen von gefälschten Identitäten erzeugen – jede einzelne einzigartig und mit herkömmlichen Methoden kaum zu erkennen.“

„Im Gegensatz zu älteren Methoden der Identitätsfälschung, die sich oft auf Vorlagen stützten, hat generative KI den Identitätsbetrug zu einem groß angelegten, industriellen Verfahren gemacht, bei dem keine zwei Fälschungen identisch sind“, so Friedman weiter.

„Unternehmen, die sich auf veraltete Tools zur Identitätsüberprüfung verlassen, sind besonders anfällig für diese raffinierten Angriffe.“

Betrüger nutzen verschiedene Lücken aus, darunter die Verfügbarkeit persönlicher Informationen auf Social-Media-Plattformen und im Dark Web, die menschliche Tendenz, bekannten Gesichtern und Stimmen zu vertrauen, sowie die Schwierigkeit, hochwertige Fälschungen zu identifizieren, und die Fähigkeit der Angreifer, Attacken in einen Kommunikationsfluss einzuschleusen, anstatt zu versuchen, Kameras zu täuschen.

Darüber hinaus beschränken sich viele Dienstanbieter oft auf ein Minimum an Verteidigungssystemen, die die gesetzlichen Anforderungen erfüllen, und geben nicht viel Geld für fortschrittlichere Funktionen aus.

Das Versäumnis mancher Organisationen, sich mit dem Benutzererlebnis auseinanderzusetzen, kann sich auf die Qualität der Erkennung auswirken, so Friedman.

Er fügte hinzu, dass Marketingversprechen von Sicherheitsanbietern Unternehmen dazu verleiten können, an eine unrealistische Leistung zu glauben.

Wie können sich Unternehmen vor KI-Identitätsbetrug schützen?

Dabei geht es nicht nur um die Geschwindigkeit der Einführung digitaler Identitäten, sondern auch um die Frage, ob die derzeitigen Ansätze zur Identitätsüberprüfung zweckmäßig sind.

Solange Unternehmen und Regierungen keine umfassenden Strategien annehmen, die sich an die neuen Methoden der Betrüger anpassen, wird der Kampf gegen KI-gesteuerten Betrug wahrscheinlich hart bleiben.

Friedman ergänzte:

„Wie viele Unternehmen kennen Sie, die über einen zweischichtigen Schutz verfügen? Zu wenige. Es wird niemanden überraschen zu erfahren, dass die Mehrheit der Unternehmen nicht einmal einen grundlegenden KI-Betrugsschutz hat.“

Da KI-gestützte Angriffe in der Regel auf menschlich nicht erkennbare Fälschungen abzielen, sind Back-Office-Mitarbeiter vermutlich nicht in der Lage, die maschinelle Erkennung zu entdecken oder zu untermauern.

„Es sollte auch bedacht werden, dass es zwar erste Technologien zur Bekämpfung von KI-gestütztem Betrug gibt, viele Unternehmen aber noch nicht in sie investiert haben und sich damit diesen ausgeklügelten Angriffen gegenüber weit offen zeigen.“

Unabhängig von den Ursachen müssen Organisationen dringend ihre Abwehrmaßnahmen gegen KI-gesteuerten Betrug verstärken.

Sich ausschließlich auf die mögliche Einführung digitaler IDs zu verlassen, könnte die Unternehmen in der Zwischenzeit angreifbar machen.

Stattdessen müssen sie einen Ansatz wählen, der sofortige Schutzmaßnahmen mit langfristigen Lösungen kombiniert.

Welche praktischen Schritte können Unternehmen ergreifen, um sich bis zur Einführung von digitalen Identitäten zu schützen?

Es ist wichtig, die Identitätsüberprüfung zu verbessern, um fortschrittliche KI-gesteuerte Systeme wie Gesichtserkennung oder Fingerabdruckscans zum Schutz vor synthetischen Identitäten zu implementieren.

Die Durchsetzung einer Multi-Faktor-Authentifizierung, z. B. Passwörter in Kombination mit Codes von Authentifizierungs-Apps oder SMS-Nachrichten, kann Schwachstellen verringern.

Damit Unternehmen aufkommenden Bedrohungen immer einen Schritt voraus sind, müssen sie die neuesten Entwicklungen im Bereich KI und Cyberkriminalität verfolgen und die Algorithmen zur Betrugserkennung regelmäßig aktualisieren.

So können sie Muster aufdecken, die mit synthetischen Identitäten verbunden sind.

Friedman sagte:

„Unternehmen sollten ihre Abwehrmaßnahmen überprüfen, um zu verstehen, gegen welche Bedrohungen sie sich aktiv und mit welchem Grad an Effektivität verteidigen.“

„Sie sollten eine zweistufige Verteidigungsstrategie anwenden, die sowohl die Erkennung von Bedrohungen auf Einzelfallbasis als auch die Aufdeckung von Datenverkehr umfasst, um kriminelle Organisationen und wiederholte Muster verdächtiger Aktivitäten zu identifizieren.“

„Ich würde auch allen Unternehmen empfehlen, ihre Anbieter zu fragen, welche Art von Schutz sie aktiv gegen Deepfakes und Injektionen einsetzen. Schließlich sollten Unternehmen prüfen, auf welche zusätzlichen Risikofaktoren, insbesondere gerätebasierte, ihre derzeitige Lösung achtet.“

Außerdem müssen die Unternehmen ihre Mitarbeiter darin schulen, wie man Identitätsbetrug erkennt, und ihr Wissen durch regelmäßige Fortbildung auf dem neuesten Stand halten.

Fazit

Digitale IDs können einen starken Schutz gegen KI-gesteuerten Betrug bieten. Sie sind jedoch keine eigenständige Lösung, und ihre Wirksamkeit hängt von ihrer Konzeption, Umsetzung und globalen Anwendung ab.

Universelle digitale IDs können standardisierte Prozesse zur Identitätsüberprüfung schaffen, die das Risiko von Lücken zwischen verschiedenen Branchen und Ländern verringern, die Betrüger ausnutzen können.

Nicht alle Regionen verfügen über die technologische Infrastruktur für digitale ID-Systeme. Die uneinheitliche weltweite Einführung bietet Angreifern Schwachstellen für grenzüberschreitenden Betrug.

Trotz der Wirksamkeit biometrischer Verfahren kann KI in einigen Fällen immer noch sehr überzeugende synthetische Daten erzeugen.

Aus diesem Grund ist für eine umfassende Betrugserkennung und einen entsprechenden Schutz nach wie vor ein mehrschichtiger Sicherheitsansatz erforderlich.

FAQ

Warum hat sich die Einführung des digitalen Personalausweises in vielen Ländern verzögert?

Wie trägt KI zum Identitätsbetrug bei?

Können digitale IDs KI-gesteuerten Betrug verhindern?

Was können Unternehmen zur Bekämpfung von Identitätsbetrug tun, bis digitale Ausweise auf breiter Basis eingeführt sind?

Wie wirkt sich der Mangel an Interoperabilität auf die Einführung der digitalen Identität aus?

Verwandte Begriffe

In Verbindung stehende Artikel

Nicole Willing
Editor

Nicole Willing verfügt über zwei Jahrzehnte Erfahrung im Schreiben und Redigieren von Inhalten über Technologie und Finanzen. Sie hat Erfahrung in der Berichterstattung über Rohstoff-, Aktien- und Kryptowährungsmärkte sowie über die neuesten Trends im gesamten Technologiesektor, von Halbleitern bis hin zu Elektrofahrzeugen. Ihr Hintergrund in der Berichterstattung über Entwicklungen bei Telekommunikationsnetzwerken und -diensten sowie der industriellen Metallproduktion gibt ihr eine einzigartige Perspektive auf die Konvergenz von Internet-of-Things-Technologien und Fertigung.