Identitätsverifikation
Identitätsverifikation: höchste Sicherheitsstandards dank des KI-basierten Auto-Ident-Verfahrens
Experience, Sicherheit und Vertrauen beim Auto-Ident-Verfahren
Von Dieter Renken, Head of Information Security bei PXL Vision
Unbefugte Personen dürfen keinen Zugriff auf sensible Informationen und Daten haben. Diese einfache Formel ist eine Kernaufgabe der Cybersecurity und des Information Security Managements. Dazu gehört neben anderen Abwehrmechanismen, dass sich Personen – sowohl Anwender als auch Administratoren – identifizieren und authentifizieren müssen, um Zugang zu Systemen, Applikationen und Daten zu erhalten.
Durch die zunehmende Digitalisierung und gleichzeitige Regulierung wächst die Bedeutung einer automatischen Identifizierung, kurz Auto-Ident. Der Begriff beschreibt im Wesentlichen Maßnahmen und Technologien, mit denen Personen automatisiert identifiziert und authentifiziert werden können. Nehmen wir das Beispiel der Identitätsverifikation: Wenn eine Person etwa bei einer Bank ein Konto eröffnen möchte, muss sie eindeutig und zweifelsfrei identifiziert werden. Die Geldwäscheprävention verlangt, dass Finanzinstitutionen die Personen genau kennen, mit denen sie Transaktionen abwickeln („Know your Customer“), damit sie bei Auffälligkeiten Vorgänge und Personen an die Behörden melden können. Die Identifizierung des Neukunden geschieht heutzutage immer noch häufig durch persönliche Vorsprache bei der Bank. Dort müssen die Mitarbeitenden den Personalausweis des Neukunden ansehen und beurteilen, ob es sich um ein gültiges Dokument handelt und ob die Person vor ihnen der Person auf dem Ausweis entspricht.
Auto-Ident versus Post-Ident & Video-Ident
Die Verifikation von Identitäten wird auch in anderen Lebensbereichen benötigt, zum Beispiel, wenn eine Privatperson eine neue SIM-Karte für ihr Smartphone erwerben oder digital auf (ihre eigenen) medizinischen Daten zugreifen möchte. In einer digitalen Welt erscheint das Verfahren der Identitätsüberprüfung vor Ort (auch als Bank- oder Post-Ident bekannt) aufwendig und obsolet. Als Alternative kommt häufig das Video-Ident-Verfahren ins Spiel. Die Person wird dabei im virtuellen Raum einer Videokonferenz durch einen (Call Center-)Mitarbeiter identifiziert. Doch das Verfahren ist teuer, verlangt vom Anbieter einen hohen Personalaufwand und führt zu häufigen Abbrüchen, weil es von möglichen Neukunden als unangenehm empfunden wird.
Wie sicher und zuverlässig sind automatisierte Identifikationsverfahren?
Das Video-Ident-Verfahren erspart dem Neukunden zwar den Besuch in einer Post- oder Bankfiliale, ist von einer effizienten Automatisierung aber noch weit entfernt. Das Auto-Ident-Verfahren ist hier die nächste Stufe, die Identifikation erfolgt ohne direkte Interaktion mit einem Menschen und zu jeder Tages- oder Nachtzeit. Automatisierte Identifizierungsverfahren per Smartphone arbeiten inzwischen auf demselben Niveau wie eine physische Prüfung durch einen Menschen.
Der Grund für die gute Genauigkeit bei vielen Auto-Ident-Verfahren liegt im Einsatz von künstlicher Intelligenz, deren Algorithmen durch anhaltendes Trainieren mit Vorgangsdaten optimiert werden. So wird die Fehlerquote gesenkt. Auch für die Anwender ist das Verfahren unkompliziert: Für ein KI-basiertes Identifikationsverfahren muss die Kundin oder der Kunde sein Identitätsdokument mit der Smartphone-Kamera scannen und ein kurzes Selfie-Video aufnehmen. So kann überprüft werden, ob die Person zum Ausweis passt. Dieses Matching nimmt bei automatisierten Verfahren ein Algorithmus vor. Das Ausweisdokument wird zuverlässig auf Gültigkeit geprüft, biometrische Daten werden ausgewertet und abgeglichen. Der gesamte Prozess der Identitätsverifikation kann bei Auto-Ident deutlich schneller durchgeführt werden als bei anderen Verfahren, beim Anbieter PXL Vision beispielsweise in durchschnittlich 30 Sekunden.
So gut können Algorithmen Lebendigkeit erkennen
Im Rahmen des gesamten Verfahrens ist es unabdingbar, die sogenannte Lebenderkennung durchzuführen, also festzustellen, ob es sich bei der Person vor der Kamera um eine lebende Person handelt. Die Erkennung der Lebendigkeit ist eine wichtige Sicherheitsmaßnahme, mit der Betrugsversuche durch vorgehaltene Fotos oder 3-D-Masken stark reduziert werden können. Unterschieden wird zwischen aktiver und passiver Lebenderkennung. Bei der aktiven Erkennung muss der Benutzer auf Aufforderung etwas tun, zum Beispiel lächeln, sprechen oder den Kopf drehen, um zu beweisen, dass er oder sie am Leben ist.
Passive Lebenderkennung: hohe Sicherheit und guter Nutzerkomfort
Die passive Lebenderkennung ist im Allgemeinen genauer als die aktive. Außerdem ist sie für die Nutzenden viel bequemer, da sie keine künstlichen Bewegungen vor der Kamera ausführen müssen. Im Gegensatz zur aktiven Erkennung von Lebendigkeit werden bei der passiven Methode Merkmale von Präsentationsangriffen wie Kanten, Textur und Tiefe erkannt, um das Gesicht einer lebenden Person eindeutig von einem leblosen oder gefälschten Gesicht zu unterscheiden. Das heißt, die Erkennung lässt sich nicht so leicht durch Animationssoftware täuschen, die Gesichtsausdrücke wie Lächeln oder Stirnrunzeln nachahmt. Sie kann auch mit sogenannten Präsentationsangriffen wie starken Fälschungen, 3-D-Masken, Puppen usw. umgehen.
So wird der Datenschutz beim Auto-Ident-Verfahren gewährleistet
Lebenderkennung, Personen-Matching, Gültigkeitsabgleich – der Prozess eines Auto-Ident-Verfahrens ist ziemlich komplex. Die dabei genutzten biometrischen und personenbezogenen Daten sind besonders sensitiv und müssen auf hohem Niveau geschützt werden. Die rechtliche Basis für den Schutz der Daten liefert die EU-Datenschutz-Grundverordnung (DSGVO). Sie verpflichtet alle Unternehmen, gesetzlich, personenbezogene Daten am jeweiligen Verwendungszweck orientiert zu erheben und zu verarbeiten und diese technisch und organisatorisch nach dem Stand der Technik zu schützen. Dazu gehört, dass die dahinterstehenden Prozesse sicher und zuverlässig gestaltet sind und laufend weiter verbessert werden. Der Zugriff auf personenbezogene Daten ist strikt begrenzt und alle Daten werden bei Übermittlung und Speicherung durch Verschlüsselungsverfahren geschützt. Diese und weitere Sicherheitsmaßnahmen schaffen die nötige Vertraulichkeit, Integrität und Verfügbarkeit der anvertrauten Daten. Gemäß der EU-Datenschutz-Grundverordnung informieren Auto-Ident-Anbieter ihre Nutzenden transparent und umfassend darüber, welche Daten sie für welche Zwecke nach entsprechender Einwilligung erheben und speichern.
Fazit
Auto-Ident gilt nicht umsonst als richtungsweisendes Verfahren, um mit Hilfe einer künstlichen Intelligenz sicher, schnell und kostengünstig die Identität einer Person zu verifizieren. Schon heute erreicht die KI-basierte Identitätsverifikation ein vergleichbares Niveau wie die Prüfung durch eine reale Person – und das schneller und günstiger. Das liegt insbesondere an der stetigen Verbesserung und Optimierung der KI durch neue Daten. So ist auch eine passive Lebenderkennung sehr gut möglich. Unerlässlich ist der Schutz aller sensiblen Daten, zum Beispiel durch starke Verschlüsselungstechnologien. Das Auto-Ident-Verfahren kann so viele Vorteile für sich verbuchen und sich als wertvoller Baustein in einer digitalen Gesellschaft etablieren.
Über Den Autor
Dieter Renken verfügt über mehr als 20 Jahre Erfahrung in den Bereichen Informationssicherheit, Information Technology , Risikomanagement und Compliance. Als Head of Information Security ist er bei PXL Vision für das gesamte Information Security Management, die Definition und Weiterentwicklung der Sicherheits-Policies und -Prozesse, und die rechtskonforme Einhaltung der relevanten Sicherheitsstandards verantwortlich.
