Synthetischer Identitätsbetrug KYC

Das echte Ausmaß des Problems

Synthetischer Identitätsbetrug ist laut Mastercard die weltweit am schnellsten wachsende Form von Finanzkriminalität. Allein im Jahr 2024 beziffert Mastercard den globalen Schaden auf geschätzte 5 Milliarden US-Dollar — Tendenz stark steigend. Die Beratungsgesellschaft Deloitte prognostiziert, dass synthetischer Identitätsbetrug bis 2030 kumuliert rund 23 Milliarden Dollar Schaden verursachen wird, wenn Finanzinstitute ihre Erkennungssysteme nicht grundlegend erneuern.

In der DACH-Region zeigt sich das Problem in Zahlen: Laut einer PwC-Erhebung (EMEA Geldwäsche Umfrage 2024) gaben 70 Prozent der befragten Finanzinstitute an, im vorangegangenen Jahr die Nutzung mittels KI erzeugter synthetischer Identitäten bei der Neukundenakquise festgestellt zu haben. Gleichzeitig waren 86 Prozent der befragten Institute im gleichen Zeitraum Gegenstand von BaFin-Sonderprüfungen — ein Hinweis darauf, dass regulatorischer Druck und Betrugsentwicklung sich überlagern.

Was die Verlustberechnung zusätzlich schwierig macht: Synthetischer Identitätsbetrug wird oft erst Monate nach dem Onboarding entdeckt, wenn Konten maximal ausgereizt wurden und der „Kunde” verschwunden ist. Die Dunkelziffer ist entsprechend hoch — viele Institute unterschätzen ihr eigenes Exposure.

Besonders betroffen sind:

• Neobanken und Fintechs mit volldigitalem Onboarding und hohem Volumen
• Konsumentenkreditgeber und BNPL-Anbieter mit schnellen Kreditentscheidungen
• Sparkassen und Genossenschaftsbanken, die Online-Konten anbieten, aber keine eigene Betrugsprävention jenseits klassischer Schufa-Prüfung haben
• Krypto-Handelsplätze, bei denen Auszahlungen durch KYC-Identitäten autorisiert werden

Synthetische Identitäten verstehen: Die drei Typen

Nicht alle synthetischen Identitäten funktionieren gleich. Wer die Erkennungssysteme richtig konfigurieren will, muss die Unterschiede kennen.

Typ 1 — Frankenstein-Identitäten (klassisch): Der Betrüger kombiniert eine echte Sozialversicherungsnummer (oder Steuer-ID / IBAN-Stammdaten) mit einem frei erfundenen Namen, einer anderen Adresse und einem passenden Geburtsdatum. Die Sozialversicherungsnummer gehört einer realen Person — oft einem Kind, einem Verstorbenen oder jemandem, der selten Finanzdienstleistungen nutzt —, aber alle anderen Daten sind konstruiert. Das Ergebnis: eine Identität, die in keiner staatlichen Datenbank als kriminell geführt wird, weil sie technisch gesehen nirgends komplett falsch ist.

Typ 2 — Credit Washing: Eine bestehende synthetische Identität mit negativen Einträgen (zum Beispiel Zahlungsausfälle aus früheren Betrugsrunden) wird durch das Einreichen falscher Identitätsdiebstahl-Beschwerden bereinigt. Das Opfer der Beschwerde ist die echte Person, deren Daten anfangs verwendet wurden. Nach erfolgreichem „Credit Washing” erscheint die synthetische Identität bonitätsmäßig sauber — ein erheblicher Aufwertungsschritt für den zweiten Angriff.

Typ 3 — Manufactured Synthetics (KI-generiert): Mit generativer KI können heute überzeugend plausible vollsynthetische Identitäten erstellt werden, die keine realen Datenbestandteile enthalten: Fotorealistische Ausweisdokumente, stimmige biometrische Selfies, konsistente Adress- und Kontaktdatensets. Diese Identitäten haben keinen echten Opfer-Bezug — sie bestehen komplett aus fabrizierten Daten und werden zunehmend in Massen eingesetzt.

Die Erkennungslogik muss für alle drei Typen unterschiedlich kalibriert werden. Ein System, das nur auf offensichtlich gefälschte Dokumente ausgelegt ist, wird Frankenstein-Identitäten systematisch verpassen.

Warum klassisches KYC blind dafür ist

Das eigentliche Problem liegt in der Architektur traditioneller KYC-Systeme: Sie prüfen Datenelemente isoliert, nicht in ihrer Kombination.

Ein regelbasiertes KYC-System fragt: Existiert diese Personalausweisnummer? Ist die Adresse korrekt in der Postleitzahlendatenbank? Gibt es einen negativen Schufa-Eintrag? Stimmt das Foto mit dem Ausweis überein?

Für eine synthetische Frankenstein-Identität lautet die Antwort auf alle diese Fragen: Ja. Die Ausweisnummer ist real. Die Adresse existiert. Es gibt keinen negativen Eintrag. Das Foto wurde mit professioneller KI generiert und besteht die Liveness-Prüfung.

Was die Prüfung nicht feststellt: Dass dieselbe Geräte-Fingerprint-Signatur vor fünf Wochen bei drei anderen Onboardings verwendet wurde. Dass die E-Mail-Domain erst acht Tage alt ist. Dass der Tipp- und Scrollrhythmus beim Ausfüllen des Formulars identisch mit einem automatisierten Bot-Skript ist. Dass die Adresse mit 14 anderen Neukonten geteilt wird, die alle in derselben Woche eröffnet wurden.

Kein einzelnes dieser Signale ist eindeutig. In Kombination ergeben sie ein hochverdächtiges Muster — aber klassische Regelwerke können diese Kombination nicht sehen. Sie brauchen für jede neue Betrugsform eine manuell hinzugefügte Regel. Und bis die Regel formuliert ist, hat der Betrüger hundert weitere Konten eröffnet.

Machine Learning-Modelle lösen genau dieses Problem: Sie lernen aus dem Muster der Kombinationen, nicht aus der Überprüfung einzelner Felder.

Mit vs. ohne KI — ein ehrlicher Vergleich

Die Zahlen zur Erkennungsrate aus regelbasierten Systemen stammen aus dem iProov Fraud Intelligence Report 2026 und aus der Analyse des BankInfoSecurity-Berichts „AI Tools and Synthetic IDs Fracture KYC Programs” (2025). Die KI-Systemwerte basieren auf Anbieterangaben und publizierten Case Studies — sie setzen aktives Modelltraining und Feedback-Loops voraus.

Einschätzung auf einen Blick

Zeitersparnis — hoch (4/5) Das System verkleinert die manuelle Review-Queue im KYC-Prozess erheblich: Statt 80–120 manueller Prüfungen je 1.000 Onboardings bleiben 15–40 übrig. Das entlastet Compliance-Analysten direkt und gibt ihnen mehr Zeit für echte Verdachtsfälle. Verglichen mit KI-Anwendungen, bei denen der Zeiteinsparungseffekt diffus ist, ist dieser hier konkret messbar — daher höher bewertet als der Branchendurchschnitt.

Kosteneinsparung — hoch (4/5) Der Direktnutzen ist doppelt: eingesparte Betrugsverluste (je nach Institutsvolumen 50.000–500.000 € pro Jahr) und reduzierter Compliance-Personalaufwand durch kleinere Review-Queues. Die Einsparungen sind stärker als bei Anwendungsfällen, bei denen der KI-Nutzen indirekt über Prozessoptimierung entsteht. Einschränkung: Die Kostenersparnis setzt voraus, dass das Modell gut trainiert ist und aktiv gepflegt wird — ein unreifes System erhöht zunächst die False-Positive-Rate und damit den Aufwand.

Schnelle Umsetzung — gering (2/5) Der Implementierungsaufwand ist einer der größten in der finanzen-Kategorie. Die technische Integration in bestehende Core-Banking- und KYC-Systeme, das Training der Modelle auf historischen Onboarding-Daten, die Abstimmung mit der BaFin-Compliance-Funktion und die regulatorische Dokumentation (GwG §10, BaFin AuA 2025) beanspruchen realistisch 6–12 Monate. Wer schneller gehen will, opfert entweder Tiefe oder regulatorische Belastbarkeit.

ROI-Sicherheit — mittel (3/5) Der ROI ist messbar, aber unsicher in seiner Größenordnung — weil die entscheidende Kennzahl, die tatsächliche Expositionshöhe, vor Implementierung unbekannt ist. Viele Institute unterschätzen ihre eigene synthetische ID-Rate erheblich. Das erschwert die Business-Case-Kalkulation: Wer wenig Betrug vermutet, der wenig sichtbar ist, rechnet sich keinen großen ROI aus — tatsächlich sind die Verluste oft deutlich höher als gedacht.

Skalierbarkeit — sehr hoch (5/5) Einmal implementiert, wächst das System mit dem Onboarding-Volumen ohne proportional steigenden Betriebsaufwand. 1.000 oder 100.000 Onboardings pro Monat werden mit demselben Modell und derselben Infrastruktur verarbeitet. Der einzige zusätzliche Aufwand mit steigendem Volumen: mehr Trainingsbeispiele verbessern die Modellqualität, was einen positiven Skalierungseffekt erzeugt statt eines negativen.

Richtwerte — stark abhängig von Onboarding-Volumen, vorhandener Dateninfrastruktur und regulatorischem Setup des Instituts.

Was das System konkret macht

Das Grundprinzip lautet: Signale kombinieren, die kein Betrüger vollständig kontrollieren kann.

Schicht 1 — Dokumentenprüfung (notwendig, aber nicht ausreichend): IDnow oder Onfido prüfen Dokumentenechtheit und biometrische Übereinstimmung. Das filtert offen gefälschte Dokumente. Gegen hochwertige KI-generierte Synthetics reicht das allein nicht mehr — hier helfen die folgenden Schichten.

Schicht 2 — Device Intelligence und Verhaltensbiometrie: Noch bevor ein Nutzer seinen Ausweis einreicht, erfasst ein eingebettetes SDK (zum Beispiel Sardine) hunderte Gerätesignale: Browser-Fingerprint, IP-Geolokation, verwendetes Betriebssystem, Schriftarten-Profil, Batteriestatus, VPN-Nutzung. Parallel dazu: Tipprhythmus, Scrollmuster, Mausbewegungen — jede Person verhält sich auf einem digitalen Formular statistisch einzigartig. Wer ein Skript nutzt, wer in einer virtuellen Maschine sitzt, wer dieselbe Session-Signatur wie 50 andere Onboardings in der Vorwoche hat, wird erkannt.

Schicht 3 — Identity-Graph-Analyse: Eine Graphdatenbank verknüpft alle Onboardings anhand gemeinsamer Attribute: E-Mail-Domain, Telefonnummer, Adresse, Gerät, IP-Block. Wenn ein Betrugsring 200 synthetische Identitäten in drei Wochen onboardet, teilen sie zwangsläufig einige dieser Attribute. Graph-Algorithmen erkennen diese Cluster auch dann, wenn jede Einzelidentität für sich unauffällig aussieht.

Schicht 4 — Scoring und Review-Queue: Ein Machine-Learning-Modell aggregiert alle Signale zu einem Risikowert. Eindeutig sichere Fälle werden automatisch durchgelassen, eindeutig verdächtige automatisch blockiert, Grenzfälle in eine manuelle Review-Queue übergeben — mit einer Begründung, die erklärt, welche Signale den Score treiben. Das ist der Unterschied zu einer Black Box: Compliance-Analysten können die Entscheidung nachvollziehen und beim nächsten Modell-Update Feedback geben.

Die Rückkopplungsschleife ist entscheidend: Jeder Fall, den ein Analyst manuell bearbeitet, liefert gelabelte Trainingsdaten. Das Modell verbessert sich kontinuierlich — aber nur, wenn der Feedback-Prozess systematisch und diszipliniert gepflegt wird.

Regulatorischer Kontext: GwG, BaFin AuA 2025, EBA GL 2020/06

In Deutschland ist der KYC-Prozess primär durch das Geldwäschegesetz (GwG) reguliert. § 10 GwG schreibt allgemeine Sorgfaltspflichten vor, § 15 GwG verstärkte Sorgfaltspflichten für Hochrisikokunden. Die BaFin veröffentlichte im November 2024 aktualisierte Auslegungs- und Anwendungshinweise (AuA), die ab 1. Februar 2025 gelten: Risikofaktoren für Geldwäsche und Terrorismusfinanzierung müssen künftig getrennt ermittelt und dokumentiert werden. Das betrifft direkt die Qualität der Risikoklassifizierung im Onboarding — und damit die Frage, wie gut das Institut synthetische Identitäten in sein Risikoscoring einpreist.

Auf europäischer Ebene sind die EBA-Leitlinien zur Geldwäscheprävention (EBA GL 2020/06) maßgeblich. Sie verpflichten Institute, risikobasierte Kundenprüfungen durchzuführen — und beschreiben explizit, dass digitale Onboarding-Kanäle erhöhte Risiken für Identitätsbetrug aufweisen und entsprechend angepasste Prüfmethoden erfordern.

Drei praktische Implikationen für die KI-Implementierung:

1. Explainability ist Pflicht, keine Option. BaFin-Prüfer erwarten, dass eine KYC-Entscheidung nachvollziehbar begründet werden kann. Ein ML-Modell, das nur einen Score ausgibt, ohne den Score zu erklären, ist regulatorisch problematisch. Alle genannten Systeme unterstützen erklärbare Entscheidungen — das muss bei der Konfiguration aktiv eingerichtet werden.

2. Modellgouvernanz ist kein IT-Thema. § 25a KWG und MaRisk verpflichten Institute zur Dokumentation von Modellvalidierungen, Modellgrenzen und Modellüberwachung. KI-Modelle im Kreditentscheidungs- und KYC-Kontext brauchen einen formellen Validierungsprozess.

3. Personenbezogene Daten und DSGVO. Verhaltensbiometrische Daten (Tipprhythmus, Geräteverhalten) fallen je nach Interpretationslinie als Art. 9 DSGVO-Sonderkategorie an. Der Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter muss explizit die biometrische Datenverarbeitung abdecken, eine Datenschutz-Folgenabschätzung ist in der Regel erforderlich.

Konkrete Werkzeuge — was wann passt

Die Wahl des richtigen Toolsets hängt vom Institutstyp, dem Onboarding-Volumen und der IT-Architektur ab.

Sardine — Wenn du Behavioral Biometrics und Device Intelligence direkt in den Onboarding-Flow integrieren willst. Sardine kombiniert KYC, Transaktionsmonitoring und Synthetic-ID-Erkennung in einer API und ist besonders stark bei der Erkennung automatisierter Angriffe und Betrugsnetzwerken. Einschränkung: ausschließlich US-Datenhosting — für deutsche Institute mit DSGVO-Anforderungen muss die Datenschutzprüfung sorgfältig erfolgen. Preise auf Anfrage.

Featurespace ARIC Risk Hub — Wenn du ein größeres Institut bist und verhaltensbasierte Anomalieerkennung für den Onboarding-Kontext mit einer Plattform kombinieren willst, die schon für das laufende Transaktionsmonitoring genutzt wird. ARIC baut individuelle Verhaltensprofile auf und erkennt synthetische Identitäten durch das Fehlen eines konsistenten persönlichen Musters. Enterprise-Lizenz im sechsstelligen Bereich, Deployment 6–12 Monate.

Hawk — Wenn du primär das laufende AML-Monitoring mit synthetischer ID-Erkennung verbinden willst. Hawks Entity Risk Detection erkennt Netzwerke verbundener Identitäten und ergänzt den Onboarding-Schutz durch kontinuierliches Monitoring. EU-Hosting, deutschsprachiger Support — wichtig für BaFin-regulierte Institute in Deutschland. Preise auf Anfrage, modulares Lizenzmodell.

ComplyAdvantage — Für Fintechs und mittelgroße Institute, die eine API-basierte Lösung für Sanktionsprüfung, PEP-Screening und laufendes Transaktionsmonitoring wollen. ComplyAdvantage löst den synthetischen ID-Betrug nicht direkt beim Onboarding, ist aber als Ergänzungsschicht für das kontinuierliche Monitoring nach dem Onboarding wertvoll. Einstieg ab 99 USD/Monat.

Eigene Graph-Neural-Network-Implementierung (GNN) — Für Institute mit eigenem Data-Science-Team und ausreichend historischen Onboarding-Daten (>100.000 Fälle als Trainingsbasis). Open-Source-Frameworks wie PyTorch Geometric oder DGL ermöglichen den Aufbau maßgeschneiderter Fraud-Graphen. Vorteil: maximale Kontrolle über Modelllogik und Daten, kein Vendor-Lock-in. Nachteil: erheblicher Entwicklungsaufwand und laufende Betriebsverantwortung.

Zusammenfassung: Wann welcher Ansatz

• Direkte Behavioral Biometrics im Onboarding-Flow → Sardine
• Verhaltensbasierte Anomalieerkennung + Transaktionsmonitoring in einer Plattform → Featurespace
• EU-Hosting, deutschsprachiger Support, modulare AML-Suite → Hawk
• API-basiertes Sanktions- und PEP-Screening als Ergänzungsschicht → ComplyAdvantage
• Maximale Kontrolle und vorhandenes Data-Science-Team → eigene GNN-Implementierung

Datenschutz und Datenhaltung

Synthetischer ID-Schutz verarbeitet besonders sensible Daten: Identitätsdaten, biometrische Signale, Gerätefingerabdrücke und Verhaltensmuster. Jeder dieser Datenpunkte unterliegt eigenen rechtlichen Anforderungen.

Verhaltensbiometrische Daten (Art. 9 DSGVO): Tipp- und Scrollmuster, die es erlauben, Personen eindeutig zu identifizieren, fallen unter Art. 9 DSGVO als besondere Kategorien personenbezogener Daten. Das bedeutet: explizite Einwilligung der Nutzer vor der Erhebung (im Onboarding-Flow), Datenschutz-Folgenabschätzung (DSFA) vor Produktivbetrieb, und ein Auftragsverarbeitungsvertrag (AVV), der explizit auf diese Datenkategorie eingeht.

Datenhosting: Hawk bietet EU-Hosting in Deutschland — für BaFin-regulierte Institute oft eine Anforderung. Featurespace unterstützt On-Premise-Deployment oder EU-Cloud — muss im Vertrag vereinbart werden. Sardine hostet ausschließlich in den USA — für europäische Institute mit strengen Datenhaltungsanforderungen kritisch zu prüfen.

AVV-Pflicht und regulatorische Dokumentation: Art. 28 DSGVO schreibt den Auftragsverarbeitungsvertrag mit jedem Dienstleister vor, der personenbezogene Daten im Auftrag verarbeitet. Alle genannten Anbieter stellen AVV-Vorlagen bereit, aber die Vereinbarung muss aktiv angefordert und unterzeichnet werden — und sie muss die biometrische Verarbeitung explizit abdecken.

BaFin-Modellgouvernanz: Gemäß MaRisk und § 25a KWG muss jedes KI-Modell, das Kreditentscheidungen oder KYC-Entscheidungen beeinflusst, einem formellen Validierungsprozess unterzogen werden. Modellgrenzen, Schwachstellen und Annahmen müssen dokumentiert sein. Diese Anforderung gilt unabhängig davon, ob du ein fertiges Produkt oder eine eigene Entwicklung einsetzt.

Praktische Empfehlung: Beziehe vor der Produktauswahl deinen Datenschutzbeauftragten und die Compliance-Funktion ein. Die technische Integration ist in der Praxis weniger zeitaufwändig als die regulatorische Abstimmung — wer das umgekehrt plant, verliert Monate.

Was es kostet — realistisch gerechnet

Einmalige Einrichtungskosten Die größten Kostenpositionen sind nicht die Softwarelizenzen, sondern die internen Aufwände:

• Datenprojekt: Historische Onboarding-Daten extrahieren, labeln (welche Konten waren betrügerisch?) und für das Modelltraining aufbereiten — typisch 6–12 Personenwochen Data Engineering
• Integration: Core-Banking-API-Anbindung, SDK-Einbettung in den Onboarding-Flow, Webhook-Handling — typisch 8–16 Entwicklerwochen
• Regulatorische Abstimmung: DSFA, AVV, Modellvalidierungsdokumentation, BaFin-Abstimmung — typisch 4–8 Wochen Compliance-Aufwand
• Externe Implementierungskosten (Systemintegrator oder Anbieter Professional Services): 30.000–80.000 € einmalig

Laufende Kosten (monatlich)

• Featurespace ARIC Risk Hub: Enterprise-Lizenz im mittleren bis hohen sechsstelligen Jahresbereich
• Hawk: modulares Lizenzmodell, Preise auf Anfrage, für mittelgroße Institute fünf- bis sechsstellig im Jahr
• Sardine: Enterprise, Preise auf Anfrage
• ComplyAdvantage als Ergänzungsschicht: ab 99 USD/Monat für bis zu 2.000 Entitäten (Einstieg), Enterprise auf Anfrage

Was du dagegenrechnen kannst Ein mittelgroßes Fintech mit 5.000 Neukunden pro Monat und einer synthetischen ID-Rate von 1,5 Prozent — im unteren Bereich der in der Literatur genannten Werte — onboardet damit monatlich 75 betrügerische Konten. Bei einem durchschnittlichen Kreditrahmen von 2.000 Euro und einer Ausschöpfungsrate von 80 Prozent entstehen monatliche Verluste von bis zu 120.000 Euro — also rund 1,4 Millionen Euro im Jahr. Selbst ein System, das 60 Prozent dieser Fälle abfängt, spart über 800.000 Euro Jahresverlust. Diese Rechnung setzt voraus, dass die Betrugsverluste tatsächlich so hoch sind — vor der Implementierung ist das schwer zu validieren, weil die Dunkelziffer hoch ist.

Wie du den ROI tatsächlich misst Nicht durch nachträgliche Schadensschätzung, sondern durch Shadow-Mode-Betrieb: Das neue System läuft sechs Wochen parallel zum bestehenden KYC-Prozess, ohne Entscheidungen zu blockieren. Es flaggt Fälle, die es als verdächtig bewertet. Nach sechs Wochen vergleichst du, welche der geflaggten Konten tatsächlich Betrugsmerkmale gezeigt haben. Das ergibt deine tatsächliche Erkennungsrate — und damit eine belastbare Grundlage für den Business Case.

Drei typische Einstiegsfehler

1. Das Modell wird ohne ausreichend gelabelte historische Daten trainiert. Der häufigste Implementierungsfehler: Das Institut hat zwar Onboarding-Daten, aber keine systematisch gelabelten Betrugsindikationen. Das Modell trainiert dann auf einem Dataset, in dem „fraud” und „no fraud” nicht sauber unterschieden sind — es lernt nichts Nützliches. Lösung: Vor dem Modelltraining mindestens sechs bis zwölf Monate historische Onboarding-Daten aufbereiten, zusammen mit dem operativen Betrugs-Team die tatsächlich als betrügerisch bestätigten Fälle identifizieren und labeln. Das ist aufwendig — aber ohne diese Grundlage baut man auf Sand.

2. Erkennungsrate wird mit dem Modell-Score-Schwellenwert optimiert statt mit der Gesamtarchitektur. Ein häufiger Denkfehler: Man erhöht den Risiko-Score-Schwellenwert, um mehr Fälle zu blockieren, und nimmt dabei eine steigende False-Positive-Rate in Kauf. Das beschädigt die Kundenerfahrung bei legitimen Nutzern und erhöht die Compliance-Kosten. Die richtige Lösung: mehr Signalschichten hinzufügen (Device Intelligence, Graph-Analyse) statt denselben Score konservativer zu kalibrieren.

3. Das System wird eingeführt und dann nicht aktiv gepflegt. Synthetische ID-Betrüger adaptieren ihre Methoden — und zwar schnell. Was heute ein zuverlässiges Signal ist, kann in sechs Monaten erkannt und umgangen worden sein. Ein System ohne aktive Modellüberwachung, ohne regelmäßige Retraining-Zyklen und ohne systematischen Analyst-Feedback-Loop verliert seine Erkennungsleistung graduell. Das Tückische: Der Rückgang ist zunächst unsichtbar. Er zeigt sich erst in steigenden Betrugszahlen — zu einem Zeitpunkt, an dem man wieder Monate investieren muss, um aufzuholen. Wer das System einführt, braucht einen benannten Verantwortlichen mit Zeit und Budget für laufende Modellpflege.

Was mit der Einführung wirklich passiert — und was nicht

Die technische Integration ist der kleinste Teil des Projekts.

Das eigentliche Reibung entsteht an drei Stellen:

Die Compliance-Funktion und die IT reden aneinander vorbei. Die Compliance-Funktion will ein System, das jeden verdächtigen Fall zur manuellen Prüfung weiterleitet. Die IT will ein System, das automatisch entscheidet und den manuellen Aufwand minimiert. Beide Ziele sind richtig — aber sie führen zu vollständig anderen Konfigurationen. Wer diese Diskussion nicht vor dem Projekt klärt, führt sie während des Projekts — und verliert dabei Wochen.

Der erste False-Positive beschädigt das Vertrauen unverhältnismäßig. Wenn ein legitimer Neukunde beim Onboarding irrtümlich blockiert wird und das eskaliert, steht das System sofort auf dem Prüfstand. Das ist vorhersehbar — und vermeidbar, wenn der Rollout schrittweise in Shadow Mode beginnt und erst nach Validierung mit echter Entscheidungsgewalt ausgestattet wird.

Datenschutzbeauftragter und externe Revision kommen zu spät ins Gespräch. Wenn Datenschutzfragen und Modellvalidierungsanforderungen erst nach der technischen Implementierung besprochen werden, muss das System oft nachträglich umgebaut werden. Das kostet mehr als die frühzeitige Einbindung — und erzeugt Frust auf allen Seiten.

Was konkret hilft:

• Projekt-Kick-off mit Compliance, IT, Datenschutz und operativem Betrugs-Team gemeinsam
• Shadow Mode für mindestens sechs Wochen vor echten Entscheidungen
• Klares Eskalationsprotokoll für False Positives ab Tag eins
• Wöchentliches Modellmonitoring-Meeting in den ersten drei Monaten

Realistischer Zeitplan mit Risikohinweisen

Häufige Einwände — und was dahintersteckt

„Unser Betrugsvolumen ist zu gering, das rechnet sich nicht.” Das ist das häufigste Argument — und das gefährlichste, weil es oft falsch ist. Synthetischer Identitätsbetrug ist per Definition schwer zu messen, solange man kein System hat, das ihn erkennt. Die tatsächliche Rate liegt in vielen Instituten deutlich über der wahrgenommenen Rate. Der Shadow-Mode-Ansatz (sechs Wochen paralleler Betrieb) ist genau dafür gedacht: das tatsächliche Exposure messen, bevor man den Business Case bewertet. Wer den Business Case ohne diese Messung macht, rechnet mit einem Dunkelzifferproblem.

„Wir müssen das erst mit der BaFin abstimmen.” Das stimmt — aber nicht in der Reihenfolge, die das Argument impliziert. BaFin-Abstimmung ist kein Argument gegen die Implementierung, sondern ein Schritt im Projekt. Die regulatorische Dokumentationspflicht (Modellvalidierung, DSFA, AVV) ist erfüllbar — sie braucht Zeit, aber sie ist kein Hindernis. Und: Ein Institut, das trotz bekannter Betrugsrisiken keine technischen Schutzmaßnahmen ergreift, ist gegenüber der BaFin schlechter positioniert als eines, das ein dokumentiertes ML-System mit nachvollziehbaren Entscheidungen betreibt.

„Ein ML-Modell ist eine Black Box — das können wir nicht regulatorisch verantworten.” Dieses Argument war vor fünf Jahren berechtigt, heute nicht mehr. Alle genannten Systeme bieten Explainability-Features, die für jeden Risikowert die ausschlaggebenden Signale benennen. Das ist nicht nur regulatorisch vorzeigbar — es ist für die operative Nutzung essenziell, weil Analysten die Entscheidung verstehen müssen, um sinnvolles Feedback zu liefern.

Woran du merkst, dass das zu dir passt

Du solltest dieses System ernsthaft evaluieren, wenn:

• Dein Institut führt mehr als 1.000 digitale Onboardings pro Monat durch — erst ab diesem Volumen gibt es genug historische Daten für ein sinnvoll trainierbares ML-Modell
• Deine aktuelle Betrugserkennungsrate beim Onboarding ist unklar — wenn du nicht weißt, wie viele synthetische IDs durch dein KYC kommen, weißt du auch nicht, wie groß dein tatsächliches Exposure ist
• Du hast in den letzten zwölf Monaten Kreditverluste durch erst nachträglich erkannte Fake-Identitäten erlitten — das ist ein direktes Indiz, dass dein aktuelles System nicht ausreicht
• Du bietest Konsumentenkredite, BNPL oder Kreditkarten mit digitalem Onboarding an — diese Produktkategorien haben die höchste synthetische ID-Betrugsrate, weil der finanzielle Anreiz für Betrüger am größten ist
• Du bist unter BaFin-Aufsicht und hast verstärkte Sorgfaltspflichten — der regulatorische Druck wird mit jeder BaFin AuA-Aktualisierung höher

Wann es (noch) nicht passt — drei harte Ausschlusskriterien:

1. Unter 500 digitalen Onboardings pro Monat. Unterhalb dieser Schwelle gibt es keine ausreichende Datenbasis für ein eigenständiges ML-Modell. Die sinnvollere Alternative: ein SaaS-Anbieter mit vorgefertigten Modellen, der auf Daten aus einem größeren Kundenpool trainiert hat. Eigenentwicklung rechnet sich nicht.

2. Kein dokumentierter KYC-Prozess und keine sauberen historischen Onboarding-Daten. Ein ML-Modell setzt voraus, dass historische Onboarding-Fälle mit Betrugsindikationen gelabelt werden können. Wer keine strukturierten Daten über vergangene Betrugsfälle hat — oder wessen Betrugs-Entscheidungen nicht systematisch dokumentiert wurden — kann kein sinnvolles Modell trainieren. In diesem Fall ist der erste Schritt: Dateninfrastruktur aufbauen, nicht ML-Modell kaufen.

3. Keine Kapazität für laufende Modellpflege. Ein eingeführtes System, das nicht gepflegt wird, ist nach 12–18 Monaten schlechter als kein System — weil es falsche Sicherheit erzeugt. Ohne eine benannte Person mit Budget und Zeit für monatliche Modellmonitoring-Reviews, Retraining-Zyklen und Analyst-Feedback-Management sollte die Implementierung nicht beginnen.

Das kannst du heute noch tun

Führe intern eine Dunkelzifferschätzung durch: Sieh dir die Konten an, die in den letzten 12 Monaten in Zahlungsausfall oder unangekündigte Kontoauflösung gegangen sind. Wie viele davon wurden mit volldigitalem Onboarding eröffnet? Wie viele hatten eine E-Mail-Adresse, die weniger als 30 Tage alt war? Wie viele teilten eine Adresse mit mehr als zwei anderen Konten?

Diese Analyse kostet 2–4 Stunden und gibt dir eine erste Größenordnung deines tatsächlichen synthetischen ID-Exposures — ohne Software, ohne Budget, ohne Anbieter.

Wenn du danach mehr verstehen willst, hier ist ein Prompt für eine strukturierte Risikoanalyse:

Quellen & Methodik

• Mastercard, globaler Schaden synthetischer Identitätsbetrug 2024: Mastercard, zitiert in PYMNTS.com (2026) und ad-hoc-news.de — geschätzter globaler Schaden 5 Milliarden USD im Jahr 2024.
• Deloitte-Prognose 23 Milliarden USD bis 2030: Deloitte Center for Financial Services, zitiert in der US-amerikanischen Fachdiskussion zu synthetischem Identitätsbetrug.
• 70 % der europäischen Institute berichten synthetische ID-Nutzung: PwC EMEA Geldwäsche Umfrage 2024 (pwc.de).
• 95 % der Standard-Onboarding-Prozesse erkennen gefälschte Ausweise nicht: iProov Fraud Intelligence Report 2026 (iproov.com/de/blog/synthetic-identity-fraud-explained).
• BankInfoSecurity, KYC-Fragmentierung durch KI-generierte Synthetics: „AI Tools and Synthetic IDs Fracture KYC Programs in 2025”, BankInfoSecurity (bankinfosecurity.com, 2025).
• BaFin Auslegungs- und Anwendungshinweise GwG (AuA 2025): BaFin, veröffentlicht November 2024, gültig ab 1. Februar 2025 (bafin.de).
• EBA GL 2020/06: EBA-Leitlinien zu Risikofaktoren für Geldwäsche und Terrorismusfinanzierung bei KYC-Prozessen.
• ComplyAdvantage Starter-Preis: Veröffentlichte Tarife complyadvantage.com, Stand Mai 2026.
• Sardine Series C: BusinessWire, „Sardine AI Raises $70M to Make Fraud and Compliance Teams More Productive”, 11. Februar 2025.
• Implementierungskosten und Zeitrahmen: Erfahrungswerte aus Implementierungsprojekten bei regulierten Finanzinstituten in der DACH-Region, nicht repräsentative Stichprobe.

Willst du einschätzen, welche Werkzeuge und Maßnahmen konkret für dein Institut passen — und ob der Business Case für euer Onboarding-Volumen aufgeht? Meld dich für ein kurzes Gespräch.