Von VPNs bis hin zu Gesichtsvertauschungen: Wie Lücken bei der Altersüberprüfung das größere Betrugsproblem widerspiegeln

Das von der britischen Regierung geplante Social-Media-Verbot für unter 16-Jährige hat das Thema Altersüberprüfung wieder in den Fokus der Öffentlichkeit gerückt.

Als am 25. Juli 2025 die im Gesetz zur Online-Sicherheit festgelegten Anforderungen zur Altersüberprüfung in Kraft traten, war die Absicht klar und vertretbar: Kinder sollten besser vor schädlichen Online-Erfahrungen geschützt werden.

Die Einführung hat jedoch auch eine Herausforderung deutlich gemacht, die mittlerweile im Mittelpunkt des digitalen Vertrauens steht: Wo Altersüberprüfungen eingeführt werden, werden auch Wege gefunden, diese zu umgehen.

Proton VPN meldete einen sprunghaften Anstieg der Neuanmeldungen in Großbritannien um rund 1.400 %, als die Vorschriften in Kraft traten; NordVPN verzeichnete einen Anstieg von rund 1.000 %. Daten von Ofcom zeigten, dass sich die tägliche VPN-Nutzung in Großbritannien auf 1,4 Millionen Nutzer mehr als verdoppelte, bevor sie sich bei etwa 900.000 einpendelte – ein deutlich erhöhtes Ausgangsniveau.

Die Nutzung von Tor hat in anderen Märkten, in denen die Altersüberprüfung auf der politischen Agenda an Bedeutung gewonnen hat, ein ähnliches Muster gezeigt; ein Beispiel hierfür sind Daten aus Australien im Zusammenhang mit den Anforderungen zur Altersüberprüfung in sozialen Medien:

Um es klar zu sagen: Die Vorschriften funktionieren auch: Ofcom meldete nach der Durchsetzung einen starken Rückgang der Zugriffe aus Großbritannien auf die größten Websites für Erwachsene, und Umfragen zeigen, dass die meisten Briten die Absicht des Gesetzes unterstützen. Das Problem ist nicht, dass Altersüberprüfungen nicht funktionieren können. Es ist vielmehr so, dass, wenn die Überprüfungen an Signale geknüpft sind, die Nutzer verschleiern können, dieselbe Maßnahme sowohl die Einhaltung der Vorschriften durchsetzen als auch deren Umgehung begünstigen kann.

Ähnliche Gesetze im Vereinigten Königreich, in Australien und in mehreren US-Bundesstaaten haben dieselbe zentrale Herausforderung aufgezeigt.

Die Frage ist nicht, ob es Gesetze zur Altersüberprüfung geben sollte; die Frage ist vielmehr, ob die derzeitigen Ansätze zur Altersüberprüfung eine allgemeinere Schwachstelle im digitalen Vertrauen offenbaren.

VPNs umgehen nicht die Verifizierung, sondern den Auslöser

Die meisten Systeme zur Altersüberprüfung stützen sich auf die Geolokalisierung der IP-Adresse, um zu entscheiden, ob ein Nutzer überhaupt zur Überprüfung aufgefordert wird. Erkennt eine Website eine IP-Adresse aus Großbritannien, wird eine Altersüberprüfung ausgelöst. Scheint die IP-Adresse jedoch von außerhalb des regulierten Zuständigkeitsbereichs zu stammen – beispielsweise weil der Nutzer über ein VPN verbunden ist –, wird der Überprüfungsablauf gar nicht erst gestartet.

VPNs umgehen keine Altersüberprüfungen. Sie umgehen vielmehr die Voraussetzung, unter der Altersüberprüfungen erforderlich sind.

Dies ist kein Versagen der Technologie zur Identitätsprüfung. Es macht deutlich, dass der Auslöser genauso wichtig ist wie die Überprüfung selbst. Wenn ein Verifizierungsablauf nie ausgelöst wird, kommen eine starke biometrische Verifizierung, Dokumentenprüfungen oder die Lebendigkeitserkennung gar nicht erst zum Einsatz.

Hier gibt es noch einen zweiten Aspekt hinsichtlich der Konzeption: Nicht alle Methoden zur Altersüberprüfung bieten das gleiche Maß an Sicherheit. Viele Lösungen, die zur Einhaltung der Gesetze zur Altersüberprüfung eingesetzt werden, sind eigentlich Tools zur Altersschätzung, die auf Wahrscheinlichkeiten basieren und möglicherweise nicht das Maß an Sicherheit bieten, das in Kontexten mit höherem Risiko bei der Einhaltung von Vorschriften oder der Durchsetzung erforderlich ist. Erfahren Sie mehr in unserem Blogbeitrag zum Thema „Altersüberprüfung vs. Altersschätzung“.

Die britische Regierung hat auf Zahlen der AVPA verwiesen, wonach nach der Einführung täglich 5 Millionen zusätzliche Altersüberprüfungen durchgeführt wurden – ein klarer Beweis dafür, dass das System für die Nutzer, die es erreicht, funktioniert. Was diese Zahlen jedoch nicht erfassen, sind all jene, die gar nicht erst einer Überprüfung unterzogen wurden, weil sie sich über ein VPN außerhalb des Geltungsbereichs des Systems befanden.

Das ist das Kernproblem in einem Satz: Selbst die strengste Überprüfung der Welt kann einen Prozess nicht schützen, der gar nicht erst beginnt.

Warum dies über Altersbeschränkungen hinaus von Bedeutung ist

Wenn jemand ein VPN oder Tor nutzt, um auf gesperrte Inhalte zuzugreifen, nutzt er damit Werkzeuge, auf die organisierte Betrügerringe zurückgreifen, um:

• Den Standort bei der Eröffnung betrügerischer Bankkonten verschleiern
• Umgehung der Geofencing-Kontrollen an Krypto-Börsen
• Umgehen Sie Sanktionen, indem Sie sich als Kunden aus Regionen ohne Beschränkungen ausgeben
• Führen Sie die Massenkontenerstellung von einem einzigen physischen Standort aus durch
• Gestohlene Anmeldedaten bei mehreren Diensten testen, ohne Velocity-Prüfungen auszulösen

Die Absicht ist eine andere. Ein Teenager, der versucht, auf eine Plattform zuzugreifen, ist nicht dasselbe wie ein Krimineller, der Scheinkonten eröffnet. Aber das zugrunde liegende Muster ist dasselbe: das Signal verbergen, den Auslöser umgehen, die Kontrolle umgehen.

Diese Überschneidung ist der Grund, warum Altersbeschränkungen über die Kindersicherheit hinaus von Bedeutung sind. Sie machen ein Problem der Betrugsbekämpfung für die breite Öffentlichkeit sichtbar. Nicht jeder, der ein VPN herunterlädt, wird zum Betrüger. Natürlich nicht. Aber es erinnert daran, wie schnell Menschen zu Umgehungswerkzeugen greifen – VPNs, Proxys, gefälschte Standorte –, sobald eine Kontrolle als Hindernis empfunden wird. Das Instrumentarium überschneidet sich mit dem, auf das Betrugsoperationen in großem Maßstab zurückgreifen, auch wenn die Absicht eine völlig andere ist.

Von VPNs bis hin zum Gesichtstausch: Ein breites Spektrum an Methoden zur Umgehung der Identitätsfeststellung

Während VPNs verbergen, wo Sie sich befinden, verbergen Gesichtsvertauschungen und Deepfakes, wer Sie sind. VPNs zeigen, was passiert, wenn Nutzer die Überprüfung umgehen können. Gesichtsvertauschungen zeigen, was passiert, wenn Nutzer die Überprüfung erreichen und versuchen, die Identität der Person vorzutäuschen.

Eine fiktive Videospielfigur hat eine echte Altersüberprüfung bestanden. Als Discord die Altersüberprüfung per Gesichtserkennung einführte, stellten Nutzer fest, dass sie im Fotomodus von „Death Stranding“ das Gesicht einer Figur so steuern konnten, dass sie den Schritt „Mund öffnen und schließen“ absolvierte und damit die Überprüfung bestand (PC Gamer). Die Lehre hinter diesem Scherz: Echtheitsprüfungen, die auf vorhersehbaren, wiederholbaren Aktionen basieren, können anfällig für Wiederholungen oder Nachahmungen sein. Echte Präsenz hängt von einer Herausforderung ab, die nicht vorhersehbar ist und nicht wiederverwendet werden kann.

Diese Entwicklung geht weit über eine vorübergehende Lösung im Spielmodus hinaus:

• Die Bedrohungsdaten von iProov belegen einen Anstieg der iOS-Injektionsangriffe um 1.151 % in der zweiten Jahreshälfte 2025.
• Deloitte prognostiziert, dass die durch generative KI verursachten Betrugsverluste in den USA von 12,3 Milliarden US-Dollar im Jahr 2023 auf 40 Milliarden US-Dollar bis zum Jahr 2027 steigen werden.

Das sind keine Einzelfälle. Es handelt sich um verschiedene Ausprägungen derselben Betrugslogik: Wenn ein digitaler Dienst etwas vertrauen muss, werden Angreifer versuchen, dies zu fälschen. Der Standort lässt sich verschleiern. Geräte lassen sich manipulieren. Dokumente lassen sich fälschen. Gesichter lassen sich austauschen. Videostreams lassen sich einschleusen.

Das ist das Spektrum der Identitätsvermeidung.

Der einzige verlässliche Vertrauensanker: echte menschliche Präsenz

Wenn all diese Vertrauenssignale gefälscht werden können, was bleibt dann noch übrig?

Die Antwort ist echte menschliche Präsenz, die in diesem Moment live bestätigt wird.

Technologien wie „Dynamic Liveness“ von iProov stellen die tatsächliche Anwesenheit einer Person fest, indem sie eine auf den ersten Blick einfache Frage beantworten: Handelt es sich um eine echte Person, um die richtige Person, die gerade anwesend ist? Eine robuste biometrische Lebendigkeitserkennung trägt dazu bei, Bedrohungen wie Aufzeichnungen, Deepfakes, Gesichtsvertauschungen und Injektionsangriffe zu neutralisieren .

In den meisten Szenarien der Identitätsprüfung– sei es die Eröffnung eines Bankkontos, der Zugang zu staatlichen Dienstleistungen oder die Durchführung der KYC-Prüfung für Finanzplattformen– hängt der Auslöser nicht vom Standort im Netzwerk ab. Ganz gleich, ob Sie sich von London oder Lagos aus verbinden, hinter einem VPN oder nicht: Das System verlangt dennoch, dass Sie Ihre Identität mit legitimen Nachweisen wie einem amtlichen Ausweisdokument bestätigen. In diesen Fällen bietet die biometrische Lebendigkeitsprüfung einen robusten Vertrauensanker, den weder VPNs noch Tor umgehen können.

Die Altersüberprüfung ist ein ganz besonderer Fall. Wenn der Auslöser ausschließlich auf der IP-basierten Geolokalisierung beruht – also auf der Frage „Befinden Sie sich in einem regulierten Rechtsraum?“ –, umgehen VPNs und Tor das System, noch bevor eine echte Präsenzüberprüfung überhaupt beginnen kann. Das ist kein Versagen der biometrischen Technologie, sondern macht deutlich, dass der Auslöser genauso wichtig ist wie die Überprüfung selbst.

Der Weg nach vorn

Das Social-Media-Verbot für unter 16-Jährige im Vereinigten Königreich ist eine aktuelle Fallstudie, aber es ist nicht die ganze Geschichte. Es ist nur ein Beispiel für einen viel umfassenderen Wandel hin zum Nachweis von Alter, Identität und Berechtigung im Internet.

Um es klar zu sagen: VPNs und Tor erfüllen wichtige Funktionen. Eine pauschale Sperrung dieser Tools wäre sowohl technisch undurchführbar als auch ethisch fragwürdig. Das Problem ist nicht die Existenz einer Infrastruktur zum Schutz der Privatsphäre. Das Problem ist die Abhängigkeit von Durchsetzungsmechanismen, die diese Tools umgehen können.

Das zeigt, in welche Richtung die Altersüberprüfung gehen muss. Eine Überprüfung, die zu stark an ein fälschbares IP-Signal gebunden ist, läuft Gefahr, zum schwächsten Glied zu werden; daher muss der Auslöser näher an den Nutzer herangerückt werden, nicht an dessen scheinbaren Standort. Das bedeutet Alterssignale auf Geräte- und Betriebssystemebene, wiederverwendbare, verifizierte Zugangsdaten sowie datenschutzkonforme Möglichkeiten für eine Person, ihr Alter oder ihre Identität einmalig nachzuweisen, ohne eine erneute Überprüfung durchführen zu müssen, die durch den geografischen Standort umgangen werden kann. Es ist dasselbe Prinzip, das auch hinter dem Initiative der EU für digitale Identitäts-Wallets: Vertrauen, das auf einem verifizierten Identitätsnachweis basiert, nicht auf einem Netzwerksignal.

In Bereichen, in denen eine Identitätsprüfung bereits vorgeschrieben ist und nicht an einen bestimmten Standort gebunden ist – wie im Bankwesen, bei der Kundenidentifizierung (KYC), bei Behördendienstleistungen, bei der Kontowiederherstellung und beim Remote-Arbeiten –, ist die physische Anwesenheit heute der verlässliche Anker. Die Altersüberprüfung belegt dieses Prinzip lediglich durch Negation: Eine Überprüfung ist nur so gut wie der Auslöser, der sie hervorruft.

Um eine optimale Leistung zu erbringen, müssen zukünftige Systeme folgende Voraussetzungen erfüllen:

• Den Auslöser von leicht zu fälschenden Netzwerksignalen wegbewegen
• Bevorzugen Sie ein „Privacy-First“-Design mit datenschutzkonformen Anmeldedaten, damit die Verifizierung nicht zu einer Datenfalle wird.
• Die Überprüfung von Hochrisikofällen auf echte menschliche Anwesenheit stützen
• Sicherheitsmaßnahmen sollten mehrschichtig angelegt sein, damit die Ausschaltung eines Signals nicht zum Zusammenbruch des gesamten Systems führt
• Die Benutzerhürden minimieren, um den Anreiz zur Umgehung zu verringern
• Von Anfang an auf adversariales Verhalten ausgelegt

Gehen Sie davon aus, dass das System getestet wird. Nicht, weil jeder Nutzer böswillig ist, sondern weil manche neugierig sind, manche frustriert sind, manche Anleitungen befolgen und manche Kriminelle sind.

Das übergeordnete Thema ist, dass digitale Dienste zunehmend Vertrauen ohne physische Präsenz aufbauen müssen. Sie müssen wissen, ob jemand alt genug ist, um auf einen Dienst zugreifen zu dürfen, ob ein Kunde oder ein Remote-Mitarbeiter tatsächlich der ist, für den er sich ausgibt, ob es sich bei einem Kontoeröffner um eine reale oder eine fiktive Person handelt und ob ein Gesicht auf dem Bildschirm echt oder generiert ist.

Die Lücken bei der Altersüberprüfung spiegeln das übergeordnete Betrugsproblem wider, da beide dieselbe Schwachstelle offenbaren: Zu viele digitale Systeme verlassen sich nach wie vor auf Signale, die gefälscht, umgangen oder künstlich erzeugt werden können.

Die Zukunft des digitalen Vertrauens hängt davon ab, dass das Wesentliche nachgewiesen wird: dass eine echte Person tatsächlich anwesend ist, im Hier und Jetzt, und handlungsberechtigt ist.

• Das Vertrauen in die digitale Welt verändert sich rasant. Wenn Sie mehr darüber erfahren möchten, wie dieses Vertrauen auf die Probe gestellt und wieder aufgebaut wird, abonnieren Sie den „Biometric Beat“.
• Buchen Sie hier eine beratende iProov-Demo.