APAC-Länder beeilen sich, digitale Identität und KI angesichts der zunehmenden Verbreitung von Deepfakes zu regulieren

Werfen wir einen Blick auf eine der am schnellsten wachsenden digitalen Volkswirtschaften der Welt: den asiatisch-pazifischen Raum .

In den letzten 18 Monaten sind in den Ländern der Region Asien-Pazifik mindestens sechs bedeutende Rahmenwerke für digitale Identitäten und KI in Kraft getreten, und weitere befinden sich noch in der aktiven Ausarbeitung. Zusammen bewirken sie eine einzige Veränderung: die Art und Weise, wie Organisationen Identitäten überprüfen dürfen.

Zu verstehen, was diese Veränderungen antreibt – und was sie erfordern –, ist der erste Schritt, um ihnen einen Schritt voraus zu sein.

Deepfake-Betrug treibt die regulatorischen Maßnahmen im asiatisch-pazifischen Raum voran

Diese Vorschriften sind eine direkte Reaktion auf die zunehmende Zahl von Identitätsbetrugsfällen, die durch künstliche Intelligenz begünstigt werden.

A Gartner-Umfrage aus dem Jahr 2025 ergab, dass 62 % der Unternehmen im Vorjahr Opfer eines Deepfake-Angriffs wurden. 37 % der Unternehmen sind bei Videokonferenzen auf Deepfakes gestoßen. Es handelt sich also nicht um ein theoretisches Risiko. Auch nicht um einen Proof-of-Concept im Labor. Das sind echte Angriffe auf echte Unternehmen, bei denen es um echtes Geld geht.

Vorfälle aus der Praxis:

• In Südkorea beliefen sich die durch Voice-Phishing verursachten Verluste allein in den ersten zehn Monaten des Jahres 2025 auf über 1 Billion Won (~718 Millionen US-Dollar) – ein Rekordwert –, wobei Wook Kang, Präsident der KFCPA, davor warnte, dass generative KI und Deepfake-Technologien den Anstieg vorantreiben.
• Ein Deepfake-Videoanruf hat das Ingenieurbüro Arup um 25 Millionen Dollar betrogen.
• Der Bericht zur Bedrohungslage 2026 verzeichnete im dritten Quartal 2025 einen Anstieg von 720 % der Angriffe in Südostasien im dritten Quartal 2025 sowie einen Anstieg der iOS-Injektionsangriffe um 1.151 % in der zweiten Jahreshälfte 2025, einer Plattform, die einst als angriffssicher galt.

Das ist die Industrialisierung des Identitätsbetrugs. Kriminelle Netzwerke setzen Deepfake-Tools in großem Umfang ein, und die Aufsichtsbehörden im asiatisch-pazifischen Raum haben dies bemerkt.

Fazit: Der Ausbau der biometrischen Infrastruktur und die Verschärfung der Vorschriften im gesamten asiatisch-pazifischen Raum erfordern eine Identitätsprüfung mit hoher Sicherheit. Unternehmen, die sich für Lösungen entscheiden, die lediglich vor einfachen Präsentationsangriffen schützen, riskieren regulatorische Risiken, da die Rahmenbedingungen weiterentwickelt werden, um Injektionsangriffe und synthetische Medien zu bekämpfen .

Die Vorschriften für Biometrie und KI im asiatisch-pazifischen Raum schreiten voran: Beispiele

Die Rahmenwerke erstrecken sich auf drei unterschiedliche Regulierungsbereiche – KI-Governance, Datenschutz und digitale Identität –, laufen jedoch auf dieselbe Anforderung hinaus: Organisationen, die Identitäten mithilfe biometrischer KI überprüfen, müssen nun in allen drei Bereichen höhere Standards in Bezug auf Sicherheit, Datenschutz und Rechenschaftspflicht erfüllen.

Gesetze speziell für KI:

• Vietnams umfassendes KI-Gesetz trat am 1. März 2026 in Kraft und ist damit das erste eigenständige KI-Gesetz in Südostasien. Es schreibt eine menschliche Aufsicht über KI-Systeme vor, verlangt die Kennzeichnung von KI-generierten Inhalten wie Deepfakes und gilt für ausländische Unternehmen, die vietnamesische personenbezogene Daten verarbeiten. Wenn Ihre biometrische Technologie vietnamesische personenbezogene Daten verarbeitet, selbst über eine Partnerintegration, müssen Sie bereits gesetzliche Verpflichtungen prüfen. Obwohl das Gesetz bereits in Kraft getreten ist, werden die Umsetzungsrichtlinien noch ausgearbeitet, was eine frühzeitige Bestimmung des Anwendungsbereichs jetzt umso wichtiger macht.
• Südkoreas KI-Grundgesetz trat im Januar 2026 in Kraft und sieht eine risikobasierte Aufsicht für KI-Systeme in den Bereichen Finanzen, Gesundheitswesen und öffentliche Dienste vor.
  

Datenschutz & Einwilligung:

• Indien führt sein Gesetz zum Schutz digitaler personenbezogener Daten in drei Phasen ein und führt damit neue Einwilligungsanforderungen sowie Klassifizierungen für Datenverwalter ein, die die Art und Weise neu gestalten, wie biometrische Daten erhoben und verarbeitet werden dürfen.
• Indonesien und Malaysia treiben beide aktualisierte Datenschutzgesetze in Kraft, wobei Malaysias PDPA-Änderungen eine Meldepflicht bei Datenschutzverletzungen, Anforderungen an Datenschutzbeauftragte und – für Anbieter biometrischer Daten von entscheidender Bedeutung – die Neueinstufung biometrischer Daten als sensible personenbezogene Daten, für deren Verarbeitung eine ausdrückliche Einwilligung erforderlich ist.
• Thailand hat im Bereich der Schnittstelle zwischen KI und Datenschutz schnell und entschlossen gehandelt: Im Februar 2026 veröffentlichte der Ausschuss für den Schutz personenbezogener Daten einen Entwurf für Leitlinien zum Schutz personenbezogener Daten bei der Entwicklung und Nutzung von KI, der Folgenabschätzungen für risikoreiche KI und Sicherheitspflichten vorschreibt . Ein separater Entwurf für ein KI-Gesetz, der die risikobasierte Architektur des EU-KI-Gesetzes widerspiegelt, soll voraussichtlich 2026 verabschiedet werden.

Rahmenwerke für digitale Identitäten:

• Australien verschärft die Identitätsprüfung an beiden Enden: Mit dem Digital ID Act wird ein föderiertes Vertrauensrahmenwerk mit Akkreditierungsstufen für Identitätsdienstleister geschaffen. Auch das Datenschutzgesetz wird reformiert, wobei die Definition personenbezogener Daten erweitert wird, um biometrische und technische Daten ausdrücklich einzubeziehen.

Etabliertere Märkte zeigen, wie unterschiedlich Regulierungsbehörden dasselbe Problem angehen können. Singapur betreibt mit Singpass weiterhin eines der weltweit fortschrittlichsten nationalen Systeme für digitale Identitäten, das die Gesichtserkennung als zentrale Authentifizierungs- und ausgereifte IDV-Methode für über 2.700 Dienste im öffentlichen und privaten Sektor integriert. Japans „AI Promotion Act 2025“ verfolgt einen weniger strengen Ansatz: Innovation steht an erster Stelle, und es werden insbesondere keine Geldstrafen verhängt – ein Kontrast zu den präskriptiven Ansätzen, die anderswo in der Region zu beobachten sind.

Die Dynamik erstreckt sich zudem über die führenden Volkswirtschaften hinaus: Kambodscha hat ein umfassendes Datenschutzgesetz ausgearbeitet, Laos hat mit der mit der Ausgabe nationaler digitaler Ausweise, und Myanmar hat MOSIP für ein Pilotprojekt zur digitalen Identifikation eingeführt.

Parallel zu diesen regulatorischen Bestrebungen schreitet die Einführung biometrischer Verfahren in der gesamten Region zügig voran. Der Branchenanalyst Alan Goode hat festgestellt festgestellt, dass sich die Märkte im asiatisch-pazifischen Raum in Richtung der Gesichtsbiometrie als primäres Zugangsmedium in physischen Umgebungen bewegen, wobei ein tokenloses Modell die Karten vollständig ersetzt. Er geht davon aus, dass die Gesichtserkennung innerhalb der nächsten zwei bis drei Jahre zur dominierenden Methode bei der biometrischen physischen Zugangskontrolle werden wird.

Unterschiedliche Länder, unterschiedliche Reifegrade. Doch der rote Faden ist unverkennbar: Aufsichtsbehörden im gesamten asiatisch-pazifischen Raum verlangen von Unternehmen, dass sie nachweisen, dass sie Identitäten mit hoher Sicherheit überprüfen, verantwortungsvoll mit biometrischen Daten umgehen und darlegen können, wie ihre KI Entscheidungen trifft.

Die neuen biometrischen Gesetze in der APAC-Region legen die Messlatte für die Einhaltung der Vorschriften höher

Für Organisationen, die sich auf einfache Lebendigkeitsprüfungen oder veraltete Identitätsprüfungsverfahren verlassen, ist die Konsequenz klar: Die neuen APAC-Rahmenwerke fragen nicht nur, ob Sie die Identität überprüfen. Sie fragen, wie.

• Schutz vor Deepfakes und Injection-Angriffen. Das vietnamesische Gesetz schreibt vor, dass KI-generierte Inhalte erkennbar sein müssen. Das südkoreanische Regelwerk verlangt Risikobewertungen für KI mit hoher Auswirkung. Diese Verpflichtungen lassen sich nicht mit einer Lösung erfüllen, die nur vor gedruckten Fotos schützt, die vor eine Kamera gehalten werden. Sie benötigen eine Erkennung, die Präsentationsangriffe, digitale Injektionsangriffe und synthetische Medien abdeckt, die mittlerweile für jeden mit einem Laptop leicht zugänglich sind.
• Datenschutz durch Architektur, nicht durch Richtlinien. Indiens DPDP und Vietnams Gesetz zum Schutz personenbezogener Daten schreiben strenge Einwilligungs- und Verarbeitungsanforderungen vor. Unternehmen benötigen Lösungen, die Gesichtsdaten in biometrische Vorlagenumwandeln, wobei personenbezogene Daten und biometrische Daten strukturell getrennt – sodass keine einzelne Stelle ein Gesicht mit einem Namen in Verbindung bringen kann. Das ist eine Designentscheidung, kein Richtlinien-Dokument.
• Kontinuierliche Bedrohungsüberwachung statt einmaliger Zertifizierung. Aufsichtsbehörden legen zunehmend Wert darauf, dass KI-Systeme aktiv verwaltet werden. Ein Lebendigkeitstest, der vor zwölf Monaten zertifiziert wurde und sich seitdem nicht weiterentwickelt hat, kann eher ein Risiko als ein Vorteil sein. Entscheidend ist, ob sich Ihre Lösung an die aktuellen Angriffe anpasst – und genau das ist es, was ein Security Operations Center bietet.
• Anpassung an neue globale Standards. Die FIDO Alliance veranstaltet im Juni 2026 ihre erste Authenticate APAC-Konferenz im Juni 2026 in Singapur. NIST SP 800-63-4, FIDO-Gesichtsverifizierungund CEN/TS 18099 entwickeln sich zu Maßstäben, auf die sich die Regulierungsbehörden im asiatisch-pazifischen Raum beziehen. Wenn Ihr Biometrie-Anbieter keine unabhängigen, akkreditierten Zertifizierungen nach diesen Standards vorweisen kann, ist das ein Problem.

Hinweis: Viele Rahmenwerke im asiatisch-pazifischen Raum verweisen möglicherweise nur auf Normen wie ISO 30107-3, ohne die Erkennung digitaler Injektionsangriffe (DIA) vorschreiben. DIAs sind die gefährlichste Form von Angriffen, doch die Normen hinken noch hinterher. NIST SP 800-63-4 verlangt nachgewiesene Widerstandsfähigkeit gegen Injektionsangriffe, und CEN/TS 18099 liefert die unabhängige Testmethodik. Die Regulierungsbehörden im asiatisch-pazifischen Raum werden diesen Beispielen wahrscheinlich folgen, wenn sich die besprochenen Vorschriften weiterentwickeln.

Wie geht es weiter? So bereiten Sie sich auf die Einhaltung der Vorschriften zur digitalen Identität im asiatisch-pazifischen Raum vor

Diese Vorschriften betreffen alle Organisationen, die im asiatisch-pazifischen Raum Identitätsprüfungen durchführen – ganz gleich, ob Sie Kunden registrieren, Mitarbeiter authentifizieren oder grenzüberschreitende Transaktionen ermöglichen. Hier erfahren Sie, wo Sie anfangen können:

Bewerten Sie Ihre regulatorische Situation: Wenn Sie personenbezogene Daten in Vietnam, Indien, Indonesien oder anderen APAC-Märkten verarbeiten – auch über Integrationen von Drittanbietern –, ermitteln Sie, welche Rahmenbedingungen für Ihre Geschäftstätigkeit gelten und welches Maß an Identitätssicherung erwartet wird.

Überprüfen Sie Ihre Identitätsprüfungs-Lösungen: Schützt Ihre aktuelle Lösung vor Injektionsangriffen und Deepfakes oder nur vor einfachem Spoofing? Die Lücke zwischen diesen beiden Bereichen ist der Nährboden für Angreifer und birgt ein regulatorisches Risiko.

Setzen Sie auf echte Datenschutzarchitektur statt auf bloße Alibimaßnahmen: Suchen Sie nach Lösungen mit struktureller Datentrennung, Pseudonymisierung und cloudbasierter Verarbeitung, die verhindern, dass eine einzelne Partei eine Person wieder identifizieren kann. Wenn Ihr Anbieter seine Architektur nicht in diesen Begriffen erklären kann, suchen Sie weiter.

Verlangen Sie unabhängige Zertifizierungen: Fragen Sie Ihren Anbieter für biometrische Lösungen, nach welchen Standards er zertifiziert ist – NIST, FIDO, ISO, CEN – und durch welches akkreditierte Labor. Selbstbehauptete Angaben sind kein Beweis.

• Erfahren Sie, wie die APAC-konformen biometrischen Lösungen von iProov Unternehmen dabei helfen, die höchsten Standards der Identitätsprüfung zu erfüllen → Demo buchen
• Einen umfassenden Überblick darüber, wie sich diese Angriffe weiterentwickeln, finden Sie → iProovs Threat Intelligence Report 2026.

iProov bietet hochsichere biometrische Gesichtsverifizierung für wichtige Regierungsstellen und Organisationen, darunter GovTech Singapore, das US-Heimatschutzministerium und das britischen Innenministerium. iProov hat im Jahr 2025 die Marke von einer Million biometrischer Verifizierungen pro Tag im Jahr 2025 und ist der erste Biometrieanbieter, der unabhängig nach NIST 800-63-4 zertifiziert wurde.