1. April 2025
Stellen Sie sich vor, Sie erhalten eines Tages einen Kontoauszug, aus dem hervorgeht, dass Sie mehrere tausend Dollar für eine Kreditkarte schulden. Der Brief ist an Sie adressiert, aber Sie hören zum ersten Mal davon - Sie hatten noch nie eine Kreditkarte bei diesem Unternehmen.
Sie rufen an, um sie auf ihren Fehler hinzuweisen, und stellen dabei fest, dass Sie Opfer eines Betrugs durch die Eröffnung eines neuen Kontos geworden sind. Jemand hat sich als Sie ausgegeben und eine neue Kreditkarte beantragt, um mit dem verfügbaren Kreditrahmen in Ihrem Namen betrügerische Ausgaben zu tätigen. Nun haben Sie mit dem Stress, möglichen finanziellen Verlusten und einer ruinierten Bonität zu kämpfen, die es Ihnen erschwert, die Kredite, Kreditkarten oder Hypotheken zu erhalten, die Sie eigentlich benötigen.
Dies war schon immer ein Problem. Doch das Ausmaß und die Raffinesse von Betrugsfällen bei der Kontoeröffnung haben sich dramatisch verändert. Im Jahr 2024 beliefen sich die gemeldeten Verluste auf 6,2 Milliarden Dollar – mehr als doppelt so viel wie noch vor zehn Jahren. Auch die Methoden haben sich gewandelt: Während Betrüger früher auf gestohlene Post und gefälschte Dokumente setzten, nutzen sie heute synthetische Identitäten, die mit generativer KI erstellt wurden, Deepfake-Bilder, die grundlegende Verifizierungsprüfungen bestehen, sowie Injektionsangriffe, die die Kameras der Geräte vollständig umgehen.
Unternehmen, die nicht bei jedem neuen Bewerber die tatsächliche Anwesenheit einer realen Person überprüfen, lassen Betrüger unwissentlich durch die Vordertür herein. Wenn Ihr Onboarding-Prozess allein anhand von Daten abgeschlossen werden kann, ist er für Betrüger leicht zugänglich.
Was ist Betrug bei der Kontoeröffnung?
Betrug bei der Kontoeröffnung – auch als „Account Opening Fraud“ oder „Account Origination Fraud“ bezeichnet – liegt vor, wenn ein Betrüger unter Verwendung falscher oder manipulierter Identitätsdaten ein Konto eröffnet, um Straftaten zu begehen, Geld zu stehlen, Gelder zu waschen oder Zugang zu Dienstleistungen zu erhalten, für die er unter seiner eigenen Identität nicht berechtigt wäre.
Es gibt zwei Hauptmethoden:
Identitätsdiebstahl: Die Verwendung der Daten einer realen Person – die in der Regel aus Datenlecks stammen oder im Dark Web erworben wurden – zur Eröffnung von Konten in deren Namen. Für viele von uns sind bereits zahlreiche persönliche Informationen online zu finden: Geburtsdatum, Adresse, Telefonnummer und andere Daten, die zusammengesetzt werden können, um sich als wir auszugeben. Es dauert durchschnittlich 151 Tage, bis Betrug durch die Eröffnung neuer Konten entdeckt wird, sobald dieser erfolgreich war; in dieser Zeit vergrößert sich der Schaden.
Betrug mit synthetischen Identitäten: Die Kombination echter Datenelemente (wie beispielsweise einer echten Sozialversicherungsnummer) mit erfundenen Informationen, um eine vollständig fiktive Person zu erschaffen. Dies ist eine der raffiniertesten Formen des Betrugs – und eine der am schnellsten wachsenden. Betrug mit synthetischen Identitäten macht mittlerweile rund 30 % aller Fälle von Identitätsbetrug aus, wobei der Betrug mit gefälschten Ausweisdokumenten zwischen dem ersten Quartal 2024 und dem ersten Quartal 2025 um 311 % zugenommen hat.
Warum Betrug bei der Eröffnung neuer Konten zunimmt
Drei Faktoren tragen dazu bei, dieses Problem zu verschärfen:
Generative KI hat den Identitätsbetrug industrialisiert
Deepfakes und KI-generierte Dokumente haben das, was einst ein manuelles, selten vorkommendes Verbrechen war, in ein skalierbares Geschäft verwandelt. Der „iProov Threat Intelligence Report 2025“ ergab, dass Angriffe mittels Gesichtsaustausch im Vergleich zum Vorjahr um 300 % zugenommen haben und Angriffe über native virtuelle Kameras – bei denen Betrüger synthetische Bilder direkt in den Verifizierungsprozess einschleusen – um 2.665 % gestiegen sind.
Das sind keine theoretischen Risiken. Ein einziger Deepfake-Videoanruf hat Arup 25 Millionen Dollar gekostet. Mitarbeiter aus Ländern, gegen die das OFAC Sanktionen verhängt hat, haben mithilfe von Deepfake-Filtern über 300 Unternehmen infiltriert, indem sie sich bei Video-Vorstellungsgesprächen aus der Ferne Zugang verschafft haben.
„Crime-as-a-Service“ hat die Hemmschwelle gesenkt
Ausgefeilte Angriffstools sind längst nicht mehr nur erfahrenen Hackern vorbehalten. „Crime-as-a-Service“-Netzwerke verkaufen fertige Betrugs-Toolkits an weniger erfahrene Täter. Der iProov Threat Intelligence Report hat allein anhand von drei gängigen Tools über 115.000 potenzielle Angriffskombinationen identifiziert.
Herkömmliche Überprüfungen bei der Einstellung können nicht mehr mithalten
Viele Unternehmen haben versucht, Betrug zu bekämpfen, indem sie bei der Kundenanmeldung einfach mehr Informationen einforderten – mehr Fragen, mehr Dokumente, mehr wissensbasierte Überprüfungen. Doch jede Information, die sich eintippen lässt, kann gestohlen werden. Die wissensbasierte Authentifizierung ist grundsätzlich anfällig, da die Daten, auf denen sie beruht, bereits in großem Umfang kompromittiert sind.
Nur eine biometrische Überprüfung – also die Bestätigung, dass sich tatsächlich ein Mensch hinter dem Bildschirm befindet – kann die Lücke schließen, die datenbasierte Kontrollen offen lassen.
Die Kosten für Unternehmen und Verbraucher
Für Verbraucher: Abgesehen vom finanziellen Schaden müssen die Betroffenen mit einer ruinierten Bonität rechnen und benötigen durchschnittlich 10 Stunden, um jeden Betrugsfall zu klären. Eine schlechte Bonität aufgrund von nicht zurückbezahlten Krediten, die in Ihrem Namen aufgenommen wurden, kann dazu führen, dass Sie keinen Zugang zu den Dienstleistungen erhalten, die Sie tatsächlich benötigen.
Für Unternehmen: Die Verluste gehen weit über das ausgereizte Konto hinaus, das eine fiktive Person einfach im Stich lässt. Jeder betrügerische Kunde, den Sie aufnehmen, beansprucht Ressourcen für die KYC-Prüfung, den Kundenservice und die Compliance-Überwachung, die eigentlich echten Kunden zugutekommen sollten. In regulierten Branchen kann eine unzureichende Überprüfung bei der Kundenaufnahme zu Verstößen gegen die KYC-Vorschriften, Geldstrafen und Reputationsschäden führen. Und ein erfolgreich eröffnetes betrügerisches Konto wird zur Ausgangsbasis für weitere Straftaten – Geldwäsche, Betrug mit autorisierten Push-Zahlungen oder die Vorbereitung komplexerer Betrugsketten.
Bezeichnenderweise erkennt derzeit nur ein Drittel der Finanzinstitute die meisten Betrugsfälle bereits bei der Kundenanmeldung. Die Mehrheit entdeckt sie erst später im Transaktionsablauf – zu diesem Zeitpunkt ist der Schaden jedoch bereits entstanden.
Wie biometrische Verifizierung Betrug bei der Eröffnung neuer Konten verhindert
Die biometrische Gesichtsüberprüfung behebt die grundlegende Schwachstelle herkömmlicher Onboarding-Verfahren: Sie bestätigt, dass der Antragsteller tatsächlich die Person ist, für die er sich ausgibt, dass es sich um einen echten Menschen handelt und dass er zum Zeitpunkt der Überprüfung tatsächlich anwesend ist.
Ein Nutzer scannt einen anerkannten Ausweis (Reisepass oder Führerschein) ein und lässt anschließend ein kurzes Gesichtsbild aufnehmen. Das System gleicht das Live-Gesichtsbild mit dem Foto auf dem Ausweis ab und überprüft die tatsächliche Anwesenheit – und das alles in Sekundenschnelle.
Dadurch wird Betrug bei der Eröffnung neuer Konten bereits im Keim erstickt. Selbst wenn ein Krimineller im Besitz Ihres Ausweises ist, stimmt das Foto nicht mit seinem tatsächlichen Gesicht überein – nur Sie selbst können die biometrische Übereinstimmung bestätigen. Hinter einer synthetischen Identität steht kein echter Mensch. Und dank fortschrittlicher Lebendigkeitserkennung werden Deepfakes, Gesichtsaustausche und digital eingefügte Medien erkannt und blockiert.
Doch nicht jede biometrische Überprüfung ist gleich. Angesichts der Raffinesse moderner Angriffe reicht eine einfache Lebendigkeitsprüfung – also die bloße Überprüfung, ob es sich bei einem Gesicht um ein „lebendes“ Gesicht und nicht um ein Foto handelt – allein nicht mehr aus.
Warum der Ansatz von iProov das aufdeckt, was andere übersehen
Die „Dynamic Liveness“-Technologie von iProov wurde speziell für die Bedrohungen entwickelt, die den Betrug bei der Eröffnung neuer Konten heute prägen. Sie vereint vier Funktionen, die zusammen einen Schutz bieten, den keine einzelne Funktion allein leisten kann:
Zertifizierte Lebendigkeitserkennung und Erkennung von Injektionsangriffen. Die patentierte Flashmark-Technologie von iProov beleuchtet das Gesicht des Benutzers bei jeder Sitzung mit einer einzigartigen, unvorhersehbaren Farbreihe. Die Reflexion dieses Lichts vom Gesicht des Benutzers wird analysiert, um die tatsächliche Anwesenheit in Echtzeit zu bestätigen. Jede Sitzung generiert einzigartige biometrische Daten, die nicht wiederholt, abgefangen oder vorab aufgezeichnet werden können. iProov ist der erste und einzige Anbieter, der unabhängig nach NIST SP 800-63-4 zertifiziert ist, und der erste, der für die Erkennung von Injektionsangriffen die Stufe „High“ nach CEN/TS 18099 erreicht hat – während mehr als 40 Tagen akkreditierter Tests konnte keine erfolgreiche Angriffsmethode festgestellt werden.
Aktives Bedrohungsmanagement. Das iProov Security Operations Center (iSOC) überwacht Angriffsmuster in Echtzeit über alle Kunden, Regionen und Plattformen hinweg. Wenn neue Angriffsmethoden auftauchen, werden weltweit ohne Unterbrechung Abwehrmaßnahmen bereitgestellt. Die Abwehrmechanismen von iProov werden kontinuierlich weiterentwickelt – dies ist entscheidend, da sich Betrugstechniken schneller ändern, als dies durch jährliche Software-Updates abgedeckt werden kann.
Cloud-basierte Überprüfung. Die gesamte Überprüfung erfolgt in der Cloud und nicht auf dem Gerät. Dadurch wird der Überprüfungsprozess von Schwachstellen auf Geräteebene entkoppelt und ermöglicht die Echtzeitüberwachung, auf der iSOC basiert.
Müheloses Benutzererlebnis. Der gesamte Prozess verläuft passiv – ohne Kopfbewegungen, Nicken, Blinzeln oder gesprochene Anweisungen. iProov entspricht den Richtlinien WCAG 2.2 AA und Section 508; die Algorithmen wurden hinsichtlich ihrer Leistungsfähigkeit über alle Altersgruppen, Geschlechter und Hautfarben hinweg getestet. Unternehmen können bei der Kundenregistrierung strenge Maßnahmen zur Betrugsbekämpfung anwenden, ohne dass echte Kunden durch zu hohe Hürden abgeschreckt werden. Die Erfolgsquote von iProov liegt in der Regel bei über 98 %.
Über die Kunden-Onboarding-Phase hinaus: Mitarbeiteridentität
Betrug bei der Kontoeröffnung beschränkt sich nicht nur auf Dienstleistungen für Endverbraucher. Dieselben Techniken – Deepfakes, gefälschte Identitäten, gestohlene Zugangsdaten – werden mittlerweile auch genutzt, um über den Einstellungsprozess selbst in Unternehmen einzudringen.
Die iProov Workforce Solution Suite erweitert die Überprüfung der tatsächlichen Anwesenheit von Personen über den gesamten Identitätslebenszyklus von Mitarbeitern hinweg: Fern-Einstellung und -Onboarding, Zugriff auf gemeinsam genutzte Geräte, verstärkte Authentifizierung für privilegierte Aktionen sowie die Wiederherstellung von Konten. Sie schließt die strukturelle Lücke in Identitätssystemen von Unternehmen, die darauf ausgelegt sind, Anmeldedaten und Geräte zu überprüfen – nicht aber die dahinter stehenden Personen.
Der „iProov Threat Intelligence Report 2025“ dokumentiert die Angriffsmethoden, die derzeit für Betrugsfälle bei der Eröffnung neuer Konten verantwortlich sind. Laden Sie den vollständigen Bericht hier herunter.
Vereinbaren Sie eine Demo, um zu erfahren, wie iProov Ihren Onboarding-Prozess vor Betrug bei der Kontoeröffnung schützen kann.
Häufig gestellte Fragen zu Betrug bei der Kontoeröffnung
Inwiefern verschärft KI den Betrug bei der Eröffnung neuer Konten?
Generative KI ermöglicht es Betrügern, überzeugende Deepfakes, gefälschte Ausweisdokumente und Gesichtsvertauschungen im industriellen Maßstab zu erstellen. Diese Tools können einfache Identitätsprüfungen umgehen, die auf Dokumentenfotos oder einer einfachen Lebendigkeitserkennung basieren. „Crime-as-a-Service“-Netzwerke machen diese KI-gestützten Tools auch für weniger erfahrene Akteure zugänglich, wodurch das Ausmaß und die Raffinesse der Angriffe drastisch zunehmen.
Wie können Unternehmen Betrug bei der Eröffnung neuer Konten eindämmen?
Die wirksamste Schutzmaßnahme ist die biometrische Gesichtsüberprüfung mit Echtheitsprüfung zum Zeitpunkt der Registrierung. Dabei wird sichergestellt, dass tatsächlich eine reale Person anwesend ist, das Gesicht mit einem vertrauenswürdigen Ausweisdokument abgeglichen und Deepfakes sowie Injektionsangriffe abgewehrt. Unternehmen sollten nach Lösungen Ausschau halten, die unabhängig nach Standards wie NIST SP 800-63-4 und CEN/TS 18099 zertifiziert sind und über ein aktives Bedrohungsmanagement verfügen, das sich entsprechend den sich wandelnden Angriffsmethoden weiterentwickelt.
Was ist der Unterschied zwischen Betrug bei der Eröffnung neuer Konten und der Übernahme von Konten?
Bei Betrug durch die Eröffnung neuer Konten werden neue Konten unter Verwendung gestohlener oder fiktiver Identitätsdaten angelegt. Bei Betrug durch Kontoübernahme wird sich unbefugter Zugriff auf ein bestehendes, legitimes Konto verschafft. Beide stellen eine wachsende Bedrohung dar, erfordern jedoch unterschiedliche Abwehrstrategien: Betrug durch die Eröffnung neuer Konten lässt sich am besten bereits bei der Kontoeröffnung durch Identitätsprüfung bekämpfen, während Betrug durch Kontoübernahme durch fortlaufende Authentifizierung bekämpft wird.
