Großbritanniens neue Pflicht zur digitalen Identitätsprüfung läuft genau dann an, als eine Branchenstudie zeigt: Jeder fünfte Betrugsversuch nutzt bereits Deepfakes.
Die britische Regierung hat diese Woche ihr Mandat zur digitalen Identitätsprüfung für Firmenchefs gestartet – doch der Zeitpunkt könnte kaum ungünstiger sein. Ausgerechnet am selben Tag veröffentlichte das Sicherheitsunternehmen Entrust eine Analyse von über einer Milliarde Identitätsprüfungen. Das Ergebnis: KI-generierte Fälschungen durchdringen zunehmend selbst fortschrittliche Erkennungssysteme. Experten warnen bereits, dass die klassische „Lebenderkennung” ihren Zweck nicht mehr erfüllt.
Was bedeutet das für Millionen Unternehmer, die ab sofort sensible Dokumente hochladen müssen? Und steht die gesamte digitale Wirtschaft vor einem Systemversuch?
Die Zahlen aus dem 2026 Identity Fraud Report von Entrust sind alarmierend: „Deepfake-Selfies” – also KI-generierte Gesichtsbilder für Anmeldeprozesse – stiegen binnen Jahresfrist um 58 Prozent. Noch besorgniserregender: Sogenannte „Digital Injection Attacks” legten um 40 Prozent zu.
Bei diesen Angriffen umgehen Betrüger die Kamera komplett. Statt ein Foto vor die Linse zu halten, schleusen sie per Emulator oder manipulierter Software synthetische Videostreams direkt in die Prüf-Schnittstelle ein. „Während die Erkennung besser wird, entwickeln sich Betrugsnetzwerke weiter – schneller, organisierter und kommerziell getrieben”, erklärt Simon Horswell, leitender Betrugsexperte bei Entrust.
Anzeige
Die Zahl der KI-gestützten Identitätsfälschungen steigt rasant – Deepfake-Selfies legten zuletzt um 58% zu. Für Unternehmen und Dienstleister bedeutet das: Sie müssen sich jetzt mit neuen Pflichten und Klassifizierungen auseinandersetzen. Ein kostenloses E‑Book erklärt kompakt, welche Anforderungen die EU‑KI‑Verordnung stellt, welche Dokumentationspflichten auf Sie zukommen und wie Sie Fristen und Kennzeichnungspflichten richtig einordnen. Jetzt kostenlosen KI-Leitfaden herunterladen
Besonders hart trifft es die Krypto-Branche: 67 Prozent aller Betrugsfälle beim Onboarding ereignen sich dort. Im klassischen Bankensektor hingegen dominiert eine andere Gefahr – 82 Prozent aller Zahlungsbetrügereien sind Account-Takeover-Angriffe, bei denen Kriminelle gestohlene Zugangsdaten nutzen.
Whistleblower warnen vor „ernsthaften Sicherheitslücken”
Während Unternehmen mit KI-Betrug kämpfen, stolpert die britische Regierung über ihr eigenes Digitalprojekt. Am 18. November trat die Pflicht zur Identitätsprüfung für alle Geschäftsführer und wirtschaftlich Berechtigte in Kraft – abgewickelt über die Plattform „GOV.UK One Login”.
Doch zwischen dem 18. und 20. November mehrten sich Berichte über interne Warnungen. Hinweisgeber sprechen von „gravierenden Sicherheitsbedenken”. Angeblich hätten ethische Hacker bei Tests „privilegierten Zugriff” auf kritische Systeme erlangt. Kritiker werfen der Regierung vor, den politischen Termin über technische Sicherheit gestellt zu haben.
„Millionen Menschen aufzufordern, sensible Dokumente über eine Plattform einzureichen, die grundlegende Sicherheitsprinzipien nicht vollständig umsetzt, birgt erhebliche Risiken”, monierte ein Sicherheitsanalyst diese Woche öffentlich. Ausgerechnet jetzt, wo die Bedrohungslage eskaliert, sollen Geschäftsleute ihre Pässe und Ausweise digital einreichen – auf einer Infrastruktur, deren Robustheit angezweifelt wird.
Das Ende der „Lebenderkennung”?
Die vielleicht beunruhigendste Entwicklung kam am 20. November: Branchenanalysten erklärten herkömmliche Lebenderkennungssysteme für weitgehend nutzlos. Hochentwickelte Deepfakes können mittlerweile sogar Photoplethysmographie (PPG) imitieren – jene winzigen Farbveränderungen der Haut durch den Blutfluss, die als „Lebensbeweis” galten.
„Ihr Lebenscheck ist nicht kaputt, er lügt Sie an”, warnt Parya Lotfi, CEO von DuckDuckGoose AI. „Deepfakes werden darauf trainiert, exakt die Signale nachzuahmen, die ältere Systeme als Lebensbeweis werten. Und sie schaffen das überzeugender als echte Menschen bei schlechter Beleuchtung.”
Passive Prüfverfahren, die Nutzer wegen ihrer Bequemlichkeit schätzen, werden damit zur Gefahr. Betrüger generieren synthetische Videos, die nicht nur optisch täuschen, sondern auch biologische Mikrosignale eines lebenden Menschen zeigen – aktuelle biometrische Abwehrmechanismen laufen damit ins Leere.
EU plant „Business Wallets” trotz Warnungen
Unbeeindruckt von den Turbulenzen präsentierte die EU-Kommission am 19. November „Europäische Unternehmens-Wallets” – digitale Identitäten für grenzüberschreitenden Handel. Das Einsparpotenzial: 150 Milliarden Euro jährlich durch weniger Verwaltungsaufwand.
Doch der Zeitpunkt wirft Fragen auf. Nur einen Tag nach dem britischen Fehlstart und der Veröffentlichung des Entrust-Report soll eine zentrale digitale Identität für alle EU-Mitgliedstaaten geschaffen werden. Sicherheitsexperten warnen: Ein derart attraktives Ziel für Angriffe auf „nicht-menschliche Identitäten” könnte katastrophale Folgen haben – jedenfalls ohne Abwehrtechnologien, die weit über heutige biometrische Standards hinausgehen.
Kann eine EU-weite Lösung sicher sein, wenn selbst nationale Plattformen unter Verdacht stehen?
KI-Wettrüsten verschärft sich dramatisch
Die vergangenen 72 Stunden markieren eine Zäsur im digitalen Wettrüsten. Während physische Dokumentenfälschungen noch 47 Prozent aller Betrugsfälle ausmachen (Personalausweise sind mit 46 Prozent das beliebteste Fälschungsobjekt), verlagert sich das Wachstum komplett ins Digitale.
Die Einstiegshürde für hochentwickelten Betrug ist kollabiert: Was früher staatliche Akteure oder geschulte Fälscher erforderte, erledigt heute ein Teenager mit einem 20-Dollar-Abo für „Fraud-as-a-Service”-Plattformen. Besonders gefährlich: Betrüger recyceln dieselbe synthetische Identität parallel bei Dutzenden Anbietern. Wer morgens bei einer Bank abgelehnt wird, meldet sich nachmittags mit demselben Deepfake erfolgreich bei einer Krypto-Börse an – weil die Systeme isoliert arbeiten und keine Echtzeit-Bedrohungsdaten austauschen.
Prognose 2026: Drei fundamentale Umbrüche
Das Cybersecurity-Unternehmen SpyCloud prognostiziert für 2026 „intelligentere synthetische Identitäten”. Kriminelle werden echte gestohlene Daten mit KI-generierten Persönlichkeiten zu „Frankenstein-Identitäten” verschmelzen, die alle Standardprüfungen bestehen.
Die Branche bereitet sich auf drei Paradigmenwechsel vor:
Aktive statt passive Prüfungen: Statische Checks werden durch interaktive Herausforderungen ersetzt, die KI in Echtzeit nicht bewältigen kann – allerdings auf Kosten der Nutzerfreundlichkeit.
Hardware-Attestierung: Um Injection-Angriffe zu stoppen, werden Dienste zunehmend kryptografische Nachweise verlangen, dass der Videostream direkt von der Kamera-Hardware stammt und nicht über das Betriebssystem läuft.
Regulatorisches Umdenken: Die Probleme der britischen ID-Plattform könnten weltweit zu einer Neubewertung staatlicher Digital-ID-Mandate führen. Gesetzgeber erkennen allmählich: Eine digitale Identität ohne Lösung des Deepfake-Problems vorzuschreiben, bedeutet faktisch, Identitätsdiebstahl vorzuschreiben.
„Identität ist jetzt die Frontlinie”, schließt der Entrust-Report. Nach den Ereignissen dieser Woche muss man hinzufügen: Es ist eine Linie, die gerade überrannt wird.
Anzeige
PS: Die Diskussion um digitale Identitäten und Deepfakes endet nicht bei technischen Abwehrmaßnahmen – sie hat auch unmittelbare regulatorische Folgen. Unser kostenloses E‑Book zur EU‑KI‑Verordnung fasst zusammen, welche Kennzeichnungspflichten, Risikoklassen und Übergangsfristen jetzt gelten – und zeigt konkrete Schritte, wie Unternehmen ihre KI‑Nutzung rechtssicher dokumentieren. Gerade in Zeiten rasanter Deepfake‑Entwicklung ist das Pflichtlektüre für Entscheider. Jetzt kostenlosen KI-Leitfaden herunterladen