Geräte-Fingerprinting: Funktionsweise und Betrugsprävention mit Didit (DE)

Zwei Konten, zwei Namen, zwei Dokumente – aber dasselbe Telefon, derselbe Browser-Build, dieselbe GPU. Cookies wurden gelöscht, die zweite Anmeldung erfolgte in einem Inkognito-Fenster und die IP wurde über ein VPN rotiert. Für die meisten Onboarding-Prozesse sehen das wie zwei verschiedene Personen aus. Geräte-Fingerprinting ist das, was Ihnen sagt, dass sie es nicht sind.

Dieser Beitrag erklärt, was Geräte-Fingerprinting ist, wie es tatsächlich funktioniert, wo es sich von Cookies unterscheidet und wie Didit es innerhalb der Geräte- & IP-Analyse einsetzt, um doppelte Geräte, Betrugsringe und Multi-Accounting während der Identitätsprüfung zu erkennen – ohne versehentlich nicht zusammengehörige Benutzer zusammenzuführen.

Wichtigste Erkenntnisse

• Geräte-Fingerprinting erstellt einen stabilen Identifikator für ein Gerät aus seinen Browser-, Hardware- und Netzwerksignalen – unabhängig von Cookies, sodass es Speicherbereinigungen, Inkognito-Modus und App-Neuinstallationen übersteht.
• Es ist eines der stärksten Frühwarnzeichen für Betrug, da die Dinge, die ein Gerät einzigartig machen (GPU, Bildschirm, Schriftarten, Betriebssystem-Build, Sensor-Eigenheiten), schwer in großem Maßstab zu ändern und für Betrüger teuer überzeugend zu fälschen sind.
• Der hochwirksame Anwendungsfall ist die Erkennung desselben Geräts hinter verschiedenen Identitäten: Multi-Accounting, Bonus- und Empfehlungsmissbrauch, Betrugsringe, synthetische Identitäten und Money-Mule-Onboarding.
• Didit führt Geräte-Fingerprinting automatisch in jeder Verifizierungssitzung als Teil der Geräte- & IP-Analyse (0,03 $) durch und liefert einen device_fingerprint, Übereinstimmungen doppelter Geräte, ein hochzuverlässiges Wiederherstellungssignal und konfigurierbare Warnungen, die Sie zum Genehmigen / Überprüfen / Ablehnen verwenden können.
• Didit trennt exakte Übereinstimmungen von wiederhergestellten Übereinstimmungen und schützt vor Hash-Kollisionen, sodass Sie das Betrugssignal erhalten, ohne fälschlicherweise Geräte in gemeinsamen Büros oder gemeinsam genutzten WebViews zu verknüpfen.

Was ist Geräte-Fingerprinting?

Geräte-Fingerprinting ist die Praxis, ein Gerät – ein Telefon, Laptop oder Tablet – anhand der Kombination von Attributen zu identifizieren, die es beim Verbinden mit Ihrer App offenbart. Kein einzelnes Attribut ist einzigartig, aber die Kombination von Dutzenden davon (Bildschirmauflösung, GPU-Modell, installierte Schriftarten, Betriebssystem-Build, Zeitzone, Sprache, Browserversion, Canvas- und WebGL-Rendering-Eigenheiten) ist unterscheidbar genug, um dasselbe Gerät später wiederzuerkennen.

Das Ergebnis ist ein Fingerabdruck: ein stabiler Identifikator, der aus diesen Signalen abgeleitet wird. Im Gegensatz zu einem Benutzernamen oder einer E-Mail-Adresse wählt der Benutzer ihn niemals aus und weiß normalerweise nicht, dass er existiert. Genau deshalb ist er für die Betrugsprävention nützlich – ein Betrüger kann einen neuen Namen erfinden und ein neues gestohlenes Dokument kaufen, aber er sitzt oft am selben Computer.

Wie Geräte-Fingerprinting funktioniert

Das Fingerprinting erfolgt clientseitig: Ein kleines Skript oder SDK läuft im Browser oder in der mobilen App, liest eine Reihe von Signalen und wandelt sie in einen oder mehrere Hashes um. Die Signale fallen normalerweise in einige Kategorien.

Browser- und Softwaresignale

• User-Agent-String, Browserfamilie und -version, installierte Plugins und MIME-Typen
• Sprache, Zeitzone und Gebietsschema
• Bildschirmauflösung, Farbtiefe, verfügbare Schriftarten
• HTTP-Header-Reihenfolge und TLS-Eigenschaften

Hardware- und Rendering-Signale

• GPU-Modell und Treiber, über WebGL exponiert
• Canvas-Fingerprinting – der Browser wird aufgefordert, versteckten Text/Grafiken zu rendern; winzige Unterschiede in GPU, Treibern und Anti-Aliasing erzeugen einen gerätespezifischen Bild-Hash
• AudioContext-Fingerprinting – der Audio-Stack verarbeitet ein Signal je nach Gerät leicht unterschiedlich
• CPU-Klasse, Gerätespeicher, Batterie und Sensor-Eigenheiten auf Mobilgeräten

Netzwerk- und Verhaltenssignale (oft mit Fingerprinting gekoppelt)

• IP-Adresse, Geolokalisierung, Verbindungstyp, ASN
• VPN / Proxy / Tor / Rechenzentrums-Erkennung
• Optional, Verhaltensmerkmale wie Tippgeschwindigkeit

Diese Signale werden zu Hashes kombiniert. Eine robuste Implementierung erzeugt mehr als einen: einen persistenten Geräteidentifikator (stabil, solange der lokale Speicher vorhanden ist), einen zusammengesetzten Hash (eine deterministische Gruppierung von Signalen) und einen Signalvektor, der zur Wiederherstellung eines Geräts verwendet wird, selbst wenn die persistente ID gelöscht wurde.

Geräte-Fingerprinting vs. Cookies

Cookies und Geräte-Fingerprints erkennen beide wiederkehrende Besucher, aber sie funktionieren unterschiedlich – und dieser Unterschied ist der Grund, warum Betrugsteams auf Fingerprinting setzen.

	Cookies	Geräte-Fingerprinting
Wo es lebt	Eine Datei, die der Browser clientseitig speichert	Abgeleitet von Gerätesignalen; Referenzdaten serverseitig gespeichert
Benutzerkontrolle	Leicht löschbar oder blockierbar	Kann nicht einfach gelöscht werden; überlebt Speicherbereinigungen
Überlebt Inkognito?	Nein	Ja (Wiederherstellungssignal)
Überlebt Neuinstallation?	Nein	Oft ja
Hauptzweck	Sitzungen, Präferenzen, Analysen	Erkennung des Geräts hinter einer Identität

Ein Betrüger, der 50 Konten eröffnet, löscht Cookies, wechselt in den Inkognito-Modus oder installiert die App zwischen den Versuchen neu. Cookies werden jedes Mal zurückgesetzt; ein guter Geräte-Fingerprint zeigt weiterhin auf denselben Computer.

Warum Geräte-Fingerprinting für die Betrugsprävention wichtig ist

Die meisten Betrugsfälle auf Kontoebene haben eine Gemeinsamkeit: ein Gerät hinter vielen Identitäten. Fingerprinting deckt dies am frühestmöglichen Zeitpunkt auf – bei der Anmeldung oder beim Onboarding – bevor Geld fließt.

• Multi-Accounting – eine Person, die mehrere Konten betreibt, um Limits, Sperren oder Berechtigungsregeln zu umgehen.
• Bonus-, Empfehlungs- und Aktionsmissbrauch – dasselbe Gerät, das Anmeldeboni, kostenlose Testversionen oder Empfehlungszahlungen unter verschiedenen Namen abgreift.
• Betrugsringe – koordinierte Netzwerke, die Dutzende von Konten von einem gemeinsamen Satz von Geräten oder Infrastruktur aus betreiben.
• Onboarding synthetischer Identitäten – massenhaft erstellte gefälschte Identitäten, oft von einem kleinen Pool von Geräten.
• Money-Mule-Onboarding – viele „verschiedene“ Personen, die sich vom selben Computer aus onboarden.
• Kontoübernahme (ATO) – eine Anmeldung oder ein Step-up von einem Gerät, das noch nie mit dem legitimen Benutzer in Verbindung gebracht wurde.

Auch das Erkennen verdächtiger Setups ist wichtig: virtuelle Maschinen, Automatisierungsframeworks, Emulatoren oder unmögliche Signalkombinationen (ein „mobiler“ User-Agent mit einer Desktop-GPU) sind selbst rote Flaggen.

Wie Didit Geräte-Fingerprinting einsetzt: Geräte- & IP-Analyse

Didit führt Geräte-Fingerprinting automatisch in jeder Verifizierungssitzung als Teil der Geräte- & IP-Analyse durch – dabei werden Geräte-Fingerprint, Erkennung doppelter Geräte, IP-Intelligenz und Geolokalisierung zu einer einzigen Risikooberfläche kombiniert. Es gibt keine separate Integration zu erstellen: Die Web- und Mobile-SDKs sammeln die Signale In-Band während des gehosteten KYC-Flows, und das Ergebnis landet auf dem Entscheidungs-Payload unter ip_analyses[].

Was Didit erfasst

Didit sendet einen datenschutzfreundlichen v2-Fingerprint-Payload vom Verifizierungsclient:

Signal	Wofür es ist
Persistente Geräte-ID	Erstanbieter-Identifikator für exakte Erkennung desselben Geräts, solange der Speicher besteht.
Komposit-Hash	Stabiler gruppierter Signal-Hash für deterministische Duplikatsprüfungen, mit Kollisionsschutz.
Signalvektor	Geräte- und Browser-/App-Attribute, vektorisiert für hochzuverlässige Wiederherstellung.
Plattformkontext	Browser, Betriebssystem, App, Hardware, WebGL/Canvas, Medien, Gebietsschema, Zeitzone und mobile Integritätssignale.

Parallel dazu reichert es die Verbindung an: IP-Geolokalisierung, VPN / Proxy / Tor / Rechenzentrums-Erkennung, optionales erwartetes IP-Pinning und IP-Blocklistenprüfungen.

Das Matching-Modell

Der schwierige Teil des Geräte-Fingerprintings besteht nicht darin, die offensichtliche Wiederverwendung zu erkennen – sondern darin, die Wiederverwendung zu erkennen, nachdem der Betrüger zurückgesetzt hat, ohne unschuldige Benutzer fälschlicherweise zu verknüpfen, die zufällig einen WebView-Pool oder ein Büronetzwerk teilen. Didit trennt die Ebenen, damit Sie Ihre Reaktion sicher abstimmen können:

Ebene	Was es erkennt	Haltung
Exakte persistente ID	Dieselbe Erstanbieter-Geräteidentität in der Sitzung eines anderen Benutzers.	Stärkstes Signal → DUPLICATED_DEVICE_FINGERPRINT.
Komposit-Hash	Derselbe deterministische Geräte-Hash über Benutzer hinweg.	Geschützt durch Kollisionserkennung, sodass gemeinsame Browser-/WebView-Pools unterdrückt werden.
v2 wiederhergestelltes Gerät	Persistente ID geändert, aber reichhaltige Signale stimmen mit einem früheren Gerät mit hoher Sicherheit überein.	Konservativ → DEVICE_RECOVERED_HIGH_CONFIDENCE, nur nachdem harte Schranken passiert wurden.
IP-Wiederverwendung	Dieselbe IP über Benutzer hinweg.	Kontextuell – gemeinsame Büros, Haushalte und Mobilfunkanbieter können legitim sein.

Diese Wiederherstellungsebene ist es, die den Trick mit Speicherbereinigung / Inkognito / Neuinstallation erkennt: Selbst wenn sich die persistente ID ändert, kann das v2-Modell die Sitzung mit einem Gerät verknüpfen, das es zuvor gesehen hat.

Die Warnungen, auf die Sie reagieren

Jeder Eintrag in ip_analyses[] enthält einen device_fingerprint, die Gerätemarke/-modell/-browser/-betriebssystem, ein matches[]-Array von Duplikatsitzungen (gruppiert nach vendor_data, sodass derselbe Benutzer nicht gegen sich selbst markiert wird) und eine Reihe konfigurierbarer Warnungen:

Warnung	Bedeutung	Standardaktion
DUPLICATED_DEVICE_FINGERPRINT	Dasselbe persistente Gerät wird unter einer anderen Identität wiederverwendet	Genehmigen (konfigurierbar)
DEVICE_RECOVERED_HIGH_CONFIDENCE	Wiederhergestelltes Gerät nach Speicher/Inkognito/Neuinstallation	Genehmigen (konfigurierbar)
DEVICE_FINGERPRINT_IN_BLOCKLIST	Gerät stimmt mit Ihrer Blockliste überein	Erzwingt Ablehnung
DUPLICATED_IP_ADDRESS	Dieselbe IP über Benutzer hinweg	Genehmigen (konfigurierbar)
PRIVATE_NETWORK_DETECTED	VPN, Proxy oder Tor	Überprüfen (konfigurierbar)
COUNTRY_FROM_DOCUMENT_DOES_NOT_MATCH_COUNTRY_FROM_IP	Dokumentenland ≠ IP-Land	Überprüfen (konfigurierbar)
EXPECTED_IP_ADDRESS_MISMATCH	Live-IP ≠ die IP, die Sie bei der Sitzungserstellung festgelegt haben	Ablehnen (konfigurierbar)

Sie konfigurieren jede Kategorie unabhängig in der Business Console – genehmigen, zur manuellen Überprüfung weiterleiten oder hart ablehnen – und nutzen das Ergebnis über Webhooks, die Entscheidungs-API, das Dashboard oder das Verifizierungs-PDF. Siehe den vollständigen Warnungskatalog.

Ein Beispiel

Hier ist eine Declined-Entscheidung: ein IP-Blocklisten-Treffer, maskierter Traffic und ein wiederverwendetes Gerät – alles in einer Sitzung.

{
  "ip_analyses": [
    {
      "status": "Declined",
      "device_brand": "Generic",
      "device_model": "Linux PC",
      "browser_family": "Chrome",
      "device_fingerprint": "fp_re-used_a13c",
      "warnings": [
        { "risk": "IP_ADDRESS_IN_BLOCKLIST" },
        { "risk": "PRIVATE_NETWORK_DETECTED" },
        { "risk": "DUPLICATED_DEVICE_FINGERPRINT" }
      ],
      "matches": [
        {
          "match_type": "device_fingerprint",
          "matched_value": "fp_re-used_a13c",
          "device_info": { "brand": "Generic", "model": "Linux PC", "os": "Linux", "platform": "desktop" }
        }
      ]
    }
  ]
}

Das Gerät war bereits unter einem anderen vendor_data registriert, der Traffic ist maskiert und die IP steht auf Ihrer Blockliste – drei unabhängige Gründe, die Sitzung zu stoppen, bevor sie zu einem Konto wird.

Datenschutz und Compliance

Geräte-Fingerprinting fällt unter das Datenschutzrecht (DSGVO, ePrivacy und ähnliche Regelungen behandeln Gerätekennungen als personenbezogene Daten). Didits Implementierung ist darauf ausgelegt, datenschutzfreundlich zu sein: Sie sammelt einen Fingerabdruck zur Betrugsprävention – ein berechtigtes Interesse, das mit der bereits von Ihnen durchgeführten Verifizierung verbunden ist – und nicht für seitenübergreifende Werbung. Signale werden vektorisiert und gehasht, das Matching wird eingeschränkt, um das Zusammenführen nicht zusammengehöriger Benutzer zu vermeiden, und die gesamte Funktion läuft nur innerhalb der zugestimmten Verifizierungssitzung. Didit ist der einzige Identitätsanbieter, der von einer Regierung eines EU-Mitgliedstaates (Spaniens Tesoro / Banco de España / SEPBLAC Sandbox) formell als sicherer als die persönliche Verifizierung bestätigt wurde.

Wie man Didit integriert

Die Geräte- & IP-Analyse ist nur sitzungsbezogen – es gibt keinen eigenständigen Endpunkt, der aufgerufen werden muss. Sie läuft automatisch bei jeder Sitzung:

1. (Optional) Konfigurieren Sie in der Business Console strenge Aktionen pro Risiko – z.B. Ablehnung bei VPN, Überprüfung bei doppeltem Gerät, Ablehnung bei Länder-Dokument-Diskrepanz.
2. Erstellen Sie eine Sitzung – POST /v3/session/ mit Ihrer workflow_id, vendor_data (senden Sie immer einen stabilen Wert pro Benutzer, damit Duplikate korrekt zugeordnet werden) und callback.
3. Öffnen Sie session.url für den Benutzer – das SDK sammelt den Fingerabdruck und die IP In-Band.
4. Lesen Sie das Ergebnis – GET /v3/session/{sessionId}/decision/ oder abonnieren Sie session.status.updated und parsen Sie ip_analyses[].

curl -X POST 'https://verification.didit.me/v3/session/' \
  -H 'x-api-key: YOUR_API_KEY' \
  -H 'Content-Type: application/json' \
  -d '{
    "workflow_id": "YOUR_WORKFLOW_ID",
    "vendor_data": "user-123",
    "callback": "https://yourapp.com/post-kyc"
  }'

Vollständige Referenz: die Übersicht zur Geräte- & IP-Analyse, das Berichtsschema und die Datenmodelle.

Häufig gestellte Fragen

Wie viel kostet Geräte-Fingerprinting mit Didit?

Es ist Teil der Geräte- & IP-Analyse zu 0,03 $ pro Prüfung und läuft innerhalb der Verifizierungssitzung – keine separate Integration. Didit bietet Ihnen außerdem 500 kostenlose Verifizierungen pro Monat.

Können Betrüger Geräte-Fingerprinting umgehen?

Sie versuchen es – VMs, Anti-Detect-Browser, gefälschte User-Agents, Speicher-Resets. Didit begegnet dem auf zwei Wegen: Das Wiederherstellungsmodell verknüpft ein Gerät auch nach Änderung der persistenten ID, und Signale für maskierten Traffic / verdächtige Setups (VPN, Tor, Rechenzentrums-IP, unmögliche Signalkombinationen) werden als eigene Warnungen ausgegeben. Kein einzelnes Signal ist entscheidend, deshalb liefert Didit eine geschichtete Reihe, die Sie gemäß Ihrer Richtlinie kombinieren.

Wird es fälschlicherweise zwei nicht zusammengehörige Benutzer verknüpfen?

Didit schützt bewusst davor: Komposit-Hashes werden durch einen Kollisionsschutz für gemeinsame WebView-/Browser-Pools unterdrückt, Wiederherstellungs-Matches erfordern hochzuverlässige Gates, und Matches werden durch vendor_data begrenzt, sodass derselbe Benutzer niemals gegen sich selbst markiert wird.

Muss ich den Fall behandeln, dass kein Fingerabdruck vorhanden ist?

Ja – ip_analyses[] kann leer zurückkommen, wenn der Benutzer das Fingerprinting-Skript des SDK mit einer Datenschutz-Erweiterung oder einem Inhaltsblocker blockiert hat. Entscheiden Sie im Voraus, ob Sie im Fehlerfall blockieren oder auf Ihre anderen Risikosignale zurückgreifen möchten.

Funktioniert dies sowohl auf Mobilgeräten als auch im Web?

Ja. Die Web- und Mobile-SDKs erfassen beide den v2-Fingerabdruck, einschließlich mobiler Integritätssignale, sofern verfügbar.

Bereit zum Start?

Geräte-Fingerprinting ist ein Signal in Didits breiterer Betrugsoberfläche – gepaart mit IP-Intelligenz, Dokumentenprüfung, Biometrie und AML-Screening, alles in einem Workflow zusammensetzbar.

• Funktion lernen → Geräte- & IP-Analyse Docs
• In der Plattform sehen → Benutzerverifizierung
• Preis prüfen → Preise – Geräte- & IP-Analyse für 0,03 $, 500 kostenlose Verifizierungen/Monat
• Kostenlos starten → business.didit.me