Zum Hauptinhalt springen
Didit erhält 7,5 Mio. $ für die Infrastruktur für Identität und Betrug
Didit
Zurück zum Blog
Blog · 1. Juli 2026

Identitätsprüfung nach Risiko: LoA-Strategien implementieren

Die Implementierung einer effektiven LoA-Strategie (Level of Assurance) für die Identitätsprüfung ermöglicht es Unternehmen, die Intensität der Verifizierung dynamisch an das Transaktionsrisiko anzupassen.

Von DiditAktualisiert

Eine LoA-Strategie (Level of Assurance) für die Identitätsprüfung beinhaltet die dynamische Anpassung der Strenge und Tiefe von Identitätsprüfungen basierend auf dem bewerteten Risiko eines Benutzers oder einer Transaktion. Dieser Ansatz geht über einen einheitlichen Verifizierungsprozess hinaus und ermöglicht es Unternehmen, Ressourcen zu optimieren, die Benutzererfahrung zu verbessern und regulatorische Anforderungen effizienter zu erfüllen.

Verständnis der Vertrauensstufen bei der Identitätsprüfung

Levels of Assurance (LoA) sind ein Rahmenwerk zur Kategorisierung des Vertrauens in eine beanspruchte digitale Identität. Eine höhere LoA deutet auf eine größere Gewissheit hin, dass eine Person die ist, für die sie sich ausgibt. Das Konzept entstand im Regierungs- und Sicherheitssektor, ist aber heute für kommerzielle Anwendungen von entscheidender Bedeutung, insbesondere in regulierten Branchen wie Finanzdienstleistungen, Fintech und Online-Gaming.

Üblicherweise definieren LoA-Frameworks mehrere Stufen, oft von 1 bis 4 oder 5, mit zunehmenden Anforderungen an Nachweise und Verifizierungsstrenge auf jeder Stufe:

  • LoA 1 (Geringes Vertrauen): Grundlegende Identitätsbestätigung. Dies kann eine Selbstbestätigung oder wissensbasierte Authentifizierungsfragen (KBA) umfassen, die leicht kompromittiert werden können. Geeignet für risikoarme Aktivitäten, bei denen die Auswirkungen eines Identitätskompromisses minimal sind.
  • LoA 2 (Mittleres Vertrauen): Erfordert eine Form von Nachweis über die Selbstbestätigung hinaus. Dies könnte die Verifizierung einer E-Mail-Adresse, Telefonnummer oder den Abgleich von Daten mit einer einzigen zuverlässigen Quelle umfassen. Oft verwendet für Aktivitäten mit moderatem Risiko, bei denen ein erfolgreicher Angriff begrenzten Schaden verursachen könnte.
  • LoA 3 (Hohes Vertrauen): Beinhaltet zuverlässige Verifizierungsprozesse, die typischerweise mehrere Datenquellen kombinieren und starke Identitätsnachweise erfordern. Beispiele sind die Dokumentenprüfung (z. B. Reisepass, Führerschein) in Kombination mit Liveness Detection oder die Verifizierung gegen Regierungsdatenbanken. Wesentlich für Hochrisikotransaktionen oder Aktivitäten, bei denen ein Identitätskompromiss zu erheblichen finanziellen Verlusten oder regulatorischen Strafen führen könnte.
  • LoA 4 (Sehr hohes Vertrauen): Die strengste Stufe, die oft eine persönliche Verifizierung, biometrische Registrierung oder spezielle Hardware erfordert. Reserviert für extrem risikoreiche Szenarien, wie den Zugriff auf geheime Informationen oder die Initiierung von hochvolumigen Überweisungen in stark regulierten Umgebungen.

Warum eine dynamische LoA-Strategie unerlässlich ist

Ein statischer Ansatz zur Identitätsprüfung – die Anwendung des gleichen Prüfungsniveaus auf jeden Benutzer oder jede Transaktion – ist ineffizient und oft kontraproduktiv. Er kann zu Folgendem führen:

  • Schlechte Benutzererfahrung: Eine übermäßig aufwendige Verifizierung für risikoarme Aktivitäten kann legitime Benutzer abschrecken.
  • Erhöhte Kosten: Die universelle Anwendung von Hochsicherheitsprüfungen bläht die Betriebskosten unnötig auf.
  • Compliance-Lücken: Eine unzureichende Verifizierung in Hochrisikoszenarien kann das Unternehmen Betrug, Geldwäsche und regulatorischen Bußgeldern aussetzen.
  • Reduzierte Betrugserkennung: Ein statisches System könnte subtile Betrugsindikatoren übersehen, die ein dynamischer, risikobasierter Ansatz für eine genauere Prüfung kennzeichnen würde.

Durch die Implementierung einer Identitätsprüfungs-LoA-Strategie können Unternehmen ihren Ansatz anpassen und sicherstellen, dass das richtige Verifizierungsniveau zur richtigen Zeit angewendet wird.

Aufbau einer effektiven Identitätsprüfungs-LoA-Strategie

Die Entwicklung einer zuverlässigen Identitätsprüfungs-LoA-Strategie umfasst mehrere wichtige Schritte:

1. Risikostufen und Auslöser definieren

Beginnen Sie mit der Kategorisierung der verschiedenen Risikostufen, die mit Ihren Diensten, Benutzern und Transaktionen verbunden sind. Dies erfordert eine gründliche Risikobewertung. Zu berücksichtigende Faktoren sind:

  • Benutzerattribute: Neuer Benutzer vs. etablierter Benutzer, geografischer Standort (Hochrisikogebiet), Status als politisch exponierte Person (PEP), Erwähnungen in negativen Medien.
  • Transaktionsattribute: Transaktionswert, Häufigkeit, Typ (z. B. Krypto, internationale Überweisung), Herkunft/Ziel der Gelder.
  • Verhaltensmuster: Ungewöhnliche Anmeldeaktivitäten, schnelle Änderungen der Kontodaten, Versuche, auf sensible Informationen zuzugreifen.

Definieren Sie für jede Risikostufe (z. B. niedrig, mittel, hoch) spezifische Auslöser, die einen Benutzer oder eine Transaktion in diese Stufe heben würden. Zum Beispiel könnte ein neuer Benutzer aus einem Hochrisikoland, der eine große Transaktion versucht, automatisch einer Hochrisikostufe zugeordnet werden.

2. LoA den Risikostufen zuordnen

Sobald die Risikostufen definiert sind, ordnen Sie jeder Stufe eine geeignete LoA zu. Dies schafft eine direkte Korrelation zwischen Risiko und Verifizierungsintensität. Zum Beispiel:

  • Geringes Risiko: LoA 1 oder 2. Kann eine grundlegende E-Mail-/Telefonverifizierung oder eine leichte Dokumentenprüfung erfordern.
  • Mittleres Risiko: LoA 2 oder 3. Könnte eine Dokumentenprüfung mit Liveness Detection oder eine umfassendere Datenprüfung gegen mehrere Quellen umfassen.
  • Hohes Risiko: LoA 3 oder 4. Erfordert typischerweise eine zuverlässige Dokumentenprüfung mit Liveness Detection, Datenbankprüfungen für PEP/Sanktionen und möglicherweise erweiterte Due Diligence (EDD) oder manuelle Überprüfung.

3. Geeignete Verifizierungsmethoden auswählen

Didit bietet eine umfassende Suite von Modulen, die kombiniert werden können, um verschiedene LoA-Anforderungen zu erfüllen. Dazu gehören:

  • Dokumentenprüfung: Automatisierte Analyse von amtlichen Ausweisen (Reisepässe, Führerscheine) auf Echtheit, typischerweise kombiniert mit optischer Zeichenerkennung (OCR) und Anti-Spoofing-Maßnahmen.
  • Liveness Detection: Biometrische Prüfungen (z. B. Gesichtserkennung, passive Liveness), um sicherzustellen, dass die Person, die das Dokument vorlegt, eine lebende, anwesende Person und kein Spoof ist.
  • Datenbankprüfungen: Verifizierung gegen zuverlässige Datenbanken für Identitätsattribute, Adresse, Telefonnummern und Prüfungen auf Sanktionen, Beobachtungslisten und PEP-Status.
  • Adressnachweis (PoA): Verifizierung der Wohnadresse anhand von Stromrechnungen, Kontoauszügen oder offiziellen Dokumenten.
  • Geschäftsverifizierung (KYB): Für B2B-Plattformen, Verifizierung der Geschäftsregistrierung, des wirtschaftlichen Eigentümers (UBO (ultimate beneficial owner)) und des rechtlichen Status der juristischen Person.
  • Transaktionsüberwachung (AML/CFT): Kontinuierliche Überprüfung von Transaktionen auf verdächtige Muster, die auf Geldwäsche oder Terrorismusfinanzierung hindeuten.

Eine effektive Identitätsprüfungs-LoA-Strategie wird diese Methoden dynamisch orchestrieren. Zum Beispiel könnte eine grundlegende Anmeldung nur eine erneute Authentifizierung über eine Authenticator-App auslösen, während eine große Abhebung eine vollständige erneute Dokumentenprüfung mit einer frischen Liveness-Prüfung erfordern könnte.

4. Adaptive Workflows implementieren

Ihre Identitätsprüfungs-LoA-Strategie sollte durch adaptive Workflows implementiert werden. Das bedeutet, dass das System Verifizierungsschritte automatisch eskalieren oder deeskalieren sollte, basierend auf der Echtzeit-Risikobewertung. Zum Beispiel:

  • Ein Benutzer, der ursprünglich für eine Aktivität mit geringem Wert auf LoA 2 verifiziert wurde, könnte eine Transaktion mit hohem Wert versuchen, was eine automatische Eskalation auf LoA 3 auslöst, die zusätzliche Dokumenten- und Liveness-Prüfungen erfordert.
  • Umgekehrt könnte ein langjähriger, vertrauenswürdiger Benutzer mit einer konsistenten Verhaltenshistorie bestimmte Verifizierungsschritte für routinemäßige, risikoarme Aktionen überspringen.

Diese Anpassungsfähigkeit ist der Schlüssel, um Sicherheit, Compliance und Benutzererfahrung in Einklang zu bringen. Didit's API-First-Ansatz ermöglicht eine flexible Integration dieser Module, wodurch Entwickler anspruchsvolle, dynamische Workflows erstellen können.

5. Überwachen, überprüfen und optimieren

Eine Identitätsprüfungs-LoA-Strategie ist keine einmalige Einrichtung. Sie erfordert kontinuierliche Überwachung, Überprüfung und Optimierung. Bewerten Sie regelmäßig:

  • Betrugsraten: Führen Hochrisikotransaktionen immer noch zu Betrug? Passen Sie die LoA-Anforderungen für diese Szenarien an.
  • Falsch positive/negative Ergebnisse: Kennzeichnet das System legitime Benutzer fälschlicherweise oder übersieht es tatsächlichen Betrug?
  • Abbruchraten der Benutzer: Verursachen bestimmte Verifizierungsschritte zu viel Reibung für legitime Benutzer?
  • Regulatorische Änderungen: Gesetze wie AML (Anti-Geldwäsche) und KYC (Know Your Customer) entwickeln sich weiter. Ihre LoA-Strategie muss sich anpassen, um konform zu bleiben.

Nutzen Sie Datenanalysen, um Ihre Risikomodelle zu verfeinern und die Schwellenwerte für die Eskalation der LoA anzupassen. Dieser iterative Prozess stellt sicher, dass Ihre Strategie effektiv und effizient bleibt.

Integration einer Identitätsprüfungs-LoA-Strategie mit Didit

Didit bietet die Infrastruktur, um eine ausgeklügelte Identitätsprüfungs-LoA-Strategie aufzubauen und zu implementieren. Mit über 1.000 Datenquellen und einem offenen Marktplatz von Modulen können Sie Workflows entwerfen, die genau Ihrem Risikoappetit und Ihren regulatorischen Verpflichtungen entsprechen.

Zum Beispiel, um einen gestuften Ansatz zu implementieren:

  • Onboarding mit geringem Risiko: Beginnen Sie mit einem grundlegenden identity_check-Modul zur Namens- und Adressverifizierung gegen öffentliche Register.
  • Aktionen mit mittlerem Risiko: Wenn ein Benutzer eine Aktion mit mittlerem Risiko versucht, lösen Sie die document_verification mit liveness_detection über das document_capture-Modul aus, zusammen mit einem watchlist_screening-Modul für PEP- (politisch exponierte Person) und Sanktionsprüfungen.
  • Szenarien mit hohem Risiko: Für Transaktionen mit hohem Wert oder verdächtige Aktivitäten fügen Sie proof_of_address und möglicherweise enhanced_due_diligence-Module hinzu, die eine manuelle Überprüfung case_management mithilfe der Didit-Tools beinhalten könnten.

Diese Modularität ermöglicht es Ihnen, benutzerdefinierte Verifizierungsabläufe zu erstellen, ohne sich mit mehreren Anbietern integrieren zu müssen. Die decision_engine innerhalb von Didit kann so konfiguriert werden, dass diese LoA-Eskalationen basierend auf Ihren vordefinierten Regeln und der Risikobewertung automatisiert werden.

Wichtige Erkenntnisse

  • Eine Identitätsprüfungs-LoA-Strategie passt die Verifizierungsintensität dynamisch an das Risiko an.
  • Sie optimiert die Benutzererfahrung, reduziert die Betriebskosten und verbessert die Compliance und Betrugsprävention.
  • Die Implementierung einer LoA-Strategie umfasst die Definition von Risikostufen, deren Zuordnung zu geeigneten LoA, die Auswahl geeigneter Verifizierungsmethoden und den Aufbau adaptiver Workflows.
  • Kontinuierliche Überwachung und Optimierung sind entscheidend für die langfristige Wirksamkeit der Strategie.
  • Die modulare Plattform von Didit unterstützt den Aufbau flexibler und skalierbarer LoA-gesteuerter Identitätsprüfungsprozesse.

Häufig gestellte Fragen

F: Was ist der Hauptvorteil einer Identitätsprüfungs-LoA-Strategie?

A: Der Hauptvorteil besteht darin, Sicherheit und Compliance mit Benutzererfahrung und betrieblicher Effizienz in Einklang zu bringen, indem für jedes spezifische Risikoszenario das geeignete Maß an Verifizierungsstrenge angewendet wird.

F: Wie hilft eine LoA-Strategie bei der AML-Compliance?

A: Durch die dynamische Anpassung der Tiefe der Know Your Customer (KYC)- und Know Your Business (KYB)-Prüfungen basierend auf dem bewerteten Risiko stellt eine LoA-Strategie sicher, dass Unternehmen die Anforderungen zur Bekämpfung der Geldwäsche (AML) effektiv erfüllen, insbesondere für Hochrisikopersonen oder Transaktionen, die eine erweiterte Due Diligence erfordern.

F: Kann eine LoA-Strategie die Benutzerreibung reduzieren?

A: Ja, indem unnötige, reibungsintensive Verifizierungsschritte für risikoarme Aktivitäten vermieden werden, kann eine LoA-Strategie die Benutzerreise erheblich verbessern und die Abbruchraten reduzieren.

F: Ist eine Identitätsprüfungs-LoA-Strategie nur für große Unternehmen geeignet?

A: Nein, Unternehmen jeder Größe können davon profitieren. Kleinere Unternehmen haben oft knappere Budgets und weniger Ressourcen, was einen effizienten, risikobasierten Ansatz noch wichtiger macht, um übermäßige Ausgaben für die Verifizierung zu vermeiden.

F: Wie schnell kann ich eine LoA-Strategie mit Didit implementieren?

A: Die Infrastruktur von Didit ist für eine schnelle Integration konzipiert, oft innerhalb von Minuten, sodass Sie eine Identitätsprüfungs-LoA-Strategie mithilfe der modularen API und vorgefertigten Komponenten schnell konfigurieren und bereitstellen können.

Didit bietet die Infrastruktur für Identität und Betrug und bietet eine API für den Zugriff auf über 1.000 Datenquellen und einen offenen Marktplatz von Modulen. Dies ermöglicht es Unternehmen, ausgeklügelte Identitätsprüfungs-LoA-Strategien über den gesamten Lebenszyklus zu implementieren – von Authentifizieren über Verifizieren bis hin zu Überwachen. Sie können in nur 5 Minuten integrieren, von öffentlichen Pay-per-Use-Preisen ohne Mindestbeträge profitieren und jeden Monat 500 kostenlose Prüfungen erhalten. Eine vollständige Identitätsprüfung von Didit kostet nur 0,30 $.

Starten Sie mit Didit

Didit ist Infrastruktur für Identität und Betrug – eine API, öffentliche Pay-per-Use-Preise und 500 kostenlose Verifizierungen jeden Monat. Fügen Sie die Benutzerverifizierung zu Ihrem Workflow hinzu und integrieren Sie sie in 5 Minuten.

Infrastruktur für Identität und Betrugsprävention.

Eine API für KYC, KYB, Transaktionsüberwachung und Wallet-Screening. In 5 Minuten integriert.

Lass dir diese Seite von einer KI zusammenfassen
Identitätsprüfung LoA-Strategie: Verifizierung nach Risiko