Zum Hauptinhalt springen
Didit erhält 7,5 Mio. $ für die Infrastruktur für Identität und Betrug
Didit
Zurück zum Blog
Blog · 13. Juni 2026

Geldwäsche-Konten erkennen: Wie Transaktionsüberwachung hilft (DE)

Geldwäsche-Konten verschieben illegale Gelder für kriminelle Netzwerke. Erfahren Sie, wie Geschwindigkeitsaggregationen, Fan-in/Fan-out-Muster und Echtzeitregeln sie aufdecken – und wie AWAITING_USER Verdächtige zur erneuten.

Von DiditAktualisiert
mule-account-detection.png

Ein Geldwäsche-Konto ist ein Konto – real oder synthetisch –, das verwendet wird, um illegale Gelder im Auftrag eines kriminellen Netzwerks zu empfangen und weiterzuleiten. Der „Mule“ (Geldkurier) ist die Zwischenschicht: Geld aus einem Verbrechen fließt durch das Konto und gelangt mit Abstand zur Quelle zum Begünstigten. Einzelne Transaktionen können völlig routinemäßig aussehen. Das Muster wird erst in der Gesamtheit, über Zeitfenster hinweg und im Netzwerk der beteiligten Sender und Empfänger sichtbar.

Die Erkennung erfordert die Überwachung des Transaktionsstroms mit den richtigen Regeln. Fan-in/Fan-out-Topologie, schnelle Ein- und Ausgänge, Wechsel von Inaktivität zu Aktivität und beinahe schwellenwertbasierte Strukturierung sind die Verhaltensmerkmale – keines davon ist in einer einzelnen Transaktion sichtbar, alle sind in einer gut konfigurierten Geschwindigkeits-Engine sichtbar.

Didits Transaktionsüberwachung deckt diese Muster in Echtzeit für 0,02 $ pro Transaktion auf. Wenn ein Muster eine Regel auslöst, wird das Konto zur Überprüfung durch einen Analysten markiert, direkt abgelehnt oder über den AWAITING_USER-Fluss zu einem erneuten Verifizierungsschritt weitergeleitet – so müssen verdächtige Geldwäsche-Konten die Beweislast tragen, bevor Gelder weitergeleitet werden.

Wichtige Erkenntnisse

  • Mule-Konten verschieben illegale Gelder, ohne das Verbrechen zu initiieren. Rekrutierte Mules, getäuschte Mules und synthetische Mule-Konten werden alle verwendet, um kriminelle Erlöse durch das Finanzsystem zu schichten und zu integrieren.
  • Das Signal liegt im Muster, nicht in der Transaktion. Schnelle Ein-/Aus-Zyklen, Fan-in von mehreren Sendern, Fan-out an mehrere Empfänger und Strukturierung knapp unterhalb der Meldeschwellen sind die Verhaltensmerkmale – einzeln unsichtbar, in der Summe sichtbar.
  • Geschwindigkeitsaggregationen über Zeitfenster – Zählung, Summe, eindeutige Zählung – drücken Mule-Muster als Regeln aus, ohne einen benutzerdefinierten Stream-Prozessor zu erstellen.
  • AWAITING_USER-Auto-Remediation leitet ein markiertes Konto zur erneuten Überprüfung, bevor Gelder weitergeleitet werden können, ohne eine harte Ablehnung, die legitimen Konten schaden würde.
  • AML-Screening für 0,20 $ prüft Gegenparteien gegen über 1.300 Sanktions- und Beobachtungslisten – und kombiniert regelbasierte Verhaltenserkennung mit Identitätsrisiko der beteiligten Parteien.
  • 11 integrierte Regelpakete umfassen spezielle Betrugspräventions- und AML/CTF-Pakete, die sofort mit Mule-Erkennungsmustern ausgestattet sind.

Was Geldmules sind

Ein Geldmule ist jemand, dessen Konto illegale Gelder empfängt und weiterleitet. Sie befinden sich in der Schichtungsphase der Geldwäschekette: nach der Platzierung (kriminelles Bargeld gelangt in das Finanzsystem) und vor der Integration (es tritt als scheinbar legitime Gelder wieder ein).

Mule-Konten gibt es in drei Formen. Rekrutierte Mules akzeptieren wissentlich Zahlungen, um Gelder zu erhalten und weiterzuleiten – oft über Jobangebot-Betrügereien, bei denen sich der „Job“ als Geldwäsche herausstellt. Getäuschte Mules sind legitime Nutzer, die glauben, etwas Harmloses zu tun – zum Beispiel eine Zahlung für einen neuen Arbeitgeber weiterzuleiten – und nicht wissen, dass die Gelder illegal sind. Synthetische Mule-Konten werden mit gefälschten oder gestohlenen Identitäten speziell für die Übertragungsebene eröffnet; diese beinhalten Betrug Dritter bei der Kontoeröffnung und Eigenbetrug auf Transaktionsebene.

Alle drei Typen erzeugen die gleiche Verhaltenssignatur im Transaktionsstrom – und dort muss die Erkennung stattfinden.

Die vier Verhaltensmuster von Mule-Aktivitäten

Fan-in/Fan-out. Ein Mule-Konto empfängt innerhalb eines kurzen Zeitfensters Gelder von mehreren verschiedenen Sendern und leitet diese dann an mehrere verschiedene Empfänger weiter. Diese N-zu-1-zu-M-Topologie ist das stärkste Netzwerksignal. Eine Geschwindigkeitsregel, die die Anzahl der eindeutigen eingehenden Gegenparteien über ein 24-Stunden-Fenster zählt, kombiniert mit einer Zählung der eindeutigen ausgehenden Gegenparteien im selben Fenster, deckt das Muster automatisch auf – unabhängig von der individuellen Transaktionsgröße.

Schneller Ein- und Aus-Zyklus. Der Kontostand zu Beginn und Ende des Tages ist nahezu null, aber es wurde ein erhebliches Volumen darüber bewegt. Der Mule ist ein Kanal, kein Wertspeicher. Eine Regel, die das Verhältnis des gesamten Transaktionsvolumens zum End-of-Day-Saldo berechnet, kennzeichnet Konten, die als Durchgangskonten und nicht als Inhaber von Geldern fungieren.

Strukturierung. Kriminelle Netzwerke halten einzelne Überweisungen oft unterhalb der Meldeschwellen – wiederholt 9.800 EUR statt 10.000 EUR. Das AML/CTF-Regelpaket (Anti-Geldwäsche / Terrorismusfinanzierungsbekämpfung) kennzeichnet Strukturierungsmuster über ein konfigurierbares Zeitfenster hinweg, selbst wenn keine einzelne Transaktion ungewöhnlich ist.

Inaktiv-dann-aktiv. Ein Mule-Konto, das über 60 Tage lang null oder minimales Volumen aufwies und dann innerhalb von 48 Stunden erhebliche Überweisungen verarbeitet, ist ein starkes Anomaliesignal. Didits Anomalieerkennungspaket verfolgt Wechsel von Inaktivität zu Aktivität als Abweichung von der etablierten Verhaltensgrundlinie jedes Kontos – keine statische Schwelle erforderlich.

Wie die Regel-Engine reagiert

Wenn eine Transaktion eine Mule-Muster-Regel auslöst, gibt Didit einen von vier Status zurück:

StatusWas passiert
APPROVEDKeine Regel hat einen Schwellenwert überschritten – die Transaktion wird fortgesetzt.
IN_REVIEWEine Regel hat die Transaktion markiert – es öffnet sich ein Alarm für die Analyse durch einen Analysten.
DECLINEDEine harte Regel (z. B. bestätigte sanktionierte Gegenpartei) blockiert die Transaktion direkt.
AWAITING_USERDie Transaktion wird pausiert und das Konto wird zur erneuten Verifizierung weitergeleitet.

Der AWAITING_USER-Pfad ist die richtige Antwort für einen verdächtigen, aber unbestätigten Mule: Die Beweislast verschiebt sich auf den Kontoinhaber. Echte Benutzer durchlaufen den erneuten Verifizierungsschritt problemlos. Rekrutierte Mules geben ihn oft auf. Synthetische Konten scheitern an der erneuten KYC. Wenn das Muster ernst genug ist, kann ein Alarm zu einem Fall im integrierten Fallmanager eskalieren, und Analysten können einen SAR (Suspicious Activity Report) einreichen, ohne die Konsole zu verlassen.

So integrieren Sie Didit

Senden Sie jede eingehende und ausgehende Transaktion an die Transaction Monitoring API. Fügen Sie die Anbieterreferenzen für subject und counterparty hinzu, damit Geschwindigkeitsaggregationen die Anzahl pro Konto und die Kardinalität der eindeutigen Gegenparteien über Zeitfenster hinweg berechnen können.

curl -X POST https://verification.didit.me/v3/transactions/ \
  -H "x-api-key: $DIDIT_API_KEY" \
  -H "Content-Type: application/json" \
  -d '{
    "transaction_id": "txn_d77f23",
    "category": "finance",
    "amount": 1950,
    "currency": "GBP",
    "currency_kind": "fiat",
    "txn_date": "2026-06-13T11:40:00Z",
    "subject": {
      "vendor_data": "user_8834",
      "role": "RECEIVER",
      "entity_type": "INDIVIDUAL"
    },
    "counterparty": {
      "role": "SENDER",
      "entity_type": "INDIVIDUAL"
    },
    "payment_method": "BANK_TRANSFER"
  }'

Kombinieren Sie die Transaktionsüberwachung mit dem AML-Screening – wenn eine Partei eine Regel auslöst, führen Sie eine Screening-Prüfung gegen über 1.300 Sanktions- und Beobachtungslisten für 0,20 $ pro Anruf durch, um das Identitätsrisiko zu bestätigen oder zu verwerfen. Beide Aufrufe gehen an dieselbe vereinheitlichte /v3/ API.

Aktivieren Sie die Regelpakete Betrugsprävention und AML/CTF in der Business Console als Ihre Basislinie. Passen Sie die Schwellenwerte für eindeutige Gegenparteien und das Durchsatzverhältnis an die Transaktionsvolumenverteilung Ihres Produkts an.

Anwendungsfälle

Neobanken und E-Geld-Institute. Schneller Ein-/Aus-Durchsatz bei Konten mit nahezu null End-of-Day-Salden ist das klarste Mule-Signal im Privatkundengeschäft. Geschwindigkeitsregeln für gesendetes/empfangenes Volumendelta über 24-Stunden-Fenster fangen es ab, bevor Gelder den Abwicklungszyklus durchlaufen.

Krypto-Börsen und On-Ramps. Krypto-Mule-Muster – Fiat einzahlen, in Krypto umwandeln und sofort auf eine externe Wallet abheben – erscheinen im Transaktionsstrom vor dem On-Chain-Teil. Die Kombination von Transaktionsüberwachung mit On-Chain-Wallet-Screening für 0,02 $ pro Prüfung bietet eine Fiat-zu-Chain-Ansicht des gesamten Flusses.

Marktplätze und Zahlungsplattformen. Zahlungsplattformen, die Gelder von vielen Verkäufern vor der Auszahlung aggregieren, sind ein natürliches Mule-Ziel. Die Fan-in-Mustererkennung bei Verkäufer-zu-Plattform-zu-Auszahlungsflüssen deckt die Topologie vor der Auszahlung auf.

Fintech-Kredite. Mule-Konten werden verwendet, um Krediterträge zu erhalten und schnell abzuheben. Geschwindigkeitsregeln für das Verhalten von Abhebung bis null unmittelbar nach der Auszahlung fangen dieses Muster in derselben Engine ab, die auch AML- und Betrugserkennung handhabt.

Häufig gestellte Fragen

Was ist der Unterschied zwischen einem Geldmule und Identitätsbetrug mit synthetischen Identitäten?

Identitätsbetrug mit synthetischen Identitäten erzeugt bei der Kontoeröffnung eine gefälschte Person. Geldmules sind Konten – real oder mit gestohlener Identität –, die nach der Kontoeröffnung zum Schichten von Geldern verwendet werden. Sie überschneiden sich, wenn gestohlene Identitäten Mule-Konten eröffnen, weshalb die Kopplung von Onboarding-KYC (Know Your Customer) mit Transaktionsüberwachung nach der Kontoeröffnung eine vollständige Abdeckung bietet.

Erkennt Didit Mule-Netzwerke automatisch?

Die integrierten Pakete zur Betrugsprävention und AML/CTF sind mit Geschwindigkeits- und Topologieregeln ausgestattet, die Mule-Muster ohne benutzerdefinierte Konfiguration aufdecken. Sie können Schwellenwerte anpassen und benutzerdefinierte Regeln in der Konsole für Ihre spezifische Produktbasislinie hinzufügen.

Wie viel kostet die Mule-Erkennung?

Die Transaktionsüberwachung kostet 0,02 $ pro Transaktion. Wenn eine markierte Partei ein AML-Screening auslöst, kostet diese Prüfung 0,20 $ pro Anruf. Keine Mindestbeträge, keine Benutzerlizenzen.

Was passiert, wenn ein Mule-Konto identifiziert wird?

Das Konto kann abgelehnt, zur Analyse durch einen Analysten zurückgehalten oder über AWAITING_USER zur erneuten Verifizierung weitergeleitet werden. In bestätigten Fällen unterstützt der integrierte Fallmanager die SAR-Einreichung, ohne die Didit-Konsole verlassen zu müssen.

Funktioniert das auch für Krypto-Mule-Muster?

Ja. Setzen Sie currency_kind: "crypto" und die Engine wendet die Regelpakete für Krypto-Überwachung und Krypto-Screening an. Das On-Chain-Wallet-Screening der Gegenpartei-Adresse kann mit eigenem Schlüssel automatisch für 0,02 $ pro Prüfung ausgelöst werden.

Bereit zum Start?

Infrastruktur für Identität und Betrugsprävention.

Eine API für KYC, KYB, Transaktionsüberwachung und Wallet-Screening. In 5 Minuten integriert.

Kostenlos startenKontaktiere uns
Lass dir diese Seite von einer KI zusammenfassen
Geldwäsche-Konten mit Transaktionsüberwachung erkennen | Didit.