Synthetische Identitäten: Milliardenrisiko für Online-Handel und Banken

Von Gespenstern und Geldflüssen
Im vergangenen Jahr vereitelte Microsoft Betrugsversuche in Höhe von rund vier Milliarden US-Dollar – ein beachtlicher Betrag, der jedoch nur die Spitze eines digitalen Eisbergs markiert. Die Angreifer: keine Hacker in dunklen Kapuzen, sondern algorithmisch erzeugte Pseudo-Personen. Ihre Waffe: synthetische Identitäten – künstlich geschaffene Persönlichkeiten, gespeist aus Fragmenten echter Daten.
Ein neues Kapitel der Cyberkriminalität ist aufgeschlagen. Eines, in dem die Täter schwerer greifbar sind als je zuvor – weil sie schlicht nicht existieren.

Anatomie einer Illusion
"Die Täter kombinieren üblicherweise eine erfundene Identität mit realen Daten: echte Kreditkartennummern, Postadressen, Mailkonten oder Telefonnummern", erklärt Stephen Topliss vom Cybersicherheitsunternehmen Lexis Nexis Risk Solutions. In den USA seien es oft gestohlene Sozialversicherungsnummern, die als Fundament dieser digitalen Konstrukte dienen – ein Baukasten aus dem Darknet.
Der Clou: Anders als beim klassischen Identitätsdiebstahl gibt es kein Opfer aus Fleisch und Blut, das Alarm schlägt. Die synthetische Identität schwebt unter dem Radar, eröffnet Konten, tätigt Käufe, nimmt Kredite auf – und verschwindet. Unauffällig, aber mit verheerender Wirkung.

KI als Komplizin
Künstliche Intelligenz wirkt dabei wie ein Brandbeschleuniger. Was früher aufwändig per Hand gebaut werden musste, erledigt heute Software: überzeugende Lebensläufe, echte Social-Media-Profile, täuschend echte Selfies. "KI kann genutzt werden, um neue Schadsoftware zu kreieren", warnt Martin Kreuzer von der Munich Re. Auch Phishing-Mails und Fake-Webseiten entstehen per Klick – skaliert, präzise, effizient.
Die Folge: Der Einstieg in die digitale Kriminalität ist so niedrig wie nie. Foren bieten fertige Tools und Schritt-für-Schritt-Anleitungen – inklusive Kundenservice. Cyberkriminalität wird zum Service-Modell.

Der Online-Handel zahlt die Zeche
Besonders exponiert ist der E-Commerce. 92 Prozent der deutschen Online-Händler berichten laut einer Umfrage der Wirtschaftsauskunftei Crif von Erfahrungen mit gefälschten oder gestohlenen Identitäten. Die Masche: Ware wird auf Rechnung bestellt, an schwer nachverfolgbare Adressen geliefert – Paketstationen, leerstehende Wohnungen, sogenannte Drop-Zones.
Die Schäden summieren sich. 43 Prozent der Händler beziffern ihre Verluste auf 10.000 bis 100.000 Euro. Bei gut einem Fünftel liegt der Betrag noch deutlich höher.

Banken als stille Komplizen
Auch die Finanzbranche ist betroffen – teils ohne es zu wissen. Mit synthetischen Identitäten werden Maultier-Konten eröffnet: Konten, über die kriminelle Gelder verschoben und gewaschen werden. Die Person dahinter existiert nicht – ein Geist mit IBAN.
Laut der Studie „The Future of Global Identity Verification“ belaufen sich die direkten Kosten durch Identitätsdiebstahl bei Großunternehmen im Schnitt auf 12 Millionen Euro jährlich. Bei Unternehmen mit mehr als 10.000 Mitarbeitenden steigen die Schäden auf über 46 Millionen.

Digitale Grenzen, analoge Hürden
Trotz der globalen Bedrohung agiert die Welt in nationalen Silos. "Es gibt keinen globalen Standard zur Authentifizierung von Identitäten", sagt Ralf Wintergerst, Vorstandschef von Giesecke+Devrient. In Europa erschwert kleinteilige Gesetzgebung die Etablierung grenzüberschreitender Lösungen.
Zwar investieren Unternehmen verstärkt in Authentifizierungstechnologien – 74 Prozent planen laut Studien entsprechende Mehrausgaben. Doch: 58 Prozent fürchten, dass strengere Kontrollen Kunden abschrecken. Ein Dilemma zwischen Sicherheit und Komfort.