Digital Life
08.04.2014

Bis zu 60 Prozent der Ausweise im Web gefälscht

Das Linzer Unternehmen Jumio mit Sitz im kalifornischen Palo Alto ist dick im Web-Verifizierungsbusiness. Jumio-COO Thomas Kastenhofer erwartet ein Ende der Anonymität im Netz.

Gestartet haben sie 2010 mit der Absicht, ein betrugssicheres Bezahlsystem fürs Internet zu entwickeln. Geworden ist es vor allem ein Verifizierungs-System, eine Lösung, mit der die Identität eines Internet-Users überprüft werden kann. Jumio, in Linz vom ehemaligen Jajah-Mitgründer Daniel Mattes und Thomas Kastenhofer gegründet, hat mittlerweile nicht nur 280 Mitarbeiter, die sich auf USA, Großbritannien, Österreich und Indien verteilen, sondern ist mittlerweile Systemlieferant für verschiedenste Webservices, von Airbnb bis Travelocity oder Mr. Green. Die Produkte heißen Netswipe (Kreditkarte) und Netverify (Ausweise). Reichten vor einigen Jahren noch Kreditkartennummer und CCV, um Betrug zu begehen, müssen bei immer mehr Services die User ihre Identität mit einem Ausweis belegen und erhalten dafür ein „verified“. „Und diese Ausweise überprüfen wir mit unserer Methode“, so Kastenhofer. Diese basiert im übrigen auf einem israelischen Patent, das eine Web- oder Handycam zu einem zuverlässigen Karten-Scanner macht.

Milliardenschaden durch Identitätsdiebstahl

„Es gibt im Web derzeit einfach einen Trend, dass man wissen will, wer hinter einem User steckt“, sagt Thomas Kastenhofer im futurezone-Interview in der Jumio-Zentrale in Palo Alto. Quer durch alle Branchen soll diese Anonymität aufgebrochen werden. Vor allem in den USA, denn dort ist Identitätsdiebstahl ein Riesenproblem, das mehr Schaden verursacht, als alle anderen kriminellen Daten gesamt. Identitätsdiebstahl verursachte 2012 in den USA 24,7 Milliarden Dollar Schaden (Zahlen für 2013 gibt es noch nicht), während der Schaden durch Diebstahl, Einbruch, Autodiebstahl etc. auf „nur“ 14 Milliarden Dollar beziffert wird.

380 Ausweise aus 105 Ländern

Jumio hat zwei SDK (System Developer Kit) entwickelt, die in eine App integriert werden und einen Registrierungsprozess vereinfachen können. 380 verschiedene Ausweise aus 105 Ländern kann das System in einem zweistufigen Prozess überprüfen. Derzeit wird die Echtheit des Ausweises geprüft, ab Sommer auch die Gültigkeit.

1,5 Millionen Checks pro Monat

Bis zu 14 Parameter werden bei den Ausweisen überprüft, bei Pässen ist es vor allem der MRZ-Code (Machine Readable Zone - das ist die Zahlen-Buchstaben-Reihe an der Unterseite), bei Personalausweisen ist es der Barcode und beim Führerschein kommt klassische OCR (Optical Character Recognition), also klassische Bilderkennung zur Anwendung. Überprüft werden die Ausweise – Airbnb-Bucher werden das vermutlich schon erlebt haben – in dem man den Ausweis entweder vor die Webcam hält, mit dem Smartphone ins Visier nimmt oder indem man ein Bild des Ausweises uploadet. Bei plumpen Fälschungen schlägt das System sofort an, mitunter werden Verdachtsfälle auch ausgespuckt und dann manuell überprüft. 1,5 Millionen Transaktionen werden pro Monat gecheckt – Tendenz steigend.

Die Fälschungsraten

Die Fälschungsrate liegt – kombiniert man Kreditkarten und Ausweise – bei 0,01 Prozent. Bei den Ausweisen sind es im Schnitt drei von hundert, die nicht echt sind. Allerdings gibt es Kunden, bei denen 60 Prozent der vorgelegten Ausweise eine Fälschung ist. Um welche Branche es sich handelt, will Kastenhofer nicht verraten, es dürfte sich allerdings um den Gambling- und Gaming-Bereich handeln.

Bei den Kreditkarten allein ist man sicherer unterwegs, denn da beträgt die Fälschungsrate 0,0015 Prozent und geht maximal auf etwa acht Prozent nach oben.

Google liefert die Ausweise

Jumio ist mit plumpen Fälschungen konfrontiert, aber auch mit raffinierten. Kastenhofer: „Leute, die Ausweise fälschen, suchen zu 90 Prozent Ausweisvordrucke auf Google und bearbeiten diesen dann mit einem Bildbearbeitungsprogramm.“ Solche Fälschungen ließen sich relativ leicht entdecken. Gegen professionelle Fälschungen, die nur unter Weißlicht, ultraviolettem oder Schwarzlicht zu erkennen wären, sei man fast machtlos. Also im Falle der zwei Reisenden des verschollenen Malaysian-Fluges MH370, hätte wohl nur eine Anbindung an den Interpol-Computer geholfen.

Kreditkartenbetrug explodiert in den USA

Mehr als hundert Firmen beliefert Jumio nun mit seiner Verifizierungs-Systematik, zu diesen werden in den kommenden Monaten vermutlich noch hunderte hinzu kommen. In den USA werden in den kommenden fünf Jahren die ausgegebenen Kreditkarten auf den EMV-Standard (Europay International, MasterCard und VISA), also Microprozessor & Pin umgestellt – man kann also nicht mehr den Magnetstreifen einer etwa in einem Restaurant gestohlenen bzw. ausgespähten Kreditkarte kopieren. „Wie wir aus anderen Ländern wissen, verlagert sich dann die Kreditkarten-Kriminalität vom Point of Sale ins Web, daher gehen wir davon aus, dass der Bedarf an Verifizierungsmaßnahmen steigen wird“, so Kastenhofer. Der Schaden, der durch Kreditkartenbetrug in den USA entstanden ist, hat sich von 2010 auf 2013 von umgerechnet 2.6 Milliarden Euro auf 5,16 Milliarden Euro beinahe verdoppelt. Die Schadenssumme im Rest der Welt ist von 2,9 Milliarden auf 4,95 Milliarden Euro gestiegen.

Zukunft

Kastenhofer wagt auch einen Blick in die Zukunft. Er ist überzeugt, dass es künftig Datenbanken geben wird, aus denen die Ausweise, sprich digitalen Identitäten dann bei Bedarf herausgenommen und beim entsprechenden Dienst zum Identitätsnachweis eingesetzt werden. Als Schritt in diese Richtung dürfte wohl die Kooperation mit dem US-Dienstleister Equifax zu sehen sein.