Gespräche

Faryam Asif, Chief Technology Officer bei Shufti – Interviewreihe

mm

Faryam Asif, Chief Technology Officer bei Shufti, ist ein Technologie-Executive, der sich auf KI-gestützte Identitätsverifizierung, Betrugsprävention und sichere digitale Onboarding-Prozesse spezialisiert hat. Seit seinem Einstieg bei Shufti als Softwareentwickler im Jahr 2018 hat er mehrere Führungspositionen durchlaufen, bevor er 2025 zum Chief Technology Officer aufstieg und die Technologie‑Strategie des Unternehmens sowie die Entwicklung der globalen Identitäts‑Verifizierungsplattform leitet. Außerdem ist er Chief Development Officer bei Programmers Force und bringt umfangreiche Erfahrung in Software‑Engineering, Produktentwicklung und Technologie‑Führung mit.

Shufti ist eine globale Plattform für Identitätsverifizierung und Compliance, die KI‑gestützte KYC-, KYB-, AML‑ und Betrugspräventionslösungen für Finanzinstitute, FinTechs, Kryptowährungsplattformen, Marktplätze und andere regulierte Branchen bereitstellt. Das Unternehmen ist in über 240 Ländern und Territorien tätig und kombiniert biometrische Verifizierung, Dokumenten‑Authentifizierung, Liveness‑Erkennung und KI‑gesteuerte Risikoanalyse, um Organisationen zu helfen, das Kunden‑Onboarding zu optimieren, regulatorische Anforderungen zu erfüllen und sich gegen immer raffiniertere digitale Betrugsversuche zu verteidigen.

Sie sind 2018 als Softwareentwickler zu Shufti gekommen und haben seitdem geholfen, die Identitäts‑Verifizierungs‑Infrastruktur des Unternehmens zu einem globalen Netzwerk auszubauen. Wie hat sich die Art des Identitätsbetrugs in diesem Zeitraum entwickelt und welche Veränderungen waren aus Sicht der Technologie‑Führung am überraschendsten?

Als ich 2018 als Softwareentwickler zu Shufti kam, waren die meisten Betrugsversuche noch relativ manuell. Wir hatten es mit bearbeiteten Dokumenten, Präsentationsangriffen und recht einfachen Spoofing‑Techniken zu tun. In den letzten sieben Jahren habe ich beobachtet, wie sich der Betrug von etwas, das erheblichen Aufwand und Fachwissen erforderte, zu etwas entwickelt hat, das auf Abruf mithilfe von KI erzeugt werden kann.

Am überraschendsten ist für mich nicht nur, wie anspruchsvoll der Betrug geworden ist, sondern auch, wie zugänglich er geworden ist. Generative KI hat den Betrug praktisch demokratisiert. Fähigkeiten, die früher Spezialkenntnisse erforderten, sind jetzt über Verbraucher‑Tools verfügbar. Wie wir in unserem Deepfake Fraud Index hervorheben, verhält sich Betrug zunehmend wie Software: Sobald er automatisiert werden kann, lässt er sich schnell skalieren.

Zwei Entwicklungen stechen hervor. Die erste sind Injektionsangriffe, bei denen Angreifer die Kamera vollständig umgehen und synthetische Inhalte direkt in den Verifizierungs‑Stream einspeisen. Die zweite ist der Aufstieg synthetischer Identitäten, bei denen KI‑generierte Personas in großem Umfang erstellt werden, um Onboarding‑Systeme zu missbrauchen, Finanzdienstleistungen zu erhalten oder Geldwäsche zu erleichtern. Die Grenze zwischen echten und synthetischen Inhalten ist deutlich schwerer zu ziehen, und diese Verschiebung hat grundlegend verändert, wie Identitätsverifizierung angegangen werden muss.

Shuftis Deepfake Fraud Index prognostiziert, dass dokumentenbasierte Deepfakes im Jahr 2026 um fast 3.900 % zunehmen könnten, was sie zur am schnellsten wachsenden Kategorie von KI‑gestütztem Betrug macht. Welche Faktoren treiben dieses explosive Wachstum an und warum zielen Betrüger zunehmend auf Dokumente statt auf Gesichter oder Video‑Streams ab?

Unser Deepfake Fraud Index prognostiziert, dass dokumentenbasierte Deepfakes bis 2026 um fast 3.900 % zunehmen werden, was sie zur am schnellsten wachsenden Kategorie von KI‑gestütztem Betrug macht. Das Wachstum wird von zwei Kräften angetrieben: dem raschen Fortschritt generativer KI und der zunehmenden Zugänglichkeit von Werkzeugen, die fast jedem ermöglichen, überzeugende gefälschte Dokumente zu erstellen.

Was früher Spezialkenntnisse im Bereich Bildbearbeitung erforderte, kann jetzt mit KI‑gestützten Werkzeugen erreicht werden, die realistische Reisepässe, Führerscheine, Stromrechnungen, Kontoauszüge und andere Onboarding‑Dokumente erzeugen können. Gleichzeitig verlassen sich viele veraltete Verifizierungssysteme nach wie vor stark auf OCR und Vorlagenabgleich. Sie können den Text lesen und ein Layout validieren, haben jedoch oft Schwierigkeiten festzustellen, ob das Dokument selbst authentisch ist.

Betrüger zielen auf Dokumente, weil sie den Weg des geringsten Widerstands darstellen. Ein modernes Liveness‑System zu überwinden erfordert das Durchdringen mehrerer Erkennungsebenen, während viele Dokumenten‑Workflows weiterhin auf relativ einfachen Validierungstechniken basieren. Zudem kann ein manipuliertes Dokument häufig über mehrere Institutionen und Onboarding‑Prozesse hinweg wiederverwendet werden, was Angreifern ein deutlich höheres Kosten‑Nutzen‑Verhältnis bietet.

Das beobachtete Wachstum ist letztlich ein Spiegelbild der Betrugsökonomie. Angreifer zielen konsequent auf die schwächste Kontrolle in einem Verifizierungsprozess, und für viele Organisationen bleiben Dokumente dieses schwächste Glied.

Der Bericht identifiziert synthetische Identitäten als die größte Kategorie von KI‑gesteuertem Betrug, die mehr als 40 % der KI‑Betrugsaktivitäten ausmachen. Warum sind synthetische Identitäten zu einem so effektiven Angriffsvektor geworden und was macht sie besonders gefährlich für Finanzinstitute und Krypto‑Plattformen?

Synthetische Identitäten sind effektiv, weil sie eine grundlegende Schwäche vieler Verifizierungssysteme ausnutzen: Sie wirken legitim, wenn einzelne Datenpunkte isoliert betrachtet werden.

Historisch kombinierten synthetische Identitäten häufig reale und erfundene Informationen. Was wir zunehmend beobachten, sind KI‑generierte Identitäten, die auf synthetischen Gesichtern und Personas basieren, die überhaupt nicht existieren. Unser Deepfake Fraud Index hat festgestellt, dass synthetische Identitäten 42,3 % der KI‑gesteuerten Betrugsaktivitäten ausmachen und damit heute die größte Kategorie von KI‑gestütztem Identitätsbetrug darstellen.

Für Finanzinstitute, FinTechs und Krypto‑Plattformen ist das Risiko erheblich, da ein erfolgreiches Onboarding häufig sofortigen Zugang zu finanziellem Wert ermöglicht. Sobald eine synthetische Identität im Ökosystem ist, kann sie verwendet werden, um Konten zu eröffnen, Kredite zu erhalten, Anreize zu beanspruchen, Gelder zu transferieren oder Geldwäsche zu betreiben.

Was synthetische Identitäten besonders gefährlich macht, ist ihre Persistenz. Traditioneller Betrug wird häufig schnell entdeckt, weil ein echter Betroffener involviert ist. Synthetische Identitäten können jedoch Monate oder sogar Jahre aktiv bleiben, bevor sie aufgedeckt werden. Wenn sie schließlich entdeckt werden, können bereits erhebliche finanzielle Verluste entstanden sein, und es gibt oft keine reale Person hinter dem Konto, die verfolgt werden kann.

Kryptowährungsbörsen, digitale Asset‑Plattformen und FinTech‑Unternehmen setzen häufig stark auf Remote‑Onboarding. Welche Sektoren halten Sie derzeit für am stärksten von KI‑gestütztem Identitätsbetrug betroffen, und wo unterschätzen Organisationen die Gefahr noch?

Am stärksten gefährdet sind die Sektoren, die vollständig remote Onboarding mit sofortigem Zugriff auf finanziellen Wert kombinieren. Dazu gehören Kryptowährungsbörsen, digitale Asset‑Plattformen, digitale Banken, FinTechs, Online‑Kreditgeber, Buy‑Now‑Pay‑Later‑Anbieter und iGaming‑Betreiber.

Der gemeinsame Faktor ist, dass ein erfolgreiches Onboarding Zugang zu Geld, Krediten, Wallets, Zahlungsinfrastrukturen oder übertragbaren Vermögenswerten gewährt. Das schafft einen starken Anreiz für Angreifer.

Wo Organisationen die Gefahr weiterhin unterschätzen, liegt in ihrer Abhängigkeit von veralteten Verifizierungsannahmen. Viele gehen noch davon aus, dass ein Dokument, das einer bekannten Vorlage entspricht, echt sein muss. Diese Annahme wird in einer Ära, in der KI hochgradig überzeugende Dokumente in großem Maßstab erzeugen kann, zunehmend gefährlich.

Über die traditionellen Hochrisikosektoren hinaus halte ich auch Marktplätze, Gig‑Economy‑Plattformen und Anbieter von Embedded Finance für unterschätzte Risikofelder. Da Betrugstools immer zugänglicher werden, wird jede Plattform, die auf Remote‑Vertrauensaufbau setzt, zu einem potenziellen Ziel.

Viele Unternehmen setzen weiterhin auf selfie‑basierte Verifizierung als primäre Sicherheitsmaßnahme. Ihr Bericht argumentiert, dass ein einzelner Selfie‑Check nicht mehr ausreicht. Welche Schwachstellen gibt es in traditionellen Onboarding‑Workflows und wie sollte die moderne Identitätsverifizierung im Jahr 2026 aussehen?

Ein einzelnes Selfie reicht nicht mehr aus, weil KI auf Abruf realistische menschliche Gesichter erzeugen kann. Wenn das Onboarding hauptsächlich auf einem Selfie‑Check beruht, haben Organisationen nur begrenzte Einsicht, ob sie mit einer echten Person, einer Täuschung oder einer völlig synthetischen Identität interagieren.

Traditionelle Onboarding‑Workflows bleiben anfällig für Präsentationsangriffe, Video‑Wiedergaben, Deepfakes, Face‑Swaps, Injektionsangriffe und synthetische Identitäten, die KI‑generierte Gesichter mit manipulierten Dokumenten kombinieren. Angreifer versuchen nicht mehr, nur eine Kontrolle zu täuschen; sie konzipieren Angriffe gezielt, um Schwachstellen im gesamten Onboarding‑Prozess auszunutzen.

Moderne Identitätsverifizierung muss mehrschichtig sein. Anstatt sich auf ein einziges Signal zu verlassen, sollten Organisationen zertifizierte Anti‑Spoofing‑Technologien kombinieren, wie iBeta Level‑3‑Liveness‑Detection, Gesichtsmatching, Dokumentenverifizierung, Injektionsangriffserkennung, Geräte‑Intelligenz, Verhaltensanalysen und, wo verfügbar, autoritative Datenbank‑Verifizierung.

Das Ziel besteht nicht nur darin, festzustellen, ob jemand echt aussieht. Das Ziel ist, zu prüfen, ob die Identität selbst echt, vertrauenswürdig und über mehrere unabhängige Signale hinweg konsistent mit einer realen Person verknüpft ist.

Deepfake‑Technologie entwickelt sich rasant parallel zu generativen KI‑Modellen. Halten Betrugserkennungssysteme Schritt, oder treten wir in eine Phase ein, in der Angreifer einen temporären Vorteil gegenüber den Verteidigern haben?

Das ist eindeutig ein Wettrüsten, und ich wäre vorsichtig bei allen, die behaupten, der Kampf sei bereits gewonnen.

Angreifer profitieren zweifellos vom schnellen Fortschritt der KI‑Innovation und der zunehmenden Verfügbarkeit generativer Werkzeuge. Organisationen, die auf veraltete Verifizierungstechnologien setzen, haben bereits einen Nachteil. In solchen Umgebungen haben Angreifer häufig die Oberhand.

Gleichzeitig entwickeln sich moderne Erkennungssysteme rasch weiter. In der gesamten Branche werden fortschrittliche forensische Ansätze immer effektiver bei der Identifizierung KI‑generierter Inhalte, indem sie Generierungsartefakte, Signale zur Aufnahmeintegrität, Kompressionsmuster, biometrische Inkonsistenzen und kryptografische Herkunft analysieren.

Die Realität ist, dass keine Seite einen dauerhaften Vorteil hat. Der Erfolg hängt von Anpassungsfähigkeit ab. Betrugsprävention kann nicht mehr auf statische Kontrollen setzen; sie erfordert kontinuierlich weiterentwickelte Erkennungsmodelle, die in der Lage sind, auf neue Angriffstechniken zu reagieren, sobald sie auftauchen.

Der Bericht hebt drei Hauptangriffsmethoden hervor: Präsentationsangriffe, Injektionsangriffe und die Erstellung synthetischer Identitäten. Welcher dieser Angriffsvektoren bereitet Ihnen die größte Sorge und warum?

Wenn ich einen wählen müsste, wäre es die Erstellung synthetischer Identitäten.

Präsentations- und Injektionsangriffe sind ernsthafte Bedrohungen, aber synthetische Identitäten erzeugen ein tieferes und beständigeres Problem, weil sie die Identitätsebene selbst angreifen. Das Ziel ist nicht nur, eine Verifizierungssitzung zu umgehen; es geht darum, eine betrügerische Identität zu etablieren, die über einen längeren Zeitraum im Finanzökosystem operieren kann.

Sobald eine synthetische Identität erfolgreich onboarded ist, kann sie genutzt werden, um Kredite zu erhalten, Mule‑Konten zu erstellen, illegale Gelder zu transferieren, Anreize auszunutzen und breitere Finanzkriminalität zu ermöglichen. In vielen Fällen bleiben diese Identitäten über lange Zeiträume unentdeckt, weil es keinen echten Opfer gibt, das den Betrug meldet.

Was mich am meisten beunruhigt, ist die Skalierbarkeit. In Kombination mit generativer KI und automatisierten Onboarding‑Systemen können synthetische Identitäten in großer Zahl erstellt und eingesetzt werden, was systemische Risiken für Finanzinstitute, FinTechs und Krypto‑Plattformen erzeugt.

Da digitale Assets immer mehr zum Mainstream werden und die regulatorische Kontrolle weltweit zunimmt, wie sehen Sie den Einfluss von KI‑gestütztem Identitätsbetrug auf die Anforderungen an Know‑Your‑Customer (KYC) und Anti‑Money‑Laundering (AML) Compliance?

KI‑gestützter Betrug beschleunigt den Wandel von einmaliger Verifizierung hin zu kontinuierlicher Vertrauensbewertung.

Historisch wurde KYC oft als Onboarding‑Maßnahme betrachtet. Dieser Ansatz wird weniger wirksam, wenn synthetische Identitäten, Deepfakes und KI‑generierte Dokumente potenziell die ersten Verifizierungsprüfungen bestehen können. Organisationen müssen das Vertrauen zunehmend über den gesamten Kundenlebenszyklus hinweg überwachen.

In der Praxis bedeutet das einen stärkeren Fokus auf Verhaltensanalysen, Transaktionsüberwachung, Geräte‑Intelligenz, fortlaufende Sanktions‑ und PEP‑Prüfungen sowie die Risiko‑Korrelation über Konten hinweg. Compliance‑Programme müssen kontinuierlich prüfen, ob ein Konto nach dem Onboarding vertrauenswürdig bleibt.

Ich glaube auch, dass Regulierungsbehörden zunehmend von Organisationen erwarten werden, nicht nur nachzuweisen, dass eine Identität verifiziert wurde, sondern auch, wie sie verifiziert wurde. Die Prüf‑ und Nachvollziehbarkeit von Identitätskontrollen, einschließlich des Nachweises, dass KI‑generierte Betrugsrisiken aktiv berücksichtigt und gemindert wurden, wird ein immer wichtigerer Bestandteil von KYC‑ und AML‑Compliance‑Rahmenwerken.

Regulierungsbehörden weltweit beginnen, die mit KI‑generierten Inhalten und digitalem Identitätsbetrug verbundenen Risiken anzugehen. Welche regulatorischen Änderungen erwarten Sie, dass sie in den nächsten Jahren den größten Einfluss auf Finanzinstitute, FinTechs und Krypto‑Unternehmen haben werden?

Regulierungsbehörden gehen über die Einstufung von KI‑generiertem Betrug als allgemeines Cybersicherheitsproblem hinaus und adressieren ihn direkt. Ein wichtiges Beispiel ist der EU AI Act, der Transparenzpflichten für KI‑generierte und manipulierte Inhalte einführt. Ich erwarte, dass weltweit ähnliche Rahmenwerke entstehen, da Regulierungsbehörden erkennen, dass Deepfakes und synthetische Identitäten Risiken schaffen, die über das traditionelle Betrugsmanagement hinausgehen.

Ich erwarte zudem strengere Anforderungen an biometrische Sicherheit, die Erkennung von Präsentationsangriffen und Anti‑Spoofing‑Kontrollen. Standards wie iBeta und NIST‑bezogene Evaluierungsrahmen werden voraussichtlich eine größere Rolle bei der Nachweisführung von Compliance und der Wirksamkeit des Risikomanagements spielen.

Gleichzeitig werden Datenschutzvorschriften wie die DSGVO und der CCPA die Branche weiterhin zu Datenminimierung und datenschutzfreundlichen Identitätsverifizierungsmodellen drängen. Dies könnte die Einführung von digitalen Identitäts‑Wallets, wiederverwendbaren Berechtigungsnachweisen und attributbasierten Verifizierungsmodellen beschleunigen, die es Organisationen ermöglichen, spezifische Ansprüche zu prüfen, ohne unnötige personenbezogene Daten zu sammeln.

Das Ergebnis wird ein reiferes regulatorisches Umfeld sein, in dem Sicherheit, Datenschutz und Vertrauen gleichzeitig adressiert werden müssen.

Wenn wir drei bis fünf Jahre in die Zukunft blicken, glauben Sie, dass die Identitätsverifizierungsbranche den Wettlauf gegen generative KI‑Betrugsversuche letztlich gewinnen wird, oder wird digitales Vertrauen ein völlig neues Modell erfordern, das über traditionelle Identitätsprüfungen hinausgeht?

Ich glaube nicht, dass die Branche generativen KI‑Betrug allein durch traditionelle, dokumentenbasierte Verifizierung besiegen kann. Die Technologie wird sich weiter verbessern und Angreifer werden sich weiter anpassen. Sich ausschließlich auf Dokumentenprüfungen und Selfie‑Verifizierung zu verlassen, wird voraussichtlich nicht mehr ausreichen.

Was ich jedoch glaube, ist, dass sich digitales Vertrauen zu einem breiteren und widerstandsfähigeren Modell entwickelt. Traditionelles KYC bleibt wichtig, wird jedoch zunehmend durch vertrauenswürdige digitale Identitäten, Biometrie, Geräte‑Intelligenz, Verhaltensanalysen, kryptografische Berechtigungsnachweise und kontinuierliche Risikobewertung unterstützt.

Wir sehen bereits Elemente dieser Zukunft durch staatlich unterstützte digitale Identitätsprogramme, wiederverwendbare Berechtigungsnachweise und vertrauenswürdige digitale Identitätsökosysteme. Anstatt dieselbe Person immer wieder mit papierbasierten Dokumenten zu verifizieren, werden Organisationen zunehmend auf vertrauenswürdige Identitätsnetzwerke setzen, die mit weniger Reibung eine höhere Sicherheit bieten.

Die Zukunft des digitalen Vertrauens wird auf mehreren zusammenwirkenden Sicherheitsebenen aufgebaut sein. Generative KI eliminiert das digitale Vertrauen nicht; sie zwingt die Branche, eine stärkere und widerstandsfähigere Version davon zu schaffen. Die Unternehmen, die erfolgreich sein werden, sind diejenigen, die das Vertrauen kontinuierlich über den gesamten Kundenlebenszyklus hinweg bewerten, anstatt sich auf ein einzelnes Verifizierungsereignis zu verlassen.

Vielen Dank für das großartige Interview, Leser, die mehr erfahren möchten, sollten Shufti besuchen.

Antoine ist ein visionärer Futurist und die treibende Kraft hinter Securities.io, einer hochmodernen FinTech-Plattform, die sich auf Investitionen in disruptive Technologien konzentriert. Mit einem tiefen Verständnis der Finanzmärkte und aufkommender Technologien ist er leidenschaftlich daran interessiert, wie Innovation die globale Wirtschaft neu definieren wird. Zusätzlich zur Gründung von Securities.io hat Antoine Unite.AI ins Leben gerufen, ein führendes Nachrichtenportal, das Durchbrüche in KI und Robotik abdeckt. Bekannt für seinen zukunftsorientierten Ansatz ist Antoine ein anerkannter Vordenker, der sich der Erforschung widmet, wie Innovation die Zukunft der Finanzen prägen wird.