Know Your Customer ist in Online-Casinos keine freiwillige Compliance-Übung, sondern gesetzliche Pflicht. Für IT-affine Nutzer stellt sich weniger die Frage nach dem „Ob“, sondern nach dem „Wie viel“. Welche Daten sind wirklich unvermeidbar? Wo beginnt der unnötige Datenabfluss? Gerade im Glücksspielumfeld prallen Zahlungsregulierung, Geldwäscheprävention und Betrugsabwehr auf Plattformen mit ohnehin großer Angriffsfläche.
Was regulatorisch wirklich gefordert ist
Online Casinos in Europa müssen sich an Geldwäsche-Richtlinien halten. Deshalb die Pflicht, zu prüfen, wer sich da eigentlich anmeldet. Theoretisch reicht dafür eine klar definierte Mindestmenge an Daten. Praktisch verlangen viele Anbieter aber deutlich mehr, weil’s einfacher für sie ist oder sie sich absichern wollen.
Pflicht ist ein amtliches Dokument (Ausweis oder Pass). Wichtig dabei: nicht das Dokument an sich, sondern dass es echt ist und die Daten übereinstimmen. Name, Geburtsdatum, Staatsangehörigkeit. Das war’s im Kern. Trotzdem fragen viele nach Beruf, Familienstand und anderem Zeug, das mit Geldwäsche nichts zu tun hat.
Dann noch der Adressnachweis. Hier geht’s nur darum, dass die Adresse in einem erlaubten Land liegt und überprüfbar ist, nicht um den echten Wohnort. Stromrechnung oder Kontoauszug tun’s normalerweise. Problem: In solchen Dokumenten stecken massenhaft Metadaten, die niemand braucht. Kundennummern, Verbrauchswerte, Rechnungsdetails. All das landet beim Casino und macht unnötig gläsern.
Verarbeitung statt Speicherung
Das richtige Problem ist aber eher die Verarbeitung statt die Pflichtdaten. Teilweise werden hochgeladene Dokumente einfach dauerhaft gespeichert. Eine temporäre Verifikation würde ausreichend, aber man macht es nicht. Das ist ein ziemlicher Klassiker in Sachen Datenminimierung. Hashes oder verifizierte Statusflags könnten denselben Zweck erfüllen, ohne sensible Rohdaten langfristig vorzuhalten. Unterschiede zeigen sich hier deutlich zwischen einzelnen Anbietern. Die Dolly Casino Erfahrungen legen nahe, dass KYC-Daten zwar regulatorisch erhoben werden. Der tatsächliche Umgang mit Speicherdauer und Zugriff hängt aber ganz bewusst vom internen Prozessdesign ab.
Auch der Upload-Prozess an sich ist schon kritisch zu betrachten. KYC-Uploads laufen wirklich häufig über generische Webformulare. TLS allein schützt hier definitiv nicht vor kompromittierten Endpunkten oder auch vor fehlerhaften Zugriffskontrollen. Möchte man seinen Identitätsabdruck klein halten, kommt man um eine Prüfung im Vorfeld nicht herum. Nutzt das Casino segmentierte Upload-Pfade? Wie sieht es mit den Löschungen aus? Wer eine Antwort finden möchte, muss ziemlich lange im Kleingedruckten suchen, wenn überhaupt.
Dazu kommt dann auch noch das Risiko, dass viele Casinos für die Identitätsprüfung auf spezialisierte Software externer Anbieter setzen. So lassen sich Dokumentenprüfung und Datenabgleich automatisieren, aber es entstehen noch mehr Datenflüsse. Für Nutzer ist das quasi kaum transparent nachvollziehbar. Technisch wichtig ist aber nur die Frage, ob die Verifikation einmalig erfolgt oder ob die Daten dann eben dauerhaft bei diesem Dienstleister gespeichert werden.
Digitale Identität als Angriffsfläche jenseits des Casino-Kontos
Digitale Identität entsteht nicht erst beim Login in einem Online Casino. Sie setzt sich aus Fragmenten zusammen, die über Jahre hinweg in verschiedenen Systemen entstehen. Datenleaks, kompromittierte E-Mail-Konten oder öffentlich zugängliche Profildaten liefern ausreichend Material, um fremde Identitäten technisch nachzubilden. Sicherheitsbehörden wie das Bundesamt für Sicherheit in der Informationstechnik weisen darauf hin, dass Kontoübernahmen nur eine von mehreren Strategien darstellen. Auch ziemlich verbreitet ist die Erstellung neuer Accounts im Namen Dritter. Sie werden dann ganz einfach mit realistischen Metadaten und zumindest irgendwie plausiblen Profilinformationen gefüllt.
Daraus entsteht dann wieder ein riesiges Problem bei der Identitätsprüfung. Die Überprüfung an sich kann technisch sauber laufen. Aber wenn die digitale Identität vorher schon kompromittiert wurde, hilft das wenig. Angreifer sammeln vorher gezielt Infos über jemanden (Geburtsdatum, Job, Fotos …) und nutzen sie dann, um sich als jene Person auszugeben. Im schlimmsten Fall kommt es sogar zur Manipulation. Das System wird nicht gehackt, sondern die Datenbasis, auf der es aufbaut.
Besonders heikel wird’s, wenn man dann auch noch ganz bequem dieselben Daten überall benutzt. Öffentliche Profile, immer die gleiche E-Mail-Adresse, derselbe Nutzername. Das macht es einfach, eine Person über verschiedene Plattformen hinweg zu verfolgen und ein Gesamtbild zu erstellen. Mit jeder zusätzlichen Verknüpfung wird der digitale Fußabdruck immer größer. Damit wird man auch immer angreifbarer.
Das BSI beschreibt digitale Identitätsdiebstähle daher nicht als singuläres Ereignis, sondern als Prozess. Er beginnt mit der Sammlung von Informationen, setzt sich über Täuschung oder technische Kompromittierung fort und endet häufig in finanziellen oder rechtlichen Konsequenzen für die betroffene Person. Für Online Casinos bedeutet das, dass KYC nicht isoliert betrachtet werden kann. Die Qualität der Identitätsprüfung hängt immer auch vom Zustand der zugrunde liegenden digitalen Identität ab.