Klopf, klopf. Wer ist da? Eine neue Vertrauensebene. Onboarding und KI-Agenten

Zwei Dinge haben mich in den vergangenen Monaten zum Nachdenken gebracht. Oberflächlich betrachtet haben sie nichts miteinander zu tun. Schaut man aber genauer hin, erzählen sie dieselbe Geschichte.

Das erste betrifft das Kino. Ein abendfüllender Film kann heute vollständig mit KI produziert werden: Schauspieler und Schauspielerinnen, die nicht existieren, Gesichter, Stimmen, Mikroexpressionen, die von der Realität nicht zu unterscheiden sind. Technisch gesehen brauchen wir keine Schauspielende aus Fleisch und Blut mehr, um einen Film zu machen. Und doch müssen reale Schauspielende, deren Gesichtszüge und Stimmen von der KI „geliehen“ werden, dieser Nutzung zustimmen, wenn dies in großem Maßstab geschieht. KI kann alles allein erledigen. Aber nicht ohne Erlaubnis.

Das zweite betrifft Roboter. Vor ein paar Jahren sahen wir ihnen noch dabei zu, wie sie über einfache Stufen stolperten. Heute gehen sie, bewegen sich, erledigen komplexe Aufgaben, manchmal sogar besser, als ein menschlicher Körper es könnte. Kann mir einer zuhause beim Wäschefalten helfen? Wahrscheinlich ja, und niemand wird ihn nach einem Ausweis fragen. Aber kann ich einen Roboter losschicken, um ein Paket bei der Post abzuholen? Mit meiner Kreditkarte zu bezahlen? In meinem Namen ein Bankkonto zu eröffnen? Die Antwort lautet heute: nein. Nicht, weil die Technologie dazu nicht in der Lage wäre, sondern weil das wichtigste Element fehlt: eine Ebene, die sagt: „Dieser Agent ist berechtigt, im Namen dieses Menschen zu handeln.“

Zwei sehr unterschiedliche Szenarien, dasselbe grundlegende Problem: KI wird immer autonomer, aber Autonomie ohne Autorisierung ist kein Vertrauen. Es ist Risiko.

Und in den digitalen Prozessen, die wir jeden Tag entwerfen, beim Kunden-Onboarding, bei der Aktivierung von Diensten, bei der Unterzeichnung von Verträgen, ist dieses Problem bereits angekommen.

Will Smith und Sonny in I, Robot (2004): „Kann ein Roboter eine Symphonie schreiben? Kann ein Roboter eine Leinwand in ein Meisterwerk verwandeln?“ – „Kannst du es?“

Die Szene kehrt den klassischen Turing-Test um: Nicht der Mensch beurteilt die Maschine, sondern die Maschine legt die Grenzen dessen offen, der urteilt. Zu verlangen, dass künstlerische Kreativität der entscheidende Beweis für Menschlichkeit sei, ist ein Kriterium, das die meisten Menschen selbst ausschließen würde: Die Definition entlarvt sich als willkürlich, sobald sie dazu benutzt wird, jemanden auszuschließen.

Es ist das Frankenstein-Motiv in zeitgenössischer Neuinterpretation: die Kreatur, die die Heuchelei ihres Schöpfenden offenlegt und ein klareres moralisches Bewusstsein zeigt als derjenige, der sie erschaffen hat. Und die Anspielung auf Blade Runner ist unverkennbar: Auch dort waren es die Maschinen, die ihre Verhörer dazu zwangen, sich zu fragen, ob der Unterschied zwischen Mensch und künstlichem Wesen ontologischer Natur ist oder lediglich eine bequeme Konvention.

Die eigentliche Umkehrung besteht darin, dass die Frage „Was macht dich menschlich?“ aufhört, rhetorisch zu sein. Sie wird unangenehm, weil es keine Antwort gibt, die wirklich standhält.

Wer befindet sich wirklich auf der anderen Seite Ihres Onboardings?

Als wir vor einigen Jahren unsere Onboarding-Prozesse entworfen haben, hatten wir eine einzige Figur vor Augen: einen echten Menschen auf der anderen Seite des Bildschirms, der seine Daten eingibt. Im schlimmsten Fall eine unehrliche Person, die sich als jemand anderes ausgibt. Alles, was darauf folgte, KYC, Video-Identifikation, Dokumentenprüfungen, wurde rund um dieses mentale Modell aufgebaut.

Heute können sich hinter einer Onboarding-Anfrage mindestens vier sehr unterschiedliche Akteure verbergen:

• Ein legitimer Mensch, der klassische Fall, für den KYC geschaffen wurde.
• Ein betrügerischer Mensch, der gestohlene Dokumente, Identitätsdiebstahl oder Social Engineering nutzt.
• Ein legitimer KI-Agent, der im Auftrag einer realen Person handelt, immer häufiger und kurz davor, sich massiv zu verbreiten.
• Ein betrügerischer KI-Agent, der autonome Angriffe, Deepfakes, synthetische Identitäten und Device Spoofing in einer Geschwindigkeit und zu Kosten orchestriert, die kein Mensch erreichen kann.

Das Problem ist, dass traditionelles KYC, das für die ersten beiden Fälle entwickelt wurde, den dritten und den vierten nicht unterscheiden kann. Und das aus einem einfachen Grund: Es wurde nie dafür konzipiert, eine künstliche Intelligenz zu erkennen, geschweige denn zu entscheiden, ob diese Intelligenz autorisiert ist zu handeln.

„KYC wurde für eine Welt entwickelt, in der sich auf der anderen Seite immer ein Mensch befand. Diese Welt existiert nicht mehr.“

Von KYC zu KYA: Was sich verändert und warum die Messlatte höher liegt

Know Your Customer reicht nicht mehr aus. Die Frage verschiebt sich: Wer handelt, im Auftrag von wem und mit welcher Legitimität? Es ist ein Paradigmenwechsel, den wir KYA – Know Your Agent nennen könnten, und er bringt sehr praktische Konsequenzen mit sich:

• Was überprüft wird, verändert sich: nicht mehr nur die Identität einer Person, sondern die Legitimität der Delegationskette „Mensch → Agent“.
• Das Bedrohungsmodell erweitert sich: Zusätzlich zu klassischen Bedrohungen wie gefälschten Dokumenten, Presentation Attacks oder Deepfakes sehen wir uns nun agentischen Angriffen gegenüber, autonomen Bots, die Betrug End-to-End orchestrieren.
• Der Vertrauensanker verschiebt sich: vom Ausweisdokument hin zum gesamten Kontext rund um die Interaktion.

Gerade dieser letzte Punkt ist meiner Ansicht nach der wichtigste und zugleich der am meisten unterschätzte. Deshalb lohnt es sich, einen Moment dabei zu verweilen.

Vertrauen lag früher im Dokument. Heute liegt es in der Kette.

Zwei Jahrzehnte lang basierte Onboarding auf einer scheinbar einfachen Idee: dem Vertrauen in das Dokument. Prüfen, ob der Ausweis echt ist, das Gesicht auf dem Dokument mit dem Gesicht vor der Kamera vergleichen, Abgleich mit einer Betrugsdatenbank. Dieses Modell ist tief auf den Menschen auf der anderen Seite ausgerichtet: Jede Kontrolle setzt voraus, dass dort eine Person vor der Kamera steht und ihre eigenen Zugangsdaten besitzt. Die biometrische und eID-Ebene, Wallets eingeschlossen, waren natürliche Erweiterungen derselben Logik: Je besser wir beweisen können, wer der Inhaber ist, desto mehr können wir der Transaktion vertrauen.

Diese Logik funktionierte, weil sich auf der anderen Seite immer ein Mensch befand, der eine physische oder qualifizierte Berechtigung in Händen hielt. Nimmt man diese Annahme weg, kollabiert der gesamte Vertrauensanker auf etwas viel zu Enges.

In einer KYA-Welt muss sich der Vertrauensanker drastisch erweitern. Das Ausweisdokument kann weiterhin ein Teil des Puzzles sein, aber es ist nicht mehr das ganze Puzzle. Vertrauen muss heute aus einem viel breiteren Spektrum an Signalen zusammengesetzt werden:

• Gerätesignale
• Verhaltensmuster
• Digitaler Fußabdruck
• Dokumenten- und AML-Intelligence

Hinter jedem dieser Begriffe verbirgt sich eine Vielzahl von Datenpunkten: Hardware-Fingerprints und Netzwerkparameter des verwendeten Geräts; der Rhythmus, in dem Felder ausgefüllt werden, die Art der Mausbewegung, Copy-Paste-Muster; die digitalen Spuren, die eine Person im Internet hinterlässt, Alter und Reputation der E-Mail-Adresse, Telefonnummernvalidierung, soziale Präsenz; und natürlich die Dokumenten- und Screening-Prüfungen, auf die wir uns seit jeher verlassen. Keines dieser Signale ist für sich genommen entscheidend. Gemeinsam zeichnen sie jedoch ein Bild der Interaktion, das kein einzelnes Dokument jemals liefern könnte: Hunderte Signale, still im Hintergrund gesammelt, von KI in Echtzeit bewertet und in eine adaptive Regel-Engine eingespeist, die entscheidet, ob dieser Nutzende in diesem Kontext zugelassen, überprüft oder blockiert wird.

Und sobald ein Agent ins Spiel kommt, tritt eine fünfte Säule hinzu:

• Delegationskette: Wer hat den Agenten autorisiert zu handeln, mit welchem Umfang und wie lässt sich diese Autorisierung End-to-End verifizieren?

Das mentale Modell muss sich umkehren. Vertrauen ist keine Eigenschaft mehr des Dokuments, das ich in der Hand halte. Es ist eine Eigenschaft der Beweiskette, die ich rund um die Interaktion aufbauen kann. Das Dokument ist ein Glied. Das Gerät ein weiteres. Das Verhalten ein weiteres. Die Delegation, wenn ein Agent beteiligt ist, wiederum ein weiteres. Keines davon reicht allein aus. Gemeinsam sind sie deutlich widerstandsfähiger als es ein einzelnes Dokument jemals sein könnte.

Es geht nicht darum, KYC zu ersetzen. Es geht darum, es zu erweitern, indem wir akzeptieren, dass die grundlegende Annahme „Auf der anderen Seite befindet sich ein Mensch mit einer überprüfbaren Berechtigung“ nicht mehr immer gilt.

Eine Herausforderung, die bereits Realität ist und keine Zukunftsmusik

Wenn ich KYA in Gesprächen erwähne, bemerke ich manchmal eine Reaktion nach dem Motto: „Interessant, aber das klingt nach Science-Fiction.“ Die Daten erzählen eine andere Geschichte.

• 442 Milliarden Dollar: geschätzte globale Verluste durch Finanzbetrug im Jahr 2025 laut dem neuesten Global Financial Fraud Threat Assessment von Interpol.
• 4,5-mal profitabler: KI-gesteuerter Betrug erzielt heute etwa das Vierkommafünffache der Rendite traditionellen Betrugs bei gleichem Aufwand.
• 35 % der Organisationen waren im vergangenen Jahr von Deepfake-Vorfällen betroffen.
• 61 % der Unternehmen haben KI-Agenten produktiv im Einsatz, und Gartner berichtet, dass 59 % davon außerhalb formeller Sicherheitsaufsicht operieren.

Das Unangenehmste an diesem Bild sind nicht die Zahlen selbst, sondern wie billig der Angriff geworden ist. Noch vor einem Jahr erforderte die Erstellung eines glaubwürdigen Deepfake-Videos Zeit, Rechenleistung und Geld. Heute kann jeder mit einem Laptop und einem aufgezeichneten Videoanruf innerhalb weniger Minuten kostenlos eines erstellen. Und der nächste Schritt ist bereits da: synthetische Identitäten, Gesichter, die vollkommen real aussehen, aber niemandem gehören. Kein Leak, kein Diebstahl, keine reale Person zur Verifikation. Ein Betrugsvektor, der sich mit einem einzigen API-Aufruf skalieren lässt.

Übersetzt bedeutet das: Die Angriffsfläche ist größer geworden, sie ist automatisiert und wirtschaftlich wesentlich attraktiver als zuvor. Das ist kein hypothetisches Szenario, sondern die Gegenwart.

Während Sicherheitsteams versuchen, dieser Welle hinterherzukommen, konzentrieren sich Business-Teams weiterhin zu Recht auf die Frage, die sie schon immer beschäftigt hat: Wie vermeiden wir den Verlust von Conversions?

Drei Kräfte, ein Gleichgewicht, das nicht zerstört werden darf

Jede Onboarding-Plattform lebt in einem ständigen Spannungsfeld zwischen drei Kräften:

1. Betrug reduzieren und immer raffiniertere sowie schnellere Angreifer aussperren.
2. Conversion steigern und dabei legitime Nutzer nicht verlieren.
3. Das richtige Compliance-Niveau erreichen, weder zu locker noch überdimensioniert für den jeweiligen Anwendungsfall.

Jede Entscheidung an einem Hebel beeinflusst zwangsläufig die anderen. Eine zusätzliche Kontrolle reduziert Betrug, verlangsamt aber den Ablauf. Ein vereinfachter Prozess steigert die Conversion, kann aber Kontrollen schwächen. „Minimale“ Compliance kann Hochrisikofälle unzureichend absichern.

Das Auftreten von KI-Agenten verstärkt alle drei Spannungen. Neue Conversion-Killer speziell für agentengesteuerte Prozesse entstehen:

• APIs, die nicht agentenfreundlich sind: Das Onboarding erfordert UI-Interaktionen und der Agent weiß nicht, worauf er klicken soll.
• Keine Trust Chain: Es gibt heute keinen Standard, um zu überprüfen, wer einen Agenten wozu autorisiert hat.
• Kein Delegationsmodell: Uns fehlt ein Framework für die Übergabe „Mensch → Agent“ und umgekehrt, wenn eine explizite menschliche Freigabe erforderlich ist.
• Keine Feedback-Schleife: Wenn etwas fehlschlägt, kann der Agent den Fehler nicht interpretieren und intelligent erneut versuchen.

Wenn ein KI-Agent bei einem Onboarding-Prozess scheitert, beschwert er sich nicht im Forum. Er ruft nicht beim Support an. Er verschwindet einfach. Und mit ihm verschwindet auch die Transaktion.

MCP: die Lingua Franca zwischen KI-Agenten und Trust Layers

MCP – Model Context Protocol ist ein offener Standard, der es KI-Modellen und Agenten ermöglicht, die Fähigkeiten eines externen Systems deklarativ zu entdecken, zu verstehen und aufzurufen, ohne dass Entwickler REST-Orchestrierungen Zeile für Zeile programmieren müssen.

Es ist der Übergang, den ich als Wechsel von imperativer Integration zu deklarativer Orchestrierung beschreibe:

• Imperativ: Ich sage dem System exakt, was es Schritt für Schritt tun soll. Wochen voller Glue-Code, fragile If-Else-Logik, ein Release-Zyklus für jede Änderung.
• Deklarativ: Ich sage dem Agenten, was erreicht werden soll. Der Agent entdeckt zur Laufzeit verfügbare Fähigkeiten, entscheidet selbst, wie er sie kombiniert, und handhabt Fehler sowie Wiederholungen eigenständig. Was früher Wochen an Integration erforderte, wird zur Konfiguration.

Auf dem Papier ist MCP ein enormer Enabler für Agenten. Aber, und das ist der Punkt, den ich betonen möchte, MCP allein reicht nicht aus. Ein offener Standard ist eine Tür. Wenn sich hinter dieser Tür keine Trust Layer befindet, die entscheidet, wer hereinkommt, was erlaubt ist und wie Aktionen nachvollzogen werden, dann haben wir Angreifern lediglich den Zugang erleichtert.

| Nicht nur MCP. MCP mit einer Trust Layer.

Genau dieses Prinzip haben wir im Namirial OnBoarding MCP Server umgesetzt: Der offene Standard ist die Form, der eigentliche Inhalt aber ist die Garantie von Compliance, verifizierter Identität und Audit Trail auf dem Niveau eines europäischen Qualified Trust Service Providers.

Konkret bedeutet das: Wenn sich ein KI-Agent mit unserem MCP-Server verbindet, um einen Onboarding-Prozess zu orchestrieren:

1. Authentifiziert er sich über My Namirial SSO: Jede Aktion ist auf eine reale Unternehmensidentität zurückführbar, nicht auf einen gemeinsam genutzten API-Key, sondern auf dieselbe Identität, die der Nutzer im Portal besitzt.
2. Erbt er die Berechtigungen seines Operators: Der Agent kann nichts tun, was sein menschlicher Operator nicht bereits in der Plattform tun darf. Keine Privilegieneskalation durch Prompt Injection.
3. Erhält er automatisch die regulatorische Konfiguration der jeweiligen Jurisdiktion: Italienische KYC-Regeln unterscheiden sich von deutschen oder spanischen. Der Server wendet automatisch die richtigen Regeln je nach Land und Kundentyp an.
4. Erstellt er einen AI-Act-konformen Audit Trail: Jeder Tool-Aufruf wird mit Gesprächskontext, Agentenidentität, Zeitstempeln und manipulationssicherem Hashing protokolliert, bereit für Regulierungsbehörden.

Das praktische Ergebnis für Integratoren: Ein einziger natürlichsprachlicher Prompt wie „Erstelle eine KYC-Onboarding-Anfrage für einen italienischen Privatkunden und generiere einen Verifizierungslink mit QR-Code“ wird in eine Kette zertifizierter, kontrollierter und nachvollziehbarer API-Aufrufe übersetzt. Was von außen wie eine einfache Identitätsprüfung aussieht, ist in Wirklichkeit eine adaptive, intelligente Schritt-für-Schritt-Reise: Die Plattform entscheidet anhand des jeweiligen Kontexts, welche Prüfungen wann und in welcher Reihenfolge angewendet und wann Eskalationen ausgelöst werden. Der Entwickler konzentriert sich auf den Geschäftsprozess, während eIDAS-, AMLR- und AI-Act-Kontrollen serverseitig durchgesetzt werden und nicht für jeden neuen Agenten neu implementiert werden müssen.

Es gibt noch eine weitere Nuance, die erwähnenswert ist. Die Trust Layer schließt den Integrator nicht aus dem Prozess aus, sondern arbeitet mit ihm zusammen. Während des Onboarding-Prozesses sendet die Plattform Ereignisse, auf die der Systemintegrator reagieren kann: zusätzliche Prüfungen auslösen, dem Nutzenden individuelle Nachrichten anzeigen oder ihn auffordern, einen Schritt zu wiederholen. Der Integrator trägt dazu bei, die Transaktion erfolgreich abzuschließen; was er nicht tun kann, ist die End-to-End-Compliance der Plattform zu schwächen.

„Je leistungsfähiger KI wird, desto entscheidender wird die Fähigkeit, ihr zu vertrauen.“

Mit anderen Worten: Der Agent beschleunigt Prozesse, aber Vertrauen wird niemals delegiert.

Was das für diejenigen bedeutet, die heute Onboarding gestalten

Wenn ich mit CIOs, CISOs und Heads of Digital spreche, höre ich immer wieder denselben Satz: „Unser Onboarding funktioniert seit Jahren – warum sollten wir es ändern?“

Meine Antwort ist einfach. Wir müssen Onboarding nicht verändern. Wir müssen die Art verändern, wie wir über Onboarding denken. Jahrelang bestand die vorherrschende Annahme in der Branche darin, dass sich auf der anderen Seite nur ein Typ von Gegenpartei befindet: ein Mensch mit einer überprüfbaren Berechtigung. Diese Annahme gilt nicht mehr immer. Das Gegenüber ist heute plural: Menschen, Agenten, Hybride. Und unsere Prozesse müssen sie alle aufnehmen können, mit dem jeweils richtigen Assurance-Level.

Drei Leitprinzipien aus meiner praktischen Erfahrung:

• Nicht der Kunde oder die Kundin muss sich an die Plattform anpassen. Die Plattform muss sich an den Kontext anpassen. Modularität, Konfigurierbarkeit und Zertifizierung: Dieselbe Infrastruktur muss sowohl eine reibungsarme Serviceaktivierung als auch eine Qualifizierte Elektronische Signatur mit höchstem Assurance-Level ermöglichen, allein durch Konfiguration.
• Vertrauen ist eine Kette, kein Kontrollpunkt. Es kann nicht in einem einzelnen Schritt liegen, Dokumentenprüfung, Liveness oder OTP. Es muss aus der gesamten Interaktion zusammengesetzt werden, Dokument, Gerät, Verhalten, digitaler Fußabdruck, Delegation, und in Echtzeit bewertet werden. Nur eine Kette hält KI-Agenten stand; ein einzelner Kontrollpunkt wird es niemals tun.
• Auditierbarkeit ist eine Designanforderung und kein nachträglicher Zusatz. Mit dem AI Act in Kraft und Regulierungsbehörden, die beginnen, Nachweise für KI-gestützte Entscheidungen zu verlangen, gehört die Protokollierung von „wer was warum getan hat“ zum Produkt und ist kein Nice-to-have.

Der Kern in einem Satz

Wir können es weiterhin „Onboarding“ nennen, aber in Wirklichkeit bauen wir etwas Größeres: ein Vertrauenssystem, das in Echtzeit erkennen kann, wer sich tatsächlich auf der anderen Seite befindet, ein Mensch, ein Agent, eine legitime Delegationskette oder ein automatisierter Angriff, und jedem das passende Vertrauensniveau zuweist.

KI kann viele Dinge in unserem Namen tun. Aber nicht ohne Erlaubnis.

Es liegt an uns als Branche, die Infrastruktur aufzubauen, die diese Erlaubnis ausstellen, überprüfen und vor allem garantieren kann.

Möchten Sie sehen, wie das in der Praxis aussieht?

Bei Namirial haben wir eine modulare Onboarding-Plattform entwickelt, die durch KI-Agenten über den Namirial OnBoarding MCP Server offen komponierbar ist. Wenn Sie Ihren nächsten Onboarding-Prozess entwerfen, sprechen Sie mit uns: Entdecken Sie Namirial Onboarding.

Und wenn Sie diesen Beitrag hilfreich fanden, teilen Sie ihn oder hinterlassen Sie einen Kommentar auf LinkedIn. KYA ist eine Diskussion, die wir gerade erst beginnen, und ich würde gerne viele unterschiedliche Meinungen dazu hören.