Starke Kundenauthentifizierung (SCA) belegt, dass ein Berechtigungsnachweis vorgelegt wurde. Sie belegt nicht, dass die Stimme am Telefon zu dem Inhaber dieses Nachweises gehört. Diese Lücke schließt Hongi: für Banken, Versicherer und jede Organisation, in der eine Identitätsübernahme einen Preis hat.
SCA sichert die beiden Endpunkte einer Kundeninteraktion ab: die Anmeldung und die Transaktionssignatur. Alles dazwischen, also Anruf, Videositzung und E-Mail-Verkehr, hat keinen Live-Identitätsnachweis. In dieser Mitte spielen sich Vishing, Deepfake-Videos und CEO-Fraud ab.
Acht Rahmenwerke, die die Identitätssicherung in den Kanälen berühren, die Hongi schützt. Zu jedem: wo Hongi ansetzt, was es leistet und die Primärquelle.
Starke Kundenauthentifizierung: mindestens zwei Faktoren aus Wissen, Besitz und Inhärenz, Transaktionsbindung.
Hongi ist ein ergänzender Out-of-Band-Besitzfaktor für das Gespräch rund um die Zahlungsfreigabe. Es ersetzt SCA nicht, sondern wehrt Social Engineering ab, das eine an sich gültige SCA-Strecke umgeht: also betrugsinduzierte Transaktionen und Berater-Imitation.
Digitale operationale Resilienz im Finanzsektor. Art. 9 (Schutz und Prävention), Art. 17 bis 19 (Meldung IKT-bezogener Vorfälle). In Kraft seit dem 17. Januar 2025.
Verkleinert die Social-Engineering-Angriffsfläche, über die IKT-Vorfälle ausgelöst werden. Das optionale Audit-Log (Merkle-Baum aus Kopplungs-Hashes, ohne Identitäten) stützt die Aufarbeitung von Vorfällen, ohne personenbezogene Daten aufzubewahren.
Verpflichtende Akzeptanz der EU Digital Identity Wallet durch vertrauende Parteien ab Dezember 2027 (Art. 5f). Starke kryptografische Identitätsnachweise.
Hongi ist der Live-Verifier des menschlichen Kanals neben EUDI. EUDI belegt, dass ein Nachweis vorgelegt wurde. Hongi belegt, dass die Stimme im Anruf zum Inhaber dieses Nachweises gehört. Zwei orthogonale Probleme, eine Architektur.
Ein fehlgeschlagener Hongi-Abgleich in einem Bank-zu-Kunde-Gespräch ist ein sauberes, maschinenlesbares Signal. Es speist die Betrugsmeldung zu CEO-Fraud und Vishing dort, wo das bestehende Kartenbetrugsschema lückenhaft ist.
Operative Identitätssicherungsschicht für Bank-Kunde-Kontakte aus der Ferne und für interne Abläufe. Im Einklang mit den nationalen Vorgaben zur Governance über IKT-gestützte Dienste.
Kein Name, keine Telefonnummer, keine E-Mail, keine Kontaktliste, keine Codewort-Historie, keine Analytics. Der gemeinsame Schlüssel liegt auf den beiden gekoppelten Geräten. Der Server leitet nur opaken Chiffretext weiter. Bei einem Vorfall gibt es kaum etwas, was abfließen könnte.
Ergänzt die Zugriffskontrolle um eine Identitätssicherungsschicht für risikoreiche Fernkontakte (Transaktionsfreigaben, Reaktion auf Vorfälle, Onboarding von Lieferanten), die textbasierte MFA nicht abdeckt.
Setzt direkt an der von ENISA zuoberst gelisteten Bedrohung an. Ergänzt die NIST-Vertrauensniveaus für die Authentifizierung um eine Sitzungs-Attestierung über den menschlichen Kanal, mechanismusunabhängig (Telefon, Video, persönlich).
Sechs operative Szenarien, kundenseitig und intern. Die unten genannten Mechanismen setzen organisationsweite Kopplung und Audit-Logs voraus. Beides liegt auf unserer aktiven B2B-Roadmap und ist noch nicht ausgeliefert. Erste Pilotprojekte mit Banken starten wir im 4. Quartal 2026. Ein einziger verpasster Abgleich in einem dieser Fälle hat einen dokumentierten sechsstelligen Schaden zur Folge.
Kundinnen und Kunden unterscheiden einen echten Berater nicht von einem Vishing-Betrüger mit dem passenden Kontext.
Das Codewort des Kunden muss zu dem des Beraters passen. Kein Treffer, kein Gespräch.
Deepfake-Gesichtsaustausch trifft das Remote-KYC. Das Gesicht im Video muss nicht zu dem hochgeladenen Ausweis gehören.
Vor der KYC-Prüfung lesen beide Seiten passende Codewörter in die Kamera. In der Sitzung attestiert.
Dringende Überweisungsanfrage vom CEO, Signaturen passen, die Stimme klingt richtig. Das Geld geht raus.
Live-Codewort-Abgleich vor jeder ungewöhnlichen Zahlung. Eine einmalige Kopplung schließt die Lücke.
Angreifer nutzen das Chaos eines Vorfalls aus: gefälschte IT, gefälschter Support, gefälschte IR-Dienstleister.
Jedes interne Gespräch läuft durch einen Codewort-Abgleich. Kein Treffer, keine Anweisung wird ausgeführt.
Telefonisch freigegebene Überweisung ab 100.000 € ohne Out-of-Band-Beleg, dass der Kunde echt ist.
Der Kunde liest sein aktuelles Codewort vor. Der Berater bestätigt den Treffer. Die Zahlung läuft attestiert weiter.
Anrufe von Lieferanten haben eine schwache Identität. Rechnungsbetrug setzt genau auf diese Lücke.
Kopplung im KYB-Prozess. Ab dann ist jeder Lieferantenanruf Hongi-geprüft. Schluss mit Raten.
Ein Hongi-Rollout lässt sich durch Ihre oder Ihren Datenschutzbeauftragten an einem Nachmittag prüfen. Es folgt alles, was wir auf einem Server halten, wenn eine Organisation Hongi für Beschäftigte und Kunden ausrollt.
Was wir nicht speichern: Namen, Telefonnummern, E-Mails, Kontaktlisten, Codewort-Historie, Anrufprotokolle, Standort, Transkripte, biometrische Daten, Werbe-IDs. Der Verifikationsschlüssel zwischen zwei gekoppelten Geräten liegt ausschließlich auf diesen beiden Geräten und wird lokal abgeleitet.
Das Hongi-Team setzt sich mit Ihren Verantwortlichen aus Compliance, Betrugsabwehr und IT zusammen und arbeitet Ihren stärksten Anwendungsfall durch. Bei Passung führen wir einen kostenfreien sechsmonatigen Piloten mit bis zu 500 Kunden oder Beschäftigten durch. Keine Beschaffung, keine Lizenz, kein Risiko.
Hongi (Lovit BV) · Flandern, Belgien · info@hongi.io