Zum Hauptinhalt springen
BiometricsMar 28, 2026

Indonesiens biometrische SIM-Pflicht: Was sie fuer Entwickler und digitale Dienste bedeutet

OS
Open Soft Team

Engineering Team

Indonesiens biometrische SIM-Pflicht: Das Wichtigste

Ab dem 1. Juli 2026 muss jede neue SIM-Karten-Registrierung in Indonesien eine biometrische Gesichtserkennung umfassen. Dies wird durch die KOMDIGI-Verordnung (Ministerium fuer Kommunikation und Digitales) Nr. 7 von 2026 vorgeschrieben und ersetzt das bisherige Verifizierungssystem, das nur auf der NIK (Nomor Induk Kependudukan) basierte. Die Verordnung begrenzt den Besitz von Prepaid-SIM-Karten auf 3 Karten pro Person und verpflichtet Telekommunikationsbetreiber zur Integration mit Indonesiens Digitaler Bevoelkerungsidentitaet (IKD)-Plattform.

Fuer Entwickler und Anbieter digitaler Dienste bedeutet dies eine grundlegende Veraenderung der Identitaetsverifizierung im digitalen Oekosystem Indonesiens — von der Nutzeranmeldung in mobilen Apps bis hin zu eKYC-Ablaeufen.

Zeitplan und wichtige Meilensteine

Die Einfuehrung folgt einem phasenweisen Ansatz, den Entwickler einplanen muessen:

DatumMeilenstein
15. Maerz 2026Offizielle Veroeffentlichung der KOMDIGI-Verordnung Nr. 7/2026
1. April 2026Veroeffentlichung der technischen Spezifikationen fuer Betreiber
1. Mai 2026Eroeffnung der Sandbox-Testumgebung fuer Integrationspartner
1. Juni 2026Obligatorische Zertifizierungsfrist fuer biometrische SDK-Anbieter
1. Juli 2026Durchsetzungsbeginn — alle neuen SIM-Registrierungen erfordern biometrische Verifizierung
1. Januar 2027Frist fuer die Re-Verifizierung bestehender SIMs fuer Hochrisikokonten
1. Juli 2027Vollstaendige Re-Verifizierungsfrist fuer alle bestehenden Prepaid-SIMs

Nicht konforme Betreiber riskieren Geldstrafen von bis zu 50 Milliarden Rupiah (2,9 Millionen Dollar) pro Verstoss, mit moeglichem Lizenzentzug bei wiederholter Nichteinhaltung.

Technische Anforderungen

Die Verordnung legt praezise technische Standards fest, die biometrische Systeme erfuellen muessen:

Genauigkeit der Gesichtserkennung

  • Falschakzeptanzrate (FAR): Darf 0,001 % (1 von 100.000) nicht ueberschreiten
  • Falschzurueckweisungsrate (FRR): Darf 5 % nicht ueberschreiten
  • Gesamtgenauigkeit: 95 % oder hoeher unter Standardbedingungen
  • Verarbeitungszeit: Maximal 3 Sekunden von der Aufnahme bis zum Verifizierungsergebnis
  • Lebendigkeitserkennung: Obligatorisch — Systeme muessen Praesentationsangriffe erkennen, einschliesslich gedruckter Fotos, Bildschirmwiedergaben und 3D-Masken

Integration mit der IKD-Plattform

Die Digitale Bevoelkerungsidentitaet (Identitas Kependudukan Digital / IKD)-Plattform, verwaltet von der Generaldirektion fuer Bevoelkerung und Zivilregistrierung (Dukcapil), dient als massgebliche Identitaetsdatenbank. Alle biometrischen Verifizierungen muessen mit IKD-Datensaetzen abgeglichen werden.

Der Integrationsablauf funktioniert wie folgt:

  1. Aufnahme: Das Gesicht des Nutzers wird ueber die App oder den Kiosk des Betreibers erfasst
  2. Lebendigkeitspruefung: Echtzeit-Lebendigkeitserkennung bestaetigt eine reale Person
  3. Merkmalsextraktion: Gesichtsmerkmale werden extrahiert und in ein biometrisches Template kodiert
  4. IKD-Abfrage: Das Template wird an die IKD-Plattform zur 1:1-Verifizierung gegen den NIK-verknuepften biometrischen Datensatz gesendet
  5. Ergebnis: IKD gibt eine Uebereinstimmung/Keine-Uebereinstimmung-Antwort mit einem Konfidenzwert zurueck
  6. Audit-Log: Die gesamte Transaktion wird fuer die regulatorische Compliance protokolliert

Datenschutzanforderungen

Jede Verarbeitung biometrischer Daten muss dem UU PDP (Gesetz zum Schutz personenbezogener Daten) entsprechen, Indonesiens 2022 erlassenem Datenschutzgesetz:

  • Biometrische Templates muessen im Ruhezustand mit AES-256 verschluesselt sein
  • Alle Uebertragungen muessen TLS 1.3 oder hoeher verwenden
  • Biometrische Rohdaten (Gesichtsbilder) duerfen nach der Template-Extraktion nicht gespeichert werden
  • Datenaufbewahrung: Verifizierungsprotokolle werden 5 Jahre aufbewahrt und dann sicher geloescht
  • Nutzer haben das Recht, die Loeschung ihrer biometrischen Daten zu verlangen
  • Die grenzueberschreitende Uebertragung biometrischer Daten ist ohne ausdrueckliche KOMDIGI-Genehmigung verboten

Auswirkungen auf App-Entwickler und digitale Dienste

Mobile App-Entwickler

Wenn Ihre App SIM-basierte Authentifizierung nutzt (OTP-Verifizierung, SMS-basiertes Login), muessen Sie verstehen, dass Ihre Nutzer eine biometrische Verifizierung auf SIM-Ebene durchlaufen haben. Dies schafft Chancen:

  • Hoeheres Vertrauensniveau: SIM-verifizierte Nutzer haben ihre Identitaet biometrisch bestaetigt
  • Reduzierter Betrug: Fake-Konten mit Wegwerf-SIMs werden deutlich schwieriger zu erstellen
  • Vereinfachtes KYC: Fuer Fintech- und E-Commerce-Apps kann die biometrische SIM-Verifizierung als erster Faktor in Ihrem eKYC-Ablauf dienen

Telekommunikations-Integrationspartner

Unternehmen, die Identitaetsverifizierungsdienste fuer Telekommunikationsbetreiber anbieten, muessen:

  • Die KOMDIGI-Zertifizierung fuer ihr biometrisches SDK bis zum 1. Juni 2026 erhalten
  • Die ISO/IEC 30107-3 Praesentationsangriffserkennung (PAD) auf Stufe 2 oder hoeher bestehen
  • Interoperabilitaet mit der IKD-Plattform in Sandbox-Tests nachweisen
  • On-Premise-Bereitstellungsoptionen anbieten — einige Betreiber verlangen, dass die biometrische Verarbeitung in indonesischen Rechenzentren erfolgt

Fintech und Digital Banking

Indonesiens OJK (Finanzdienstleistungsbehoerde) hat angekuendigt, die KOMDIGI-konforme biometrische SIM-Verifizierung als gueltigen Identitaetsnachweis anzuerkennen fuer:

  • Eroeffnung von Basissparkonten (Hoechstsaldo 20 Millionen Rupiah)
  • P2P-Kredit-Kreditnehmerverifizierung
  • Registrierung digitaler Wallets (GoPay, OVO, Dana, ShopeePay)
  • Versicherungspolice-Onboarding

Dies reduziert Reibungsverluste bei der finanziellen Inklusion, insbesondere fuer Indonesiens 92 Millionen Erwachsene ohne Bankkonto.

Compliance-Checkliste fuer Unternehmen

Verwenden Sie diese Checkliste, um die Bereitschaft Ihrer Organisation zu bewerten:

Technische Bereitschaft

  • Biometrisches SDK ausgewaehlt und integriert (Mindestgenauigkeit 95 %, Lebendigkeitserkennung)
  • IKD-Plattform-Sandbox-Zugang erhalten und getestet
  • AES-256-Verschluesselung fuer die Speicherung biometrischer Templates implementiert
  • TLS 1.3 fuer alle biometrischen Datenuebertragungen konfiguriert
  • Audit-Logging-System erfasst alle Verifizierungstransaktionen
  • Fallback-Mechanismus fuer IKD-Plattform-Ausfallzeiten entworfen
  • Lasttests fuer das erwartete Verifizierungsvolumen abgeschlossen

Regulatorische Compliance

  • UU PDP Datenschutz-Folgenabschaetzung (DPIA) abgeschlossen
  • Datenschutzrichtlinie aktualisiert mit Offenlegung der biometrischen Datenverarbeitung
  • Nutzereinwilligungsablauf implementiert (explizites Opt-in fuer biometrische Erfassung)
  • Datenaufbewahrungsrichtlinien dokumentiert (5-jaehrige Protokollaufbewahrung, sichere Loeschung)
  • Incident-Response-Plan fuer biometrische Datenschutzverletzungen aktualisiert
  • KOMDIGI-Zertifizierungsantrag eingereicht (Frist: 1. Juni 2026)

Operative Bereitschaft

  • Personal in biometrischen Verifizierungsverfahren geschult
  • Kundensupport-Skripte fuer biometriebezogene Anfragen aktualisiert
  • Barrierefreiheitsmassnahmen fuer Nutzer geplant, die die Gesichtserkennung nicht abschliessen koennen
  • Monitoring-Dashboards fuer Verifizierungs-Erfolgs-/Fehlerraten konfiguriert

Architekturueberblick fuer Entwickler

Eine typische Integrationsarchitektur sieht wie folgt aus:

Mobile App / Kiosk
       |
       v
[Biometrisches SDK] -- Aufnahme + Lebendigkeitserkennung
       |
       v
[Betreiber-Backend] -- Template-Extraktion
       |
       v
[IKD-Gateway] -- 1:1-Verifizierung
       |
       v
[Audit & Logging] -- Compliance-Aufzeichnungen

Fuer Rust-Entwickler kann die biometrische Pipeline wie folgt strukturiert werden:

// Vereinfachte biometrische Verifizierungspipeline
async fn verify_identity(
    State(state): State<AppState>,
    Json(request): Json<BiometricRequest>,
) -> Result<Json<VerificationResult>, AppError> {
    // 1. Lebendigkeitserkennung validieren
    let liveness = state.liveness_service
        .check(&request.capture_data)
        .await?;

    if liveness.score < 0.95 {
        return Err(AppError::LivenessCheckFailed);
    }

    // 2. Biometrisches Template extrahieren
    let template = state.biometric_engine
        .extract_template(&request.facial_image)
        .await?;

    // 3. Gegen IKD-Plattform verifizieren
    let ikd_result = state.ikd_client
        .verify_1to1(&request.nik, &template)
        .await?;

    // 4. Audit-Trail protokollieren
    state.audit_logger.log_verification(
        &request.nik,
        &ikd_result,
        &liveness,
    ).await?;

    Ok(Json(VerificationResult {
        verified: ikd_result.match_score >= 0.95,
        confidence: ikd_result.match_score,
        transaction_id: ikd_result.transaction_id,
    }))
}

Marktkontext: Warum Indonesien jetzt handelt

Indonesiens Vorstoss zur biometrischen SIM-Verifizierung wird von mehreren konvergierenden Faktoren angetrieben:

  • Cyberkriminalitaetsverluste: Indonesien verlor 2025 geschaetzte 7 Billionen Rupiah (407 Millionen Dollar) durch Cyberkriminalitaet, wobei SIM-Swap-Betrug und Identitaetsdiebstahl die Hauptvektoren waren
  • Doppelte SIMs: Geschaetzte 30-40 Millionen SIM-Karten sind unter falschen oder doppelten Identitaeten registriert
  • Wachstum der digitalen Wirtschaft: Indonesiens digitale Wirtschaft erreichte 2025 82 Milliarden Dollar GMV (Google-Temasek-Bain-Bericht) und erfordert eine staerkere Identitaetsinfrastruktur
  • Bevoelkerungsgroesse: Mit ueber 270 Millionen Menschen und ueber 345 Millionen aktiven SIM-Karten ist Indonesien einer der groessten Mobilmaerkte der Welt
  • ASEAN-Angleichung: Die Verordnung steht im Einklang mit den Bestimmungen zur digitalen Identitaet des ASEAN Digital Economy Framework Agreement (DEFA)

Haeufig gestellte Fragen

Was passiert, wenn ein Nutzer die Gesichtserkennung nicht abschliessen kann?

Die Verordnung enthaelt Bestimmungen fuer alternative Verifizierungsmethoden fuer Nutzer mit Behinderungen oder medizinischen Bedingungen, die eine Gesichtserkennung verhindern. Betreiber muessen eine assistierte Verifizierung in physischen Servicezentren anbieten, wo geschultes Personal manuelle Identitaetspruefungen mit unterstuetzenden Dokumenten durchfuehren kann. Dies betrifft etwa 2-3 % der Bevoelkerung.

Betrifft dies bestehende SIM-Karten oder nur Neuregistrierungen?

Zunaechst erfordern nur Neuregistrierungen ab dem 1. Juli 2026 eine biometrische Verifizierung. Bestehende Prepaid-SIM-Inhaber muessen die biometrische Re-Verifizierung jedoch bis zum 1. Juli 2027 abschliessen. Postpaid-Abonnenten sind vorerst ausgenommen, da sie bereits strengere Identitaetspruefungen durchlaufen.

Koennen auslaendische Staatsangehoerige und Touristen SIM-Karten registrieren?

Ja. Auslaendische Staatsangehoerige koennen sich am Verkaufsort mit ihrem Reisepass und einer biometrischen Gesichtsaufnahme registrieren. Das System fuehrt eine 1:1-Verifizierung gegen das Passfoto anstelle der IKD-Datenbank durch. Touristen-SIM-Registrierungen sind auf 1 SIM pro Reisepass mit einer maximalen Gueltigkeit von 90 Tagen begrenzt.

Welche biometrischen SDK-Anbieter sind KOMDIGI-zertifiziert?

Anfang 2026 hat KOMDIGI mehrere Anbieter fuer Sandbox-Tests zugelassen, darunter internationale Anbieter (die NIST FRVT-Benchmarks entsprechen) und indonesische Unternehmen. Die endgueltige Liste zertifizierter Anbieter wird am 1. Juni 2026 veroeffentlicht. Anbieter muessen ISO/IEC 30107-3 Stufe 2 Konformitaet und IKD-Interoperabilitaetstests nachweisen.

Wie verhaelt sich dies zum indonesischen Datenschutzgesetz (UU PDP)?

Die biometrische SIM-Pflicht operiert im Rahmen des UU PDP (Gesetz Nr. 27 von 2022). Biometrische Daten werden gemaess UU PDP Artikel 4 als spezifische personenbezogene Daten klassifiziert, was ausdrueckliche Einwilligung, Zweckbindung und verstaerkte Sicherheitsmassnahmen erfordert. Betreiber muessen einen Datenschutzbeauftragten (DPO) ernennen und vor der Verarbeitung biometrischer Daten Datenschutz-Folgenabschaetzungen (DPIAs) durchfuehren.

Welche Strafen drohen bei Nichteinhaltung?

Telekommunikationsbetreibern drohen Geldstrafen von bis zu 50 Milliarden Rupiah (2,9 Millionen Dollar) pro Verstoss. Biometrische SDK-Anbieter, die die Zertifizierung nicht bestehen, koennen vom indonesischen Markt ausgeschlossen werden. Einzelpersonen, die fuer Datenschutzverletzungen mit biometrischen Daten verantwortlich sind, drohen nach UU PDP strafrechtliche Konsequenzen, einschliesslich bis zu 6 Jahren Freiheitsstrafe und Geldstrafen von bis zu 6 Milliarden Rupiah (350.000 Dollar).

Kann die biometrische Verifizierung vollstaendig auf dem Geraet durchgefuehrt werden?

Die Lebendigkeitserkennung kann auf dem Geraet ausgefuehrt werden, aber die 1:1-Identitaetsverifizierung muss serverseitig gegen die IKD-Datenbank erfolgen. Dies ist eine regulatorische Anforderung, um sicherzustellen, dass der massgebliche Identitaetsdatensatz immer der Referenzpunkt ist. Die geraeteseitige Verarbeitung wird fuer die Aufnahme- und Lebendigkeitserkennungsschritte empfohlen, um Latenz und Bandbreitenanforderungen zu reduzieren.

Tags
AIBiometricsSecurity