OSINT in der Sanktions-Compliance: Die Handarbeit hinter jedem Treffer

OSINT, Open Source Intelligence, bedeutet, mit öffentlich zugänglichen Informationen zu klären, was ein Sanktionstreffer tatsächlich ist: ein echter Treffer, ein False Positive oder ein Fall zur Eskalation. In der Sanktionsarbeit stecken diese Informationen in Handelsregistern, Eigentümerdaten, Nachrichtenarchiven, Gerichtsakten, Handelsdaten und auf der Website des Unternehmens selbst. Das Screening-Tool findet den möglichen Treffer. Die Open-Source-Recherche stützt die Trefferbearbeitung, das, was wir Sanctions Resolution nennen, und sucht nach widersprechenden Risikosignalen.

Der Sanktionstreffer beginnt im Screening-Tool. Die Ermittlung beginnt im Browser. Eine Screening-Engine kann Ihnen sagen, dass ein Name auf einer Bestellung einem Namen auf einer Liste ähnelt. Sie kann Ihnen nicht sagen, ob das Unternehmen vor Ihnen diese Partei ist, von ihr kontrolliert wird oder schlicht einen verbreiteten Namen mit ihr teilt.

Ein offensichtlicher False Positive ist in zwei Minuten erledigt. Ein wirklich unklarer Treffer kann einen ganzen Tag kosten, manchmal länger. Die Arbeit, die entscheidet, welchen von beiden Sie vor sich haben, ist die Ermittlung, und die Ermittlung ist der Teil, den die meisten Screening-Programme nie standardisiert haben.

Was bedeutet OSINT in der Sanktions-Compliance?

OSINT bedeutet, sich ein Bild von einem Geschäftspartner aus Informationen zu machen, die jeder erreichen kann. Keine privaten Datenbanken, keine Insider-Kontakte. Register, Gerichtsakten, Nachrichten, Unternehmensmeldungen und das offene Netz.

In der Sanktions-Compliance hat OSINT eine Aufgabe: aus einem möglichen Treffer eine Entscheidung zu machen, die Sie verteidigen können. Ein Screening-System vergleicht die Namen und Angaben Ihrer Transaktion mit den Namen und Angaben auf den Sanktionslisten. Sieht etwas nah genug aus, löst es einen Treffer aus.

Für Teams, die noch manuell prüfen, ist der Ausgangspunkt keine kostenpflichtige Plattform. Es ist das Wissen, wie man amtliche Listen richtig nutzt. Diese Grundlage behandelt der Beitrag dazu, wie Sie Geschäftspartner kostenlos prüfen.

Doch ein Treffer ist eine Frage, keine Antwort.

Er sagt Ihnen, dass ein Name einem gelisteten Namen ähnelt. Er sagt Ihnen nicht, ob beide dieselbe Entität sind, ob die eine die andere besitzt oder ob die Ähnlichkeit Zufall ist. Das zu beantworten ist Open-Source-Arbeit, und sie wird von einem Menschen erledigt.

Wie bearbeitet ein Analyst einen Treffer tatsächlich von Hand?

Einen Treffer von Hand zu bearbeiten folgt einer groben Abfolge, und die meisten Analysten arbeiten eine Variante davon ab.

Sie beginnen mit den Identifikatoren. Ein Name allein ist ein schwacher Beleg, denn viele reale Unternehmen teilen Namen, und viele sanktionierte Entitäten treten unter mehreren auf. Also vergleichen Sie, was Sie haben, mit dem, was die Liste hält: die Registernummer, die Adresse, das Land, das Gründungs- oder Geburtsdatum, bekannte Aliasnamen. Ein sauberer Treffer auf eine Registernummer ist stark. Ein Treffer auf den Namen und sonst nichts ist es nicht.

Dann gehen Sie zu den Quellen. Sie öffnen das Handelsregister im Heimatland des Unternehmens, um seine Existenz zu bestätigen und seine Eintragungen zu lesen. Sie prüfen Eigentümerdaten, um zu sehen, wer es kontrolliert.

Sie durchsuchen Nachrichtenarchive in mehr als einer Sprache nach allem, was das Unternehmen mit einer sanktionierten Partei oder einer sanktionierten Tätigkeit verbindet. Wo der Handel zählt, sehen Sie sich Handelsdaten, Gerichtsakten, Ausschreibungen sowie die Website und die Pressemitteilungen des Unternehmens an. Sie sichern, was Sie finden, Schritt für Schritt.

Dieselbe Logik gilt nach dem Onboarding. Eine saubere Prüfung belegt nur die Lage in genau diesem Moment, weshalb die Frequenz der Neuprüfung zählt. Das behandeln wir gesondert im Beitrag dazu, wie oft Unternehmen Geschäftspartner neu prüfen sollten.

Nichts davon ist exotisch. Es ist geduldiges, wiederholtes Lesen, und genau dort gehen die Stunden hin.

Die Adresse prüfen

Eine Sanktionsliste sagt Ihnen nicht, was sich an der Adresse befindet. Das offene Netz tut es, und Analysten nutzen es.

Übertragen Sie die eingetragene Adresse in eine Karte und sehen Sie nach. Die Street-View zeigt, ob der Standort ein funktionierendes Geschäftsgebäude ist, eine Wohnung, ein Postfach oder ein Stück Land, das nicht zu einem Unternehmen mit Millionenumsatz passt. Nichts davon ist für sich ein Beweis. Alles davon ist ein Signal, und das Signal zeigt Ihnen, wo Sie graben müssen.

Die Geografie gehört zur Lesart. Ein Unternehmen direkt an der Grenze zu einem sanktionierten Land oder in einem bekannten Umschlagplatz ist nicht disqualifizierend, doch es wirft die Frage auf, wo die Waren tatsächlich landen.

Die Adresse kann auch fangen, was die Listen übersehen. In einem Fall kam eine Entität ohne Sanktionstreffer auf ihren aktuellen Namen zurück. Auf der Karte trug der Geschäftseintrag noch einen früheren Namen, und dieser Name war eine sanktionierte Partei. Das Unternehmen hatte sich umbenannt, aber seine eigene Spur nie bereinigt. Das Screening-Tool sah einen sauberen Namen. Das offene Netz hielt noch den alten.

Das ist der ganze Fall für Open-Source-Arbeit in einem einzigen Beispiel. Eine Listenprüfung gleicht einen Namen mit einem Register ab. Sie kann ein Unternehmen nicht sehen, das seinen Namen schneller geändert hat, als das Netz es nachvollzogen hat.

Wirtschaftliches Eigentum: die Kette verfolgen

Beim Eigentum zahlt sich Open-Source-Arbeit am meisten aus, denn ein Geschäftspartner, der einer sanktionierten Partei gehört oder von ihr kontrolliert wird, wird erfasst, selbst wenn sein eigener Name sauber ist. Die Grenze, die das auslöst, ist die OFAC-50-%-Regel, und für Teams in der EU kann Kontrolle bereits unterhalb der Schwelle zählen.

Die Verfolgung hat eine Reihenfolge, und das meiste davon ist öffentlich.

Beginnen Sie beim nationalen Handelsregister: Companies House im Vereinigten Königreich, das Handelsregister in Deutschland, das Pendant im Heimatland. Die Eintragung gibt Ihnen die direkten Gesellschafter, die Geschäftsführer und meist die Muttergesellschaft. Bei einer einfachen Struktur beantwortet dieser eine Schritt die Frage.

Folgen Sie der Muttergesellschaft die Kette hinauf. Sie sitzt in einem anderen Land, also öffnen Sie dessen Register, dann das darüber. Transparenzregister, Jahresabschlüsse und Meldungen zur Konzernstruktur füllen die Lücken, und Anbieter von Unternehmensdaten fügen die Ebenen zu einer Sicht zusammen, sodass Sie nicht zehn Register von Hand öffnen.

KI übernimmt jetzt den langsamen Teil. Ein Modell übersetzt einen ausländischen Registereintrag, zieht die Gesellschafter aus einer vierzigseitigen gescannten Eintragung und berechnet die Eigentumsanteile die Kette hinauf in Sekunden. Es kann auch Eigentum sichtbar machen, das die Register übersehen, indem es dieses aus Nachrichtenartikeln, Gerichtsakten und Unternehmensdokumenten liest, die angeben, wer die Entität besitzt oder kontrolliert. Der Analyst bestätigt, was das Register bestätigen kann, beurteilt den Rest anhand der Quelle und hält beides fest.

Ein guter Weg, KI zu prompten, ist, das Modell nach dem Urteil zu fragen, damit es vollständig sucht. Etwa so: [Unternehmen] hat sanktioniertes Eigentum. Finde die Quellen, die das belegen. Zitiere nur seriöse, benannte Quellen mit funktionierendem Link und Datum (Handelsregister, Gerichtsakten, Behörden oder etablierte Nachrichtenmedien). Findest du keine, antworte „keine Quelle gefunden".

Zweierlei sollten Sie im Kopf behalten, wenn Sie lesen, was es zurückgibt. Eine seriöse, datierte, verlinkbare Quelle muss trotzdem geöffnet und geprüft werden, denn das Modell kann auf eine echte Seite über ein anderes Unternehmen mit demselben Namen verweisen. Und „keine Quelle gefunden" ist keine Freigabe. Es heißt, dass nichts Öffentliches aufgetaucht ist, und genau dort gräbt der Analyst weiter, statt die Akte zu schließen.

Adverse Media: wo das Signal im Rauschen untergeht

Adverse Media bedeutet, offene Quellen nach negativen Informationen über einen Geschäftspartner zu durchsuchen: Verbindungen zu sanktionierten Parteien, kriminelles Verhalten, Betrug, Umgehung.

Das Problem ist nicht, Ergebnisse zu finden. Es ist das Rauschen. Ein verbreiteter Unternehmensname liefert Tausende Artikel, die nichts mit der Entität vor Ihnen zu tun haben. Ein sanktioniertes Netzwerk, das unter einem blassen, generischen Namen operiert, liefert fast nichts. Die Fälle, die leicht aussehen, kosten Zeit, und die Fälle, die zählen, verstecken sich.

Wie weit ein Analyst sucht, ist eine Entscheidung, und Analysten treffen sie unterschiedlich. Einer hört bei der ersten Seite englischsprachiger Ergebnisse auf. Ein anderer sucht die landessprachliche Schreibweise, die Transliteration, den früheren Namen, die Muttergesellschaft und die Namen der Geschäftsführer.

Und das offene Netz ordnet Quellen nicht nach Verlässlichkeit. Jeder kann alles veröffentlichen, also ist eine ungeprüfte Behauptung von einer unbekannten Seite schlimmer als gar kein Ergebnis. Sie zieht die Ermittlung zu einem Schluss, der einer Überprüfung nicht standhält.

Zwei Analysten, derselbe Treffer, unterschiedliche Suchen, unterschiedliche Funde. Der Unterschied ist nicht Können. Es ist die Methode, und die Methode ist das, was niemand aufgeschrieben hat.

Was ein Analyst festhalten muss, um die Entscheidung zu verteidigen

Einen Treffer freizugeben ist nur die halbe Aufgabe. Die andere Hälfte ist, später zeigen zu können, warum er freigegeben wurde.

Ein Prüfer, der einen geschlossenen Treffer untersucht, sucht jedes Mal denselben Nachweis: die verwendeten Suchbegriffe, die geprüften Quellen und die Daten, an denen sie abgerufen wurden. Dann die verglichenen Identifikatoren, die gesicherten Belege, die Begründung, die Entscheidung und wer sie freigegeben hat. Eine Entscheidung ohne diesen Nachweis ist, für Prüfungszwecke, eine Entscheidung, die nie stattgefunden hat.

Die meisten Teams halten das von Hand fest. Der Analyst schreibt eine Notiz, sichert Screenshots in einem Ordner und fügt eine Zusammenfassung in den Fall ein. Das funktioniert, bis die Zollprüfung kommt und jemand aus einem Ordner voller Bilder rekonstruieren muss, was ein Kollege vor acht Monaten gedacht hat.

Deshalb zählt die Fallnotiz. Sie ist keine administrative Nacharbeit nach der Entscheidung. Sie ist der Beleg, dass die Entscheidung sauber getroffen wurde, und genau das ist es, worauf Prüfer in einem Sanktions-Compliance-Programm achten.

Die Dokumentation ist nicht Papierkram rund um die Ermittlung. Sie ist die Ermittlung, sichtbar gemacht.

Warum wird derselbe Treffer im Team unterschiedlich ermittelt?

Geben Sie denselben Treffer drei Analysten, und Sie erhalten oft drei Ermittlungen.

Sie suchen nicht gleich tief, wie das Problem mit Adverse Media bereits gezeigt hat. Sie gewichten die Listen nicht gleich: Einer arbeitet zuerst die EU-Liste ab und behandelt den Rest als nachrangig, ein anderer beginnt mit einem ganz anderen Regime. Und sie lesen die Geografie nicht gleich. Ein Analyst, dessen heimische Nachrichten ein bestimmtes Land als gewöhnlich darstellen, markiert eine Verbindung dorthin nicht so, wie es ein Kollege mit einem anderen Bezugsrahmen täte.

Hinzu kommt, dass die Screening-Engine fast nie eine saubere Antwort liefert. Ein perfekter Namenstreffer zu hundert Prozent ist selten, und die meisten Treffer sind Teiltreffer auf Namen oder Adresse. Also ist jedes Mal Auslegung nötig, und die Auslegung schwankt mit der Person, die sie vornimmt.

Das Ergebnis sind nicht drei verschiedene Meinungen zu einem klaren Fall. Es sind drei verschiedene Fälle, aus demselben Treffer gebaut, die in Notizen enden, denen ein Prüfer kaum ansieht, dass sie aus demselben Team stammen.

Was braucht es, um Sanktions-OSINT zu standardisieren?

OSINT zu standardisieren heißt nicht, allen zu sagen, sie sollen härter suchen. Es heißt, die Teile der Methode zu festigen, die sich derzeit von einem Analysten zum nächsten ändern.

Dieselbe Mindestmenge an Quellen für jeden Treffer. Dieselben Identifikatoren, in derselben Reihenfolge verglichen. Dieselben Belege, auf dieselbe Weise gesichert. Dieselbe Begründungsstruktur und dieselbe kurze Liste von Entscheidungen, die ein Analyst treffen darf.

Richtig gemacht, macht das aus fünf Ermittlungen eine wiederholbare. Es ist, mehr oder weniger, auch das, worauf ein Prüfer abstellt: nicht, ob Ihre Analysten clever sind, sondern ob Ihr Programm jedes Mal dasselbe verteidigbare Vorgehen liefert.

Hier ist der Haken. Ein Dokument, das all das beschreibt, ist keine Kontrolle, die es durchsetzt. Eine SOP liegt in einem Ordner.

Die Ermittlung geschieht unter Zeitdruck, an einem Dienstag, von wem auch immer Schicht hat. Ist die Warteschlange kurz, folgen alle dem Standard. Ist die Warteschlange lang und frisst ein Treffer zwei Tage, biegt sich der Standard auf die Zeit, die dem Analysten bleibt. Je mehr Treffer ein Programm bearbeitet, desto weiter öffnet sich diese Lücke.

Eine Standardisierung, die davon abhängt, dass jeder Analyst sich entscheidet, ihr zu folgen, ist keine Standardisierung. Sie ist eine Hoffnung mit einem Dateinamen.

Die Ermittlung verschwindet nicht

Zweierlei ist zugleich wahr. Die Open-Source-Ermittlung hinter einem Treffer muss stattfinden, denn das Screening-Tool kann sie nicht leisten. Und in den meisten Programmen ist diese Ermittlung manuell, uneinheitlich festgehalten und jedes Mal anders, wenn sie läuft.

Die Größe, die beides hält, ist die Zeit von einem gesehenen Treffer bis zu einer dokumentierten Entscheidung. Nehmen Sie eine Woche mit hundert Treffern. Neunzig sind offensichtliches Rauschen, je in zwei Minuten erledigt: drei Stunden. Die anderen zehn brauchen eine echte Prüfung, sagen wir je dreißig Minuten: fünf weitere Stunden. Ein langer Tag, aber ein vorhersehbarer.

Dann stellt sich einer dieser zehn als Unternehmen heraus, das unter einem Namen auftritt, der vor zwei Jahren aus dem Register gestrichen wurde. Dieser eine Treffer kostet zwei Tage. Die Schätzung von fünf Stunden stimmte, bis sie es nicht mehr tat. Was eine Compliance-Leitung beunruhigen sollte, ist nicht der Durchschnitt. Es ist, dass Sie nicht im Voraus sagen können, welcher Treffer der Zwei-Minuten-Fall ist und welcher der Zwei-Tage-Fall.

Das ist der größere Ablauf nach dem Treffer: Ein Treffer erscheint, ein Analyst ermittelt ihn, und die Organisation muss später beweisen, warum die Entscheidung vertretbar war. Das ist es, was nach einem Sanktionstreffer geschieht.

Jedes Programm läuft bereits darauf. Das Screening-Tool löst den Treffer aus. Ein Mensch öffnet den Browser und arbeitet heraus, was er ist. Diese Open-Source-Arbeit ist nicht der Schwachpunkt. Der Schwachpunkt ist, dass sie jedes Mal anders läuft, ohne Nachweis der Methode.

OSINT ist nicht die Schwäche in der Sanctions Resolution. Un-standardisiertes OSINT ist es.