Trust Level · Lesezeit 9 min
Trust Level T0–T5 — Wann reicht welche Verifikationsstufe?
Die SigID-Skala T0 bis T5 entscheidet, wann eine Aktion durchgeht und wann sie gestoppt wird. Wir erklären jede Stufe, geben praktische Beispiele und zeigen typische Schwellenwerte.
Veröffentlicht am 10. Mai 2026 · 9 min Lesezeit · SigID-Produktteam
Die Frage 'Wie sicher ist diese Identität?' hat in der Praxis keine binäre Antwort. SigID nutzt deshalb eine sechsstufige Skala von T0 bis T5. Sie macht aus dem diffusen Bauchgefühl 'irgendwie verifiziert' eine konkrete, dokumentierte Aussage — pro Subjekt, pro Vorgang, pro Zeitpunkt.
T0 — Unverifiziert
Trust Level T0 ist der Default. Ein neuer Lieferant, eine neue Person, eine neue IBAN startet bei T0. SigID akzeptiert T0-Subjekte für Lese-Operationen und für unkritische Workflows wie Datei-Uploads. Geld fließt nicht an T0-Empfänger, ohne dass ein Challenge dazwischen liegt.
T1 — E-Mail-Domain bestätigt
Trust Level T1 wird durch eine Domain-Verifikation erreicht. Wer den DNS-TXT-Eintrag setzt oder eine SMTP-Mail mit Magic-Link bestätigt, beweist Kontrolle über die Domain. T1 reicht für Einladungen, Newsletter-Abos und vorgelagerte Beleg-Uploads.
T2 — KYB / Registerprüfung
Trust Level T2 setzt eine erfolgreiche KYB-Prüfung voraus. Handelsregister, Vertretungsberechtigung und Adresse werden gegen autoritative Quellen abgeglichen. T2 ist der typische Einstieg für aktiv geführte Lieferanten. Erste Buchungen sind möglich, kritische Aktionen erfordern weiterhin eine Challenge.
T3 — Erste signierte Zahlungsbeziehung
Trust Level T3 wird mit der ersten signierten Zahlung erreicht. Die IBAN ist verifiziert, der Empfänger hat seine Zahlung quittiert, ein Audit-Event mit Risk-Level high liegt vor. Wiederholte Zahlungen an denselben T3-Empfänger können ohne weitere Challenge ausgeführt werden, solange der IBAN-Fingerprint unverändert bleibt.
T4 — Multi-Faktor-Identität mit Trust-App
Trust Level T4 setzt eine bestätigte Trust-App auf einem Endgerät der Person voraus. Passkey ist eingerichtet, Dynamic Linking ist möglich, der Schlüssel liegt im Secure Enclave. T4 ist die Standardstufe für aktive Mitarbeiter, die in SigID Buchungen freigeben oder Vollmachten erteilen.
T5 — Mehrfach signierte Vertretung mit Audit-Hash
Trust Level T5 ist die höchste Stufe. Eine Person ist nicht nur in T4, sondern hat zusätzlich eine signierte Authorization-Grant-Kette mit Audit-Hash. T5 ist die Voraussetzung für besonders sensible Vorgänge: Treuhand-Auszahlungen, gesellschaftsrechtliche Eintragungen, hohe Einzelzahlungen jenseits definierter Schwellenwerte.
Wann reicht welche Stufe?
Eine pauschale Antwort gibt es nicht, aber drei Faustregeln helfen. Erstens: Lese-Operationen sind ab T1 unkritisch. Zweitens: Erste Zahlungen brauchen mindestens T2 plus eine Challenge. Drittens: Vier-Augen-pflichtige Vorgänge erfordern mindestens T4 für die ausführende Person und T4 oder T5 für die zweite Bestätigung. Konkrete Schwellenwerte werden pro Organisation und pro Vorgangsart konfiguriert.
Wie Trust-Level wieder fallen können
Trust-Level sind nicht statisch. Ein Lieferant, der ein Jahr lang keine Aktivität zeigt, fällt zurück auf T2. Eine Person, die ihre Trust-App deaktiviert, fällt zurück von T4 auf T2. Eine IBAN, die einen abweichenden Fingerprint zeigt, fällt zurück auf T0 — bis die neue Identität bestätigt ist. Diese Rückstufungen werden als Audit-Events dokumentiert und sind im Trail rekonstruierbar.
Trust-Level und Risk-Level — zwei Achsen
Wichtig ist die Unterscheidung zwischen Trust-Level (Eigenschaft des Subjekts) und Risk-Level (Eigenschaft der Aktion). Eine Aktion mit Risk-Level high — etwa eine IBAN-Änderung — erfordert immer eine Challenge mit Dynamic Linking, unabhängig vom Trust-Level der ausführenden Person. Trust-Level senkt die Reibung im Alltag, Risk-Level hält die Sicherheitsgarantien hoch.
Praxisbeispiel: Beratungsgesellschaft
Eine Steuerberatungsgesellschaft mit 40 Mitarbeitern arbeitet üblicherweise so: Buchhaltungs-Mitarbeiterinnen sind T4, fachliche Geschäftsführerinnen T5. Mandanten-IBANs starten bei T0, erreichen T2 mit Registerabgleich und T3 mit der ersten signierten Buchung. Ein IBAN-Wechsel innerhalb eines aktiven Mandats läuft via Challenge in der Trust-App ab — typische Bearbeitungszeit unter 30 Sekunden.
Fazit
Trust-Level T0 bis T5 macht aus dem Bauchgefühl 'irgendwie sicher' eine messbare, kommunizierbare Größe. Wer einmal eine Schwellenwert-Matrix definiert hat, kann sie über Jahre hinweg konsistent anwenden — und seinen Wirtschaftsprüfern eine eindeutige Aussage liefern. Der nächste Schritt: in SigID eine Schwellenwert-Tabelle für die eigene Organisation hinterlegen.
Eine technische Tiefe zur Hash-Chain finden Sie in der Audit-Event-Dokumentation.