Von Ralf Keuper

Im Gegen­satz zu frü­her, als man sei­ne Geschäfts­part­ner häu­fig noch per­sön­lich kann­te, ist es heu­te, im Zeit­al­ter des Inter­net, deut­lich schwe­rer, die Inte­gri­tät des Gegen­übers zwei­fels­frei fest­zu­stel­len. Wie kann man sicher sein, dass es sich bei dem poten­zi­el­len Kun­den um eine Per­son mit lau­te­ren Absich­ten und nicht um eine gefälsch­te Iden­ti­tät oder gar um einen Bot han­delt? Woher weiß eine CNC-Frä­se in der Pro­duk­ti­on, dass die Anfra­ge einer ande­ren Bear­bei­tungs­sta­ti­on berech­tigt ist? Um das nöti­ge Ver­trau­ens­le­vel her­zu­stel­len, sind Siche­re Veri­fi­zier­te Digi­ta­le Iden­ti­tä­ten der Schlüs­sel. Ein wach­sen­des Auf­ga­ben­feld für die Anbie­ter von Sicher­heits- und Ver­trau­ens­tech­no­lo­gien bzw. von Unter­neh­men mit dem Geschäfts­mo­dell Iden­ti­ty as a Ser­vice (Ida­aS).

Markt mit gro­ßem Potenzial 

Die Stra­te­gie­be­ra­tung McK­in­sey schätzt das Markt­vo­lu­men für ID Veri­fi­ca­ti­on as a Ser­vice für das Jahr 2022 auf bis 20 Mrd. Dol­lar. Im Jahr 2017 lag das Volu­men laut McK­in­sey noch bei 10 Mrd. Dol­lar welt­weit. Die nach wie vor umfas­sends­te Stu­die des Mark­tes für Digi­ta­le Iden­ti­tä­ten ist Rese­arch on Iden­ti­ty Eco­sys­tem. Dar­in wird der Markt für die per­so­nen­be­zo­ge­nen Daten in die Betrach­tung mit ein­be­zo­gen. Die Stra­te­gie­be­ra­tung BCG ver­an­schlag­te vor eini­gen Jah­ren in ihrer Stu­die The Value of Our Digi­tal Iden­ti­ty den Markt für per­so­nen­be­zo­ge­ne Daten auf bis 90 Mrd. Dol­lar pro Jahr. Das World Eco­no­mic Forum (WEF) hält einen glo­ba­len Stan­dard für digi­ta­le Iden­ti­tä­ten nicht nur aus Sicht der Finanz­bran­che für wün­schens- und erstre­bens­wert (Vgl. dazu: A Blue­print for Digi­tal Iden­ti­ty The Role of Finan­cial Insti­tu­ti­ons in Buil­ding Digi­tal Iden­ti­ty).

Ein­satz­mög­lich­kei­ten des neu­en Per­so­nal­aus­wei­ses (nPA) und der elek­tro­ni­schen Iden­ti­tät (eID) in der Finanzbranche

Die Ban­ken und eini­ge Fin­tech-Start­ups sind gesetz­lich dazu ver­pflich­tet, die Iden­ti­tät ihrer Kun­den zu veri­fi­zie­ren (KYC). Bei grö­ße­ren Finanz­trans­ak­tio­nen müs­sen Ban­ken sicher­stel­len, dass es sich dabei um kei­ne Geld­wä­sche han­delt (AML). Im ana­lo­gen Zeit­al­ter muss­ten Kun­den bei der Kon­to­er­öff­nung ihren gül­ti­gen Per­so­nal­aus­weis oder Rei­se­pass vor­le­gen, der dann häu­fig kopiert und in die Kon­to­un­ter­la­gen ein­ge­räumt wur­de. Zwi­schen­zeit­lich wur­de der Per­so­nal­aus­weis digi­ta­li­siert bzw. um eine Online-Aus­weis­funk­ti­on ergänzt. (Vgl. dazu: Der Per­so­nal­aus­weis mit Online-Aus­weis­funk­ti­on).

 Durch­gän­gi­ges digi­ta­les Onboar­ding mit Autha­da: Vom Aus­le­sen bis zur (rechts­gül­ti­gen) Unterschrift

Seit eini­ger Zeit ist es mög­lich, den Aus­weis mit dem Smart­phone oder Tablet aus­zu­le­sen, wie mit der Autha­da-App  und der Lösung ident. Dabei wird die elek­tro­ni­sche Iden­ti­tät des Per­so­nal­aus­wei­ses bin­nen weni­ger Sekun­den übermittelt.

Dane­ben besteht die Mög­lich­keit, den Per­so­nal­aus­weis mit Autha­da onsite Vor-Ort aus­zu­le­sen. Dabei liest ein Mit­ar­bei­ter den Aus­weis direkt am Point of Sale mit einem mobi­len End­ge­rät, Smart­phone oder Tablet, aus. Die Daten wer­den dann elek­tro­nisch aus­ge­le­sen, in ein For­mu­lar über­nom­men und somit die Feh­ler­quo­te beim Erfas­sen der Daten dras­tisch reduziert.

Mit Autha­da sign kön­nen Ver­trä­ge papier­los, mobil und auto­ma­tisch in weni­gen Minu­ten abge­schlos­sen wer­den. Der Kun­de unter­schreibt mit sei­ner Qua­li­fi­zier­ten Elek­tro­ni­schen Unter­schrift (QES). 

Die siche­re und schnel­le Authen­ti­fi­zie­rung nach PSD2 lässt sich über die Inte­gra­ti­on von Autha­da veri­fy als SDK in die Geschäfts­pro­zes­se realisieren.

Alle Autha­da-Lösun­gen sind kon­form zu den regu­la­to­ri­schen Anfor­de­run­gen der Finanz­bran­che und ande­ren (Geld­wä­sche­ge­setz, Tele­kom­mu­ni­ka­ti­ons­ge­setz, E‑Go­vern­ment-Gesetz, Zah­lungs­diens­te­auf­sichts­ge­setz, DSGVO, ePri­va­cy und eIDAS-Ver­ord­nung). Der eID Core von Autha­da ist seit Anfang 2018 BSI-zer­ti­fi­ziert.

In einem Inter­view berich­te­te Jörg Jes­sen, CEO und einer der Grün­der von Autha­da, von einer unge­wöhn­lich hohen Con­ver­si­on Rate, die sich mit den Autha­da-Lösun­gen errei­chen lässt. Damit hebe man sich deut­lich von ande­ren Ver­fah­ren wie Video Ident und Post­Ident ab:

„Für unse­re B2B-Kun­den bie­ten wir mit unse­ren Pro­duk­ten einen Ser­vice zum online Aus­wei­sen an, der die Absprungra­te im Onboar­ding-Pro­zess unschlag­bar gering hält. Die Schnel­lig­keit des Pro­zes­ses trägt dazu bei. Mit unse­ren Lösun­gen iden­ti­fi­zie­ren­sich Bür­ger inner­halb von Sekun­den – und zwar zu jeder Tages- und Nacht­zeit und von über­all aus. Das sind die Haupt­vor­tei­le im Cus­to­mer-Onboar­ding-Pro­zess oder anders gesagt: Onboar­ding geht mit uns in Sekun­den und rechts­kon­form. Ein wei­te­rer ent­schei­den­der Unter­schied ist die Ska­lier­bar­keit – unse­re eID-Lösun­gen sind rund um die Uhr ver­füg­bar. Unse­re hoch per­for­man­ten Ser­vices ska­lie­ren und erlau­ben unse­ren Kun­den ihre Pro­duk­te und Ser­vice jeder­zeit und orts­un­ab­hän­gig anzu­bie­ten. Durch BSI-Zer­ti­fi­zie­rung, Sta­te-of-the-Art Ver­schlüs­se­lung und unser hoch­si­che­res Rechen­zen­trum sor­gen wir außer­dem für den sichers­ten Iden­ti­fi­zie­rungs­ser­vice am Markt.“

Digi­ta­les Onboar­ding der nächs­ten Generation 

Über die gro­ße Bedeu­tung eines rei­bungs­lo­sen digi­ta­len onboar­dings herrscht – bran­chen­über­grei­fend – gro­ße Einig­keit. Fast immer wird dabei die Cus­to­mer Expe­ri­ence bzw. die Cus­to­mer Jour­ney in den Vor­der­grund gerückt. Wer den Anmel­de­pro­zess so intui­tiv und so selbst­er­klä­rend wie mög­lich gestal­tet, hat die bes­ten Chan­cen, (Neu-)Kunden für sich zu gewin­nen. Sicher­heits­aspek­te gera­ten dabei nicht sel­ten in den Hin­ter­grund – sie gel­ten sogar als poten­zi­el­le Show-Stop­per. Dabei bren­nen die The­men Daten­si­cher­heit und Daten­schutz vie­len Ban­ken auf den Nägeln, wie aus dem Bran­chen Kom­pass Ban­king 2017 von ste­ria sopra und dem FAZ Insti­tut hervorgeht.

In der Stu­die Next-Gene­ra­ti­on Cli­ent Onboar­ding: Wie digi­tal ist das Cli­ent Onboar­ding im deut­schen Ban­ken­sek­tor? emp­feh­len die Autoren von PwC, die Onboar­ding-Sys­te­me zu ver­schmel­zen. Die Kun­den müs­sen in der Lage sein, sich über alle gän­gi­gen Kanä­le und End­ge­rä­te anzu­mel­den bzw. zu iden­ti­fi­zie­ren. Inso­fern dürf­te die Ent­wick­lung in Rich­tung Kom­plett­an­bie­ter für die Veri­fi­zie­rung gehen – wie bei Autha­da und Wisekey.

Neu­er Markt: Log­in-Alli­an­zen, SSO und Identitätsplattformen

In die­sen Tagen haben sich die Log­in-Alli­an­zen VERIMI und net­ID in Stel­lung gebracht. Das gemein­sa­me Ziel ist, eine Alter­na­ti­ve zu den SSO-Lösun­gen von face­book und Goog­le zu schaf­fen. Außer­dem will man den Nut­zern und Unter­neh­men die Hoheit über ihre Daten und Digi­ta­len Iden­ti­tä­ten zurück­ge­ben. Goog­le und face­book kom­men für ihre Ser­vices bis­lang ohne veri­fi­zier­te digi­ta­le Iden­ti­tä­ten aus. Ban­ken sind jedoch aus den ein­gangs erwähn­ten Grün­den auf veri­fi­zier­te (digi­ta­le) Iden­ti­tä­ten ange­wie­sen. Wer auf sei­nen Platt­for­men veri­fi­zier­te digi­ta­le Iden­ti­tä­ten anbie­ten kann, ist für die Wer­be­indus­trie ein hoch inter­es­san­ter Part­ner. Vor­stell­bar ist die Ver­brei­tung von iden­ti­ty based mar­ke­ting oder object mar­ke­ting. Damit wäre im Ide­al­fall die direk­te Anspra­che der Kun­den und Objek­te mög­lich. Das wie­der­um stellt hohe Anfor­de­run­gen an den Daten­schutz und die Daten­si­cher­heit. Der Bedarf an Sicher­heits­tech­no­lo­gie Made in Ger­ma­ny dürf­te dadurch stei­gen und damit auch die Aus­sich­ten für Autha­da, die Bun­des­dru­cke­rei und Governikus.

Die nächs­te Stu­fe: Veri­fi­zier­te Attri­bu­te und Pseudonymisierung

Die nächs­te Stu­fe könn­te mit der Ver­brei­tung der Block­chain-Tech­no­lo­gie und Stan­dards wie DID kom­men. Damit wäre es mög­lich, nur ein­zel­ne für die Iden­ti­fi­zie­rung nöti­ge Merk­ma­le, veri­fi­zier­te Attri­bu­te aus­zu­ge­ben, statt die gesam­ten per­so­nen­be­zo­ge­nen Daten. Bei­spiel­haft dafür ist die Prü­fung auf Voll­jäh­rig­keit. Der neue Per­so­nal­aus­weis ver­fügt übri­gens über eine Pseud­ony­mi­sie­rungs­funk­ti­on. Dabei wird nur das Pseud­onym aus dem Per­so­nal­aus­weis wei­ter­ge­ge­ben. Vor eini­gen Jah­ren stell­ten For­scher vom Horst Götz-Insti­tut an der Ruhr­Uni Bochum ein Kon­zept für das pseud­ony­me strom­tan­ken mit dem neu­en Per­so­nal­aus­weis vor.

Rol­len­ver­tei­lung erst am Anfang

Momen­tan ist noch nicht abseh­bar, wie das neue Rol­len­ver­hält­nis auf dem Markt für digi­ta­le Iden­ti­tä­ten aus­se­hen wird. Wer­den Ban­ken und Log­in-Alli­an­zen die neu­en Iden­ti­ty-Pro­vi­der, wird sich die eID für die Ersti­den­ti­fi­zie­rung durch­set­zen, wird die Block­chain-Tech­no­lo­gie Inter­me­diä­re wie Ban­ken und Log­in-Alli­an­zen erset­zen, wel­che lang­fris­ti­gen Aus­wir­kun­gen hat das Open Ban­king? Wie kann die Indus­trie siche­re digi­ta­le Iden­ti­tä­ten ein­füh­ren? Rela­tiv sicher ist, dass es in Zukunft Bedarf an Anbie­tern geben wird, die zu jeder Zeit und an jedem Ort veri­fi­zier­te digi­ta­le Iden­ti­tä­ten über alle gän­gi­gen Kanä­le und End­ge­rä­te schnell und sicher bereit­stel­len kön­nen – und das unab­hän­gig davon, ob es sich dabei um Iden­ti­täts­platt­for­men oder um eine Block­chain han­delt. Die eID und die qua­li­fi­zier­te elek­tro­ni­sche Unter­schrift wer­den dabei eine Schlüs­sel­funk­ti­on übernehmen.