Wer sich im Internet bewegt, stellt nicht selten fest, dass die vollständige Digitalisierung noch an Grenzen stösst. Das gilt in besonderer Weise für die Identifizierung und Authentifizierung bei der Anbahnung sowie für die Digitale Unterschrift beim Abschluss einer geschäftlichen Transaktion. In den letzten Jahren haben Video-Ident-Verfahren für einen ersten Lückenschluss gesorgt. Ein weiterer Schub könnte mit der Verbreitung digitaler Identitäten, wie der eID des neuen Personalausweises (nPA), und mit Standardapplikationen für die digitale Signatur kommen. Schon jetzt sind am Markt einige Anbieter aktiv, die mit ihren Lösungen die letzten Hürden aus dem Weg räumen wollen. Einer davon ist die Rempartec GmbH, die sich mit ihren Lösungen auf die benutzerfreundliche und sichere Identifizierung und Authentifizierung spezialisiert hat. Im Gespräch mit Bankstil erläutert der Gründer und CTO, Dr. Kalman Cinkler (Foto), wie Unternehmen und Endanwender vom Rempartec-Produktportfolio profitieren, welche Rolle digitale Identitäten spielen und wie PSD2 und die starke Authentisierung zusammenhängen.
Herr Dr. Cinkler, was genau macht Rempartec, bzw. wodurch zeichnet sich Ihr Unternehmen aus?
Rempartec spezialisiert sich auf benutzerfreundliche sichere Authentisierung sowie Anwendungen, die erst dadurch möglich sind, dass die Identität des Nutzers zweifelsfrei und sicher festgestellt werden kann. Wir glauben, dass Maßnahmen in IT-Sicherheit von Endkunden nur dann gerne angenommen werden, wenn die eingesetzten Technologien leichter zu benutzen sind, als es ist, diese zu ignorieren. Unsere One-Time-Passcode-Karten sind ein gutes Beispiel dafür.
Welches Kundenproblem wollen Sie mit Ihrem Produkt One-Time-Passcode-Card lösen?
Rempartec ist 2012 angetreten, jene Sicherheit, die bis dahin eher Großkonzernen vorbehalten war, auch kleineren und mittleren Organisationen zu ermöglichen. Dies schaffen wir zum einen durch unsere Kostenstruktur, zum anderen durch die Vielfalt an Einbindungsmöglichkeiten: Mit uns können beispielsweise eine Website oder ein VPN-Zugang durch Zwei-Faktor-Authentisierung innerhalb von wenigen Stunden gesichert werden – und das schon ab ca 1,- EUR/Nutzer/Monat, dem Preis einer halben Tasse Cappuccino.
Und welches Kundenproblem wollen Sie mit Ihrer Applikation Siganture by Rempartec lösen?
In Deutschland seit 2011, in der EU seit Juni 2016, haben digitale Signaturen auf elektronischen Dokumenten den gleichen juristischen Stellenwert wie die Tintenspuren einer händischen Unterschrift auf Papier. Die Umstellung der Unternehmensprozesse auf digitale Signaturen gilt dennoch als eine der letzten Bastionen der Digitalisierung, obwohl die Vorteile sehr konkret sind: Digitale Unterschriften sparen Zeit und beschleunigen Prozesse, sparen Papier und schonen die Umwelt, und sie erhalten die ursprüngliche (visuelle) Qualität der Dokumente, da das Scannen weg fällt. Allerdings ist die Anwendung für den End-Nutzer häufig immer noch sehr umständlich, weil der Nutzer sich um eine Vielfalt an technischer Details kümmern muss. Signature by Rempartec verzichtet auf solche Hürden: Der Nutzer muss sich lediglich um die Auslösung einer Signatur kümmern, alles Andere nimmt ihm das zentral verwaltete System im Hintergrund ab.
Können Sie das an einem Beispiel schildern?
Der Benutzer lädt das zu signierende Dokument per Drag & Drop in das System hoch, klickt zum Signieren und gibt den Grund für die Signierung ein; abschließend lädt er das signierte Dokument wieder herunter: Fertig!
Was muss der Kunde tun, wenn er Ihre Lösungen nutzen will, welche Änderungen an der IT-Infrastruktur oder an den internen Verfahren sind nötig?
Signature by Rempartec ist eine Web-Applikation, die im einfachsten Fall im RZ des Kunden läuft. Über die reine Installation hinaus müssen weder an der Infrastruktur noch an den internen Verfahren Änderungen vorgenommen werden. Auch an den Arbeitsplatzrechnern müssen keine Treiber oder Zusatzsoftware installiert werden, hier reicht schon ein aktueller Browser, um Dokumente qualifiziert elektronisch zu signieren. Der Kunde kann aber Signature by Rempartec auch als einen stromsparenden Rechner erhalten, den er einfach nur an seinen zentralen Router anschliesst.
Haben Sie bestimmte Branchen im Blick?
Digitale Signaturen eignen sich für alle, die mit Dokumenten in elektronischer Form zu tun haben und diese auch unterzeichnen: Digitale Signaturen beschleunigen Vorgänge, keine Information geht durch Scannen mehr verloren und weder Drucker noch Papier werden benötigt. Signature by Remaprtec eignet sich für alle Arbeitsgruppen ab 2 Benutzer.
Was sind die größten Hürden in der Praxis, die der Verbreitung digitaler Signaturlösungen derzeit noch im Weg stehen, was ist der “Missing Link”?
Digitale Signaturen gibt es seit der Erfindung der asymmetrischen Verschlüsselung mit privatem und öffentlichem Schlüssel Ende der 70er Jahre. Mittlerweile ermöglicht eine Vielzahl an Dateiformaten, die enthaltenen Daten mit einer digitalen Signatur zu ergänzen, das Dateiformat PDF ist dabei besonders flexibel. Anerkannte Standards gibt es auch. Was aber einer praktischen Verbreitung sehr zuträglich wäre, ist ein, oder besser gleich mehrere (PDF-)Reader, die es auf allen OS-Plattformen gibt – idealerweise als Standard-Einstellung – die die gängige Kryptographie beherrschen. Der sehr verbreitete Reader der Firma Adobe kommt auf Windows diesem Ideal relativ nahe, aber ihn gibt es nicht für Linux, und die Tatsache, dass es sich um einen US-Amerikanischen Hersteller handelt, der den Quellcode nicht veröffentlicht, hemmt hierzulande das Vertrauen in dessen Anwendung. Der hervorragende Reader der deutschen Firma digiseal ist in Punkto Kryptographie einsame Spitze, ist leider aber auch auf Windows beschränkt und von einer weiteren Verbreitung kann nicht die Rede sein. So müssen sich Anwender häufig noch mit einer heterogenen Reader-Landschft auseinandersetzen.
Wie bewerten Sie die Chancen, dass sich der neue Personalausweis durchsetzen wird; woran hapert es noch?
Als der nPA veröffentlicht wurde, wurde er sehr ausführlich und sehr kritisch analysiert. Dies hat zu einer kaum noch umkehrbaren negativen Konnotation in der Bevölkerung geführt. Es soll zudem Ausgabestellen geben, die dem Bürger immer noch empfehlen, die elektronischen Zusatzfunktionen nicht zu aktivieren. Meiner Meinung nach kam das hervorragend konzipierte Produkt nPA zu früh, wurde schnell negativ belegt, und jetzt, zur rasant fortgeschrittenen Digitalisierung, steht die Funktionalität, die wir bräuchten, nicht zur Verfügung. Es haben sich allerdings kürzlich Gruppierungen und einzelne Unternehmen um eine positive Konnotierung des nPA sehr verdient gemacht: Mit der Ausweis-App und der Open eCard App kann der nPA zur Identifikation und zum digitalen Signieren mit dem Smartphone genutzt werden, vorausgesetzt, der Bürger hat die jeweilige Funktionalität aktiviert und weiß noch die PIN. Persönlich würde ich mir wünschen, dass sich das durchsetzt.
Welchen Stellenwert für die Akzeptanz digitaler Identifizierungs- und Authentifizierungslösungen hat die “Usability”?
Einen mit Abstand zentralen! Nur eine für den Benutzer überaus bequeme und sehr einfach zu benutzende Lösung kann auf eine breite Akzeptanz hoffen.
Wer könnte – außer staatlichen Stellen – sonst noch die Verifizierung der (digitalen) Identitäten der Bürger übernehmen?
Als Identity-Provider könnten prinzipiell alle Organisationen und Unternehmen fungieren, denen wir unsere persönlichen Daten geben und die diese auch prüfen. Beispiele: Unsere Banken kennen unsere Identität (Ausweispflicht bei Kontoeröffnung), Versicherungen, Krankenkassen genauso wie die Post, oder gar die Schufa. Wichtig wären allerdings ein einheitliches Regelwerk ‑zum Teil von eIDAS abgedeckt- und eine heute selbstverständliche Transparenz nebst dem Selbstbestimmungsrecht des Bürgers. Ein solches dezentrales System aus Identity-Providern hätte verschiedene organisatorische Vorteile gegenüber einem zentralen. Der Bürger könnte sich für einen oder mehrere Provider entscheiden und im Falle einer Kompromittierung auch wechseln.
Könnte die Blockchain in Zukunft die passende Infrastruktur für die dezentrale Verwaltung der digitalen Identitäten sein?
Identity-Provisioning hat zwei Seiten: Zum Einen die Feststellung der Identität (das klassische Ausweisen) und zum Anderen die Speicherung und autorisierte Herausgabe dieser Information. Blockchain als Technologie könnte sich sehr wohl für Letzteres eignen. Insbesondere ist die Idee, Blockchain als öffentliches, unverfälschtes “Backbone” für Identitätsverwaltung zu nutzen, aus technischer Sicht interessant – allerdings für den Endbenutzer vermutlich nicht wahrnehmbar.
Wie bewerten Sie die Payment Service Directive (PSD2), welche die Banken dazu verpflichtet, ihre Schnittstellen Dritten zugänglich zu machen. Welchen Einfluss hat das auf den Bereich Authentifizierung; könnte es demnächst Identity Banks geben?
Die nicht ganz unumstrittene PSD2 bringt eine Reihe an Neuerungen. Aus Sicht der Rempartec GmbH sind insbesondere die Forderung nach Starker Authentisierung beim Zugriff auf Kontodaten sowie die Forderung nach dem Einbeziehen der Transaktionsdaten in die Transaktionsfreigabe von besonderem Interesse – nicht nur, weil wir hier fertige Lösungen haben bzw. welche entwickeln. In welcher Form sich allerdings die Gewährung eines Zugriffs auf die Kontodaten für die neue Kategorie der Zahldiensteanbieter durchsetzt, kann man heute nicht mit Sicherheit sagen. Diese dürfen die vom Kontoinhaber freigegeben Kontodaten allerdings nicht über einen längeren Zeitraum speichern, daher halte ich es für eher unwahrscheinlich, dass sie sich als Identity-Provider etablieren können.
Womit verdient Rempartec sein Geld, wie sieht das Geschäftsmodell (B2B, B2C, B2B2C) aus?
Mit unseren Lösungen und Komponenten zur sicheren Online-Authentisierung und mit Signature by Rempartec sind wir im B2B- und B2B2C-Umfeld anzusiedeln. Unser Geld verdienen wir mit unseren HW- sowie SW-Produkten, dazugehörigen Authentisierungs-Dienstleistungen, sowie einer transparenten kundenzentrischen Beratung.
Herr Dr. Cinkler, vielen Dank für das Gespräch!