Wer sich im Inter­net bewegt, stellt nicht sel­ten fest, dass die voll­stän­di­ge Digi­ta­li­sie­rung noch an Gren­zen stösst. Das gilt in beson­de­rer Wei­se für die Iden­ti­fi­zie­rung und Authen­ti­fi­zie­rung bei der Anbah­nung sowie für die Digi­ta­le Unter­schrift beim Abschluss einer geschäft­li­chen Trans­ak­ti­on. In den letz­ten Jah­ren haben Video-Ident-Ver­fah­ren für einen ers­ten Lücken­schluss gesorgt. Ein wei­te­rer Schub könn­te mit der Ver­brei­tung digi­ta­ler Iden­ti­tä­ten, wie der eID des neu­en Per­so­nal­aus­wei­ses (nPA), und mit Stan­dard­ap­pli­ka­tio­nen für die digi­ta­le Signa­tur kom­men. Schon jetzt sind am Markt eini­ge Anbie­ter aktiv, die mit ihren Lösun­gen die letz­ten Hür­den aus dem Weg räu­men wol­len. Einer davon ist die Rem­par­tec GmbH, die sich mit ihren Lösun­gen auf die benut­zer­freund­li­che und siche­re Iden­ti­fi­zie­rung und Authen­ti­fi­zie­rung spe­zia­li­siert hat. Im Gespräch mit Bank­stil erläu­tert der Grün­der und CTO, Dr. Kal­man Cin­k­ler (Foto), wie Unter­neh­men und End­an­wen­der vom Rem­par­tec-Pro­dukt­port­fo­lio pro­fi­tie­ren, wel­che Rol­le digi­ta­le Iden­ti­tä­ten spie­len und wie PSD2 und die star­ke Authen­ti­sie­rung zusammenhängen. 

Herr Dr. Cin­k­ler, was genau macht Rem­par­tec, bzw. wodurch zeich­net sich Ihr Unter­neh­men aus?

Rem­par­tec spe­zia­li­siert sich auf benut­zer­freund­li­che siche­re Authen­ti­sie­rung sowie Anwen­dun­gen, die erst dadurch mög­lich sind, dass die Iden­ti­tät des Nut­zers zwei­fels­frei und sicher fest­ge­stellt wer­den kann. Wir glau­ben, dass Maß­nah­men in IT-Sicher­heit von End­kun­den nur dann ger­ne ange­nom­men wer­den, wenn die ein­ge­setz­ten Tech­no­lo­gien leich­ter zu benut­zen sind, als es ist, die­se zu igno­rie­ren. Unse­re One-Time-Pass­code-Kar­ten sind ein gutes Bei­spiel dafür.

Wel­ches Kun­den­pro­blem wol­len Sie mit Ihrem Pro­dukt One-Time-Pass­code-Card lösen?

Rem­par­tec ist 2012 ange­tre­ten, jene Sicher­heit, die bis dahin eher Groß­kon­zer­nen vor­be­hal­ten war, auch klei­ne­ren und mitt­le­ren Orga­ni­sa­tio­nen zu ermög­li­chen. Dies schaf­fen wir zum einen durch unse­re Kos­ten­struk­tur, zum ande­ren durch die Viel­falt an Ein­bin­dungs­mög­lich­kei­ten: Mit uns kön­nen bei­spiels­wei­se eine Web­site oder ein VPN-Zugang durch Zwei-Fak­tor-Authen­ti­sie­rung inner­halb von weni­gen Stun­den gesi­chert wer­den – und das schon ab ca 1,- EUR/​Nutzer/​Monat, dem Preis einer hal­ben Tas­se Cappuccino.

Und wel­ches Kun­den­pro­blem wol­len Sie mit Ihrer Appli­ka­ti­on Sig­an­ture by Rem­par­tec lösen? 

In Deutsch­land seit 2011, in der EU seit Juni 2016, haben digi­ta­le Signa­tu­ren auf elek­tro­ni­schen Doku­men­ten den glei­chen juris­ti­schen Stel­len­wert wie die Tin­ten­spu­ren einer hän­di­schen Unter­schrift auf Papier. Die Umstel­lung der Unter­neh­mens­pro­zes­se auf digi­ta­le Signa­tu­ren gilt den­noch als eine der letz­ten Bas­tio­nen der Digi­ta­li­sie­rung, obwohl die Vor­tei­le sehr kon­kret sind: Digi­ta­le Unter­schrif­ten spa­ren Zeit und beschleu­ni­gen Pro­zes­se, spa­ren Papier und scho­nen die Umwelt, und sie erhal­ten die ursprüng­li­che (visu­el­le) Qua­li­tät der Doku­men­te, da das Scan­nen weg fällt. Aller­dings ist die Anwen­dung für den End-Nut­zer häu­fig immer noch sehr umständ­lich, weil der Nut­zer sich um eine Viel­falt an tech­ni­scher Details küm­mern muss. Signa­tu­re by Rem­par­tec ver­zich­tet auf sol­che Hür­den: Der Nut­zer muss sich ledig­lich um die Aus­lö­sung einer Signa­tur küm­mern, alles Ande­re nimmt ihm das zen­tral ver­wal­te­te Sys­tem im Hin­ter­grund ab.

Kön­nen Sie das an einem Bei­spiel schildern? 

Der Benut­zer lädt das zu signie­ren­de Doku­ment per Drag & Drop in das Sys­tem hoch, klickt zum Signie­ren und gibt den Grund für die Signie­rung ein; abschlie­ßend lädt er das signier­te Doku­ment wie­der her­un­ter: Fertig!

Was muss der Kun­de tun, wenn er Ihre Lösun­gen nut­zen will, wel­che Ände­run­gen an der IT-Infra­struk­tur oder an den inter­nen Ver­fah­ren sind nötig? 

Signa­tu­re by Rem­par­tec ist eine Web-Appli­ka­ti­on, die im ein­fachs­ten Fall im RZ des Kun­den läuft. Über die rei­ne Instal­la­ti­on hin­aus müs­sen weder an der Infra­struk­tur noch an den inter­nen Ver­fah­ren Ände­run­gen vor­ge­nom­men wer­den. Auch an den Arbeits­platz­rech­nern müs­sen kei­ne Trei­ber oder Zusatz­soft­ware instal­liert wer­den, hier reicht schon ein aktu­el­ler Brow­ser, um Doku­men­te qua­li­fi­ziert elek­tro­nisch zu signie­ren. Der Kun­de kann aber Signa­tu­re by Rem­par­tec auch als einen strom­spa­ren­den Rech­ner erhal­ten, den er ein­fach nur an sei­nen zen­tra­len Rou­ter anschliesst.

Haben Sie bestimm­te Bran­chen im Blick? 

Digi­ta­le Signa­tu­ren eig­nen sich für alle, die mit Doku­men­ten in elek­tro­ni­scher Form zu tun haben und die­se auch unter­zeich­nen: Digi­ta­le Signa­tu­ren beschleu­ni­gen Vor­gän­ge, kei­ne Infor­ma­ti­on geht durch Scan­nen mehr ver­lo­ren und weder Dru­cker noch Papier wer­den benö­tigt. Signa­tu­re by Rema­prtec eig­net sich für alle Arbeits­grup­pen ab 2 Benutzer.

Was sind die größ­ten Hür­den in der Pra­xis, die der Ver­brei­tung digi­ta­ler Signa­tur­lö­sun­gen der­zeit noch im Weg ste­hen, was ist der “Miss­ing Link”? 

Digi­ta­le Signa­tu­ren gibt es seit der Erfin­dung der asym­me­tri­schen Ver­schlüs­se­lung mit pri­va­tem und öffent­li­chem Schlüs­sel Ende der 70^er Jah­re. Mitt­ler­wei­le ermög­licht eine Viel­zahl an Datei­for­ma­ten, die ent­hal­te­nen Daten mit einer digi­ta­len Signa­tur zu ergän­zen, das Datei­for­mat PDF ist dabei beson­ders fle­xi­bel. Aner­kann­te Stan­dards gibt es auch. Was aber einer prak­ti­schen Ver­brei­tung sehr zuträg­lich wäre, ist ein, oder bes­ser gleich meh­re­re (PDF-)Reader, die es auf allen OS-Platt­for­men gibt – idea­ler­wei­se als Stan­dard-Ein­stel­lung – die die gän­gi­ge Kryp­to­gra­phie beherr­schen. Der sehr ver­brei­te­te Rea­der der Fir­ma Ado­be kommt auf Win­dows die­sem Ide­al rela­tiv nahe, aber ihn gibt es nicht für Linux, und die Tat­sa­che, dass es sich um einen US-Ame­ri­ka­ni­schen Her­stel­ler han­delt, der den Quell­code nicht ver­öf­fent­licht, hemmt hier­zu­lan­de das Ver­trau­en in des­sen Anwen­dung. Der her­vor­ra­gen­de Rea­der der deut­schen Fir­ma digi­se­al ist in Punk­to Kryp­to­gra­phie ein­sa­me Spit­ze, ist lei­der aber auch auf Win­dows beschränkt und von einer wei­te­ren Ver­brei­tung kann nicht die Rede sein. So müs­sen sich Anwen­der häu­fig noch mit einer hete­ro­ge­nen Rea­der-Landschft auseinandersetzen.

Wie bewer­ten Sie die Chan­cen, dass sich der neue Per­so­nal­aus­weis durch­set­zen wird; wor­an hapert es noch?

Als der nPA ver­öf­fent­licht wur­de, wur­de er sehr aus­führ­lich und sehr kri­tisch ana­ly­siert. Dies hat zu einer kaum noch umkehr­ba­ren nega­ti­ven Kon­no­ta­ti­on in der Bevöl­ke­rung geführt. Es soll zudem Aus­ga­be­stel­len geben, die dem Bür­ger immer noch emp­feh­len, die elek­tro­ni­schen Zusatz­funk­tio­nen nicht zu akti­vie­ren. Mei­ner Mei­nung nach kam das her­vor­ra­gend kon­zi­pier­te Pro­dukt nPA zu früh, wur­de schnell nega­tiv belegt, und jetzt, zur rasant fort­ge­schrit­te­nen Digi­ta­li­sie­rung, steht die Funk­tio­na­li­tät, die wir bräuch­ten, nicht zur Ver­fü­gung. Es haben sich aller­dings kürz­lich Grup­pie­run­gen und ein­zel­ne Unter­neh­men um eine posi­ti­ve Kon­no­tie­rung des nPA sehr ver­dient gemacht: Mit der Aus­weis-App und der Open eCard App kann der nPA zur Iden­ti­fi­ka­ti­on und zum digi­ta­len Signie­ren mit dem Smart­phone genutzt wer­den, vor­aus­ge­setzt, der Bür­ger hat die jewei­li­ge Funk­tio­na­li­tät akti­viert und weiß noch die PIN. Per­sön­lich wür­de ich mir wün­schen, dass sich das durchsetzt.

Wel­chen Stel­len­wert für die Akzep­tanz digi­ta­ler Iden­ti­fi­zie­rungs- und Authen­ti­fi­zie­rungs­lö­sun­gen hat die “Usa­bi­li­ty”?

Einen mit Abstand zen­tra­len! Nur eine für den Benut­zer über­aus beque­me und sehr ein­fach zu benut­zen­de Lösung kann auf eine brei­te Akzep­tanz hoffen.

Wer könn­te – außer staat­li­chen Stel­len – sonst noch die Veri­fi­zie­rung der (digi­ta­len) Iden­ti­tä­ten der Bür­ger übernehmen? 

Als Iden­ti­ty-Pro­vi­der könn­ten prin­zi­pi­ell alle Orga­ni­sa­tio­nen und Unter­neh­men fun­gie­ren, denen wir unse­re per­sön­li­chen Daten geben und die die­se auch prü­fen. Bei­spie­le: Unse­re Ban­ken ken­nen unse­re Iden­ti­tät (Aus­weis­pflicht bei Kon­to­er­öff­nung), Ver­si­che­run­gen, Kran­ken­kas­sen genau­so wie die Post, oder gar die Schufa. Wich­tig wären aller­dings ein ein­heit­li­ches Regel­werk ‑zum Teil von eIDAS abge­deckt- und eine heu­te selbst­ver­ständ­li­che Trans­pa­renz nebst dem Selbst­be­stim­mungs­recht des Bür­gers. Ein sol­ches dezen­tra­les Sys­tem aus Iden­ti­ty-Pro­vi­dern hät­te ver­schie­de­ne orga­ni­sa­to­ri­sche Vor­tei­le gegen­über einem zen­tra­len. Der Bür­ger könn­te sich für einen oder meh­re­re Pro­vi­der ent­schei­den und im Fal­le einer Kom­pro­mit­tie­rung auch wechseln.

Könn­te die Block­chain in Zukunft die pas­sen­de Infra­struk­tur für die dezen­tra­le Ver­wal­tung der digi­ta­len Iden­ti­tä­ten sein? 

Iden­ti­ty-Pro­vi­sio­ning hat zwei Sei­ten: Zum Einen die Fest­stel­lung der Iden­ti­tät (das klas­si­sche Aus­wei­sen) und zum Ande­ren die Spei­che­rung und auto­ri­sier­te Her­aus­ga­be die­ser Infor­ma­ti­on. Block­chain als Tech­no­lo­gie könn­te sich sehr wohl für Letz­te­res eig­nen. Ins­be­son­de­re ist die Idee, Block­chain als öffent­li­ches, unver­fälsch­tes “Back­bone” für Iden­ti­täts­ver­wal­tung zu nut­zen, aus tech­ni­scher Sicht inter­es­sant – aller­dings für den End­be­nut­zer ver­mut­lich nicht wahrnehmbar.

Wie bewer­ten Sie die Pay­ment Ser­vice Direc­ti­ve (PSD2), wel­che die Ban­ken dazu ver­pflich­tet, ihre Schnitt­stel­len Drit­ten zugäng­lich zu machen. Wel­chen Ein­fluss hat das auf den Bereich Authen­ti­fi­zie­rung; könn­te es dem­nächst Iden­ti­ty Banks geben?

Die nicht ganz unum­strit­te­ne PSD2 bringt eine Rei­he an Neue­run­gen. Aus Sicht der Rem­par­tec GmbH sind ins­be­son­de­re die For­de­rung nach Star­ker Authen­ti­sie­rung beim Zugriff auf Kon­to­da­ten sowie die For­de­rung nach dem Ein­be­zie­hen der Trans­ak­ti­ons­da­ten in die Trans­ak­ti­ons­frei­ga­be von beson­de­rem Inter­es­se – nicht nur, weil wir hier fer­ti­ge Lösun­gen haben bzw. wel­che ent­wi­ckeln. In wel­cher Form sich aller­dings die Gewäh­rung eines Zugriffs auf die Kon­to­da­ten für die neue Kate­go­rie der Zahl­diens­te­an­bie­ter durch­setzt, kann man heu­te nicht mit Sicher­heit sagen. Die­se dür­fen die vom Kon­to­in­ha­ber frei­ge­ge­ben Kon­to­da­ten aller­dings nicht über einen län­ge­ren Zeit­raum spei­chern, daher hal­te ich es für eher unwahr­schein­lich, dass sie sich als Iden­ti­ty-Pro­vi­der eta­blie­ren können.

Womit ver­dient Rem­par­tec sein Geld, wie sieht das Geschäfts­mo­dell (B2B, B2C, B2B2C) aus?

Mit unse­ren Lösun­gen und Kom­po­nen­ten zur siche­ren Online-Authen­ti­sie­rung und mit Signa­tu­re by Rem­par­tec sind wir im B2B- und B2B2C-Umfeld anzu­sie­deln. Unser Geld ver­die­nen wir mit unse­ren HW- sowie SW-Pro­duk­ten, dazu­ge­hö­ri­gen Authen­ti­sie­rungs-Dienst­leis­tun­gen, sowie einer trans­pa­ren­ten kun­den­zen­tri­schen Beratung.

Herr Dr. Cin­k­ler, vie­len Dank für das Gespräch!