Innerhalb der letzten zwei Jahre ist den Banken und der Industrie der strategische Wert der Digitale Identitäten sowie der Datensouveränität bewusst(er) geworden. Mit ihren sozialen Netzwerken und digitalen Ökosystemen sind Google, facebook, Apple & Co. die erste Anlaufstelle der Nutzer im Internet. Mittels Social Login (Gmail, facebook Connect, Apple ID) können die Nutzer sich an verschiedenen Stellen im Internet anmelden. Auf diese Weise entsteht ein sog. Lock-In-Effekt, d.h. die Wechselbereitschaft der Nutzer zu anderen Dienstleistern ist begrenzt. Sollten sich Google, Alibaba, Amazon & Co. in der Industrie zum Quasi-Standard für die Identifizierung und Authentifizierung entwickeln, wären die Auswirkungen für die Hersteller, wie im Automobilsektor, aber auch für Banken spürbar. Die Schnittstelle zum Kunden könnte dauerhaft verloren gehen. Um dem entgegenzuwirken, haben sich in letzter Zeit einige Initiativen gebildet – wie VERIMI. Im Gespräch mit Bankstil erläutert Torsten Sonntag (Foto), Geschäftsführer bei VERIMI und dort verantwortlich für die Bereiche Finance und Operations, worin sich VERIMI von anderen Initiativen und vor allem von Google, facebook & Co. unterscheidet, wie das VERIMI-Ökosystem ausgebaut werden soll, welche Vorteile Nutzer und Unternehmen davon haben, warum die Themen Digitale Identitäten und Payments zusammen gehören und welche Hürden es auf dem Weg zum Infrastrukturstandard im Bereich eID-Management noch zu nehmen gilt.
- Herr Sonntag, was macht VERIMI und welche Rolle haben Sie im Unternehmen?
VERIMI ist von zehn führenden deutschen Unternehmen als branchenübergreifende Initiative zum Aufbau einer Identitäts‑, Daten- und Payment-Plattform gegründet worden. Ziel von VERIMI ist es, zunächst natürlichen Personen – später auch juristischen Personen – in einem sicheren Umfeld Identitätsdaten und persönliche Daten selbstbestimmt zur Verfügung zu stellen und somit schrittweise digitalen Infrastrukturstandard im Bereich eID-Management aufzubauen. Wir wollen Nutzern damit die Hoheit über ihre Daten zurückgeben und Unternehmen Rechtssicherheit bei der Datenverarbeitung bieten.
Ich bin Geschäftsführer bei VERIMI und verantworte die Bereiche Finance und Operations.
- Vor einigen Wochen ist VERIMI offiziell mit einer überschaubaren Zahl von Partnerunternehmen live gegangen – warum so wenige?
Den Schritt des Go-Live mit einer zunächst kleinen Anzahl von Anwendungspartnern sind wir bewusst gegangen. Unsere oberste Priorität beim Go-Live war es, eine stabile und vor allem sichere Plattform unter realen Bedingungen an den Start zu bringen. Deshalb haben wir uns entschieden, beim Go-Live zunächst aus dem Kreis unserer Gesellschafter die Deutsche Bank und die Bundesdruckerei sowie Weltsparen und die Start-ups Docyet und Campaio anzuschließen. Bei all diesen Unternehmen können sich Nutzer mit ihrer bei VERIMI hinterlegten Identitäten anmelden, Kunden der Deutschen Bank haben sogar die Möglichkeit ihre von der Bank verifizierten Daten an VERIMI zu übertragen und somit sehr bequem ihre Identitätsdaten bei VERIMI zu hinterlegen. Mit diesem Vorgehen waren wir in der Lage, die VERIMI-Plattform sehr stabil an den Markt zu bringen und darauf lässt sich nun aufbauen.
- Kommen demnächst weitere Partner dazu?
Ja, natürlich arbeiten wir nun daran die Anzahl der Anwendungspartner, also Webservices von Unternehmen, auf denen sich Nutzer von VERIMI identifizieren und authentifizieren können, stetig zu erhöhen. In den nächsten Wochen werden aus dem Kreis unserer Gesellschafter die Allianz und die Deutsche Telekom aufgeschaltet. Aber auch außerhalb unseres Gesellschafterkreises konnten wir inzwischen zahlreiche Anwendungspartner gewinnen, unter anderem aus der Finanz- und Versicherungsindustrie sowie der Gesundheits- und Energiewirtschaft, die wir in den kommenden Wochen schrittweise an VERIMI anbinden werden. Damit bauen wir dynamisch ein Ökosystem auf, welches die Anwendungsmöglichkeiten für unsere Nutzer immer attraktiver werden lässt.
- Worin unterscheidet sich VERIMI von anderen Initiativen wie YES oder netID?
VERIMI zeichnet sich durch mehr Funktionen aus. Während andere Dienste sich zum Beispiel nur auf den Login beschränken, kann VERIMI die gesamte digitale Identität abbilden. Wir bieten Nutzern an, ihre Identitätsdaten verifiziert bei uns zu hinterlegen und somit ganz neue Use Cases wie zum Beispiel eGoverment ermöglichen. Bei Identitätsdaten sprechen wir dabei von den auf dem Personalausweis gespeicherten Daten. Da aber nicht nur diese Informationen permanent und jederzeit verfügbar im digitalen Umfeld benötigt werden, bieten wir unseren Nutzern optional auch das Hinterlegen von weiteren Daten, wie Führerscheindaten oder Familiendaten an, um so zukünftig einfacher Reisen zu buchen oder Autos mieten zu können. Dieser Service wird dann auch mit dem Angebot über VERIMI zu bezahlen gekoppelt, so dass sich unsere User zukünftig über den VERIMI-Button anmelden, die benötigten Daten übertragen sowie am Ende noch bequem und sicher zahlen können. Diese Kombination an Services macht VERIMI gegenüber den anderen Initiativen einzigartig.
- Sind Kooperationen mit den anderen Initiativen geplant bzw. ist VERIMI dafür offen?
Das Angebot für digitale Identitäten befindet sich gerade im Entstehen und aus Nutzersicht wäre es notwendig, dass unterschiedliche Identitätsdienste miteinander kompatibel sind – ähnlich wie im Bankensektor die Bank- oder Kreditkarte unabhängig vom ausgebenden Institut an allen Geldautomaten einsetzbar ist. Wir sollten an einem digitalen Identitätsstandard arbeiten und um dieses Ziel zu erreichen, ist VERIMI zur Kooperation und Zusammenarbeit mit den anderen Initiativen bereit. Wir sind mit beiden Initiativen seit vielen Monaten dazu im Austausch.
- Kritiker bemängeln, dass die Datenhaltung bei VERIMI zentral sei und die Plattform daher ein leichtes Ziel von Hackerangriffen werden könnte – Sind die Sorgen berechtigt?
Oberflächlich betrachtet könnte der Eindruck entstehen, dass hinter der VERIMI-Plattform eine monolithische Datenbank steht, in der alle Nutzerdaten zentral abgespeichert sind und somit ein leichtes Ziel für Hackerangriffe besteht. Dem ist natürlich nicht so. Unser Technologieansatz ist unter der Führung unseres Gesellschafters CORE SE mit führenden Kryptographie-Experten mit Unterstützung des Fraunhofer-Institutes sowie im engen Dialog mit dem BSI entwickelt worden. Die Nutzerdaten werden mehrfach verschlüsselt sowie fragmentiert in Micro Services sowie verteilten Cloudstrukturen gespeichert, so dass ein multipler Schutz der Daten sichergestellt ist. Das Thema des verantwortungsbewussten Umgangs mit den Daten unserer Nutzer ist die Existenzgrundlage für VERIMI und wir sind uns dessen absolut bewusst, so dass wir neben dem starken Fokus auf die IT-Sicherheit, der strikten Umsetzung der Anforderungen aus der neuen DSGVO auch ein komplexes Informationssicherheits- und Datenschutzkonzept entwickelt haben. Dabei hat uns natürlich die Kompetenz unserer Gesellschafter wie z.B. Bundesdruckerei, Deutsche Bank und Telekom extrem geholfen.
- VERIMI wendet sich an die Endverbraucher – sind weitere Zielgruppen bzw. Anwendungsfälle im Fokus?
Im ersten Schritt bieten wir unsere Services natürlichen Personen an. Wir haben aber beim Ausbau der Plattform auch juristische Personen und perspektivisch sogar das Internet of Things im Zielbild, das heißt auch die Identitäten von Gegenständen. Der Kühlschrank, der zukünftig selbständig die Milch bestellt, muss sich gegenüber dem Lieferanten identifizieren und authentifizieren können. Der digitale Identitätsstandard, den VERIMI entwickelt wird zukünftig somit für verschiedene Entitäten zur Verfügung stehen.
- VERIMI will den Verbrauchern die Hoheit über ihre Daten zurückgeben – Gibt es weitere Unterscheidungsmerkmale zu facebook und Google? Stichwort: Datenhandel
VERIMI ist eine Vertrauensplattform, was bedeutet, dass der Identitätsinhaber über die Nutzung seiner Daten absolut selber bestimmt. Wir handeln nicht mit den Daten des Identitätsinhabers, sondern wir stellen mit unserer Plattform einen Service zur Verfügung, der unseren Nutzern ermöglicht seine Identitätsdaten in real time selbstbestimmt im digitalen Kreislauf zu nutzen. Die Nutzer haben jederzeit die Möglichkeit, einzusehen, welcher Anwendungspartner Daten wie nutzt. Einmal erteilte Einwilligungen können jederzeit widerrufen werden. Die bei uns hinterlegten Daten des Nutzers werden nicht durch die „Hintertür“ vermarktet.
- Warum bündelt VERIMI die Themen Identität und Payments – was hat der Kunde, was haben die Unternehmen davon?
In der Kombination von Identitätsdaten und Payment in einem Service liegt die Chance die Nutzung von Anwendungsfällen für den Nutzer wesentlich bequemer zu machen. Mit einem Log-in über VERIMI bei einem Webservice wird zukünftig automatisch die Identifizierung bzw. das wiederholte Authentifizierung als auch das Bezahlen mit einem Klick möglich sein, so dass der Webservice prozessbruchfrei und somit viel schneller und bequemer für den Anwender nutzbar sein wird und das Unternehmen somit seinen Kunden einen besseren Service bieten kann. Außerdem möchten sich die Kunden digital als auch offline mit ein und denselben Identitäts- und Bezahlverfahren bewegen können, dies wird durch die VERIMI-App auf den Mobiltelefonen problemlos möglich.
- Welche Hürden muss VERIMI noch nehmen, um sich als de facto – Standard in Deutschland und Europa zu etablieren?
Unser Ziel ist es, durch die branchenübergreifende Initiative – sichergestellt durch unsere Gesellschafterstruktur – die Services von VERIMI möglichst breit in den Markt einzuführen. Dieses Vorgehen bietet die Chance, VERIMI zunächst in Deutschland und später in Europa als digitalen Identitätsstandard zu etablieren. Parallel zu dieser Martkeintrittsstrategie arbeiten wir an der Anerkennung von VERIMI als Vertrauensdienstleister gemäß der europäischen eIDAS-Verordnung, so dass nach einer entsprechenden Notifizierung von VERIMI die bereitgestellten Identitäten auch in allen anderen EU- Staaten akzeptiert werden. Mit Schaffung dieser Voraussetzung und dem schrittweisen Markteintritt durch das Angebot von VERIMI in EU-Staaten oder der Kooperation mit anderen nationalen Identitätsanbietern wird es uns gelingen, den europäischen Identitätsstand zu etablieren.
- Wo will VERIMI in fünf Jahren stehen?
Mit Ausdauer und einer nachhaltigen Entwicklung wird VERIMI in der täglichen Nutzung von Webservices eine hohe Relevanz haben. Der grüne VERIMI-Button wird ganz selbstverständlich, bequem und sicher durch die Nutzer für den Aufruf und die Inanspruchnahme von Diensten in allen Bereichen des digitalen Lebens genutzt. VERIMI-Nutzer werden Konten einfach von zuhause eröffnen, digitale Behördengänge ohne lange Wartezeiten in den Ämtern abwickeln oder sich einfach und schnell bei neuen Anbietern registrieren können. Das digitale Leben wird dadurch einfacher und sicherer und die Nutzer gewinnen die Souveränität über ihre Daten zurück.
- Herr Sonntag, vielen Dank für das Gespräch!