Von Ralf Keuper

Im Gegensatz zu früher, als man seine Geschäftspartner häufig noch persönlich kannte, ist es heute, im Zeitalter des Internet, deutlich schwerer, die Integrität des Gegenübers zweifelsfrei festzustellen. Wie kann man sicher sein, dass es sich bei dem potenziellen Kunden um eine Person mit lauteren Absichten und nicht um eine gefälschte Identität oder gar um einen Bot handelt? Woher weiß eine CNC-Fräse in der Produktion, dass die Anfrage einer anderen Bearbeitungsstation berechtigt ist? Um das nötige Vertrauenslevel herzustellen, sind Sichere Verifizierte Digitale Identitäten der Schlüssel. Ein wachsendes Aufgabenfeld für die Anbieter von Sicherheits- und Vertrauenstechnologien bzw. von Unternehmen mit dem Geschäftsmodell Identity as a Service (IdaaS).

Markt mit großem Potenzial 

Die Strategieberatung McKinsey schätzt das Marktvolumen für ID Verification as a Service für das Jahr 2022 auf bis 20 Mrd. Dollar. Im Jahr 2017 lag das Volumen laut McKinsey noch bei 10 Mrd. Dollar weltweit. Die nach wie vor umfassendste Studie des Marktes für Digitale Identitäten ist Research on Identity Ecosystem. Darin wird der Markt für die personenbezogenen Daten in die Betrachtung mit einbezogen. Die Strategieberatung BCG veranschlagte vor einigen Jahren in ihrer Studie The Value of Our Digital Identity den Markt für personenbezogene Daten auf bis 90 Mrd. Dollar pro Jahr. Das World Economic Forum (WEF) hält einen globalen Standard für digitale Identitäten nicht nur aus Sicht der Finanzbranche für wünschens- und erstrebenswert (Vgl. dazu: A Blueprint for Digital Identity The Role of Financial Institutions in Building Digital Identity).

Einsatzmöglichkeiten des neuen Personalausweises (nPA) und der elektronischen Identität (eID) in der Finanzbranche

Die Banken und einige Fintech-Startups sind gesetzlich dazu verpflichtet, die Identität ihrer Kunden zu verifizieren (KYC). Bei größeren Finanztransaktionen müssen Banken sicherstellen, dass es sich dabei um keine Geldwäsche handelt (AML). Im analogen Zeitalter mussten Kunden bei der Kontoeröffnung ihren gültigen Personalausweis oder Reisepass vorlegen, der dann häufig kopiert und in die Kontounterlagen eingeräumt wurde. Zwischenzeitlich wurde der Personalausweis digitalisiert bzw. um eine Online-Ausweisfunktion ergänzt. (Vgl. dazu: Der Personalausweis mit Online-Ausweisfunktion).

 Durchgängiges digitales Onboarding mit Authada: Vom Auslesen bis zur (rechtsgültigen) Unterschrift

Seit einiger Zeit ist es möglich, den Ausweis mit dem Smartphone oder Tablet auszulesen, wie mit der Authada-App  und der Lösung ident. Dabei wird die elektronische Identität des Personalausweises binnen weniger Sekunden übermittelt.

Daneben besteht die Möglichkeit, den Personalausweis mit Authada onsite Vor-Ort auszulesen. Dabei liest ein Mitarbeiter den Ausweis direkt am Point of Sale mit einem mobilen Endgerät, Smartphone oder Tablet, aus. Die Daten werden dann elektronisch ausgelesen, in ein Formular übernommen und somit die Fehlerquote beim Erfassen der Daten drastisch reduziert.

Mit Authada sign können Verträge papierlos, mobil und automatisch in wenigen Minuten abgeschlossen werden. Der Kunde unterschreibt mit seiner Qualifizierten Elektronischen Unterschrift (QES). 

Die sichere und schnelle Authentifizierung nach PSD2 lässt sich über die Integration von Authada verify als SDK in die Geschäftsprozesse realisieren.

Alle Authada-Lösungen sind konform zu den regulatorischen Anforderungen der Finanzbranche und anderen (Geldwäschegesetz, Telekommunikationsgesetz, E-Government-Gesetz, Zahlungsdiensteaufsichtsgesetz, DSGVO, ePrivacy und eIDAS-Verordnung). Der eID Core von Authada ist seit Anfang 2018 BSI-zertifiziert.

In einem Interview berichtete Jörg Jessen, CEO und einer der Gründer von Authada, von einer ungewöhnlich hohen Conversion Rate, die sich mit den Authada-Lösungen erreichen lässt. Damit hebe man sich deutlich von anderen Verfahren wie Video Ident und PostIdent ab:

„Für unsere B2B-Kunden bieten wir mit unseren Produkten einen Service zum online Ausweisen an, der die Absprungrate im Onboarding-Prozess unschlagbar gering hält. Die Schnelligkeit des Prozesses trägt dazu bei. Mit unseren Lösungen identifizierensich Bürger innerhalb von Sekunden – und zwar zu jeder Tages- und Nachtzeit und von überall aus. Das sind die Hauptvorteile im Customer-Onboarding-Prozess oder anders gesagt: Onboarding geht mit uns in Sekunden und rechtskonform. Ein weiterer entscheidender Unterschied ist die Skalierbarkeit – unsere eID-Lösungen sind rund um die Uhr verfügbar. Unsere hoch performanten Services skalieren und erlauben unseren Kunden ihre Produkte und Service jederzeit und ortsunabhängig anzubieten. Durch BSI-Zertifizierung, State-of-the-Art Verschlüsselung und unser hochsicheres Rechenzentrum sorgen wir außerdem für den sichersten Identifizierungsservice am Markt.“

Digitales Onboarding der nächsten Generation 

Über die große Bedeutung eines reibungslosen digitalen onboardings herrscht – branchenübergreifend – große Einigkeit. Fast immer wird dabei die Customer Experience bzw. die Customer Journey in den Vordergrund gerückt. Wer den Anmeldeprozess so intuitiv und so selbsterklärend wie möglich gestaltet, hat die besten Chancen, (Neu-)Kunden für sich zu gewinnen. Sicherheitsaspekte geraten dabei nicht selten in den Hintergrund – sie gelten sogar als potenzielle Show-Stopper. Dabei brennen die Themen Datensicherheit und Datenschutz vielen Banken auf den Nägeln, wie aus dem Branchen Kompass Banking 2017 von steria sopra und dem FAZ Institut hervorgeht.

In der Studie Next-Generation Client Onboarding: Wie digital ist das Client Onboarding im deutschen Bankensektor? empfehlen die Autoren von PwC, die Onboarding-Systeme zu verschmelzen. Die Kunden müssen in der Lage sein, sich über alle gängigen Kanäle und Endgeräte anzumelden bzw. zu identifizieren. Insofern dürfte die Entwicklung in Richtung Komplettanbieter für die Verifizierung gehen – wie bei Authada und Wisekey.

Neuer Markt: Login-Allianzen, SSO und Identitätsplattformen

In diesen Tagen haben sich die Login-Allianzen VERIMI und netID in Stellung gebracht. Das gemeinsame Ziel ist, eine Alternative zu den SSO-Lösungen von facebook und Google zu schaffen. Außerdem will man den Nutzern und Unternehmen die Hoheit über ihre Daten und Digitalen Identitäten zurückgeben. Google und facebook kommen für ihre Services bislang ohne verifizierte digitale Identitäten aus. Banken sind jedoch aus den eingangs erwähnten Gründen auf verifizierte (digitale) Identitäten angewiesen. Wer auf seinen Plattformen verifizierte digitale Identitäten anbieten kann, ist für die Werbeindustrie ein hoch interessanter Partner. Vorstellbar ist die Verbreitung von identity based marketing oder object marketing. Damit wäre im Idealfall die direkte Ansprache der Kunden und Objekte möglich. Das wiederum stellt hohe Anforderungen an den Datenschutz und die Datensicherheit. Der Bedarf an Sicherheitstechnologie Made in Germany dürfte dadurch steigen und damit auch die Aussichten für Authada, die Bundesdruckerei und Governikus.

Die nächste Stufe: Verifizierte Attribute und Pseudonymisierung

Die nächste Stufe könnte mit der Verbreitung der Blockchain-Technologie und Standards wie DID kommen. Damit wäre es möglich, nur einzelne für die Identifizierung nötige Merkmale, verifizierte Attribute auszugeben, statt die gesamten personenbezogenen Daten. Beispielhaft dafür ist die Prüfung auf Volljährigkeit. Der neue Personalausweis verfügt übrigens über eine Pseudonymisierungsfunktion. Dabei wird nur das Pseudonym aus dem Personalausweis weitergegeben. Vor einigen Jahren stellten Forscher vom Horst Götz-Institut an der RuhrUni Bochum ein Konzept für das pseudonyme stromtanken mit dem neuen Personalausweis vor.

Rollenverteilung erst am Anfang

Momentan ist noch nicht absehbar, wie das neue Rollenverhältnis auf dem Markt für digitale Identitäten aussehen wird. Werden Banken und Login-Allianzen die neuen Identity-Provider, wird sich die eID für die Erstidentifizierung durchsetzen, wird die Blockchain-Technologie Intermediäre wie Banken und Login-Allianzen ersetzen, welche langfristigen Auswirkungen hat das Open Banking? Wie kann die Industrie sichere digitale Identitäten einführen? Relativ sicher ist, dass es in Zukunft Bedarf an Anbietern geben wird, die zu jeder Zeit und an jedem Ort verifizierte digitale Identitäten über alle gängigen Kanäle und Endgeräte schnell und sicher bereitstellen können – und das unabhängig davon, ob es sich dabei um Identitätsplattformen oder um eine Blockchain handelt. Die eID und die qualifizierte elektronische Unterschrift werden dabei eine Schlüsselfunktion übernehmen.

Crosspost von Bankstil