Von Ralf Keuper
Im Gegensatz zu früher, als man seine Geschäftspartner häufig noch persönlich kannte, ist es heute, im Zeitalter des Internet, deutlich schwerer, die Integrität des Gegenübers zweifelsfrei festzustellen. Wie kann man sicher sein, dass es sich bei dem potenziellen Kunden um eine Person mit lauteren Absichten und nicht um eine gefälschte Identität oder gar um einen Bot handelt? Woher weiß eine CNC-Fräse in der Produktion, dass die Anfrage einer anderen Bearbeitungsstation berechtigt ist? Um das nötige Vertrauenslevel herzustellen, sind Sichere Verifizierte Digitale Identitäten der Schlüssel. Ein wachsendes Aufgabenfeld für die Anbieter von Sicherheits- und Vertrauenstechnologien bzw. von Unternehmen mit dem Geschäftsmodell Identity as a Service (IdaaS).
Markt mit großem Potenzial
Die Strategieberatung McKinsey schätzt das Marktvolumen für ID Verification as a Service für das Jahr 2022 auf bis 20 Mrd. Dollar. Im Jahr 2017 lag das Volumen laut McKinsey noch bei 10 Mrd. Dollar weltweit. Die nach wie vor umfassendste Studie des Marktes für Digitale Identitäten ist Research on Identity Ecosystem. Darin wird der Markt für die personenbezogenen Daten in die Betrachtung mit einbezogen. Die Strategieberatung BCG veranschlagte vor einigen Jahren in ihrer Studie The Value of Our Digital Identity den Markt für personenbezogene Daten auf bis 90 Mrd. Dollar pro Jahr. Das World Economic Forum (WEF) hält einen globalen Standard für digitale Identitäten nicht nur aus Sicht der Finanzbranche für wünschens- und erstrebenswert (Vgl. dazu: A Blueprint for Digital Identity The Role of Financial Institutions in Building Digital Identity).
Einsatzmöglichkeiten des neuen Personalausweises (nPA) und der elektronischen Identität (eID)
Die Banken und einige Fintech-Startups sind gesetzlich dazu verpflichtet, die Identität ihrer Kunden zu verifizieren (KYC). Bei größeren Finanztransaktionen müssen Banken sicherstellen, dass es sich dabei um keine Geldwäsche handelt (AML). Zwischenzeitlich wurde der Personalausweis digitalisiert bzw. um eine Online-Ausweisfunktion ergänzt. (Vgl. dazu: Der Personalausweis mit Online-Ausweisfunktion). Weitere Einsatzmöglichkeiten bestehen im E-Commerce, im stationären Handel (Vor-Ort-Auslesen), im E-Government (Bürgerkonto/Bürgerservices) und im Identitätsmanagement (IAM). Kurzum: Überall dort, wo man wissen will und wissen muss, mit wem man es zu tun hat.
Durchgängiges digitales Onboarding mit Authada: Vom Auslesen bis zur (rechtsgültigen) Unterschrift
Seit einiger Zeit ist es möglich, den Ausweis mit dem Smartphone oder Tablet auszulesen, wie mit der Authada-App und der Lösung ident. Dabei wird die elektronische Identität des Personalausweises binnen weniger Sekunden übermittelt.
Daneben besteht die Möglichkeit, den Personalauswis mit Authada onsite Vor-Ort auszulesen. Dabei liest ein Mitarbeiter den Ausweis direkt am Point of Sale mit einem mobilen Endgerät, Smartphone oder Tablet, aus. Die Daten werden dann elektronisch ausgelesen, in ein Formular übernommen und somit die Fehlerquote beim Erfassen der Daten drastisch reduziert.
Mit Authada sign können Verträge papierlos, mobil und automatisch in wenigen Minuten abgeschlossen werden. Der Kunden unterschreibt mit seiner Qualifizierten Elektronischen Unterschrift (QES).
Die sichere und schnelle Authentifizierung nach PSD2 lässt sich über die Integration von Authada verify als SDK in die Geschäftsprozesse realisieren.
Alle Authada-Lösungen sind konform zu den regulatorischen Anforderungen der Finanzbranche und anderen (Geldwäschegesetz, Telekommunikationsgesetz, E-Government-Gesetz, Zahlungsdiensteaufsichtsgesetz, DSGVO, ePrivacy und eIDAS-Verordnung). Der eID Core von Authada ist seit Anfang 2018 BSI-zertifiziert.
Technischer Ablauf
Dabei wird ´nach erfolgreicher Authentisierung eine verschlüsselte Verbindung zwischen dem Ausweis und dem eID-Server hergestellt, die weder im eID-Client noch im Kartenleser und auch nicht in der App abgehört werden kann.
Vor jeder Datenübermittlung prüft der Ausweis, ob ein Berechtigungszertifikat vorliegt.
Das technische Berechtigungszertifikat ist eine elektronische Bescheinigung, die vom Chip des Personalausweises vor jedem Lesevorgang geprüft wird. Es legt fest, welche personen- und ausweisbezogenen Daten der Anbieter eines Dienstes aus dem Personalausweis des Nutzers abfragen darf.
Bei der Gelegenheit wird auch die Echtheit des Personalausweises geprüft. Sobald das Berechtigungszertifikat an den Prozessor im Personalausweis gesendet ist, werden die Daten in verschlüsselter Form an den Dienstleister gesendet. Alle Daten, die Authada vom Personalausweis ausliest, werden weder in der App noch auf dem mobilen Endgerät gespeichert, sondern direkt verschlüsselt per API an den B2B-Kunden geliefert.
Hohe Conversion Rate im B2B – Geschäft
In einem Interview berichtete Jörg Jessen, CEO und einer der Gründer von Authada, von einer ungewöhnlich hohen Conversion Rate, die sich mit den Authada-Lösungen erreichen lässt. Damit hebe man sich deutlich von anderen Verfahren wie Video Ident und PostIdent ab:
Für unsere B2B-Kunden bieten wir mit unseren Produkten einen Service zum online Ausweisen an, der die Absprungrate im Onboarding-Prozess unschlagbar gering hält. Die Schnelligkeit des Prozesses trägt dazu bei. Mit unseren Lösungen identifizieren sich Bürger innerhalb von Sekunden – und zwar zu jeder Tages- und Nachtzeit und von überall aus. Das sind die Hauptvorteile im Customer-Onboarding-Prozess oder anders gesagt: Onboarding geht mit uns in Sekunden und rechtskonform. Ein weiterer entscheidender Unterschied ist die Skalierbarkeit – unsere eID-Lösungen sind rund um die Uhr verfügbar. Unsere hoch performanten Services skalieren und erlauben unseren Kunden ihre Produkte und Service jederzeit und ortsunabhängig anzubieten. Durch BSI-Zertifizierung, State-of-the-Art Verschlüsselung und unser hochsicheres Rechenzentrum sorgen wir außerdem für den sichersten Identifizierungsservice am Markt.
Digitales Onboarding der nächsten Generation
Über die große Bedeutung eines reibungslosen digitalen Onboardings herrscht – branchenübergreifend – große Einigkeit. Fast immer wird dabei die Customer Experience bzw. die Customer Journey in den Vordergrund gerückt. Wer den Anmeldeprozess so intuitiv und so selbsterklärend wie möglich gestaltet, hat die besten Chancen, (Neu-)Kunden für sich zu gewinnen. Sicherheitsaspekte geraten dabei nicht selten in den Hintergrund – sie gelten sogar als potenzielle Show-Stopper. Dabei brennen die Themen Datensicherheit und Datenschutz vielen Banken auf den Nägeln, wie aus dem Branchen Kompass Banking 2017 von steria sopra und dem FAZ Institut hervorgeht. Werden Kunden danach befragt, welches die größten Hürden für eine gelungene Customer Journey sind, werden häufig Probleme bei der Identifizierung genannt (Vgl. dazu: Customer digital onboarding).
Neuer Markt: Login-Allianzen, SSO und Identitätsplattformen
In den letzten Wochen und Monaten haben sich verschiedene Anbieter von Single-Sign-On-Lösungen (SSO) wie VERIMI, netID und ID4me in Stellung gebracht. Das gemeinsame Ziel ist, eine Alternative zu den SSO-Lösungen von facebook und Google zu schaffen. Außerdem will man den Nutzern und Unternehmen die Hoheit über ihre Daten und Digitalen Identitäten zurückgeben. Google und facebook kommen für ihre Services bislang ohne verifizierte digitale Identitäten aus. Banken sind jedoch aus den eingangs erwähnten Gründen auf verifizierte (digitale) Identitäten angewiesen. Wer auf seinen Plattformen verifizierte digitale Identitäten anbieten kann, ist für die Werbeindustrie ein hoch interessanter Partner. Vorstellbar ist die Verbreitung von identity based marketing oder object marketing. Damit wäre im Idealfall die direkte Ansprache der Kunden und Objekte möglich. Das wiederum stellt hohe Anforderungen an den Datenschutz und die Datensicherheit. Der Bedarf an Sicherheitstechnologie Made in Germany dürfte dadurch steigen und damit auch die Aussichten für Authada, die Bundesdruckerei und Governikus.
Identity Relationship Management: eID, IAM, Blockchain und IoT bewegen sich aufeinander zu
Die nächste Stufe könnte mit der Verbreitung der Blockchain-Technologie und Standards wie DID kommen. Damit wäre es möglich, nur einzelne für die Identifizierung nötige Merkmale, verifizierte Attribute auszugeben, statt die gesamten personenbezogenen Daten. Beispielhaft dafür ist die Prüfung auf Volljährigkeit. Der neue Personalausweis verfügt übrigens über eine Pseudonymisierungsfunktion. Dabei wird nur das Pseudonym aus dem Personalausweis weitergegeben. Vor einigen Jahren stellten Forscher vom Horst Götz-Institut an der RuhrUni Bochum ein Konzept für das pseudonyme stromtanken mit dem neuen Personalausweis vor.
Bislang sind wir gewöhnt, die Notwendigkeit, sich auszuweisen, nur mit natürlichen Personen und eventuell auch juristischen Personen in Verbindung zu bringen. Künftig könnten Technische Personen ebenfalls gezwungen sein, sich auszuweisen. Das können Roboter oder andere technische Objekte sein, die in der Lage sind, autonome Entscheidungen zu treffen. In der vernetzten Produktion (Industrie 4.0) weisen sich Maschinen und Werkstücke durch ein Maschinenzertifikat aus. Sichere digitale Identitäten sind unabdingbar, wenn Maschinen über die unternehmens- und womöglich Ländergrenzen hinweg mit anderen kommunizieren. Die genannten Entwicklungen könnten demnächst in einen übergreifenden Ansatz – The Identity of Things – münden, wie er von Earl Perkins bereits vor vier Jahren in The Identity of Things for the Internet of Things skizziert wurde. Darin warf Perkins die Frage auf, ob die gängigen Technologien wie IAM und Asset Management miteinander kombiniert werden können oder ob wir angesichts der zunehmenden Komplexität und Verflechtung demnächst ganz neue Ansätze – wie das Identity Relationship Management benötigen. Kann der nPA oder – abstrakter – die eID die Klammer für das Identity Relationship Management – sowohl für Personen wie auch für technische Objekte sein?
Rollenverteilung erst am Anfang
Momentan ist noch nicht absehbar, wie das neue Rollenverhältnis auf dem Markt für digitale Identitäten aussehen wird. Werden Banken und Login-Allianzen die neuen Identity-Provider, wird sich die eID für die Erstidentifizierung durchsetzen, wird die Blockchain-Technologie Intermediäre wie Banken und Login-Allianzen ersetzen, welche langfristigen Auswirkungen hat das Open Banking? Wie kann die Industrie sichere digitale Identitäten einführen? Relativ sicher ist, dass es in Zukunft Bedarf an Anbietern geben wird, die zu jeder Zeit und an jedem Ort verifizierte digitale Identitäten oder verifizierte Attribute über alle gängigen Kanäle und Endgeräte schnell und sicher bereitstellen können – und das unabhängig davon, ob es sich dabei um Identitätsplattformen oder um eine Blockchain handelt. Die eID und die qualifizierte elektronische Unterschrift werden dabei eine Schlüsselfunktion übernehmen.