Große Tech-Konzerne machen es vor: Mit wenigen Klicks Waren bestellen, die Lieblingsserie streamen oder Events buchen. Das wünschen sich Kunden auch von digitalen Bankdiensten. In der Kritik steht allerdings die dafür nötige Online-Identifikation. Die "eIDAS 2.0"-Verordnung der EU will das Problem lösen.
Einige Finanzinstitute nutzen bereits die Identifizierung per elektronischem Personalausweis.
mhp / stock.adobe.com
Das Thema Sicherheit spielt beim Online Banking eine zentrale Rolle, auch wenn eine Mitte Februar veröffentlichte Umfrage des Analytics-Dienstleisters Fico unter mehr als 14.000 Menschen weltweit belegt, dass sie für die digitale Eröffnung eines Bankkontos nicht mehr als eine halbe Stunde Zeit opfern wollen. Trotzdem können sich die Nutzer mit einer Verschärfung der Sicherheitsvorkehrungen bei digitalen Bankdienstleistungen durchaus arrangieren - das gilt vor allem für das Identitätsmanagement.
Bereits 45 Prozent der Teilnehmer haben der Erhebung zufolge eine Zunahme der Identitätskontrollen bei Online-Einkäufen mit Karte bemerkt. Und 40 Prozent berichten von strengeren Maßnahmen beim Einloggen auf ihren Bank-Account. Für mehr als zwei Drittel (68 Prozent) ist klar, dass Identitätsprüfungen ihrem eigenen Schutz und der Sicherheit des Finanzunternehmens (67 Prozent) dienen. Fast die Hälfte (48 Prozent) kennt zudem den Zusammenhang zwischen dem Identifikations-Check und dem Schutz vor Geldwäsche. Noch immer vermuten allerdings acht Prozent, dass dieser Prozess Verkaufs- und Marketingzwecken dient.
Online-Identifikation ist gang und gäbe
"Ohne Online-Identifikation sind Geschäftsmodelle wie die von Neobanken kaum vorstellbar", schreibt Anja Kühner in der Titelgeschichte der Februar-März-Ausgabe der Zeitschrift "Bankmagazin". "Auch fast alle etablierten Institute setzen sie ein. Bei der VR-Bank Rhein-Sieg zum Beispiel wird aktuell etwa jede fünfte Identifikation per Video Ident durchgeführt", erläutert die Autorin.
Und die Erwartungen, die die Menschen in Deutschland an die Sicherheit im Online Banking stellen, ist der Studie zufolge hoch: Für 70 Prozent der Bankkunden gehört der Schutz vor Finanzbetrug zu den drei wichtigsten Kriterien bei der Wahl eines Finanzinstituts. "Zugleich wollen sie sich als digital versierte Verbraucher in ihrem Kundenerlebnis nicht beeinträchtigen lassen", sagt Jens Dauner, Vice President und Managing Director Continental Europe bei Fico.
Juristische Zweifel am Video-Ident-Verfahren
Doch es gibt Zweifel an der Zulässigkeit von Video Ident zur Authentifizierung, berichtet Kühner. "Ein Ausweis ist eine öffentliche Urkunde, und deren Echtheit lässt sich mit Videoaufnahmen überhaupt nicht rechtssicher bestätigen", erläutert André Zilch, Geschäftsführer der IT-Sicherheitsberatung LSC, gegenüber dem Bankmagazin.
Geeignete Verfahren zur Bestätigung der Echtheit einer Urkunde - und damit von Ausweisen der Identität des Inhabers - seien nur diejenigen, bei denen der Prüfer die Urkunde physisch in den Händen hält. "Damit entfallen Videoverfahren, denn ein Prüfer hat dabei niemals einen Ausweis physisch in den Händen. Somit können die 23 Sicherheitsmerkmale nicht überprüft werden", kritisiert Zilch.
Kritiker bezweifeln Beweisfunktion
Laut Kühner lautet die Grundsatzfrage, wie eine Urkunde rechtssicher in die digitale Welt übertragen werden kann. "Denn laut § 371 b Zivilprozessordnung müssen beweiskräftige elektronische Abbilder von Urkunden anhand der Urschrift bestätigt werden. Und weiter muss die bestätigende Person ein Beamter sein, der das Original in den Händen hält - ein Aspekt, der bei Video-Identifikation unmöglich ist."
"Ich habe bei Video-Identifikation keine Urkunde, sondern nur ein Foto oder Video und damit eine Kopie. Die Kopie einer Urkunde ist aber nie selbst eine Urkunde und hat deshalb keine Beweisfunktion im Sinne des Gesetzes. Auch das Finanzministerium oder die Bafin kann aus einer Kopie keine Urkunde machen und den Begriff, was eine Urkunde ist, mal eben erweitern", erläutert der Notar Otfried Krumpholz von der Kanzlei Brum Jordan Dr. Krumpholz gegenüber Bankmagazin.
Mit ihrem Rundschreiben 3/2017 (GW) hat die nationale Aufsichtsbehörde die Anforderungen an die Nutzung eines Video-Identifizierungsverfahrens veröffentlicht. Der Bafin seien bislang keine Fälle bekannt, in denen das zu Zwecken der Identifizierung nach dem Gesetz über das Aufspüren von Gewinnen aus schweren Straftaten, kurz GwG oder Geldwäschegesetz, im Finanzsektor eingesetzte Video-Identifizierungsverfahren erfolgreich mit technischen Mitteln manipuliert worden ist.
Mehr Sicherheit mit der eID
Dennoch gehen einige Banken bereits andere Wege. Hierzu gehört unter anderem die ING Deutschland, die im November 2022 die Identifizierung per elektronischem Personalausweis eingeführt hat. "Wir wollen ein Signal in die Branche senden. Andere Banken sollen sehen, dass sich die Nutzung der eID lohnt - und vor allem, dass es gar nicht so schwer ist, sie einzuführen", berichtet Ronnie Schrumpf, der bei der ING Deutschland für die Legitimation verantwortlich ist, im Gespräch mit springerprofessional.de.
Die eID habe ein Henne-Ei-Problem: Ohne Use-Cases kein Nutzwert, und ohne Nutzwert keine Use-Cases. "Im Grunde geht es darum, der eID eine Chance zu geben. Und wir sehen, dass die Herausforderung von Tag zu Tag ein wenig kleiner wird, weil täglich neue Personalausweise mit aktivierter Online-Ausweisfunktion ausgegeben werden", betont der Experte.
In vielen Bereichen dominieren ID-Silos
Bislang dominieren bei den digitalen Identitäten, die vom Großteil der Bevölkerung für das Online Shopping oder Banking genutzt werden, allerdings ID-Silos und föderierte IDs amerikanischer IT-Konzerne wie Facebook- oder Google-Login, Apple-ID oder Amazon-Account, schreiben Michael Kubach und Heiko Roßnagel im Open-Access-Beitrag "Auf der Suche nach ökonomisch tragfähigen Identitäts-Ökosystemen: Gibt es einen Markt für digitale IDs?" in der Zeitschrift "HMD Praxis der Wirtschaftsinformatik".
Trotz oder auch gerade wegen ihrer weiten Verbreitung bei Endnutzern und Serviceprovidern erfahren diese Plattform-IDs Kritik hinsichtlich des Privatsphärenschutzes und der IT-Sicherheit. Denn die Identitätsprovider verfügen über die Möglichkeit, das Anmeldeverhalten ihrer Nutzer zu tracken und die Daten für ihre Zwecke weiterzuverwenden.
"Andererseits werden sie angesichts ihres breiten Erfolgs bei den Nutzern wie auch Serviceprovidern, also ihrer Marktmacht, und zentralen Position in der digitalen Wertschöpfungskette auch zunehmend als Bedrohung der digitalen Souveränität Deutschlands beziehungsweise Europas angesehen", stellen die beiden HMD-Autoren klar. Um dem entgegenzuwirken, fördere die Bundesregierung mehrere Projekte zu selbstsouveränen Identitäten sowie zur Speicherung und Nutzung von Personalausweisdaten auf dem Smartphone, kurz Smart-eID.
Europa will eIDAS 2.0 als Lösung etablieren
Und die Europäische Kommission erarbeite derzeit die "eIDAS 2.0"-Verordnung. "Aber auch diese Ansätze stehen vor der Herausforderung sich am Markt etablieren zu müssen." Das bedeutet, sie müssen sich gegenüber den bereits vorhandenen Technologien durchsetzen und "ökonomisch tragfähige Ökosysteme aufbauen". Dies sei bisher aber noch nicht geschehen.
"eIDAS 2.0" befindet sich laut ING-Experte Schrumpf gerade in der finalen Abstimmung. Die Verordnung verpflichte Mitgliedstaaten, digitale Identitätsnachweise für das Smartphone auszustellen, und Banken, diese im Rahmen der Know-Your-Customer-Prüfung (KYC) zu akzeptieren.
"Daraus ergeben sich viele Fragen, eine davon ist: Wenn jeder Mitgliedstaat ein eigenes digitales Identitätssystem betreibt, was bedeutet das für uns? Müssen wir dann zu jedem Netzwerk eine eigene Schnittstelle nutzen? Dies zu managen wäre enorm komplex für Banken und ginge eigentlich nur über einen Dienstleister. Das kann ein Grund sein, weshalb sich Banken bisher nicht mit eID beschäftigen."