STRATEGIE27. April 2021

Neue Möglichkeiten der Fernidentifikation: Video‑Ident vor dem Aus?

Rudolf LinsenbarthRudolf Linsenbarth

Video-Ident ist ohne Zweifel eine Erfolgsgeschichte! Maßgeblich dafür war die regulatorische Neuauslegung des Geldwäschegesetzes durch das Bundesfinanzministerium. Im Januar 2014 startete WebID mit der SWK Bank und IDnow folgte im Oktober 2014 unter anderem mit N26. Der bis dahin unangefochtene Marktführer im Bereich Distanzidentifizierung, die POST mit ihrem POSTIDENT, war schließlich gezwungen, ebenfalls ein entsprechendes Produkt in das Angebotsportfolio zu packen. Nicht zum ersten Mal wird der Ident-Markt durcheinander gewirbelt …

von Rudolf Linsenbarth

Die Vorteile von Video-Ident liegen auf der Hand. POSTIDENT in der Filiale ist ein kompletter Medienbruch und zieht eine höhere Abbruchquote nach sich. Kunden, die zum Beispiel abends eine Bank-Konto Eröffnung am PC begonnen hatten, sind am nächsten Tag vielfach nicht mehr in die Postfiliale gestiefelt. Zudem lässt sich eine Video-Fernidentifizierung mit den Skaleneffekten eines Callcenters günstiger anbieten als die filialbasierte persönliche Identifikation.

Dass es zu diesem Boom gekommen ist, kann man eigentlich nur als Treppenwitz bezeichnen. Im Prinzip besitzt der „Neue Personalausweis“ bereits eine sehr gute und effiziente Fernidentifikationsfunktion. Leider war es 2014 weder am Android-Smartphone noch in der iPhone-Welt möglich, den Ausweis auszulesen. Zudem kennen bis heute die meisten Bürger ihre Ausweis-PIN nicht oder wissen wo ihr PIN-Brief liegt.

Entsprechend groß war der Druck aus der Wirtschaft, alternative Verfahren zu genehmigen. Auch wenn man im Bundesministerium auf den Ausweis mit eID als präferierte Identifizierungsmethode setzt, wurde Video-Ident für das Banken KYC (Know Your Customer) zugelassen. Dem Verfahren wurde dabei zur Maßgabe gemacht, die Sicherheitsstandards so hoch wie möglich zu halten. Ein Ausfluss dieser Interventionen ist zum Beispiel, dass man gelegentlich eine Hand zwischen den Ausweis und die Smartphone-Kamera schieben muss.

Ident-Verfahren
BRO.vector/bigstock.com

Ich persönlich war nie ein Freund von Video-Ident und das hat nichts mit dem Thema Qualität der Identifikationsdienstleistung zu tun. Mich stören die folgenden 3 Dinge:

1. Die Identifikation benötigt einen Menschen, der in einem Callcenter disponiert werden muss, und da gibt es zu Stoßzeiten immer Engpässe und zum Teil sehr lange Wartezeiten. Ein Problem, das mit dem Aufkommen des Trading Booms 2020 deutlich sichtbar wurde.

2. Video-Ident ist ein „Rendezvous mit einem Fremden”. Mir gefällt einfach die Tatsache nicht, dass ich jemand anderen in meine Wohnung lassen muss. Ich möchte mich eigentlich nur legitimieren und dabei nicht überlegen, ob mein Zimmer gerade aufgeräumt ist oder ob ich mich noch vorher umziehen bzw. rasieren sollte.

3. Video-Ident ist zwar um Längen besser als ein POSTIDENT, aber bei weitem nicht medienbruchfrei! Ich kenne das gute digitale Nutzererlebnis mit der eID-Funktion des Personalausweises. Der gemeine Bürger war aber bereits mit schnelleren Pferden aka Video-Ident zufrieden und da stehen wir heute noch.

Autor Rudolf Linsenbarth
Rudolf LinsenbarthRudolf Linsenbarth be­schäf­tigt sich mit Mobile Payment, NFC, Kundenbindung und digitaler Identität. Er ist seit über 15 Jahren in den Bereichen Banken, Consulting, IT und Handel tätig. Lin­sen­barth ist profilierter Fachautor und Praktiker im Finanzbereich und kommentiert bei Twitter (@holimuk) die aktuellen Entwicklungen. Alle Beiträge schreibt Linsenbarth im eigenen Namen.

Im Augenblick sieht es aber so aus, als ob sich der Wind dreht.”

Die Bundesnetzagentur hat angekündigt, in Zukunft auch weitere alternative Verfahren zuzulassen. Konkret erwähnt wird die Identifizierung einer natürlichen Person unter Nutzung einer Videoidentifizierung mit einem automatisiertem Verfahren (Details unter dem folgenden Link).

Gemeint ist damit wohl ein Verfahren, das ich hier in dieser Reihe unter dem Stichwort Auto-Ident behandelt hatte. Entsprechend euphorisch waren die Reaktionen von IDnow und der Nect GmbH:

Etwas verhaltener dagegen die Reaktion von WebID, hier heißt es:

Das Verfahren der WebID
WebID

Welche Einschätzung ist nun die Richtige? Nun das ist eine Frage der Perspektive. In Europa ist Auto-Ident schon längst gängige Praxis. In den nordischen Ländern sowieso, da haben wir zum Beispiel den Nets Passport Reader getestet und von IDnow haben wir die Information, dass das Verfahren in UK bereits auch für die direkte Bank-Identifikation im Einsatz ist.

Die Annäherung der Bundesnetzagentur an diese Technologie ist aber zuerst nur die Beseitigung eines Standortnachteils für deutsche Vertrauensdiensteanbieter. Eine QES, die gemäß der EU Verordnung Nr. 910/2014 erstellt worden ist, muss im gesamten EU-Raum anerkannt werden. Die Regulierung für die deutschen Vertrauensdiensteanbieter ist aber derzeit so restriktiv, dass die Kunden in die Hände des Wettbewerbs aus Italien und Österreich getrieben werden! Selbst Verimi, an dem die Bundesdruckerei beteiligt ist, konnte das Angebot des hauseigenen D-Trust Dienstes zunächst nicht nutzen.

IDnow

Damit Auto-Ident auch direkt für das lukrative KYC im Finanzsektor verwendet werden darf, müsste das Bundesfinanzministerium genau wie vor sieben Jahren abermals zu einer regulatorischen Neuauslegung des GWG kommen. Bis es soweit ist, dürften sowohl IDnow als auch Nect die Modulbestätigungen von den Zertifizierungsstellen für Auto-Ident erhalten haben.

Solch ein Szenario wirft zwei Fragen auf:
Erstens wird das Eintreten und
zweitens ist das dann das wirtschaftliche Aus für Video-Ident?

Um mit Letzterem zu beginnen, der Eintritt von Video-Ident in den Identifizierungsmarkt hat das klassische POSTIDENT auch nicht komplett abgelöst. Die Einführung von Auto-Ident als „Big-Bang“ ist auch eher unwahrscheinlich.

Die  IT vieler Banken ist nicht darauf eingestellt, eine Identifizierungsdienstleistung aus mehreren Quellen zu akzeptieren. Gefordert sind Dienstleister, die eine entsprechende Plattform im Angebot haben, bei der alle am Markt gängigen Techniken integriert sind.”

Den Banken ist es wahrscheinlich egal, ob die Identifizierungsdienstleistung vom Plattformanbieter selber erbracht wird oder nur zugekauft ist. Der wiederum steht aber mit anderen Plattformen im Wettbewerb und kann mit steigender Wertschöpfungstiefe bessere Angebote unterbreiten.

Bleibt also die Frage, ob der Regulierer über seinen Schatten springt und Auto-Ident auch für die Identifizierung im GWG-Bereich zulässt. Eigentlich kann er gar nicht anders oder wie will er erklären, dass mittels Auto-Ident Verträge unterschrieben werden können, deren Haftung im Bereich hoher fünfstelliger Summen liegt, aber für eine GWG-konforme KYC-Identifizierung soll das Verfahren nicht sicher genug sein.

Ich lege mich fest, es gibt keinen vernünftigen Grund Auto-Ident im einem Bereich zuzulassen und im anderen nicht. Ob ein Identifizierungsdienstleister dann ein solches Verfahren selber entwickeln muss oder nur zukauft, hängt davon ab, wie schnell der nächste Entwicklungssprung bei der Fernidentifizierung kommt…”

…und natürlich wie lange dann die Regulierung für eine Neubewertung benötigt.

Womit wir im Prinzip wieder am Anfang dieser Geschichte sind.Rudolf Linsenbarth

Digitale Identität in Deutschland Status - die Übersicht
Lösungsanbieter

Identifizierungsdienstleister

Schwerpunkt in dieser Rubrik sind Unternehmen, die in der Lage sind eine Fernidentifizierung durchzuführen. Ein besonderes Augenmerk gilt hierbei der Identifikation im Finanzbereich gemäß (GwG) und der eID Identifikation für Vertrauensdienste. Bei letzteren haben wir für diejenigen, die auch eine Identifikation mit Personalausweis anbieten, das Vertrauensniveau high angegeben.

Eine weitere interessante Gruppe sind ID Provider die auf die Blockchain setzen und damit eine sogenannte Self Sovreign Identity (SSI), also die selbst erstellte und verwaltete Identität setzen.

NameEndk. GwG KYCSSIeIDVideo-IDAuto-IDBemerkungLink
AUTHADAxx (high)Website
Bankverlagxx (high)Website
Blockchain HelixxWebsite
BlockpassxWebsite
Bundesdruckereixx (high)Website
ClariLabgewerbliche KYC Prüfung durch fino und SchufaWebsite
Deutsche Postxx (high)xWebsite
eemaID StandardardisierungWebsite
Electronic Identificationx (substantial)xxWebsite
esatus xWebsite
europeantrustassociationID StandardardisierungWebsite
epayxxVor-Ort AuslesenWebsite
giropayAltersverifikationWebsite
ID-idealxSchaufensterprojekt aus dem Bereich "Sichere Digitale Identitäten“ des BMWiWebsite
ID4meID StandardardisierungWebsite
Identifyxx (substantial)xWebsite
identity Trust Managementxx (high)xWebsite
IDENTO.ONExWebsite
IDENTTxx (substantial)xxVideo- und Selfservice-IdentifizierungWebsite
IDnowxx (substantial)xxWebsite
IDUnionxID Union ist eine Blockchain Website
iSignthisID Check/FraudWebsite
JolocomxWebsite
Klarnax (substantial)Website
LissixLISSI ist eine WalletWebsite
majorel (ehem. Arvato)xx (substantial)xWebsite
MastercardID Check/FraudWebsite
mvneco GmbHxx (high)Website
myego2goxWebsite
Nectx (substantial)xVerifikation von AusweisenWebsite
netsxVerifikation von AusweisenWebsite
Onfido x (substantial)xWebsite
OPTIMOS 2.0ID PlattformWebsite
PXL Vision xVerifikation von AusweisenWebsite
RegulaxVerifikation von Ausweisen Website
SchufaID Check/FraudWebsite
Signicatx (high)ID PlattformWebsite
SkIDentity / ecsec GmbHxx (high)Website
Solarisbankxx (substantial)Website
Spherity xWebsite
Swisscomx (substantial)Website
ti&mxxWebsite
VERIFAIxWebsite
verifeyexVerifikation von Ausweisen und Video IdentWebsite
Verify-U xx (substantial)xWebsite
Veriffx (substantial)xWebsite
Verimixx (substantial)Website
WebIDxx (substantial)xWebsite
YESxx (substantial)Website

Authentifizierung

Im Bereich der Authentifizierung als Dienstleistung ist das Feld erheblich größer als bei der Identifikation. Entsprechend schwieriger ist es das Angebot thematisch zu klammern.
Ich habe dabei die folgenden Kohorten identifiziert.

Als erstes FIDO hier sehe ich zwar noch nicht so viele Anbieter am Markt, oder es ist gut versteckt.
Die eigene Gruppe ergibt sich aber aus der grundsätzlichen Bedeutung des Themas.

Als nächste Gruppe haben wir die Anbieter, die sich auf eine Strong Customer Authentikation (SCA) im Bank- und Finanzsektor spezialisiert haben.

Single Sign On (SSO) ist zur Aggregation von Authentifizierungen ein weiteres Dienstleistungsangebot.
Gemeint sind hier explizit nicht Anbieter einer Software die befinden sich unter der Rubrik „Technologie+Beratung“.

Die Abgrenzung zwischen den Anbietern von Inhärenz und SCA-App Anbietern (die ja auch biometrische Sensoren in den Smartphones verwenden) ergibt sich daraus,
dass die Inhärenz Authentifizierung, die Authentifizierung um weitere Messungen oder Speicherung von biometrischen Merkmalen außerhalb des Smartphone Ökosystems vornimmt.
Bei „Behaviosec“ scheint das auf jeden gegeben, für BioID und Orbiter wäre ich für Hinweise dankbar.

NameFIDOFin-SCASSOPW-Man.InhärenzSCA-HWSCA-AppLink
APIIDAxxxWebsite
Auth0xWebsite
Authentic VisionxWebsite
Bank-VerlagxWebsite
BehaveioSecxWebsite
BioIDxWebsite
cidaasxxWebsite
DaonxxxWebsite
DashlanexWebsite
easy LoginxWebsite
Electronic IdentificationxxxWebsite
EntersektxxxWebsite
Entrust DatacardxxxWebsite
Hanko.ioxxWebsite
heyloginxWebsite
HID GlobalxxWebsite
Hardware Security SDKxWebsite
HYPR xxxWebsite
IDEExxWebsite
IDnowxWebsite
inWeboxxWebsite
Key PassxWebsite
Kobilx + HWxxWebsite
Last PassxxWebsite
Mobile ConnectxxWebsite
netIDxWebsite
NEVISxxxxWebsite
NexusxxWebsite
nok nokxWebsite
oneloginxxWebsite
OneSpanxx + HWxxWebsite
Onfido xxxxWebsite
OrbiterxWebsite
PingIdentityxxxWebsite
privacyID3AxxWebsite
Reiner SCTHWxWebsite
Sealonex + HWxWebsite
spherityxWebsite
XignSysxxWebsite
YESxWebsite

Signatur Lösungen

In dieser Gruppe sind die Anbieter versammelt, die die technischen Grundlagen für die Qualifizierte Elektronische Signatur anbieten. Das sind in erster Linie die Vertrauensdiensteanbieter und Anbieter von eSignatur Lösungen. Trustcenter die bereits als Certification Authority (CA) arbeiten, werden hier ebenfalls erwähnt. Explizit keine Erwähnung finden hier Unternehmen ohne eigenständige Lösung, die hier nur als Reseller fungieren.

NameTSP-X.509
QES
eSignatur
Anbieter
TSP-X.509
nonQES
Link
AdobexWebsite
BankverlagxWebsite
Bundesagentur für ArbeitxWebsite
BundesnotarkammerxWebsite
Ca-CertxWebsite
DGNxWebsite
DocuSignxxWebsite
D-TrustxWebsite
EasySendxWebsite
Electronic IdentificationxxxWebsite
GlobalSignxxWebsite
IntarsysxWebsite
NamirialxxWebsite
OneSpanxWebsite
OpenLimitxWebsite
ScrivexWebsite
SignaturitxxWebsite
Swisscom Trust ServicesxWebsite
TelesecxWebsite
xitrustxWebsite
Yousign xxWebsite

Technologie+Beratung

In dieser Rubrik habe ich nach Identifizierung und Authenfizierung alle anderen Anbieter zusammengefasst.
Das sind neben Soft/Hardware und Infrastrukturanbietern auch Beratungs- und Zertifizierungsunternehmen, ohne sie das oben erwähnte Dienstleistungsangebot vielfach nicht möglich.

Ich habe hier auch die in Deutschland am Markt sichtbaren Vertrauensdiensteanbieter mit einer qualifizierten Signatur (QES) gelistet.
Eigentlich wollte ich hierfür eine eigene Rubrik erstellen, aber bei nur 4 Anbietern habe ich dann darauf verzichtet.

NameConsulting ZertifizierungSoftwareHardwareBemerkungLink
achelosxConsulting/ZertifizierungWebsite
adorsysxxXS2A (Open Banking)Website
amdocsxIAM / SSOWebsite
APIIDAxauch spez. Lösungen für PSD2 XS2AWebsite
ATOSxxxGlobale Identity LösungenWebsite
Authentic VisionxSichere Hardware FaktorenWebsite
BSIxConsulting/ZertifizierungWebsite
CertgatexMobiles Secure ElementWebsite
ComlinexxOCR LösungWebsite
DATEVxSignatur LösungenWebsite
DERMALOGxxBiometrische Identifikation
Ausweislegeräte
Website
G&DxxxGlobale Identity LösungenWebsite
GemaltoxxxGlobale Identity LösungenWebsite
GovernikusxeID ServerWebsite
jenID SolutionsxxSoft- und Hardware zur AusweisprüfungWebsite
KeycloakxIAM / SSOWebsite
mtG AGxeID ServerWebsite
MTRIX GmbHxMulti-Faktor-AuthentifizierungWebsite
OberthurxxxGlobale Identity LösungenWebsite
OpenLimitxeID Server / Signatur Softw.Website
procilonxSoftwareWebsite
Regula Document ReaderxxSoft- und Hardware zur AusweisprüfungWebsite
Risk.Ident FRIDAxVerhaltensbasierte Identifikation/BetrugserkennungWebsite
SAP Identity ManagementxIAM / SSOWebsite
SRC GmbHxConsulting/ZertifizierungWebsite
TÜVxConsulting/ZertifizierungWebsite
UBISECURExIAM / SSOWebsite
UtimacoxHSM HardawareWebsite
VERIDOSxGlobale Identity LösungenWebsite
zertificonxVerschlüsselungWebsite

Sonstige

Im Laufe der meiner mehrjährigen Recherche bin ich auch über eine einige Anbieter gestolpert, die zwar irgendetwas im Identity Umfeld machen. Leider war ich nicht in der Lage beim Blick auf deren Webseite eine genauere Einordnung  vorzunehmen. Trotzdem will ich meinen Lesern diese Unternehmen nicht vorenthalten.

NameLink
aidientWebsite
authenteqWebsite
IDENTOSWebsite
IS2 Intelligent Solution Services AGWebsite
KeypWebsite
muumeWebsite
nicosWebsite
PassbaseWebsite
PeopleIDWebsite
SK ID SolutionsWebsite
SkribbleWebsite
SMART IDWebsite
taqanuWebsite
vereignWebsite
yptokeyWebsite

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert