Verimi Geschäftsführer: “Die Identity-Silos müssen harmonisiert werden”

Beim Thema digitale Identitäten gehört Deutschland in Europa leider nicht zu den Innovationsführern. Mit der eID-Funktion des Personalausweises gibt es zwar ein sicheres und zuverlässiges Verfahren, aber ein Erfolgsmodell ist das deshalb noch lange nicht. Eine mobile digitale Identität könnte hier die Wende bringen. Allerdings sind die beiden staatlich lancierten Initiativen ID-Wallet (Sicherheitslücken) und Smart eID (mangelnde Skalierbarkeit) krachend gegen die Wand gefahren worden. Parallel sieht sich der privatwirtschaftliche Identity-Anbieter Verimi  (Website) derzeit mit einer Reihe von Vorwürfen konfrontiert, von denen einige das Potenzial haben, eine privatwirtschaftliche digitale Identität insgesamt in Frage zu stellen. Wir haben den Verimi Ge­schäfts­füh­rer Roland Adrian zu diesem Themenkomplex befragt.

Herr Adrian, bei Verimi wurden durch einen Bug die Zugangsdaten (Nutzername und Passwort) über mehrere Jahre im Klartext in Logfiles abgespeichert. Nachdem dieser Fehler entdeckt worden ist, erfolgte aber keine Information an die betroffenen Nutzer. Warum ist das unterlassen worden?

Im September 2021 stellten wir im Rahmen eines internen Audits fest, dass aufgrund eines Konfigurationsfehlers Log-in-Daten von Kunden, also Nutzername und Passwort, für eine kleine Zahl unserer Mitarbeitern, die sicherheitsüberprüft sind und einer besonderen Verschwiegenheitspflicht unterliegen, in einer verschlüsselten Datei einsehbar sein konnten.

Wir haben den Fehler binnen drei Stunden behoben und rein vorsorglich gemäß der empfohlenen Vorgehensweise für Zweifelsfälle gemäß Artikel 33 DSGVO eine Verdachtsmeldung beim Berliner Datenschutzbeauftragten eingereicht.”

Zu keinem Zeitpunkt gab es Anzeichen, dass Kundendaten nach außen gegangen oder missbräuchlich genutzt worden sind. Die DSGVO sieht explizit einen differenzierten Umgang mit der Information von Nutzern vor. Gemäß Artikel 34 Absatz 1 der DSGVO war eine Information der Nutzer in unserem Fall nicht notwendig, da kein hohes Risiko für die persönlichen Rechte und Freiheiten vorlag. In der Abschlussakte des Berliner Datenschutzbeauftragten vom Oktober 2021 ist ersichtlich, dass unsere Maßnahmen ausdrücklich als „angemessen“ bewertet wurden. Dieser Bewertung sind wir gefolgt.

Auch wenn hier nach Ihren Angaben keine Nutzerdaten abgeflossen sind, Passwörter gelten doch seit Jahren als Grundproblem in der Nutzer-Authentifizierung. Wieso benutzt Verimi für ein Identity-Produkt nicht ein passwortloses Authentifizierungsverfahren?

Verimi bietet verschiedene Wege für die Authentifizierung an, darunter auch passwortlose Verfahren. Zum Beispiel bieten wir per „One Touch Login“ die Authentifizierung per Link über den persönlichen E-Mail-Account an. Wir überlassen die Auswahl dem Nutzer.

Das One Touch Login ist aber nicht durchgängig nutzbar!

Hier befinden wir uns gerade im Rollout.”

Der zweite Vorwurf lautet, beim Erwerb der Lizenz als Zahlungsinstitut, wurden die Aufsichtsbehörden möglicherweise getäuscht. Es heißt Verimi habe nie wirklich als Zahlungsdienstleister am Markt auftreten wollen und die Lizenz nur erworben, um eine GWG-konforme Identifizierung durchführen zu können. Was ist dran an dieser Behauptung?

Wir haben niemanden getäuscht. Sofort nach dem Vorwurf haben wir uns mit Vertretern der BaFin und Bundesbank getroffen, die Sache besprochen und es wurde kein Ansatz für eine Täuschung gefunden und kein Anlass für irgendwelche Maßnahmen gesehen.

Worauf sich die Medienberichte beziehen, sind nicht etwa Lizenz-Vorgaben der BaFin, sondern unternehmensinterne Ziele, die wir uns zum Marktstart von Verimi-Pay gesetzt hatten. Dies als Täuschungsversuch zu bezeichnen, grenzt an üble Nachrede und ist geschäftsschädigend.

Die Grundbausteine einer ID-Wallet sind das Identifizieren, Authentifizieren, Unterschreiben und Bezahlen. Auch die aktuelle EU Ausschreibung für Wallet-basierte Anwendungsfälle im EU Large Scale Pilot zeigt das. Die integrierte Zahlungsfunktion macht eine Zahlungslizenz erforderlich.

Wäre es nicht geschickter gewesen, Sie hätten sich direkt auf die integrierte Zahlungsfunktion konzentriert statt vorab das „Feigenblatt“ Verimi Pay für Webshops einzurichten?

Wir sind zunächst mit den einzelnen Wallet-Bausteinen gestartet, damit sich die Prozesse der spezifischen Funktionen bewähren – alles von Beginn an zu integrieren, wäre zu komplex geworden. Nun integrieren wir die Bausteine in durchgängigen Anwendungsfällen. Dazu zählt zum Beispiel das Verimi Bank-Ident mit Referenzüberweisung oder unsere integrierte Zahlungsfunktion für den Abschluss der Golf-Protect Versicherung beim deutschen Golfverband.

Einen Ausblick auf die Zukunft gibt das i-Kfz-Verfahren für die digitale Fahrzeugzulassung, welches wir aktuell mit unseren Partnern aus der Mobilität und der Versicherungswirtschaft entwickeln. Hier kommen Identifizieren, Unterschreiben und Bezahlen in einem durchgängigen Prozess auf der Schnittstelle zwischen privaten Anbietern und öffentlichen Fachverfahren für die digitale Fahrzeugzulassung zusammen.

Verimi ist ein Identity-Anbieter, der von den Aufsichtsbehörden für die eIDAS-konforme Identifizierung das Vertrauensniveau „substantial“ erhalten hat. Diese Zertifizierung hat aber für die GWG-konforme Identifizierung keinen Wert. Daher mussten Sie sich hier den Status als Zahlungsinstitut zulegen. Bei der Identifizierung gemäß Telekomunikationsgesetz oder im Gesundheitswesen gelten wieder ganz andere Rechtsvorschriften und es sind auch andere Aufsichtsbehörden involviert. Macht dieses Silo-Denken des deutschen Gesetzgebers für die Schaffung einer einheitlichen digitalen Identität eigentlich Sinn?

Die Identity-Silos müssen harmonisiert werden, das ist klar und das wird meiner Ansicht nach jetzt auch mehr und mehr den Regulatoren klar. Mit diesen Silos kann eine weit verbreitete, einheitliche digitale Identität nicht entstehen. Daher begrüßen wir auch die Gedanken in der eIDAS 2.0 Reform. Eine digitale Identität, die auf einem hohen Sicherheitsniveau im ID-Wallet gespeichert wurde, muss für alle Anwendungsfälle der Bürger nutzbar sein. Silos kann man den Bürgern nicht vermitteln, weder für die Identifizierung noch für Authentifizierung.

In einem weiteren Punkt wird Ihnen vom CCC (Chaos Computer Club) vorgeworfen, dass es sehr einfach ist, in der App gefälschte Ausweise und Führerscheine zu hinterlegen. Was ist da dran?

Der Vorfall bei Verimi wurde offensichtlich im Rahmen einer branchenweiten Studie des CCC erzeugt, bei der grundsätzliche Risiken von Video-Ident-Verfahren beleuchtet werden sollten. Die betroffenen Anbieter werden in der eigentlichen Studie nicht benannt. Daher sind wir überrascht, dass einzig die Prüfung bei Verimi vorab durch den Autor der Studie in dieser Form öffentlich gemacht wurde. Und dies, zumal Verimi die betroffene Video-Ident Leistung nicht selbst erbringt, sondern von einem marktführenden Anbieter bezieht, was während des Ident-Prozesses bei Verimi transparent ersichtlich ist.

Konkret zum Vorgang: Die betroffenen „Foto-Ident“-Prüfungen -im Kontext der CCC Studie als KI-gestütztes Video-Ident bezeichnet- führt in unserem Auftrag das Unternehmen Veriff durch, ein europaweit führender Anbieter für ID-Prüfungen und KI-gestützte Ident-Verfahren, das von großen Anbietern wie internationalen Banken, FinTechs, Verlagen und Mobilitätsanbietern genutzt wird.

Im konkreten Fall hat das Veriff-System erste Fälschungsversuche erkannt und den Betreffenden abgewiesen. Er hat dann weiter experimentiert und es mit hoher Energie nach vielfachen Versuchen geschafft, den Ident-Prozess bei Veriff mit den gefälschten Dokumenten abzuschließen und diese in der Verimi ID-Wallet zu platzieren. Sofort nach Bekanntwerden des Falls haben wir mit Veriff ein Bündel von Maßnahmen technisch umgesetzt, um künftige Fälle zu verhindern.”

Insgesamt muss man den Vorgang einordnen: Das geprüfte Verfahren von Veriff wird bei Verimi nur in Anwendungsfällen ohne regulatorisches Sicherheitsniveau eingesetzt, was auch die Abbildung in der Verimi ID-Wallet selbst umfasst. Unterschiedliche Vertrauensniveaus und damit Robustheit gegen unterschiedliche Angriffsstärken sind in den Regularien explizit definiert, z.B. in der eIDAS-Verordnung. Deshalb sind erfolgreiche Angriffe per Definition nicht komplett auszuschließen, der Empfänger der ID-Daten ist sich über die Risiken eines bestimmten Vertrauensniveaus im Klaren und bewertet diese dann für seine Anwendungsfälle. Diese Standards und Zusammenhänge sind unter allen Branchenteilnehmern hinlänglich bekannt.

Das Verimi ID-Wallet muss also verschiedene Vertrauensniveaus bedienen können und dürfen – ohne dass pauschal „gefälschte Identitäten“ skandaliert werden. Es hilft wenig, alles in einen Topf zu werfen. Stattdessen müssen wir die definierten und differenzierten Standards berücksichtigen. Ansonsten stellen wir uns alle gegenseitig ein Bein und keiner kommt voran.

Für welche Anwendungen können die mit Hilfe der „Foto-Ident“-Funktion hinterlegten Dokumente genutzt werden.

Es handelt sich z.B. um Zugänge zu Service-Portalen oder den Abschluss von Mobilitätsservices.

Die Gematik hat jetzt erst einmal entschieden, Identifizierung per Video-Identifizierung für die Telematikinfrastruktur auszusetzen. Hätte man in einem so kritischen Bereich wie der elektronischen Patientenakte (ePA) nicht schon der Gesetzgeber darauf pochen sollen, dass nur Identifizierungsverfahren zum Einsatz kommen, die auf dem Vertrauensniveau substantial liegen?

Gerade für Gesundheitsdaten muss ein größtmöglicher Schutz im neu entstehenden Ökosystem gewährleistet sein. Die digitalen Lösungen machen besonders Sinn, sobald eine große Mehrzahl an Versicherten diese nutzt – die initiale Ident-Methode darf dann natürlich keine signifikante Zugangsbarriere darstellen. Ich denke, es gibt eine Vielzahl an Silos, für die eine durchgängige Definition des Vertrauensniveaus mit einer Akzeptanz cross-sektoraler Ident- und Authent-Lösungen in einem gemeinsamen Ökosystem sehr viel Sinn macht. Den Gesundheitssektor hingegen kann ich mir persönlich auch als separat definiertes Ökosystem gut vorstellen – eben wegen des besonderen „hohen“ Schutzbedarfes der Gesundheitsdaten.

Für den digitalen Führerschein hat das Kraftfahrt-Bundesamt doch eine Schnittstelle zum Abruf entwickelt. Verimi als ID-Anbieter mit Vertrauensniveau substantial hat sich stattdessen entschieden, den Führerschein mit Hilfe eines weniger sichereren Auto-ID Verfahren zu virtualisieren. Warum?

Es würde für viele Mobility-Use Cases sehr viel Sinn machen, die Führerscheindaten direkt digital aus einem Register (z.B. beim KBA) zu verifizieren. Eine solche Schnittstelle gibt es auch, diese wurde für das in 2021 eingestellte ID-Wallet des BKamts bereitgestellt. Mit dem Verimi ID-Wallet könnten Nutzer ihre Ausweisdaten im Vertrauensniveau substanziell einsetzen, um ihre Führerscheindaten über diese Schnittstelle ganz einfach digital abzurufen.

Uns wird der Zugriff über diese Schnittstelle leider nicht ermöglicht. Somit bleibt uns für digitale Use Cases bei Mobilitätsanbietern derzeit nur die Erfassung der Führerscheindaten über Foto- oder Video-Ident Verfahren.

In der zukünftigen eIDAS 2.0 Verordnung ist übrigens derzeit angedacht, dass die EU-Mitgliedsstaaten solche Register-Schnittstellen anbieten müssen z.B. für den Zugriff durch Wallet-Anbieter wie uns. Diese EU Vorgabe würde der Effizienz in den Anwendungsfällen der Mobilitätsanbieter in Deutschland endlich den lang ersehnten Quantensprung verleihen.”

Wir sehen Silo-Regulierungen und z.B. mit eID, Smart-eID, Elster und Nutzerkonten der Länder eigene Lösungen der öffentlichen Hand auf verschiedenen Vertrauensniveaus. Private Ident-Angebote werden z.B. auf OZG-Portalen und bei Steuerbehörden so gut wie nicht akzeptiert, wichtige Schnittstellen stehen privaten Anbietern nicht offen. Förderung digitaler Infrastruktur sieht sicher anders aus. Wie lange geht das noch gut und wann übernehmen einfach wieder mal die GAFAs?

ID-Wallets sind die Zukunft, nicht Silos. Das beweisen auch die in Diskussion stehende eIDAS2.0 Regulierung und die aktuellen EU-Ausschreibungen zu Large Scale Pilots und EU Referenz-Wallet.”

Deutschland ist in der EU nicht führend. Ein Erfolgsfaktor anderer EU-Staaten sind Public-Private-Partnerschaften insbesondere in den regulierten Sektoren. Um starke Wallets in Deutschland schnell zu verankern, wäre es sicher hilfreich, die Kräfte auch hier zwischen Public & Private zu bündeln, Regulierungen entsprechend anzupassen, Vertrauensniveaus zu harmonisieren, die Silos in offene Konzepte zu überführen und die Akzeptanz geeigneter Angebote auch auf relevanten Portalen der öffentlichen Hand zu fördern. Da ist schon sehr viel Zeit im Markt und besonders für den Aufbau relevanter Angebote vor Bürgerinnen und Bürgern verloren gegangen. Mit fortschreitender europäischer Standardisierung werden die Eintrittshürden für die Wallet-Lösungen der GaFAs eher sinken. Wir arbeiten bei Verimi jeden Tag daran, hierzu relevante Gegengewichte zu etablieren.

Marktgerüchte besagen, Verimi werde mit Yes fusionieren. Ist da etwas dran und würde eine solche Fusion den Aufbau eines GAFA-Gegengewichts beschleunigen?

Zu den Marktgerüchten kann ich nichts sagen.

Generell fände ich jegliche Bündelung von Kräften sehr gut und sicherlich könnte die Deutsche Kreditwirtschaft gemeinsam mit ihren Assets eine noch stärkere Rolle in der Vertrauenskette einnehmen und damit die Entwicklung eines Ökosystems digitaler Identitäten in Deutschland signifikant voranbringen.”

Herr Adrian, vielen herzlichen Dank für das gute Gespräch.Rudolf Linsenabrth