“VideoIdent – ist das sicher oder kann das weg?”
Richman-Photo/mr.travellers/bigstock.com/ITFM
Die Überschrift zu diesem bereits seit längerem geplanten Artikel hat mir Sascha Dewald geliefert. Er ist Senior Vice President Retail Banking bei der DKB. Ist Videoidentifizierung wirklich sicher, und welche Alternativen der Fernidentifikation gibt es? Ident-Experte Rudolf Linsenbarth nimmt den Status-Quo unter die Lupe.
von Rudolf Linsenbarth
In einem extrem meinungsstarken Post auf LinkedIn stellt Sascha Dewald die folgenden Thesen zum Thema Videoidentifizierung auf: 1. Durch den Einsatz von geschulten Agenten lässt sich die VideoIdent auf ein akzeptables Sicherheitsniveau heben2. VideoIdent ist derzeit in Ermangelung von Alternativen als Brückentechnologie unverzichtbar!
3. Die Umsetzung einer neuen, sicheren und kundenfreundliche(re)n Digitalen Identität liegt beim Staat!
Anlass für diese Wortmeldung war der Hack des Sicherheitsforscher und CCC Mitglied Martin Tschirsich im Sommer 2022. Bisher ist VideoIdent, im Gegensatz zum staatlich angebotene eID-Verfahren, eine Erfolgsgeschichte. Wie geht es jetzt also weiter.
Rudolf Linsenbarth beschäftigt sich mit Mobile Payment, NFC, Kundenbindung und digitaler Identität. Er ist seit über 15 Jahren in den Bereichen Banken, Consulting, IT und Handel tätig. Linsenbarth ist profilierter Fachautor und Praktiker im Finanzbereich und kommentiert bei Twitter (@holimuk) die aktuellen Entwicklungen. Alle Beiträge schreibt Linsenbarth im eigenen Namen.Schwachpunkte der Videoidentifizierung, neben Bedenken bei der Sicherheit, sind im Vergleich zur eID eine schlechte UX und die Notwendigkeit, einen Agenten als Prüfer vorzuhalten. Das schlägt sich in den Kosten nieder und führt in Peak-Zeiten zu Warteschlangen am „Video-Ident-Tresen“. Abhilfe sollen hier automatisierte Verfahren schaffen.
Auf die Frage, ob ein Ausweisdokument als physisch oder digital bezeichnet wird, gibt es zwei Sichtweisen.
1. Zum einen kann man sich am Formfaktor orientieren. Dann wäre der Plastikpersonalausweis immer als ein physisches Dokument anzusehen (auch wenn die eID-Funktion zum Einsatz kommt) und die „Smart eID“, also der im Secure Element des Smartphones gespeicherte Ausweis, das digitale Pendant. 2. Eine andere Betrachtungsweise wäre die Frage, ob die Daten für den biometrischen Abgleich analog oder digital ausgelesen werden. Bei unserem Reisepass ist zum Beispiel beides möglich. Das biometrische Foto ist sowohl auf das Dokument gedruckt, lässt sich aber auch per NFC mit einem Smartphone auslesen. Für den Personalausweis gilt das nicht, hier ist der Zugriff auf das Foto nur berechtigten Behörden gestattet. Für den digitalen Abgleich ist hier die eID-Funktion vorgesehen.Im Folgenden werde ich mich der zweiten Sichtweise anschließen und immer dann von einem digitalen Identifikationsdokument sprechen, wenn die ID-Daten auf digitalem Weg ausgelesen werden können.
VideoIdent ist ungleich Videoidentifizierung
Die Frage ist, ob eine „unbeaufsichtigte“ Videoidentifizierung zu Lasten der Sicherheit geht. Die Antwort ist nicht so einfach, da es unter den Videoidentifizierungsverfahren eine große Spannbreite an Umsetzungen gibt, die vielfach in einen Topf geschmissen werden.
Zum Beispiel vermarktet IDnow unter dem Namen VideoIdent eine Online-Identifikation via expertengestütztem Video-Chat. Das Produkt ohne beaufsichtigenden Agenten heißt dagegen AutoIdent. Bei WebID lautet der Name für die Agenten-basierte Identifikation Video ID (Live Call) und die Deutsche Post bezeichnet es als Foto-Ident. Mit Foto-ID dagegen wurde ein unbeaufsichtigtes Verfahren von JenID Solutions angekündigt. Ob dabei wirklich nur ein einzelnes Foto der Vorder- und Rückseite verwendet wird oder doch eine ganze Video-Sequenz zum Einsatz kommt, ist nicht eindeutig, mittlerweile wurde es in Genuine-ID umbenannt. Bei Nect lief das automatisierte Videoidentifizierungsverfahren früher unter den Bezeichnungen Robo-Ident oder Selfie-Ident, mittlerweile spricht man dort lieber von der Nect Ident und bezeichnet damit wechselweise entweder nur die eigne automatisierte Videoidentifizierung oder das Bundle aller Identifizierungsverfahren aus dem Portfolio.
Ob eine Videoidentifizierung mit oder ohne Agenten stattfindet, sieht man sofort, genau wie die Frage ob vom Ausweis nur ein einzelnes Foto gemacht wird oder zur Prüfung eine komplette Videosequenz übertragen wird. Anders dagegen die Frage, ob ein unbeaufsichtigter Identifizierungsvorgang nachträglich von einem Menschen geprüft wird und ob eine KI zum Einsatz kommt und wie gut sie trainiert ist. Trotzdem wird vielfach alles über einen Leisten gezogen, wie die Reaktion der gematik zeigt.
Was wäre eigentlich die Alternative zu einer Videoidentifizierung? In der nachfolgenden Tabelle findet man die derzeit am Markt befindlichen Fernidentifizierungsmethoden im Vergleich.
| Fernidentifzierung | Art der Prüfung | ID Quelle | Beispiele |
|---|---|---|---|
| Videoidentifizierungsverfahren | manuell/
automatisiert |
physisches ID-Dokument *) | Verschiedene Verfahren mit und ohne Agenten, sowie mit und ohne KI von einer Vielzahl von Anbietern |
| Elektronischer Identitätsnachweis(eID) | automatisiert | digitales ID-Dokument *) |
In Deutschland ist das einzig zugelassene eID-Verfahren der Personalausweis, darüber hinaus wird noch an der Smart-eID gearbeitet |
| Qualifizierte elektronische Signatur (QES) | automatisiert | digitales ID-Dokument *) |
Eine Liste der in Europa zugelassenen Dienstleister findet man unter diesem Link mit der Kennzeichnung
QCertf or ESig |
| Bank-Identifizierung | automatisiert | ID-Register | Eine Bank-Identifizierung wird in Deutschland von den folgenden Dienstleistern angeboten: · Solaris Bank · Verimi · WebID · YES |
| SSI | automatisiert | ID-Register | ID Wallets einer Vielzahl von SSI-Anbietern |
Entropie der Anwendungsfälle
Betrachtet man einmal die fünf wichtigsten Anwendungsfälle der Fernidentifikation, nimmt die Entropie noch einmal erheblich zu. Statt einer einheitlichen Testung und Bewertung besitzt jedes Silo eine eigene gesetzliche Grundlage, eigene Durchführungsverordnungen und meist auch eine eigene Aufsichtsbehörde. Das heißt, die Vorgaben für eine Videoidentifizierung bei KYC sind andere als für Vertrauensdiensteanbieter oder Identverfahren für Prepaid-Mobilfunkdienste. Bei der Fernidentifizierung für die elektronische Patientenakte habe ich überhaupt keine Durchführungsverordnung gefunden. Beim „Digitalen Behördengang“ gilt sowieso, alle Identifizierungsverfahren außer der eID, somit ist auch die Videoidentifizierung außen vor.
| Ministerium / Aufsicht | Gesetzliche Grundlage/ Verordnung | Zugelassene ID-Verfahren | |
|---|---|---|---|
| KYC-Identifizierung gemäß GwC | Bundesfinanzministerium (BMF) / Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) | GwG (Geldwäschegesetz) / AuA (Auslegungs- und Anwendungshinweise) | – eID – QES (Qualifizierte elektronische Signatur) + Referenzüberweisung – Videoidentifizierungsverfahren mit Agenten (hierzu Mitteilung der BaFin) |
| Identverfahren für Prepaid-Mobilfunkdienste | Bundesministerium für Wirtschaft und Klimaschutz (BMWK) / Bundesnetzagentur | TKG (Telekommunikationsgesetz) | – eID – Anlassbezogene klassische Video-Identifikation – Anlassbezogene automatisierte Video-Identifikation |
| Vertrauensdiensteanbieter Identifizierung | Bundesministerium für Wirtschaft und Klimaschutz (BMWK) / Bundesnetzagentur | VDG (Vertrauensdienstegesetz ) / Modulbestätigung | – eID – Videoidentifizierung mit Agenten – Videoidentifizierung mit automatisiertem Verfahren – Nutzung eines elektronischen Identitätsnachweises mit einem mobilen Endgerät gemäß § 18 Absatz 2 Satz 1 Nummer 2 PAuswG. (Smart eID?) |
| Identifizierung für die elektronische Patientenakte (ePA) | Bundesministerium für Gesundheit (BMG) / Gematik | PDSG (Patientendaten-Schutz-Gesetz) / Informationspflicht gemäß § 314 | – eID – Videoidentifizierung egal ob mit oder ohne Agenten ist derzeit gemäß einer Mitteilung der gematik bis auf weiteres untersagt |
| Digitaler Behördengang | Bundesministerium des Innern und für Heimat (BMI) | OZG (Onlinezugangsgesetz ) | – eID |
ETSI das European Telecommunications Standards Institute hat mit der Norm TS 119 461 eine Möglichkeit geschaffen, die unterschiedlichen Videoidentifizierungsverfahren zu gruppieren. Ob damit eine bessere Einschätzung des Sicherheitslevels der jeweiligen Lösung möglich ist, erörtere ich im nächsten Beitrag.Rudolf Linsenbarth
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/148215
Schreiben Sie einen Kommentar