Mit den neuen BaFin-Vorgaben erreicht die Video-Identifikation, die in Deutschland seit 2014 zur Online-Legitimation von Kunden zugelassen ist, ein Sicherheitsniveau, das in Europa bisher seinesgleichen sucht. Knapp vier Monate nach der Umsetzung der neuen Vorgaben ist es Zeit, ein Resümee zu ziehen und zu zeigen, welche Erkenntnisse bisher gewonnen werden konnten. Die verschärften Vorgaben betreffen sowohl technische als auch prozessuale Abläufe der Video-Identifikation und forderten von den Ident-Anbietern erhebliche Umstellungen in den bisherigen Verfahren.
Die Anforderungen sind gestiegen
So mussten beispielsweise die Ausweisdatenbanken angepasst werden, damit das Programm automatisch Ausweise herausfiltern kann, die nicht genügend Sicherheitsmerkmale besitzen. Denn nach den neuen Vorschriften müssen nun drei zufällig ausgewählte Sicherheitsmerkmale überprüft werden. Ausweise, die weniger beinhalten, sind damit nicht mehr für die Video-Identifikation zugelassen. Auch andere technische Vorgaben hatten Auswirkungen auf den bisherigen Ident-Prozess: Jeder Ident-Vorgang muss jetzt auf Video aufgezeichnet und gespeichert werden. Dadurch erhöht sich das Datenvolumen jeweils auf rund 10 MB, was von den Banken und Ident-Anbietern entsprechende Server-Kapazitäten verlangt. Wir haben umgehend darauf reagiert und stellen den Finanzinstituten seitdem dafür Extra-Server zur Verfügung.
Die komplette Kommunikation zwischen Ident-Spezialist und Nutzer muss nun durchweg sicher verschlüsselt sein und über eine Verbindung mit mindestens 2.048 Bit laufen. Dienste wie Skype oder FaceTime und Verbindungen mit geringerer Verschlüsselung sind damit nicht mehr zulässig. Und schließlich müssen die Ident-Anbieter in der Lage sein, hochaufgelöste Standbilder zu erzeugen, um die Sicherheitsmerkmale wie gefordert überprüfen zu können. Dabei liegt die Schwierigkeit darin, ausreichend gute Bilder auch bei einer schlechten Internetverbindung zu erstellen, damit die Identifikation sicher durchgeführt werden kann. Diese Technologie ist Teil des europäischen Patents von
IDnow.
Umfangreiche Schulung der Mitarbeiter notwendig
Besonders zeitintensiv gestaltete sich die Schulung der Ident-Spezialisten zu den neuen technischen Schritten im Identifikationsprozess. Sie fordern nun beispielsweise den Nutzer dazu auf, mit dem Finger einzelne Sicherheitsmerkmale auf dem Ausweisdokument zu verdecken und die Hand vor dem Gesicht auf und ab zu bewegen, damit potenzielle Manipulationen erkannt werden. Außerdem lassen sie sich den Anlass der Identifikation bestätigen und nutzen spezielle Fragestellungen und Beobachtungen, um sich davon zu überzeugen, dass es sich um keinen Betrugsversuch handelt.
Sicherheit hat ihren Preis
Ein größeres Maß an Sicherheit hat allerdings auch seinen Preis: Da nun mehr Merkmale überprüft und Standbilder angefertigt werden müssen, dauert der gesamte Ident-Vorgang etwas länger. Finanzinstitute müssen sich über die unausweichliche Verlängerung des Prozesses bewusst sein. Sollte sich der Vorgang seit dem neuen BaFin-Rundschreiben nicht verlängert haben, sollten Banken sehr genau hinschauen, ob wirklich sämtliche Vorgaben umgesetzt werden. Die BaFin selbst prüft die Prozessbeschreibung der Ident-Anbieter. Sie wird von dem Finanzinstitut, das ein entsprechendes Verfahren verwendet, bei der Aufsichtsbehörde eingereicht. Ob dieser Prozess dann tatsächlich auch so umgesetzt wird, verifiziert ein unabhängiges Institut wie beispielsweise TÜViT oder Ernst & Young.
Nach den ersten Monaten im täglichen Einsatz zeigt sich, dass die neuen Regelungen dazu beitragen, das zukunftsweisende Verfahren der Video-Identifikation noch sicherer zu machen, ohne die Nutzerfreundlichkeit einzuschränken. Damit baut Deutschland seine Vorreiterrolle bei der Online-Legitimation weiter aus, die es bereits mit der Zulassung des Verfahrens 2014 übernommen hat.