‘Digitale Identität’ weist eine entsprechende Online-Identität aus, so wie man es von Führerschein oder Ausweis kennt. Das elektronische Transaktionsverfahren besteht aus drei Stufen: Initiale Identifikation, Authentifizierung und Autorisierung.
Die Organization for Economic Co-operation and Development (OECD) definiert eine elektronische Transaktion wie folgt:
“Eine elektronische Transaktion ist der Verkauf oder Kauf von Waren oder Dienstleistungen, sei es zwischen Unternehmen, Haushalten, Einzelpersonen, Regierungen und anderen öffentlichen oder privaten Organisationen, die über computervermittelte Netzwerke durchgeführt werden.”
Elektronische Transaktionen gibt es seit Jahren. Insbesondere Finanzdienstleister haben dafür gesorgt, dass die entsprechenden Technologien ausgebaut und massentauglich werden. Solche Transaktionen lassen sich inzwischen schnell und einfach durchführen, aber vielen von ihnen fehlt etwas: eine Identität.
Bei einer Online-Transaktion “Ich stimme zu” zu klicken, reicht nicht aus um nachzuweisen, dass tatsächlich die richtige Person zugestimmt hat. Wenn es um sensible Transaktionen wie die von Finanzdienstleistern geht, dann reichen auch eine aufgezeichnete gesprochene Zustimmung oder eine handschriftliche Online-Unterschrift für eine eineindeutige Verifizierung nicht aus.
Hier kommt digitale Identität ins Spiel. ‘Digitale Identität’ weist eine entsprechende Online-Identität aus, so wie man es von Führerschein oder Ausweis kennt. Das elektronische Transaktionsverfahren besteht aus drei Stufen:
- Initiale Identifikation (basierend auf echter ID)
- Authentifizierung (basierend auf den in der ersten Stufe bereitgestellten Anmeldeinformationen) und
- Autorisierung (Unterzeichnung und Genehmigung eines Finanzdokuments).
Bei dieser Art der elektronischen Kommunikation kann es ziemlich schwierig werden, mit absoluter Sicherheit nachzuweisen, dass eine Autorisierung wirklich stattgefunden hat. Der Nachweis der Identität wird zur rechtlichen Notwendigkeit.
Identität ist inzwischen auch eine Compliance-Anforderung. Mit Verordnungen wie eIDAS, dem Electronic Communications Act (Gesetz über die elektronische Kommunikation), der Payment Services Directive 2 (Richtlinie über Zahlungsdienste 2) und dem Consumer Credit Act (Verbraucherkreditgesetz), sind Organisationen (insbesondere solche des Finanzwesens) angehalten, geeignete Maßnahmen zu ergreifen, um die Identität derjenigen zu überprüfen, die Online-Transaktionen mit einem bestimmten Unternehmen abwickeln.
Sehen wir uns dazu Anwendungsfälle für elektronische Transaktionen an und wie ein Finanzdienstleister Identitäten nutzen kann, um einen Kunden zu verifizieren und in seiner Branche richtlinienkonform zu bleiben.
E-Mandate für Sepa-Lastschriften
Bei einem Lastschriftmandat ermächtigt eine Kunde ein Unternehmen, zukünftig fällig werdende Zahlungen einzuziehen. Die Erlaubnis erfolgt häufig über ein Mandatsformular in Papierform, das der Kunde ausfüllt. Bisher war diese Methode ausreichend. Allerdings arbeiten mehr und mehr Unternehmen “papierlos”. Dazu gehören auch papierlose Lastschriftmandate.
Das Problem bei papierlosen Lastschriftmandaten ist, dass sie von Ihrer Bank genehmigt werden müssen. Die Bank segnet alle Informationen, die einem Kunden präsentiert werden, ab. Sobald Zahlung und Genehmigung vom Kunden eingeholt wurden, werden diese Daten elektronisch an die Bank übermittelt. So weiß die Bank über Ihre Einzugsermächtigung (EZE) Bescheid.
Im Mai 2014 erörterte das Euro Retail Payments Board die Fragen, die sich aus E-Mandaten und Lösungen für Sepa-Lastschriften (SLS) ergeben.
Bild 1: SEPA Direct Debit mandates
Interessanterweise skizziert dieses Dokument etliche Probleme, die eIDAS und PSD2 gemeinsam lösen. Insbesondere das Konzept des ‘Mangels an Vertrauen’. Schuldner können beispielsweise aus ausländischen Mitgliedsstaaten mit verschiedenen Zahlungsdienstleistern (ZDL) oder Drittanbietern von E-Mandat-Dienstleistern kommen. Das erschwert es, die Genehmigung nachzuvollziehen.
Das Dokument schlägt unter anderem vor Authentifizierungslösungen auf beiden Seiten zu implementieren, also sowohl auf Seiten des Kunden als auch Mandats-seitig. Was fortgeschrittene elektronische Signaturen anbelangt, werden PKI-Zertifikate als Mittel zur beiderseitigen Authentifizierung vorgeschlagen.
Kreditverträge
Ein Kreditvertrag umfasst einen rechtlichen Vertrag, der von einem Kunden unterzeichnet werden muss. Das ist einer der Schritte, die er ergreifen muss, um eine finanzielle Transaktion, wie beispielsweise eine Hypothek zu erhalten, abzuschließen. Um diese Transaktion in eine Online-Umgebung zu bringen, muss gewährleistet sein, dass die richtige Person den Vertrag unterschreibt und dass alle Informationen, die vom Finanzdienstleister an den Kunden weitergegeben wurden korrekt sind. Dazu benötigt man eine Art elektronische Signaturlösung.
Im Vereinigten Königreich wurde das Verbraucherkreditgesetz 2004 geändert, um elektronische Signaturen zu berücksichtigen. Am 26. Februar beschloss der Oberste Gerichtshof im Fall Bassano vs Toft, dass eine elektronische Signatur Beweis genug für einen ordnungsgemäß abgeschlossenen Kreditvertrag ist und er gemäß Verbraucherkreditgesetz durchgeführt wurde. Frau Bassano hatte versucht zu erstreiten, dass die Darlehenskonditionen nicht durchsetzbar und damit ungültig wären. Dieser Ansicht ist das Gericht in seinem Urteil nicht gefolgt.
Das bringt eine Menge Annehmlichkeiten für Kreditgeber, die elektronische Signaturen verwenden. Darüber hinaus helfen neue Verordnungen wie eIDAS, die Verwendung elektronischer Signaturen unter höheren Sicherheitsauflagen zu erzwingen. Das schafft mehr Vertrauen und stellt sicher, dass das Dokument nicht nachträglich geändert wurde.
Verwendung digitaler Zertifikate für die Identität bei elektronischen Transaktionen
eIDAS geht davon aus, dass Finanzinstitute über fortgeschrittene oder qualifizierte elektronische Signaturen ein hohes Maß an Sicherheit und Vertrauen bieten, beispielsweise indem sie digitale Zertifikate verwenden. Ein digitales Zertifikat kann bei einer Zertifizierungsstelle wie GlobalSign erworben werden. Bevor das Zertifikat ausgestellt wird, wird die Identität der Person (d. h. des potenziellen Kunden) gründlich geprüft. Das resultierende Zertifikat ist einzigartig für genau diese Person und kaum zu manipulieren oder zu fälschen.
Die jeweilige Person kann dann das Zertifikat zum digitalen Signieren elektronischer Transaktionen verwenden. Digitale Signaturen bieten mehr Sicherheit als andere Arten elektronischer Signaturen, da sie eindeutig mit dem Unterzeichner verknüpft sind und nachträgliche Änderungen am Dokument verhindern. Die Einbindung eines vertrauenswürdigen Zeitstempels von einem Drittanbieter bietet darüber hinaus Unleugbarkeit von Datums und Uhrzeit, zu denen das Dokument signiert wurde.
Zertifizierungsstellen versuchen sicherzustellen, dass ihren Roots in wichtigen Softwareanwendungen, wie Adobe und Microsoft, vertraut wird und mit ihnen kompatibel sind. Signaturen, die mit solchen Zertifikaten erstellt wurden, werden dann automatisch erkannt und verifiziert. Das trägt dazu bei, eine durchgängige Benutzererfahrung für alle an der elektronischen Transaktion beteiligten, zu bieten.
Bild 2: Beispiel eines nicht vertrauenswürdigen Zertifikats in Adobe Reader
Bild 3: Beispiel eines vertrauenswürdigen Zertifikats in Adobe Reader
Finanzielle Interaktionen mithilfe von Identitäten verbessern
Um die theoretischen Erörterungen besser einordnen zu können, hier einige Beispiele wie Finanzdienstleister bereits jetzt digitale Zertifikate nutzen können. Etwa um ihre Dienste zu verbessern, sich im Markt zu differenzieren, richtlinienkonform zu werden, eine durchgängige Kundenerfahrung zu ermöglichen und gleichzeitig Vertrauen in elektronische Transaktionen zu gewährleisten (für ein juristisches Umfeld).
Anwendungsfall 1: Elektronische Mandate
In einem typischen Szenario wird ein elektronisches Mandat vereinbart, wenn der Schuldner einen Haken im entsprechenden Kästchen setzt und so seine Zustimmung bestätigt. In der realen Welt lässt sich nicht unterscheiden, ob der echte Schuldner zugestimmt hat oder sein Cousin oder, wenn wir schon dabei sind, ein Hacker.
Deshalb wird von einer Drittfirma die Identität überprüft und ein digitales Zertifikat an den Schuldner ausgestellt. Das Zertifikat verbleibt auf dem Mobiltelefon oder einem anderen Gerät des Schuldners, zu dem nur er Zugang hat und auf dem nur er das Zertifikat verwenden kann, um den Vertrag zu unterzeichnen. Darüber hinaus profitiert der Kunde von einer einfachen “on-the-go” Transaktion, die sich deutlich von umständlicheren Varianten unterscheidet.
Anwendungsfall 2: Unterzeichnen von Kreditverträgen weltweit
Angenommen, Sie bräuchten kein persönliches Treffen mit Ihrem Kunden und könnten die komplette finanzielle Interaktion online oder per Handy durchführen. Kunden würden Zeit sparen, da Transaktionen von überall auf der Welt aus möglich wären.
Durch die Integration von elektronischen Signierlösungen in mobile Applikationen lässt sich eine Transaktion komplett papierlos machen. So können Sie einen Kreditvertrag senden und der Kunde kann ihn unterschreiben. Das notwendige Vertrauen gewährleistet die zuvor durchgeführte Identitätsverifizierung eines vertrauenswürdigen Dritt-Identitätsanbieters. In diesem Szenario fungiert das Mobiltelefon des Kunden als ‘sichere Signaturerstellungseinheit’, mit dem er seine Identität nachweisen kann.
Es ist sicherlich an der Zeit über eine Infrastruktur der digitalen Zertifikate nachzudenken. Dafür spricht eine Reihe von Vorteilen: Unternehmen agieren durchgängig richtlinienkonform, sie differenzieren sich innerhalb ihres Marktumfelds, sie sind in der Lage Identität innerhalb der gesetzlichen Regelungen nachzuweisen und aktuelle Vorgaben wie eIDAS zu erfüllen.