Digital Identity Teil 2 - Identifikationsmedien gestern und heute

PPI Schweiz
Beginnen wir beim bekanntesten und verbreitetsten Identifikationsmittel, dem Pass oder einem ausweisähnlichen Dokument. Seinen Ursprung hat der Reisepass bereits im Mittelalter. Massgeblich vorangetrieben wurde seine Verbreitung jedoch mit der französischen Revolution im Jahr 1792. Erst dann wurden die Reisepapiere mit personenbezogenen Daten versehen wie Namen, Geschlecht und Personenbeschreibung. Bis dahin wurden Personendaten in kirchlich geführten Pfarrregistern geführt, lokal und damit dezentral.

Der Code Civil, der 1802 von Napoleon Bonaparte eingeführt wurde, regelte alsdann auch die Führung der Personenregister und schrieb vor, dass jede Person einen Pass mit sich führen muss, um sich gegenüber der Polizei jederzeit identifizieren zu können. In den folgenden Jahrzehnten wurden unter anderem in Preussen und dem Deutschen Reich Gesetze zur Mitführung eines Passes bei Auslandsreisen verabschiedet. 1981 wurden durch die Europäische Gemeinschaft (EG) die unterschiedlichen Reisepässe weitestgehend angeglichen, später folgten landesspezifisch die Aufnahme von Biometriemerkmalen und elektronisch lesbaren Chips in das Passdokument.

Erstaunlich ist, dass dieses doch recht historische Identitätsmedium noch heute beinahe unverändert existiert. Trotz Industrialisierung und technischen Fortschritts wurde bis heute keine brauchbare elektronische oder virtuelle Version dieses Dokuments entwickelt, die von Behörden und Bürgern akzeptiert wird. (Quelle: Wikipedia)

In der Schweiz wurde 2010 mit der SuisseID ein standardisiertes elektronisches Medium lanciert, um die Identität einer in der Schweiz lebenden Person festzustellen. Bis heute hat es die SuisseID jedoch nicht geschafft sich im täglichen Leben durchzusetzen, was meiner Meinung nach überwiegend am Handling liegt. So erschweren komplizierte Passwörter und Schlüssel die benutzerfreundliche Nutzung im Internet. Die hardtoken- und signaturbasierte SuisseID benötigt auch immer einen USB-Anschluss oder eine Smartcard, was im Zeitalter von Smartphones und Tablets die Nutzung verunmöglicht. Später angebotene Mobile-Services sind nur mit zusätzlichen Kosten nutzbar und das bei Weitem nicht mit allen Devices. Trotz oder gerade wegen der schleichenden Fortschritte bei der Digitalisierung von Identitäten ist eine Person auch heute noch gezwungen, für bestimmte Dienstleistungen eine neue Identifizierung anhand eines Passes oder ausweisähnlichen Dokuments vorzunehmen.

Häufig werden Kopien von Originaldokumenten angefertigt und in elektronischen oder physischen Kundenakten abgelegt. Ein Standardvorgehen bei Kontoeröffnungen. Die Echtheit des Legitimationsmediums wird meist nur oberflächlich geprüft. Wichtigstes Kriterium ist, ob der Name des zukünftigen Kunden auch nicht in irgendeiner Liste vorliegt, wie z.B. für Geldwäscherei, Wirtschaftskriminalität oder Terrorfinanzierung.
Für eine spätere Prüfung liegt der Bank lediglich noch eine Passkopie vor, auf der die meisten Sicherheitselemente des Originals nicht mehr vorhanden sind. Daraus leitet sich die Unmöglichkeit der nachträglichen Überprüfung eines Legitimationsmediums ab. Wird eine solche Passkopie nachträglich benötigt, muss sie oftmals aufwändig in einem Archivsystem gefunden werden. Meist sind die dort abgelegten Kopien prozessbedingt schlecht lesbar (die Kopie einer Kopie). Eine Prüfung auf Echtheit des ursprünglichen Dokuments ist aufgrund der schlechten Qualität praktisch nicht möglich. Im Gegensatz dazu ist ein digitaler Datensatz bestenfalls unveränderbar und von gleichbleibender Qualität. Hierzu mehr im dritten und letzten Teil dieser Serie.

Hier geht es zum Digital Identity Teil 1

Dieser Beitrag wurde von Marco Vosseler gepostet.

#DigitalFinance #IDaaS #DigitalIdentity #Digitalisierung

Digital Identity Teil 1 – Ein Thema für Banken?

PPI Schweiz
Die Authentifizierung über Benutzernamen und Passwort ist schon so alt wie der E-Commerce selbst, gilt jedoch noch immer als „State-of-the-Art“. Aktenschränke sind nach wie vor gefüllt mit Passkopien und wenn ein Unbekannter/eine Unbekannte in einer Bar ein alkoholisches Getränk bestellen, muss wie vor 50 Jahren mittels Führerausweis oder Identitätskarte bewiesen werden, dass sie alt genug sind, um Alkohol zu trinken.

Insgesamt betrachtet ist Identity Management ineffizient und ein Stück weit auch riskant. Ineffizient, da die gleichen Informationen immer wieder auf ein Neues in unterschiedlichen Systemen bei verschiedenen Händlern, Finanzinstituten, Versicherern etc. erfasst werden (müssen). Riskant deshalb, da die erfassten Daten in unterschiedlich stark gesicherten IT-Systemen oder als physische Kopien abgelegt werden und häufig keinerlei Kontrolle unterliegen.

Was aber wäre, wenn dieselbe Person in der Bar nicht ein Ausweisdokument zeigen müsste? Sie zeigt dem Barkeeper ihr Smartphone mit einem einmalig gültigen QR-Code, der abgescannt wird und dem Barkeeper auf seinem Kassendevice bestätigt, dass die Person alt genug ist, um Alkohol zu trinken. Bestenfalls wird sogar ein Foto angezeigt, damit das Barpersonal die Person auf der anderen Seite des Tresens auch visuell identifizieren kann.

Was wäre, wenn Konsumenten in einem Webshop beschränkten Zugriff auf persönliche Daten erlauben, anstatt sich mit Benutzernamen und Passwort anzumelden? Diese Daten könnten in einer persönlichen Cloud oder bei einem vertrauenswürdigen Provider hinterlegt werden.

Für die Finanzindustrie kann eine einheitliche digitale Identität verschiedene Vorteile mit sich bringen. Mit Hilfe eines Tokens oder eines digitalen Zertifikats zum Identitätsnachweis wäre es um vieles einfacher, eine Person zu identifizieren. Daneben gibt es den Regulator, der von Banken immer anspruchsvollere Prüfungen hinsichtlich Geldwäscherei und Terrorismusfinanzierung verlangt, was bankseitig zu steigenden Kosten führt und teure Ressourcen bindet.
Ein weiterer Vorteil ist das Plus an Sicherheit. Wenn persönliche Daten nicht mehr in irgendwelchen mehr oder minder abgesicherten IT-Systemen oder CRM-Softwares abgelegt werden, wird Kriminellen tendenziell weniger Anreiz geboten, diese Systeme zu hacken.

Gerade Banken investieren sehr viel Zeit und Geld in die Sicherheit ihrer Onlinebankingsysteme und eignen sich deshalb gut als Verwalter digitaler Identitäten. Neue Technologien wie z.B. Blockchain können zusätzliche Sicherheit bieten. Darüber hinaus sind diverse Sicherheitsüberprüfungen am Kunden-Device möglich. So sind viele Smartphones bereits mit einem Fingerabdrucksensor ausgestattet. Sämtliche Smartphones verfügen über mindestens zwei Kameras und Mikrofone, die Stimm- und Gesichtserkennung ermöglichen. Und nicht zu vergessen: Standortinformationen, ob sie über GPS-Signal, WLAN oder Bluetooth herangezogen werden, können einen Kunden auf wenige Meter exakt lokalisieren und erschweren die missbräuchliche Verwendung.

Damit ergibt sich zum Thema Sicherheit eine interessante Konstellation. Die Sicherheitsinfrastruktur wird zwischen Anbietern und Nutzern aufgeteilt. Durch zielgerichtetes Identity Management entstehen Synergien, von denen auch eine Bank im Kundenverkehr profitieren kann. Abhängig davon, über welchen Kanal Kunden in Kontakt mit einer Bank treten, kann eine angemessene Authentifizierung stattfinden. Der Eintrittspunkt für den Kunden / die Kundin ist dabei immer ein persönliches Smart Device, welches über eine App die Identität bestätigt. Je nach Notwendigkeit – ob der Kanal klassisches E-Banking, Mobile Banking oder gar am Schalter ist – sind unterschiedlich starke Authentisierungsverfahren denkbar.

Fortsetzung folgt.

Dieser Beitrag wurde von Marco Vosseler gepostet.

#DigitalFinance #IDaaS #DigitalIdentity #Digitalisierung

Angst vor Dridex - Wie schützt man sich richtig?

PPI Schweiz
"Offline Zahlungs-Software im Visier von Hackern - Schweizer Unternehmen betroffen."

Obige Schlagzeile ist der Mitteilung der Melde- und Analysestelle Informationssicherung MELANI im Juli dieses Jahres entnommen, die eine neue Art von Hacker-Angriff auf Unternehmen in der Schweiz beschreibt.

Firmen verwenden heute für die Abwicklung von Massenzahlungen, insbesondere bei Multibank-Verbindungen, in der Regel eine sog. Offline-Software für die Übermittlung, Freigabe und Ausführung von elektronischen Zahlungsaufträgen. Dabei werden Überweisungen automatisiert, direkt aus der ERP-Software ausgelöst und über sichere Protokolle an die Bank übermittelt. Diese Art der Zahlungsverkehrsabwicklung macht den Grossteil der heute in der Schweiz elektronisch eingereichten Aufträge aus.

Die in der Meldung von MELANI beschriebene Schadsoftware „Dridex“, die sich über schädliche Microsoft Office Dokumente in E-Mails von vermeintlich legitimen Absendern verbreitet, fokussiert seit neuestem genau diese Offline-Software-Lösungen. Dabei werden gezielt Hersteller attackiert, die im Schweizer Markt eine gewisse Verbreitung haben. Viele Firmen sind aktuell etwas verunsichert, wie sicher ihre Lösung in Tat und Wahrheit noch ist und wie sie sich gegen ähnliche Hacker-Angriffe schützen können.

Zunächst gelten einmal die von MELANI seit langem publizierten Sicherheitshinweise wie Verwendung dedizierter Computer, Ignorierung von Mails mit verdächtigen Attachments, regelmässige Aktualisierung von Betriebssystemen und Virenschutzprogrammen etc., welche die Absicherung der eigenen Infrastruktur gewährleisten. Ein Hinweis fällt dabei ins Auge, nämlich der, dass Kollektiv- anstelle von Einzelunterschriften eingesetzt werden sollen. Wie funktioniert das in der Praxis, wo ja keine Papier-Aufträge mehr physisch von den Bevollmächtigten der Firma signiert und an die Bank versendet werden?

Die Banken bieten hier grundsätzlich zwei Lösungen an (teilweise auch in Kombination). Einerseits ist die Freigabe über einen anderen Kanal möglich. Das heisst, die Datei mit den Zahlungsaufträgen wird beispielswiese über das Protokoll EBICS (Electronic Banking Internet Communication Standard) direkt aus der Offline-Software an die Bank übermittelt, wobei der Auftrag aber noch nicht zur Ausführung autorisiert wurde. Mittels Freigabe im Online-Banking der Bank können die Aufträge dann definitiv von einer zweiten Person freigegeben werden.

Eine weitere, sichere und flexible Art der Kollektiv-Unterschrift ist der Einsatz der im EBICS-Standard enthaltenen „Verteilten elektronischen Unterschrift“ (VEU). Der Standard sieht hierbei die Unterschriften-Modelle „Transport“- (keine Autorisierung), „Einzel“-, „Kollektiv A“- und „Kollektiv B“- Unterschriften vor. Pro Auftrag kann zudem auf Seiten der Bank eine Tageslimite definiert werden (wahlweise pro Kunde, Konto und Auftragsart). Die VEU erlaubt dem Kunden eine 1:1 Abdeckung der Unterschriftenregelung seiner Unternehmung und führt in Verwendung mehrerer Kanäle (z.B. Erteilung der zweiten Unterschrift über ein Mobile Device) zu einem sehr hohen Sicherheitsniveau.

Immer mehr Banken in der Schweiz führen die EBICS VEU als Angebot ihrer E-Banking-Lösungen ein. Erkundigen Sie sich bei Ihrem Institut explizit danach oder stellen Sie Ihre Fragen an info@ppi-schweiz.ch wenn Sie noch mehr Information zur EBICS VEU benötigen.

Dieser Beitrag wurde von Carsten Miehling gepostet.

#MELANI #VEU #EBICS #SECURITY

Regulierung im Fokus - PSD2 zwingt Banken sich zu öffnen

PPI Schweiz
Die überarbeitete Zahlungsdienstrichtlinie (PSD2) des Europäischen Parlaments und des Rates vom 25. November 2015 ist nicht einfach nur eine weitere Regulierung, die nur aus operationeller und regulatorischer Sicht betrachtet werden muss. PSD2 ist ein Beschleuniger des ohnehin schon allgegenwärtigen Strukturwandels in der – digitalisierten – Finanzindustrie.

Die PSD2 Richtlinien für den Zugang zum Zahlungskonto für Zahlungsauslöse- und Kontoinformationsdienste (XS2A – access to account) werden den strukturellen Wandel vorantreiben. Sie werden die Banken dahinführen, ihre Kundenzahlkonten für angemessen lizenzierte, innovative Dienstleister (TPP – third party provider, Banken und Nicht-Banken Fintechs) zu öffnen.

Daraus ergeben sich eine Reihe von Herausforderungen, denen sich die etablierten führenden Finanzinstitute stellen müssen: PSD2 XS2A Konformitätsgewährleistung, Erhaltung einer stabilen Kundenbasis bzw. deren Erweiterung und Erschaffung eines digitalen Öko-Systems, welches über ein reichhaltiges digitales Dienstleistungsangebot neue Einkommen generiert.

Ein zentrales Element des Konzeptes der Öffnung der Zahlungskonten ist die Entwicklung von Anwendungsprogrammierschnittstellen (APIs – application programming interfaces) durch die Banken. Fintech Unternehmen versuchen in dem sich rasch entwickelnden API Umfeld mit Zahlungs- und Informationsdienstleistungen neue Geschäftsfelder zu erschliessen und Gewinne zu realisieren, die lange Zeit den etablierten Banken und Finanzinstituten vorbehalten waren.

APIs könnten die Verteilung der Finanzdienstleistungen der Banken und Finanzinstitute neu definieren. Einige sehen in PSD2 XS2A und APIs eine Gelegenheit, enger mit aufkommenden Fintech Unternehmen zusammen zu arbeiten. Andere betrachten diese Entwicklung eher als eine Bedrohung für ihr bestehendes Geschäftsmodell.

Für die Finanzinstitute ergeben sich verschiedene Strategien, um mit PSD2 XS2A umzugehen. Wir haben vier generelle Strategieoptionen (Einhaltung, Wettbewerb, Wachsen und Wandel) identifiziert, die dem Blickwinkel der Bankenführungen bezüglich PSD2 XS2A und dem Einsatz von APIs als Geschäftsstrategie Rechnung tragen.

Alle Optionen umfassen strategische, planerische und betriebliche Überlegungen, auf die hier kurz und in späteren Blogs detaillierter eingegangen wird. Die Wahl der „richtigen“ strategischen Entscheidung erfordert von der jeweiligen Leitung ein Überdenken ihrer zukünftigen Ausrichtung, der gewünschten Positionierung in der Wertschöpfungskette, des Dienstleistungsangebotes und die Auswirkungen auf das Betriebsmodell.

Option 1:   Einhaltung
Diese Option stellt für die Banken die Minimalvariante des Handelns dar. Wenn sich eine Bank für diese Option entscheidet, legt sie den Schwerpunkt auf PSD2-Konformität und öffnet sich den Fintechs für Zahlungsauslöse- und Kontoinformationsdienste so wenig wie nötig.

Option 2:   Wettbewerb
Die Wettbewerbsoption ist in dem Sinne ähnlich wie die „Einhalte“- Option, da die PSD2-Konformität verbindlich ist. Im Gegensatz zur „Einhalte“- Option ist diese Option jedoch eine nach vorne gerichtete Strategie, bei der die Banken selbst innovative Zahlungsauslöse- und Kontoinformationsdienste schaffen und sich so die Möglichkeit offenhalten, ihre eigene Bedeutung für die Kunden zu steigern sowie sich auf gleicher Ebene mit Drittanbietern zu bewegen.

Option 3:   Wachsen
Auch diese Option stellt die PSD2-Konformität sicher. Die Banken setzen hier jedoch den Schwerpunkt auf die Entwicklung und das Anbieten von Dienstleistungen mittels Anwendungsprogrammierschnittstellen (API – Application Programming Interface), die weit über die grundlegenden von PSD2 XS2A verlangten Zahlungsauslöse- und Kontoinformationsdienste gehen. Dies wird es Banken ermöglichen, neue Ertragsquellen zu erschliessen. Beispiele hierfür sind umfassendere Kontoinformationen, Identitätsinformationen in Verbindung mit existierenden und neuen Produkten und Dienstleistungen. Beispiele für Angebote, die weiter gehen als zahlungsbezogene Services, sind Vergleichsdienste, Kreditwürdigkeitsprüfungen, Echtzeit-Finanzberater, persönliche Finanzplanung und -verwaltung, erweiterte Kreditantragsverarbeitung und Digitale Identitätsdienste (Authentisieren, Altersprüfungen, Online-Verträge ...).

Option 4:   Wandel
Diese Option kombiniert in sich die vorhergehenden drei Optionen. Die Bank legt ihren Schwerpunkt auf die „Bank als Plattform“-Strategie. Damit wird es auch Drittanbietern ermöglicht, Anwendungen und Dienstleistungen rund um das Finanzinstitut zu entwickeln. Dabei wird die Bank zum kompletten digitalen Akteur, stellt sich dem Wettbewerb und geht Partnerschaften ein, um die Gunst der Kunden für Zahlungs- und Informationsdienste zu gewinnen, die weitreichender sind als der rein regulatorische Umfang von PSD2 XS2A. Im Wesentlichen wird die Bank zu einer vielseitigen digitalen Plattform, sowohl für die eigenen Finanzdienstleistungen wie auch für die Dienstleistungen von Dritten.

Die Wahl der strategischen Option wird unterschiedliche und teils beträchtliche Auswirkungen auf die künftigen Geschäfte der Bank, auf das Betriebsmodell und auf die Kundenwahrnehmung haben. Banken, die mehr Ambitionen haben als sich nur zu fügen, können die Technologie (API) wirksam zu ihrem Nutzen und Vorteil einsetzen und ihren digitalen Wandel beschleunigen.

Die digitale Öffnung der Banken, der Weg zum „Open Banking“ beginnt heute!


Gerne können wir Ihnen auch in einem direkten Gespräch die Herausforderungen, Chancen und Gefahren darlegen. Bitte kontaktieren Sie uns hier.


Dieser Beitrag wurde von René Heusser (PPI Schweiz) in Zusammenarbeit mit Innopay Analysis gepostet.


PPI Schweiz

René ist Partner bei PPI Schweiz und Experte für Digital Banking, elektronischen Zahlungsverkehr und Trade Finance.
Im Bereich Digitalisierung verfügt er über Expertise in PSD2, Access to Accounts und Open Banking. 
Als Senior Consultant arbeitet René in Kundenprojekten zur Harmonisierung Zahlungsverkehr.





#PSD2 #XS2A #DigitalFinance #DigitalBanking #Fintech

Overstrained with paperwork? - Why you should ask your bank to provide you with eBAM

PPI Schweiz
Are you sick of the time required to open, close or manage your existing Bank accounts? If you are looking to optimize your treasury processes, you should already be looking to get up to date with eBAM.

eBAM ?

Electronic Bank Account Management (abbreviated as eBAM) is a Financial Services Messaging standard defined by Swift, and will allow you to get rid of the time consumed by the head aching paper based bank account management you are used to nowadays.

Corporates around the world are waiting to digitalize and standardize the way they communicate with their banks for many years now, and not just payment files … all the processes.

And in Switzerland, as well as in other European countries, with the arrival of EBICS, and the ISO 20022 standardization, the urge to switch everything to XML format is even bigger.


How will you benefit from the eBAM standard?

Let’s be honest. The first benefit that comes to mind would be: « getting rid of paper ». Now that we manage to send our daily business to our banks via standardized channels in a digital way, it would be a big step backwards to keep managing our bank accounts with paper in a slow, insecure and non-standardized way.

The eBAM standard will help corporates to optimize and automate their processes, by providing a multi-bank standardized ISO 20022 File format which will allow the electronic opening, maintenance, closing of accounts. Even the reporting on account and mandate structures. Account maintenance also includes the maintenance of the operational mandates on accounts. Having the same electronic procedures for every bank will result in a noticeable gain in efficiency.

But eBAM does not stop there. In fact, it will provide you with a global visibility on your bank accounts - no more sleeping bank accounts you are not aware of! Having all this bank provided information, in a central repository will help you to manage your compliancy tasks easier than ever before.

From a security viewpoint eBAM will support digital signatures like the famous 3Skey provided by SWIFT which will make possible to identify the authorized users who manages the bank accounts and to add a whole new layer of security.

Since the format is ISO based, it is fully compatible with most of the communication standards used today, like SWIFT FileAct, Host to Host connections or EBICS, which is commonly used in France, Germany and Switzerland. Having said this, it will be easy to connect your existing systems and to feed them with eBAM files.

What about you? Are you already working on a way to manage your bank accounts in an efficient and secure way?

If not, please do not hesitate to contact us  we would be delighted to give you some more insights on this technology and the ways we think are best to implement it.

Posted by Julien Lacombe, PPI Schweiz


Julien is an expert for Cash Management and Payments. He has extensive international experience and knows the needs of corporates and financial institutions.

He currently supports customers in projects to harmonize payments in Switzerland, for example in the areas of ISO 20022 and EBICS.




 #DigitalBanking #eBAM #EBICS #Finance #ISO20022 #SWIFT