Mit der eID zur elektronischen Identität

Bereits seit 2015 befasst sich das Bundesamt für Polizei im Auftrag des Bundes mit einem Konzept zur Abbildung einer staatlich anerkannten elektronischen Identität. Was Estland bereits seit Jahren erfolgreich vorlebt, ist in der Schweiz noch Zukunftsmusik. 

Ziel ist die Schaffung eines E-ID-Ökosystems, welches Natürliche und Juristische Personen, staatliche Stellen in der Schweiz und der EU, Identitätsdienstleister und öffentliche Instanzen sowie vertrauende Beteiligte vereint.

Das Rückgrat dieses E-ID-Ökosystems bilden das elektronische Identitätsmanagement und die dazugehörigen E-ID-Systeme, betrieben durch Identity Provider.

Was ist das Bestreben des Bundes?

Es ist verstärkt zu beobachten, dass immer mehr Geschäftsprozesse elektronisch bzw. online abgewickelt werden. Dies wird einerseits durch die sich unaufhaltsame Ausbreitung des Internets, aber auch durch die immer besser ausgebildeten und technologieaffinen Nutzer begünstigt. 

Bereits heute können verschiedenste Prozesse wie der Kauf und Verkauf von Waren und Dienstleistungen online abgewickelt werden. Um jedoch auch anspruchsvollere Geschäftsprozesse online auszuführen, benötigt es eine vertrauenswürdige Identitätskontrolle des Gegenübers. Um diesem Bedarf gerecht zu werden, soll in der Schweiz für Natürliche Personen eine anerkannte elektronische Identifikationseinheit eingeführt werden, bezeichnet als elektronische Identität, E-ID oder eID. Diese elektronische Identität soll darüber hinaus auch im Ausland Akzeptanz finden.

Welches sind die Voraussetzungen für eine eID?

Als wichtige Basis für die Abwicklung eines Geschäfts gelten Rechtssicherheit und Vertrauen. Letzteres äussert sich vielfach durch das „Kennen“ – die Identifikation – der Gegenpartei. Während in der physischen Welt konventionelle Identifikationsmittel wie Pass oder Identitätskarte ausreichen, stossen diese im digitalen Online-Umfeld an ihre Grenzen.  Deshalb sollen die uns bekannten Identifikationsmittel um die eID ergänzt werden.

Diese soll staatlich anerkannt sein und es den Inhabern ermöglichen, sich bei Online-Diensten sicher zu registrieren und anzumelden.

Derzeit arbeiten beispielsweise die Grossbanken UBS und Credit Suisse an einem „Passepartout fürs Internet“, ebenso wollen SBB und Post eine gemeinsame Lösung für die Anmeldung an Web-Portalen anbieten.

Wie funktioniert eine eID?

Eine eID wird von einem anerkannten Identitätsprovider (IdP) ausgestellt. Je nach gewünschtem Sicherheitsniveau erfolgt die Registrierung in verschiedenen Schritten und kann eine persönliche Vorsprache oder Video-Identifikation erfordern.

Es wird zwischen drei Sicherheitsniveaus (niedrig, substanziell und hoch) unterschieden, wie sie auch die EU für die E-ID ihrer Mitgliedsstaaten (eIDAS-Verordnung) und die USA für Vertrauensdienste vorsehen.

Bei den Sicherheitsniveaus „substanziell“ und „hoch“ ist eine Zwei-Faktor-Authentifizierung vorgesehen, wobei bei Niveau „hoch“ ein Faktor biometrisch sein muss. 

Ist die eID einmal ausgestellt, kann sie vom User für die Registrierung und Anmeldung bei Online-Portalen genutzt werden. Durch die Registrierung via eID entfallen die manuellen Angaben zu den persönlichen Daten. Diese werden nach Freigabe durch den Inhaber der eID elektronisch übermittelt. Wurde eine eID einmal eingegeben, soll sie wiedererkannt werden und garantiert eine verlässliche Anmeldung.

Wie geht es weiter?

Im Februar 2017 wurde vom Bund ein Vorentwurf für das „Bundesgesetz über anerkannte elektronische Identifizierungseinheiten“ (E-ID-Gesetz) publiziert. Das Vorhaben wird einerseits durch die Strategie „Digitale Schweiz“ und die E-Government-Strategie vorangetrieben. Andererseits sind aus der Wirtschaft mehrere hochkarätige Unternehmen mit der Erarbeitung von Lösungen beschäftigt. 

Nach der Schaffung der gesetzlichen Grundlagen wird vor allem der Aufbau der Infrastruktur entscheidend für Verbreitung und Akzeptanz der eID sein. Neben Akzeptanzstellen braucht es die anerkannten Identitätsprovider (IdP), die für die Ausstellung der eIDs legitimiert sind. Zünglein an der Waage bleibt aber vor allem der Verbraucher, für den die eID in angemessener Art und Weise zugänglich gemacht werden muss. Entscheidend für den Erfolg wird dabei sowohl die Usability der eID im Alltag sowie das Vertrauen in die neue Funktionalität sein.

Für Sie gebloggt hat Marco Vosseler

#eID #DigitalFinance #DigitalIdentity #eGov #eGesellschaft #KYC #IDaaS

Weiterlesen

Digital Identity Teil 3 - Lösungsbeispiel und strategische Haltung

Anforderungen an Digital Identity

In seiner einfachsten Weise ist eine digitale Identität eine Online-Legitimation für ein real existierendes Individuum. Vorstellen kann man sie sich als Datensatz mit Informationen zu einer Person, die von ihr selbst erhoben werden oder auch aus anderen Quellen stammen, wie beispielsweise von Firmen und staatlichen Institutionen, die Informationen über diese Person besitzen. Dieser Datensatz kann „harte“ Attribute enthalten wie Name, Adresse, Geburtsdatum, Führerausweisnummer etc., er kann jedoch auch mit „weichen“ Attributen wie Social Media-Nutzung oder Informationen aus Bewertungsportalen angereichert werden. Durch das Zusammenspiel dieser Attribute entsteht ein eindeutiges Bild einer Person, das mit hinreichender Sicherheit bestätigt, dass eine Person diejenige ist, für die sie sich ausgibt. Dieser digitale Footprint kann als „unique“ bezeichnet werden und ist deshalb geeignet, eine digitale Identität zu erstellen, die dem Besitzer / der Besitzerin erlaubt, auf Services in der Online- oder auch der realen Welt zuzugreifen.

Internationales Umfeld
Im internationalen Umfeld gibt es bereits verschiedene Initiativen. Beispielsweise hat Kanada 2012 eine Secure Key Initiative gestartet, die zum Ziel hat, die Identitäten der Kunden für Finanzinstitute und Behörden zu verwalten. Teilnehmer an dieser Initiative sind unter anderem die Tangerine Bank, Bank of Montreal, TD Bank und Scotiabank.

Die Initiative sieht es vor, dass sich kanadische Bürger über ihr E-Banking bei staatlichen Onlineservices anmelden können. Dabei wird sichergestellt, dass die Bank keinerlei Informationen an die Behörden gibt und umgekehrt. Der Nutzer hat den Vorteil, dass er das bereits vorhandene Login seiner Bank verwenden kann, um sich hiermit in einfacher Weise für Dienstleistungen des Gesundheitswesens, der Behörden und anderer teilnehmenden Firmen anzumelden. Mehr Informationen gibt es hier: http://securekey.com

Ähnlich wie in Kanada hat im Frühling 2016 die britische Regierung gemeinsam mit Barclays und anderen Partnern eine Identitätsverifikationsplattform ins Leben gerufen. Diese soll sich sowohl am Verkaufspunkt, im Banking, im E-Commerce und auch im elektronischen Kontakt mit Behörden (eGOV) etablieren. https://www.gov.uk/government/publications/introducing-govuk-verify/introducing-govuk-verify

Beides sind jedoch nur kleine Schritte hin zu einer universell einsetzbaren, einheitlichen digitalen Identität, die sowohl technische wie auch datenschutzrechtliche Anforderungen in Einklang bringt. Nichtsdestotrotz könnte sich ein solches Modell zum Standard entwickeln und Banken wären als vertrauenswürdige Betreiber prädestiniert, da sie ein vergleichsweise grosses Vertrauen der Kunden geniessen, wenn es darum geht, vertrauliche Daten sicher zu behandeln. Vertrauen der Konsumenten in eine intuitiv zu bedienende Lösung ist entscheidend, dass sie sich am Markt durchsetzt.

Mögliche strategische Haltung von Finanzinstituten gegenüber Digital Identity (IDaaS)

Die vollständige Identifizierung von Kunden ist traditionell ein Muss-Prozess im Banking. Dieser Prozess ist ressourcen- und kostenintensiv und wird von jeder Bank bei jedem Onboarding eines neuen Kunden vollständig in standardisierter Art und Weise durchgeführt.

Technische Innovationen wie das Internet und die Verbreitung von Smartphones ermöglichen es, einen Kunden nicht mehr auf traditionelle Art und Weise über ein physisches Ausweisdokument zu identifizieren, sondern über Datensätze, die online jederzeit und ortsunabhängig zur Verfügung stehen. Daneben erhöhen technische Add-Ons wie GPS, Biometrie und Auswertung von Kaufverhalten die Sicherheit, dass eine Person auch diejenige ist, für die sie sich ausgibt.

Ein Provider für Digital Identity kann aktuell in einen recht überschaubaren Markt eintreten, eine standardisierte Lösung anbieten und sich Identitätsprüfungen bezahlen lassen. In der Schweiz kann davon ausgegangen werden, dass jede beschränkt oder vollständig geschäftsfähige Person über ein Bankkonto verfügt. Daraus kann man schliessen, dass auch ein Grossteil bereits einmal von einer Bank identifiziert worden ist. Da es beispielsweise für Telekommunikationsfirmen oder Fintech Start-ups ebenfalls interessant ist einen solchen Service einzuführen, gilt der Grundsatz des Schnelleren. Insbesondere die überarbeitete Zahlungsdiensterichtline (PSD2 – wir berichteten) drängt Banken zum Handeln. Daneben stehen bereits weitere Initiativen in den Startlöchern, weshalb es empfehlenswert ist, bereits jetzt eine strategische Position zu diesem Thema einzunehmen.

Das war der dritte und letzte Teil zu dieser Serie.

Weitergehende Informationen erhalten Sie bei PPI Schweiz

Haben Sie die Teile 1 und 2 verpasst? Hier die Links:
Digital Identity Teil 1 - Ein Thema für Banken?
Digital Identity Teil 2 - Identifikationsmedien gestern und heute

Dieser Beitrag wurde von Marco Vosseler gepostet.

#DigitalFinance #IDaaS #DigitalIdentity #Digitalisierung

Weiterlesen

Digital Identity Teil 2 - Identifikationsmedien gestern und heute

Beginnen wir beim bekanntesten und verbreitetsten Identifikationsmittel, dem Pass oder einem ausweisähnlichen Dokument. Seinen Ursprung hat der Reisepass bereits im Mittelalter. Massgeblich vorangetrieben wurde seine Verbreitung jedoch mit der französischen Revolution im Jahr 1792. Erst dann wurden die Reisepapiere mit personenbezogenen Daten versehen wie Namen, Geschlecht und Personenbeschreibung. Bis dahin wurden Personendaten in kirchlich geführten Pfarrregistern geführt, lokal und damit dezentral.

Der Code Civil, der 1802 von Napoleon Bonaparte eingeführt wurde, regelte alsdann auch die Führung der Personenregister und schrieb vor, dass jede Person einen Pass mit sich führen muss, um sich gegenüber der Polizei jederzeit identifizieren zu können. In den folgenden Jahrzehnten wurden unter anderem in Preussen und dem Deutschen Reich Gesetze zur Mitführung eines Passes bei Auslandsreisen verabschiedet. 1981 wurden durch die Europäische Gemeinschaft (EG) die unterschiedlichen Reisepässe weitestgehend angeglichen, später folgten landesspezifisch die Aufnahme von Biometriemerkmalen und elektronisch lesbaren Chips in das Passdokument.

Erstaunlich ist, dass dieses doch recht historische Identitätsmedium noch heute beinahe unverändert existiert. Trotz Industrialisierung und technischen Fortschritts wurde bis heute keine brauchbare elektronische oder virtuelle Version dieses Dokuments entwickelt, die von Behörden und Bürgern akzeptiert wird. (Quelle: Wikipedia)

In der Schweiz wurde 2010 mit der SuisseID ein standardisiertes elektronisches Medium lanciert, um die Identität einer in der Schweiz lebenden Person festzustellen. Bis heute hat es die SuisseID jedoch nicht geschafft sich im täglichen Leben durchzusetzen, was meiner Meinung nach überwiegend am Handling liegt. So erschweren komplizierte Passwörter und Schlüssel die benutzerfreundliche Nutzung im Internet. Die hardtoken- und signaturbasierte SuisseID benötigt auch immer einen USB-Anschluss oder eine Smartcard, was im Zeitalter von Smartphones und Tablets die Nutzung verunmöglicht. Später angebotene Mobile-Services sind nur mit zusätzlichen Kosten nutzbar und das bei Weitem nicht mit allen Devices. Trotz oder gerade wegen der schleichenden Fortschritte bei der Digitalisierung von Identitäten ist eine Person auch heute noch gezwungen, für bestimmte Dienstleistungen eine neue Identifizierung anhand eines Passes oder ausweisähnlichen Dokuments vorzunehmen.

Häufig werden Kopien von Originaldokumenten angefertigt und in elektronischen oder physischen Kundenakten abgelegt. Ein Standardvorgehen bei Kontoeröffnungen. Die Echtheit des Legitimationsmediums wird meist nur oberflächlich geprüft. Wichtigstes Kriterium ist, ob der Name des zukünftigen Kunden auch nicht in irgendeiner Liste vorliegt, wie z.B. für Geldwäscherei, Wirtschaftskriminalität oder Terrorfinanzierung.
Für eine spätere Prüfung liegt der Bank lediglich noch eine Passkopie vor, auf der die meisten Sicherheitselemente des Originals nicht mehr vorhanden sind. Daraus leitet sich die Unmöglichkeit der nachträglichen Überprüfung eines Legitimationsmediums ab. Wird eine solche Passkopie nachträglich benötigt, muss sie oftmals aufwändig in einem Archivsystem gefunden werden. Meist sind die dort abgelegten Kopien prozessbedingt schlecht lesbar (die Kopie einer Kopie). Eine Prüfung auf Echtheit des ursprünglichen Dokuments ist aufgrund der schlechten Qualität praktisch nicht möglich. Im Gegensatz dazu ist ein digitaler Datensatz bestenfalls unveränderbar und von gleichbleibender Qualität. Hierzu mehr im dritten und letzten Teil dieser Serie.

Hier geht es zum Digital Identity Teil 1

Dieser Beitrag wurde von Marco Vosseler gepostet.

#DigitalFinance #IDaaS #DigitalIdentity #Digitalisierung

Weiterlesen