Haben wir eine Identitätskrise?

Cyber-Attacken auf grosse Firmen und sogar Behörden sind in letzter Zeit regelmässig in den News zu lesen. So wurden bei bei einem Hackerangriff auf die Krankenversicherung Groupe Mutuel im Dezember 2017 eine unklare Menge an Kundendaten erbeutet. Auch Swisscom wurde vor Kurzem von einer Cyber-Attacke Kundendaten wie Namen, Adressen, Telefonnummern und sogar Geburtsdaten entwendet. Hinter einem Grossangriff auf deutsche Ministerien wird eine russische Hackergruppe vermutet. Der Vorfall bei Swisscom wurde zwar heruntergespielt, jedoch sind die abgegriffenen Kundendaten insofern brisant, da damit Identitäten der betroffenen Personen kopiert werden können. Dies hat zur Folge, dass die Verunsicherung bei den Usern und Kunden immer grösser wird. Sie schützen sich bereits heute mit unzähligen verschiedenen Passwörtern und schlagen sich mit unterschiedlichsten Registrierungsprozeduren herum. Der schlechten Verbreitung von e-Government-Services stehen hohe Investitionskosten bei der IT-Sicherheit gegenüber.

Sollte die Rolle der Identität neu überdacht werden?

Aktuell laufende Vorhaben und Gespräche über eine elektronische, digitale Identität werden weitestgehend von Regulatoren und privaten Initiativen getrieben. Da es keinen einheitlichen Prozess gibt, bedient sich insbesondere der E-Commerce zahlreicher individuellen Registrierungslösungen. In der Praxis ist es so, dass sich User eines Login meistens ausschliesslich bei den jeweiligen Onlineshops und Portalen anmelden können. Übergreifende Loginverfahren gibt es hingegen selten.

Einige Anbieter erlauben auch eine Schnellregistrierung mit bereits vorhandenen Social-Media-Accounts (z.B. Facebook). Insgesamt sind diese vielen verschiedenen Logins für den Benutzer eher verwirrend, insbesondere, wenn verschiedene Benutzernamen oder E-Mail-Adressen und Passwörter verwendet werden, was ja der Sicherheit zuträglich ist. Bei Loginverfahren mittels bestehenden Social-Media-Accounts stellt sich zudem die Frage, welche Daten dem jeweiligen Service zugänglich gemacht werden, was die Kontrolle der eigenen privaten Daten extrem erschwert. Oder wissen Sie, bei welchem E-Commerce-Anbieter Sie welche Daten selbst erfasst haben oder mit Ihrem Facebook-Login freigegeben haben? Häufig werden, um die Übersicht einigermassen zu behalten, gleiche Logindaten für mehrere E-Commerce-Accounts benutzt (z.B. bei Username / Password Logins).

Wenig verwunderlich ist es auch, dass immer wieder PIN-Codes direkt auf den Karten notiert werden oder dass man sich Logins, PINs und Passwörter in einem zentralen (Online-) Tool notiert. Da ist eine Papierliste in der Schublade zu Hause noch vergleichsweise sicher!

Das Risiko, dass, auch wenn nur ein Onlineshop gehackt wird, die erbeuteten Logindaten zum Generalschlüssel für mehrere oder sogar alle vom User benutzten Accounts werden, ist enorm. Wenn man dann noch bedenkt, dass häufig sogar Kreditkartendaten im Shop hinterlegt sind, um den Checkout-Prozess komfortabler zu machen, sind Cyber-Kriminellen Tür und Tor geöffnet.

Sicherlich gibt es bessere Alternativen als Username-/Password-Logins und Zwei-Faktor-Authentifizierungen, um eine Person zu identifizieren. Möglicherweise sollte das Thema "Identitätsprüfung" von einer ganz anderen Seite betrachtet werden, um sichere, brauchbare Lösungen zu entwickeln:

Ist es denn wirklich nötig, bei einer Identitätsfeststellung sämtliche persönlichen Daten einer Person abzufragen und zu speichern? Die Prüfung von wenigen ausgewählten Informationen reicht in den meisten Fällen völlig aus. So genügt meistens ein Altersnachweis oder eine Bestätigung der Wohnadresse, um einen Onlineservice nutzen zu dürfen. Wer ich bin, wie ich heisse, mein Geburtsdatum oder meine Kontonummer ist meistens nicht von Belang.

Auch hinsichtlich der Europäischen Datenschutzgrundverordnung schiesst das Speichern von irrelevanten Daten weit über‘s Ziel hinaus. Vergleichen Sie hierzu den Grundsatz "Datenminimierung" aus der GDPR: 

"Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Mass beschränkt sein ("Datenminimierung").“

Streng genommen ist die Erhebung sämtlicher persönlicher Daten nur für den Zweck einer Altersüberprüfung sogar illegal, nach GDPR.

Daraus lässt sich ableiten, dass anstatt von einer digitalen Identität viel treffender von "Berechtigungsmanagement" gesprochen werden sollte.

Etwas weitergedacht sollte so ein Berechtigungsmanagement nicht nur für Natürliche und Juristische Personen konzipiert werden. Dem technischen Fortschritt verpflichtet, müssen in diese Überlegungen

auch Berechtigungen für Software, Roboter, Apps und Geräte einbezogen werden:

• Welche Software darf auf welche Bankdaten von mir zugreifen?
• Welcher IoT-Dashbutton darf welche Banktransaktionen in meinem Namen durchführen?
• Muss die elektronische Fahrkarte dem Kontrollsystem meinen Namen preisgeben oder nur, ob das Billet für die gefahrene Strecke gültig ist?
• Welche Daten meiner elektronischen Fahrerlaubnis darf das Auto nutzen, um den Motor zu starten?

Es wird deutlich, dass dieses Thema mehrdimensional ist und in ständigem Challenge zur aktuellen Gesetzgebung steht (GDPR, eIDAS, PSD2) und viele Neuentwicklungen (Open Banking, Robo's, AI, IoT) in diesem Kontext geprüft werden müssen.

Das Ziel einer digitalen Identität muss es sein, dass sie allgemeingültig ist und die Vielzahl von Logins, Registrierungsprozessen und Identitätsprüfungsverfahren ablöst.

Es muss verschiedene Anbieter geben (Identity Providers) oder besser Datenverifizierer, die mit modernen Authentifizierungstechnologien arbeiten (nicht Username/Password). Der Schwerpunkt der Identifikation muss auf der Überprüfung der notwendigen Datenattribute liegen (z.B. Altersnachweis) und nicht auf der Verifikation aller persönlichen Daten einer Person. Schlussendlich braucht es das Vertrauen von Händlern, Industrie, Behörden und Endnutzern. Empfiehlt sich dabei am Ende sogar ein vertrauenswürdiges 4-Corner-Modell wie wir es im Zahlungsverkehr kennen? Welche Rolle kann die Finanzindustrie beim Setup und Betreiben eines Identity Provider Systems spielen? Vertrauen wir bald einem "Sign-on with MyBank" mehr als einem "Sign-on with Facebook" oder "Sign-on with Google"? Speziell den KYC-Prozess (Know-Your-Customer) haben Banken mit Sicherheit besser im Griff, als andere mögliche Teilnehmer eines Identity Providing Systems.

Die eID in der Schweiz steht in den Startlöchern. Details sind nur wenige bekannt. Jedoch zeichnet sich ein Vorstoss der hiesigen Finanzhäuser ab, um die elektronische ID in der Schweiz marktfähig zu machen.

Für Sie gebloggt hat Marco Vosseler.

#Cyberrisk #DigitalFinanceExperts #DigitalIdentity #KYC #GDPR #eID

Weiterlesen

Die Entmündigung des Gewissens

Wir wagen zu Jahresbeginn einen Blick auf das sich in China im Aufbau befindende digitale Gesellschafts-Bewertungssystem. (Als Grundlage für die nachfolgenden Überlegungen diente ein Artikel aus Der Spiegel). 

Bis heute hatten wir in unserem Leben hier in der Schweiz mit hoher Wahrscheinlichkeit Berührungspunkte mit der Super- oder Cumuluscard eines Grossverteilers (vgl. TA-Bericht), oder mit dem bei der Wohnungssuche unerlässlichen Betreibungsregisterauszug. Bald aber könnte es vielleicht auch hier ein omnipräsentes Bewertungssystem geben, das die Handlungen von jedem und jeder von uns permanent ratet. In die Echtzeit-Bewertung einfliessen sollen nicht nur Spuren, die wir beim Einkauf hinterlassen oder wenn wir einer Zahlungsaufforderung lange nicht nachkommen. Das Bild, das durch das System vom Menschen geschaffen wird, durchleuchtet uns und unser Handeln tief und wird zum neuen „Gewissen der Gesellschaft“. 

China ist dabei ein solches Rating-System für seine Bürger aufzuziehen. Jedermann lässt sich darüber rasch auf seine „Fehlbarkeit“ hin prüfen. Gespeist wird diese neue, digitale Klassifizierung durch sämtliche Datenspuren, die wir als Individuen hinterlassen. Damit sind nicht nur unsere Posts in den Sozialen Medien gemeint oder die Geschwindigkeit in der wir unsere Rechnungen bezahlen, sondern alles, was über uns in irgendeiner Form erfasst werden kann. So könnten Bewerbungsgespräche bald schon der Vergangenheit angehören, denn das Punktesystem weiss mehr über uns als jedes Gespräch zum Vorschein bringen kann. Hierbei stellt sich die Frage, ob mit dem Punktesystem die Menschlichkeit verloren geht.

Auf den ersten Blick bietet das System einige Vorteile. Während wir uns heute bei potenziellen Geschäftspartnern auf deren Ruf, ein paar wenige Facts und vielleicht einen persönlichen Eindruck verlassen müssen, können wir künftig sekundenschnell einen Blick auf die Punktestatistik des Bewertungssystems werfen und wir wissen Bescheid. Das System zeigt uns, wer integer ist und wer nicht. Denn es berücksichtigt das Vorstrafenregister genauso wie die Zahlungsmoral, die ausgewerteten Gesundheitsdaten gleichwohl wie Einkaufsgewohnheiten und Sportaktivitäten oder die Ausbildung. Ein angemessener eigener Punktestand öffnet einem Tür und Tor für Heirat, Karriere und zur Upper-Class, denn wer punktet ist attraktiv. Wer viele Punkte hat gilt mehr als nur als Gutmensch. Dieses System hat das Potenzial, die gesellschaftlichen Schichten zu revolutionieren und manch einem zu Chancen zu verhelfen, die er oder sie bisher nicht erhalten hatte, weil die guten Taten schlichtweg nicht auf diese Art bewertet wurden. Für die Wirtschaft und auch für den Staat ein scheinbar ausserordentlich nützliches Tool. Aus ethischer Sicht ist es jedoch mehr als fragwürdig. Bis zum heutigen Zeitpunkt fehlt dem System jegliche Transparenz. Niemand weiss richtig, wie und was bewertet wird. Genaue Informationen von China diesbezüglich erfahren zu wollen bleibt wohl ein unerfüllter Wunsch. Klarheit wird man ansatzweise wohl frühestens nach der Einführung erlangen können. Welches Verhalten wird belohnt und welches bestraft? Und vor allem: wer entscheidet darüber? 

Wir freuen uns über Ihre Kommentare, Einschätzungen und Gedanken zu der Idee eines digitalen Bewertungssystems. Wer sind die Gewinner, wer die Verlierer? 

So oder so, ein besserer Mensch kann man auch mit eigenen guten Vorsätzen fürs neue Jahr werden, dazu braucht es das digitale Gewissen nicht. Wir wünschen Ihnen einen guten Start ins 2018 und freuen uns auf inspirierende Begegnungen. 

Für Sie gebloggt hat Matthias Hungerbühler

#Digitalisierung #DigitalIdentity #GewissenDerGesellschaft #KYC #eGesellschaft #SmartRobotic

Weiterlesen

Fünfte Auflage der Swiss Digital Finance Conference 2017

Im Rahmen von #PPIonTour haben wir uns diesmal in Rotkreuz auf dem Campus „Zug-Rotkreuz“ der Hochschule Luzern eingefunden. Zum Glück für alle Teilnehmer fand die Veranstaltung nicht in den Räumlichkeiten direkt beim Bahnhof Luzern statt, da durch einen entgleisten Personenzugwagen der Bahnverkehr noch immer stark eingeschränkt war. So füllten sich die Reihen pünktlich zum Beginn der Konferenz, als Konferenzleiter Georges Grivas sein „Herzlich willkommen“ an die Community richtete. 

Wie schon an den vorigen Events der jährlich stattfindenden Konferenz, fanden sich Entscheider und Spezialisten von Banken und Versicherungen, Strategieverantwortliche und Unternehmensentwickler, Fintech und Beratungsunternehmen ein, die sich zu aktuellen und künftigen Themen informieren und austauschen wollten. 

Georges Grivas eröffnete die Konferenz mit Gedanken zum Umfeld von Fintechs in der Schweiz. Ob PSD2 eine Erleichterung bringt und dass trotzdem das Investitionskapital mit 50 Millionen Franken (0,3% des weltweiten Investitionskapitals) nur einen verschwindend geringen Teil darstellt. Bisher galt „Mobile First“. Würde es künftig „AI First“ heissen und was würden Big Data und Blockchain für Auswirkungen haben? Mit diesen Eingebungen starteten wir in die Vortragsrunde. 

Oliver T. Bussmann stellte in seiner KeyNote auch gleich zentrale Fragen:  „Banking at the tipping point - steht das Banking auf der Kippe?“ Welche Tendenzen stehen vor der Tür? Der „Tipping Point“ ist zwar noch nicht da, aber Banken müssen sich vorbereiten, sonst verpassen sie den Anschluss. Werden Banken künftig ihre Software gar nicht mehr betreiben, sondern auf Cloud-Lösungen zurückgreifen und entsprechende Plattformen nutzen? 
Blockchain wird ein Thema sein und alle primären Bankbereiche werden von Veränderungen betroffen sein. Die Frage wird vielmehr sein, wo man seine Schwerpunkte setzen will. 
Wie soll sich eine Bank nun aber verhalten? Ideen eine Chance geben. Nach einem positiven Business Case Ideen ins Lab schicken und daraus dann Projekte generieren. 

Als erster Referent stellte dann Dr. Kurt Mäder von der Liechtensteinischen Landesbank ihre Neuausrichtung der Omnikanal-Präsenz vor. Neben einer Entkopplung der Backendsysteme von den Frontend-Applikationen war wichtig, dass unterschiedliche Geschwindigkeiten gelebt werden. Neben grossen Projekten müssen auch „Speedboote“ realisiert werden können, wie die Video-Identifikation, die innerhalb 6 Wochen auf den Weg gebracht wurde. 
In vielen Bereichen und Abteilungen mussten dafür Anpassungen vorgenommen werden, aber die Hausaufgaben für die Neuausrichtung sind gemacht. 

Vor der Kaffeepause gab dann Dave Kauer von PostFinance einen aktuellen Status Quo und einen Ausblick auf die neue TWINT-Lösung, die kurz vor dem Relaunch steht und die besten Eigenschaften der bisherigen Lösung und die von Paymit vereint. 
„Digitale Paymentlösungen sind hype, aber letztendlich ist es ein Kundenbedürfnis, welches eine Customer-Journey triggert“, betrachtete Dave nüchtern die Tatsache, dass es nicht rein um die Digitalisierung per se, sondern um den Kunden gehe. 

Frisch gestärkt regte Christian Vetsch von Abrantix zum Nachdenken an, wo wir nur eine Schein-Digitalisierung vor uns haben. Wir fühlten uns stark an die Person erinnert, die im Automaten sitzt und nach Einwurf der Münze manuell den Lolli rausfallen lässt. 
Nachholbedarf sah Christian eindeutig bei den Lösungen für die Geschäftskunden. Von den über 580'000 KMU-Betrieben in der Schweiz haben rund 150'000 einen Online-Auftritt. Wenn diese aber eine Kreditkarte auf dem Internetshop entgegennehmen wollen, erwartet sie die erste Ernüchterung mit den Papierverträgen. 
Christian  forderte , dass wir uns von dem Denkansatz der „2-Wege-Kommunikation“ verabschieden und dass Plattformen entstehen sollen, auf denen sich beispielsweise Geschäftskunden einfacher mit den notwendigen Werkzeugen versorgen können. 
Als weiteren wunden Punkt sprach Christian an, dass mindestens 140'000 Händler hinter ihrem Online-Shop einen manuellen Verbuchungsprozess haben. Vielleicht ist hier ein neuer Geschäftsansatz, um diese KMU zu unterstützen? 

Urs Haeusler, CEO von DealMarket und Vorstand von Swiss Finance Startups, einer Unterstützungsplattform für Gründer in der Schweiz, fand dann eine gute Möglichkeit, den Spannungsbogen bis zum Stehlunch aufrecht zu erhalten. Mit welchen Problemen haben Startups heutzutage zu kämpfen? Märkte sind nicht mehr regional begrenzt und Wertschöpfungsketten werden aufgebrochen. Da Startups als wichtige Treiber von Innovation und Arbeitsplätzen angesehen werden, forderte er, dass die Regierung durch verschiedene Aspekte die Startups aktiv unterstützen sollen. „Erfolgreiche Länder agieren und nehmen nicht die Zuschauerrolle ein.“ 

Der Stehlunch bot ausgiebig Möglichkeit für anregende Gespräche. Der Nachmittag fokussierte sich dann zunehmend auf Blockchain und die möglichen Spielvarianten. Sicher keine leichte Kost nach dem Mittagessen, aber alle Vorträge blieben spannend, sodass kein Tief entstand. 

Felix Niederer zeigte zuerst spannende Möglichkeiten auf, wie Banken Roboadvisor einsetzen können. Anlagekunden nutzen bereits vermehrt digitale Lösungen und bei aktiv verwalteten Verwaltungsmandaten stellen diese Technologien eher einen Mehrwert dar, als ein Wegbruch von Einnahmequellen. 

Antoine Verdon zeigte dann sehr plastisch auf, wie in ihrer Legalhub-Plattform die drei wichtigen Bereiche vereint werden: Digitale Verträge, Internet of Things und Blockchain. Durch das Internet of Things können ungeahnte Automatisierungen realisiert werden. Er sagte daneben voraus, dass es künftig für jedes physische Objekt auch einen „virtuellen Zwilling“ geben wird. So kann zum Beispiel eine wertvolle Uhr von der Herstellung bis zum Verkauf und der Weitergabe immer virtuell verfolgt werden. 
Insulin aus China, welches im Container immer gewissen Voraussetzungen unterworfen sein muss, kann mit Sensoren immer durchgängig und optimal überwacht werden. Ist die Ware verdorben, kann beispielsweise automatisch der Container gestoppt, die Versicherungsleistung und eine Folgebestellung ausgelöst werden, sodass das dringend benötigte Medikament nicht erst am Bestimmungshafen als unbrauchbar deklariert werden muss. 
Dies impliziert aber, dass entsprechende Aktionen nicht erst bei Eintritt des Schadens diskutiert werden können, sondern bereits bei Abschluss des Vertrages festgelegt werden müssen.

Nach diesen ersten Deep-Dives bot Christoph Pfluger, Journalist und Herausgeber der Zeitschrift „Zeitpunkt“ eine erfrischende aber auch nachdenklich stimmende Abwechslung. 
Frei  nach der These, dass Banken durch Kreditvergabe „aus dem Nichts“ Geld generieren können. Nachdenklich wurde man dabei, da das Geld, welches der Kreditnehmer erhält, auch nur eine Zahl auf einem Stück Papier darstellt, wie man auch bei digitaler Währung das Geld nicht mehr anfassen kann. 

Nach einer weiteren Kaffeepause ging es in den Endspurt zu Schnittstellen zwischen Technologie und Finanzen und Regulierungsaspekten. 
Zuerst veranschaulichte Dr. Luka Müller sehr gut, wie beispielsweise das Handling von Aktien blockchain-gestützt vollautomatisiert ablaufen kann. Dabei stellt ein Token ein digitales Eigentum dar. 

Martin Godel beleuchtete anschliessend, welche Regulierungen es braucht und wo die Schweiz als Finanzplatz steht. Ausschlaggebend ist dabei nicht die Anzahl der Fintechs, sondern die Rahmenbedingungen, wie attraktiv der Markt für Fintechs ist. In einer kürzlichen Studie steht die Schweiz nämlich auf Platz 5, neu sogar auf Platz 2. Beleuchtet man aber die Situation für geldbewegende Startups, so fällt die Schweiz gar auf einen der letzten Plätze zurück! Warum ist das so? Bei den meisten Konstellationen ist bald eine Banklizenz fällig, die zu beantragen Zeit und wertvolles Startkapital bindet. Es zeigt sich aber ein Licht am Horizont. Durch eine aktuelle Eingabe sollen hier die rechtlichen Rahmenbedingungen für Startups entscheidend geändert werden. Kommen die Änderungen durch, könnte sich die Schweiz gar auf Platz 1 befördern. Umso wichtiger ist es, dass diese Vorlage vorangetrieben wird, deren Vernehmlassung bis Mai und gewisse Prüfungen bis Ende 2017 auf der Agenda stehen. 

Die Podiumsdiskussion fasste die erfahrenen Punkte zusammen und zeigte auf, dass die Regulierung in der Schweiz bereits auf einem guten Weg ist. Beispielsweise im Bereich Blockchain haben sich die Regulatoren umfassendes Knowhow aufgebaut - unabdingbar, um vernünftige Regularien zu erlassen und dem Finanzplatz nicht im Weg zu stehen. 
Dennoch geht es noch besser. Wünschenswert wäre, dass das Parlament in der Umsetzung schneller wäre, Abbau bürokratischer Hürden - immer im Vergleich zu anderen Ländern - vorangetrieben würde und auch die Steuersituation sich auf die neuen Unternehmen und Geschäftsmodelle einstellen würde. 
Bei Mikropayments sollten so beispielsweise Limiten erlassen werden, unter denen die Besteuerung erleichtert würde. Eine zweite Schwelle wird für digitale Identifikation gefordert, sodass entsprechende Geschäfte leichter zustande kommen. Auch neue Regeln bezüglich der Cloud werden notwendig. Die heutigen entsprechen nicht mehr die Realität und vieles muss in einer Grauzone gehandhabt und individuell interpretiert werden. 

Es ist nicht vielmehr die Quantität der Regulierung die zählt, sondern die Qualität, sodass alle Akteure die Anforderungen klar und deutlich verstehen. Hier hat die Schweiz bereits einen guten Ruf. 

Es kamen auch Aspekte auf wie: „Alles kann gehackt werden, auch eine eID.“ Hierbei wurde ausgeführt, dass aber auch eine händische Unterschrift und ein Ausweispapier jederzeit sehr schnell kopiert und somit missbraucht werden kann. 
Zum Schluss ging noch ein Aufruf an die Banken, dass eine elektronische Identität, wenn sie dann mal umgesetzt ist, auch von Banken akzeptiert und eingesetzt wird. 

Fazit der Podiumsdiskussion: Das Thema ist komplex, aber die Schweiz ist bereits auf einem gutem Weg und wir dürfen gerade jetzt nicht nachlassen. Dann stehen wir in fünf Jahren gut da und die Schweiz kann sich international weiterhin als ein gefragter Knowhow- und Finanzplatz behaupten. 

So kann dieser Tag nur als spannend und gelungen bezeichnet werden. Wir werden sicher das nächste Jahr im März wieder für Sie vor Ort sein, wenn die Hochschule Luzern zu spannenden Themen lädt. 

Für Sie gebloggt hat Frank Rebmann von PPI Schweiz

Frank ist Senior Consultant bei PPI Schweiz und nebst seiner Affinität zu Mobile Payment begeistert er sich für den Meldungsaustausch im Zahlungsverkehr auf der Seite Kunde-Bank, insbesondere aber im Interbankbereich.

#DigitalFinance, #eID, #PSD2, #MobilePayment, #TWINT, #FinTech, #Blockchain, #PPIonTour

Weiterlesen

Mit der eID zur elektronischen Identität

Bereits seit 2015 befasst sich das Bundesamt für Polizei im Auftrag des Bundes mit einem Konzept zur Abbildung einer staatlich anerkannten elektronischen Identität. Was Estland bereits seit Jahren erfolgreich vorlebt, ist in der Schweiz noch Zukunftsmusik. 

Ziel ist die Schaffung eines E-ID-Ökosystems, welches Natürliche und Juristische Personen, staatliche Stellen in der Schweiz und der EU, Identitätsdienstleister und öffentliche Instanzen sowie vertrauende Beteiligte vereint.

Das Rückgrat dieses E-ID-Ökosystems bilden das elektronische Identitätsmanagement und die dazugehörigen E-ID-Systeme, betrieben durch Identity Provider.

Was ist das Bestreben des Bundes?

Es ist verstärkt zu beobachten, dass immer mehr Geschäftsprozesse elektronisch bzw. online abgewickelt werden. Dies wird einerseits durch die sich unaufhaltsame Ausbreitung des Internets, aber auch durch die immer besser ausgebildeten und technologieaffinen Nutzer begünstigt. 

Bereits heute können verschiedenste Prozesse wie der Kauf und Verkauf von Waren und Dienstleistungen online abgewickelt werden. Um jedoch auch anspruchsvollere Geschäftsprozesse online auszuführen, benötigt es eine vertrauenswürdige Identitätskontrolle des Gegenübers. Um diesem Bedarf gerecht zu werden, soll in der Schweiz für Natürliche Personen eine anerkannte elektronische Identifikationseinheit eingeführt werden, bezeichnet als elektronische Identität, E-ID oder eID. Diese elektronische Identität soll darüber hinaus auch im Ausland Akzeptanz finden.

Welches sind die Voraussetzungen für eine eID?

Als wichtige Basis für die Abwicklung eines Geschäfts gelten Rechtssicherheit und Vertrauen. Letzteres äussert sich vielfach durch das „Kennen“ – die Identifikation – der Gegenpartei. Während in der physischen Welt konventionelle Identifikationsmittel wie Pass oder Identitätskarte ausreichen, stossen diese im digitalen Online-Umfeld an ihre Grenzen.  Deshalb sollen die uns bekannten Identifikationsmittel um die eID ergänzt werden.

Diese soll staatlich anerkannt sein und es den Inhabern ermöglichen, sich bei Online-Diensten sicher zu registrieren und anzumelden.

Derzeit arbeiten beispielsweise die Grossbanken UBS und Credit Suisse an einem „Passepartout fürs Internet“, ebenso wollen SBB und Post eine gemeinsame Lösung für die Anmeldung an Web-Portalen anbieten.

Wie funktioniert eine eID?

Eine eID wird von einem anerkannten Identitätsprovider (IdP) ausgestellt. Je nach gewünschtem Sicherheitsniveau erfolgt die Registrierung in verschiedenen Schritten und kann eine persönliche Vorsprache oder Video-Identifikation erfordern.

Es wird zwischen drei Sicherheitsniveaus (niedrig, substanziell und hoch) unterschieden, wie sie auch die EU für die E-ID ihrer Mitgliedsstaaten (eIDAS-Verordnung) und die USA für Vertrauensdienste vorsehen.

Bei den Sicherheitsniveaus „substanziell“ und „hoch“ ist eine Zwei-Faktor-Authentifizierung vorgesehen, wobei bei Niveau „hoch“ ein Faktor biometrisch sein muss. 

Ist die eID einmal ausgestellt, kann sie vom User für die Registrierung und Anmeldung bei Online-Portalen genutzt werden. Durch die Registrierung via eID entfallen die manuellen Angaben zu den persönlichen Daten. Diese werden nach Freigabe durch den Inhaber der eID elektronisch übermittelt. Wurde eine eID einmal eingegeben, soll sie wiedererkannt werden und garantiert eine verlässliche Anmeldung.

Wie geht es weiter?

Im Februar 2017 wurde vom Bund ein Vorentwurf für das „Bundesgesetz über anerkannte elektronische Identifizierungseinheiten“ (E-ID-Gesetz) publiziert. Das Vorhaben wird einerseits durch die Strategie „Digitale Schweiz“ und die E-Government-Strategie vorangetrieben. Andererseits sind aus der Wirtschaft mehrere hochkarätige Unternehmen mit der Erarbeitung von Lösungen beschäftigt. 

Nach der Schaffung der gesetzlichen Grundlagen wird vor allem der Aufbau der Infrastruktur entscheidend für Verbreitung und Akzeptanz der eID sein. Neben Akzeptanzstellen braucht es die anerkannten Identitätsprovider (IdP), die für die Ausstellung der eIDs legitimiert sind. Zünglein an der Waage bleibt aber vor allem der Verbraucher, für den die eID in angemessener Art und Weise zugänglich gemacht werden muss. Entscheidend für den Erfolg wird dabei sowohl die Usability der eID im Alltag sowie das Vertrauen in die neue Funktionalität sein.

Für Sie gebloggt hat Marco Vosseler

#eID #DigitalFinance #DigitalIdentity #eGov #eGesellschaft #KYC #IDaaS

Weiterlesen

EBAM - die „Vergessene“

Bereits im August 2016 haben wir auf EBAM, die elektronische Bankkontoverwaltung, aufmerksam gemacht. Was hat sich seither getan? Welche Chancen hat das Electronic Bank Account Management in der Schweiz derzeit wirklich?
Einige werden sich auch noch an einen vielversprechenden Piloten in 2012/2013 erinnern, an dem einige internationale Banken teilgenommen haben. Leider war der damalige Impuls für den Markt noch zu schwach, als dass sich EBAM international hätte etablieren können.

Es fällt vielmehr eine Analogie zum ersten Tablet auf, an das der grosse Schlanke bereits sehr viel früher gedacht hat, welches sich aber erst viel später durchsetzen konnte,  dafür aber eine umso grössere Anhängerschar gefunden hat. Wann also ist die Zeit reif für EBAM? Weshalb ist es damals gescheitert und welche Hausaufgaben müssen zuvor noch gemacht werden, damit es einen ebenso grossen Erfolg hat?
International ist mit dem Meldungsstandard (ISO 20022 acmt-Meldungen - Account Management) schon einmal eine gute Grundlage gelegt. Das Feld sieht jedoch noch eher wie eine Baustelle aus: Zuerst einmal stecken natürlich viele Banken mittendrin in den Arbeiten zur Harmonisierung des Zahlungsverkehrs Schweiz. Budget und Knowhow sind dadurch aktuell gebunden und künftig wird zusätzliches Knowhow bezüglich EBAM aufgebaut werden müssen.

Ausserdem fehlt eine vereinfachte rechtliche Grundlage, um einen Kontoeröffnungsprozess auf digitalem Wege von Anfang bis Ende durchspielen zu können. Know Your Customer und Geldwäschereigesetz sind nur zwei Faktoren, die hierbei eine Rolle spielen. Wenn man aber den Prozess in einem ersten Schritt auf die Klientel reduziert, die sich bereits ausgewiesen hat und beispielsweise ein weiteres Konto eröffnen möchte, ist EBAM sehr schnell auf ein Nischenprodukt zurückgestuft, für welches derzeit kein Geld und auch keine Zeit bleibt.

Erste Ansätze sind erkennbar, da manche Banken bereits die Möglichkeit bieten, in einer Internetbanking-Anwendung nach erfolgreichem Login (und Identifizierung) ein weiteres Konto zu eröffnen oder zumindest die Bestellung auszulösen. Leider basieren diese Schnittstellen zum Bankenkernsystem nicht auf den standardisierten acmt-Meldungen. Wenn sich also EBAM durchsetzen sollte, können auch hier noch weitere Bereinigungsarbeiten anfallen.

Eine grössere Hürde stellt jedoch noch die Bereinigung der Bestandsdaten dar. Sowohl auf Bankenseite als auch bei der Gegenpartei - sei es ein KMU, sei es ein international aufgestelltes Grossunternehmen - die Mannigfaltigkeit ist gross und kann nicht so ohne Weiteres auf wenige Meldungstypen komprimiert werden. Von Institut zu Institut sind bereits die Anforderungen für eine Kontoeröffnung verschieden, im internationalen Umfeld multipliziert sich dieser Aspekt noch.
Auf der (Firmen-)Kundenseite müssen nicht nur aktuelle Bestandskonten in eine EBAM-Lösung überführt werden, auch die ganzen Prozesse erfordern eine Anpassung.

Bleibt derzeit nur die Möglichkeit, die Köcher für die Zeit nach der Harmonisierung Zahlungsverkehr Schweiz zu füllen. Vielleicht wird es Zeit für die Harmonisierung der rechtlichen Grundlagen?
Im Rahmen von PSD2 und XS2A Access to Account wird EBAM ein wichtiger Baustein sein, mit dem Banken ihren Kunden neue Services und Möglichkeiten eröffnen können.

Für Sie gebloggt hat Frank Rebmann von PPI Schweiz

Frank ist Senior Consultant bei PPI Schweiz und nebst seiner Affinität zu Mobile Payment begeistert er sich für den Meldungsaustausch im Zahlungsverkehr auf der Seite Kunde-Bank, insbesondere aber im Interbankbereich.




#EBAM, #DigitalIdentity, #ISO20022, #HarmonisierungZV

Weiterlesen

KYC-App – Sorgfaltspflichten der Händler leicht gemacht!

Aufgrund der Empfehlungen des GAFI (FATF) setzen aktuell fast alle Europäischen Gesetzgeber eine Regulierung in Kraft, welche die Annahme von hohen Bargeldbeträgen verbietet. Basierend auf dieser Empfehlung wurde das Geldwäschereigesetz (GwG) revidiert. In einigen Ländern Europas sind bereits strenge und tiefe Obergrenzen definiert worden.
Doch wie sieht es in der Schweiz aus?
In der Schweiz können Händler, unter Berücksichtigung von erweiterten Sorgfaltspflichten, auch Beträge von über CHF 100‘000.- annehmen. Ebenso die Tranchenzahlungen (auch bekannt als Smurfing) unter dem Schwellenwert müssen erfasst werden. Leider sind noch nicht alle Händler (z. Bsp. Schmuck-, Luxusauto- oder Immobilien-Händler) über ihre Sorgfaltspflicht gut informiert. Diejenigen, die informiert sind, kennen den Papierkrieg und scheuen ihn; Ausweiskopie erstellen, Personalien aufnehmen, Formular A (wirtschaftlich Berechtigten), Formular K (bei Firmenkunden) oder Formular E (bei politisch exponierten Persönlichkeiten „PEP“ eventuell noch die Meldung an MROS). Sollte ein Geschäft ungewöhnlich erscheinen oder der Verdacht bestehen, dass die Vermögenswerte aus einem Verbrechen oder qualifizierten Steuervergehen oder gar einer kriminellen Organisation stammen, ist der Händler verpflichtet die Hintergründe des Geschäfts genauer abzuklären. Bei einem begründeten Verdacht unterliegt der Händler der Meldepflicht. Nicht zu vergessen, dass er zusätzlich einer Prüfpflicht unterliegt. Eine Revisionsstelle muss die Einhaltung der Pflichten nach GwG prüfen. Zum Schluss müssen alle Dokumente für mindestens 10 Jahre nach Abschluss eines Einzelgeschäfts oder während der ganzen Dauer einer Geschäftsbeziehung und bis 10 Jahre nach deren Beendigung aufbewahrt werden. Ein Händler, der seine Prüfpflicht nach Artikel 15 verletzt, kann mit einer Busse bis zu CHF 100'000.- bestraft werden.

Da es in der Schweiz gang und gäbe ist, dass vermögende Personen Bargeldbeträge von über CHF 100‘000.- für die Bezahlung von Luxusgüter, Immobilien sowie Dienstleistungen aus dem Gesundheitsbereich einsetzen, hat PPI eine Applikation entwickelt, welche die oben aufgeführten Anforderungen auf dem „Tablet(t)“ serviert:

• Personalien und Geschäftsfall erfassen
• Fotografie des Personalausweises
• Konformitätsabfrage
• Bonitätsprüfung
• Archivierung der Dokumente
• Meldung erstellen (MROS)

Ein möglicher Geschäftsfall:
"Ein Kunde möchte ein Luxusgut bar bezahlen und der Preis übersteigt CHF 100'000.-. Die Personalien müssen auf einem Formular aufgenommen werden und die Ausweiskopie (beidseitig) darf auch nicht vergessen werden. Dazu muss noch das Formula A ausgefüllt werden, welches den wirtschaftlich Berechtigten bestimmt. Dann fehlt nur noch der Kaufvertrag und ein Ordner, in dem alle Dokumente aufbewahrt werden. Diesen Papierkrieg könnte man mit dieser Applikation nicht nur verhindern, sondern auch die Aufbewahrung der Unterlagen durch das elektronische Langzeitarchiv erleichtern."

Dieser Beitrag wurde von Alfredo Filippone (PPI Schweiz) gepostet

Alfredo Filippone verfügt über ein breites Expertenwissen im Zahlungsverkehr. Er ist Spezialist in den Themen ISO 20022, EBICS, e- und Mobile Banking.
Mittlerweile verfügt Herr Filippone über mehr als 20 Jahre Bankerfahrung im Bereich Cash Management.

Beim aktuellen Projekt ist er als Testanalyst im Bereich EBICS tätig, bei welchem er zudem sein ISO 20022 Know-How einsetzen kann.

Sein Motto ist: "Wo ein Wille ist, ist ein Weg!"



#KYC #Regulierung #Digitalisierung #DigitalIdentity #RegTech

Weiterlesen