Der neue Personalausweis im Banking Ulrike Linde / Christoph Maggioni / Mark Rüdiger Ulrike Linde 1 Infrastruktur des neuen Personalausweises Das Gesetz über Personalausweise und den elektronischen Identitätsnachweis sowie zur Änderung weiterer Vorschriften (PAuswG) wurde am 18. Juni 2009 im Bundesgesetzblatt veröffentlicht [Quelle 1]. Wie in der Einleitung zum Gesetzentwurf [Quelle 2] dargelegt, unterstützt der Personalausweis damit künftig folgende drei Funktionen: Abbildung 1: Ansicht Vorder- und Rückseite des neuen Personalausweises Quelle: BMI. 125
Ulrike Linde Die hoheitliche Ausweisfunktion wird wie schon beim elektronischen Reisepass um biometrische Daten des Gesichts und auf Wunsch der Bürgerinnen und Bürger um Daten zweier Finger erweitert. Alle Personalausweise entsprechen damit den Empfehlungen der Internationalen Zivilluftfahrt-Organisation (ICAO), die für Reisedokumente das Gesichtsbild verpflichtend vorschreibt. Die mit Fingerabdrücken ausgestatteten Personalausweise entsprechen dem hohen Sicherheitsniveau der Reisepässe. Der elektronische Identitätsnachweis nach 18 PersAuswG ermöglicht die verbindliche elektronische Übermittlung von Identitätsmerkmalen (ohne biometrische Daten) in Online-Anwendungen und in lokalen Verarbeitungsprozessen (z. B. an Automaten). Dadurch besteht die Möglichkeit des zuverlässigen Nachweises der Identität in der elektronischen Kommunikation sowohl im E Govern ment als auch im E-Business. Der elektronische Identitätsnachweis wird standard mäßig in den neuen Personalausweis eingebracht; auf Wunsch des Ausweisinhabers kann diese Funktion jedoch ausgeschaltet werden. Das Auslesen der personenbezogenen Daten aus dem Personalausweis ist allerdings nur möglich, wenn das Kreditinstitut dem Kunden gegenüber seine Berechtigung anzeigt und der Kunde das Auslesen durch Eingabe seiner PIN freigibt. Ist in der realen Welt eine eigenhändige Unterschrift erforderlich (Schriftform nach 126-127 BGB), wird in der elektronischen Welt eine qualifizierte elektronische Signatur nach 126a BGB als Äquivalent verlangt. Die Funktion der elektronischen Signierung wird daher als Option ebenfalls in den neuen Personal ausweis integriert. Option heißt, dass der neue Personalausweis für die Aufnahme eines qualifizierten Signaturzertifikates gemäß Signaturgesetz vorbereitet ist, der Ausweis inhaber aber ein qualifiziertes Zertifikat bei einem Zertifizie rungs diensteanbieter seiner Wahl beantragen muss. Die Ausstellung eines entsprechenden Zertifi kates ist kostenpflichtig. 126
Der neue Personalausweis im Banking Abbildung 2: Elektronische Funktionen des neuen Personalausweises Technik Elektronischer Identitätsnachweis Auf jedem epa vorhanden epa und Diensteanbieter authentisieren sich gegenseitig Qualifizierte Signatur Nur optional (nachladbar) Empfänger der Signatur wird nicht authentisiert Recht Personalausweisgesetz Identitätsfeststellung nach GwG Signaturgesetz Erfüllt Schriftformerfordernis Kosten Für Bürger keine Zusatzkosten Empfänger benötigt kostenpflichtiges Berechtigungszertifikat Für Bürger kostenpflichtig nachladbar (>10 p.a.) Für Empfänger kostenlos Wer bin ich? Was will ich? Quelle: Bankenverband. Für die Nutzung des elektronischen Identitätsnachweises muss das Kreditinstitut bei der zuständigen Stelle nach 7 Abs. 4 Satz 1 PAuswG ein Berechtigungszertifikat beantragen. Vor aussetzung für die Ausstellung eines entsprechenden Zertifikates ist, dass das Kreditinstitut u.a. die Erforderlichkeit der zu übermittelnden Identitätsdaten für den vorgesehenen Nut zungszweck nachgewiesen hat, die Anforderungen, insbesondere an Datenschutz und Datensicherheit erfüllt sind (schriftliche Bestätigung der Selbstverpflichtung, Nachweis nach Anforderung) und keine Anhaltspunkte für eine missbräuchliche Verwendung der Berechtigung vorliegen. 127
Ulrike Linde Nach PAuswG beträgt die Gültigkeit der Berechtigungszertifikate zwei bis drei Tage, d.h. diese müssen regelmäßig ausgetauscht werden. Die zuständige Stelle stellt die entsprechenden Berechtigungszertifikate über jederzeit öffentlich erreichbare Kommunikationsverbindungen zur Verfügung. Die eigentliche Berechtigung muss nur alle drei Jahre erneuert werden. Berechtigungszertifikate sind kostenpflichtig. In einem Berechtigungszertifikat ist eine sogenannte Sektorkennung zur Identifizierung des Diensteanbieters enthalten. Aus der Sektorkennung und der Personalausweisnummer wird ein dienste- und kartenspezifisches Kennzeichen (DKK) abgeleitet. Das DKK dient der eindeutigen elektronischen Wiedererkennung eines Personalausweises durch den Diensteanbieter, für den es errechnet wurde, ohne dass weitere personenbezogene Daten übermittelt werden müssen. Grundsätzlich benötigt jede rechtlich selbstständige Einheit eines Diensteanbieters ein eigenes Berechtigungszertifikat. Ob ein Diensteanbieter ein oder mehrere Berechtigungszertifikate benötigt, hängt wesentlich davon ab, wie der angebotene Dienst definiert wird. Werden beispiel sweise Kontoeröffnung und Login in das Online Banking als zwei Dienste beschrieben, werden zwei Berechtigungszertifikate benötigt. Wenn aber die Kontoeröffnung zusammen mit den hierfür erforderlichen Teilprozessen wie beispielsweise die Abfrage einer Auskunftei und den im Rahmen der so begründeten Geschäftsbeziehung durch geführten Transaktionen als einziger Dienst beschrieben wird, ist nur ein Berechtigungs zertifikat erforderlich. Zur Beantwortung dieser Frage zieht das für die Anträge zuständige Bundesverwaltungsamt (BVA) u.a. den Handelsregisterauszug heran. Dieser hilft zu klären, ob ein Diensteanbieter ein oder mehrere Dienste anbietet und damit ein oder mehrere Berechtigungszertifikate benötigt. Um die Eineindeutigkeit eines DKK innerhalb eines Konzernverbundes über die verschiedenen rechtlichen Einheiten hinweg zu gewährleisten, kann auch ggf. in verschiedene Berechti gungs zertifikate dieselbe Sektorkennung aufgenommen werden. Einzelheiten müssen im Rahmen der Beantragung eines Berechtigungszertifikates geklärt werden (siehe [3]). 128
Der neue Personalausweis im Banking Kundenseitig muss das für die Internetkommunikation genutzte Gerät mit einem Lesegerät für kontaktlose Chipkarten aus gestattet sein. Der Kunde muss der Übermittlung der vom Kredit institut angefragten Identi tätsdaten ausdrücklich zustimmen. Darüber hinaus muss sich der Kunde ein entsprechendes Kartenlesegerät beschaffen; der von der Kreditwirtschaft entwickelte Kartenleser SECO- DER unterstützt die Funktionen des neuen Personalausweises. 2 Einsatzmöglichkeiten in der Kreditwirtschaft Es ist erklärtes Ziel der Politik, dass für den elektronischen Personalausweis attraktive E-Business-Anwendungen zur Verfügung stehen, in denen diese Funktionen genutzt werden können. Insbesondere werden in der Öffentlichkeitsarbeit der Bundesregierung auch kreditwirtschaftliche Einsatzmöglichkeiten wie das Online Banking oder die Kontoeröffnung über das Internet erwähnt. Vor diesem Hintergrund hat der Bankenverband den Einsatz des neuen Personalausweises in Anwendungen der Kreditwirtschaft untersucht. 2.1 Einschätzung der Einsatzmöglichkeiten bei der Kontoeröffnung Die rechtlichen Voraussetzungen für eine rein elektronische Kontoeröffnung wurden mit dem Gesetz über Personalausweise und den elektroni schen Identitätsnachweis sowie zur Änderung weiterer Vorschriften (PAuswG) geschaffen. Artikel 5 dieses Gesetzes ändert das Geldwäsche gesetz dahingehend, dass die Identifikation eines Neukunden zukünftig auch mittels des elektronischen Identitäts nachweises nach 18 PAuswG erfolgen kann. Es ist damit nicht mehr not wendig, dass der Neukunde für seine Identifikation in der Bank persönlich anwe send ist oder über das PostIdent-Verfahren identifi ziert werden muss. Darüber hinaus wurden in dem Gesetz zur Optimierung der Geldwäscheprävention, das am 29. Dezember 2011 in Kraft getreten ist, weitere Vereinfachungen für den Einsatz des elektro nischen Identitätsnachweises geschaffen [4]. In diesem Gesetz wird in Artikel 1 zur Änderung des Geldwäschegesetzes geregelt, dass bei einer Identifizierung eines nicht anwesenden Kunden mittels elektronischem Identitätsnachweis nach 6 Abs. 2 Nr. 2 GwG zukünftig das Erfordernis entfällt, dass die erste Transaktion unmittel bar von einem Konto 129
Ulrike Linde erfolgt, das auf den Namen des Vertragspartners bei einem unter die EG- Geldwäscherichtlinie fallenden Kreditinstitut oder bei einem in einem gleichwertigen Drittstaat ansässigen Kreditinstitut eröffnet worden ist. Die Neuregelung 6 Abs. 2 Nr. 2 GwG gilt seit dem 1. März 2012. Da der Abschluss eines Kontovertrages grundsätzlich keinen gesetzlichen Formvorschriften unterliegt, können Verträge für Konten, insbesondere, wenn diese auf Guthabenbasis geführt werden, oder Wertpapierdepotkonten grundsätzlich auch telekommunikativ via Internet, das bedeutet mit formfreier Bestätigung in Gestalt des Doppelclick gemäß 312e Abs. 1 Nr. 1 Bürgerliches Gesetzbuch (BGB), vereinbart werden. Die Willenserklärung des Kunden wird in diesem Fall durch eine bewusste Handlung den Doppelclick und nicht zwingend durch eine qualifizierte elektronische Signatur abgebildet. Verbraucherkreditverträge können im elektronischen Geschäftsverkehr nach 492 BGB nur per elektronischer Form gemäß 126a BGB, also unter Verwendung der qualifizierten elektroni schen Signatur des Kunden, über das Internet abgeschlossen werden. Bei Kreditverträgen über einge räumte Über zie hungen i. S. d. 504 BGB n.f. kann nach 504 Abs. 2 Satz 2 BGB n. F. ein Überzie hungskreditvertrag auch telekommunikativ formlos wirksam mit dem Kun den vereinbart werden. Hinsichtlich der Umsetzung des neuen Verbrau cher kreditrechtes wirft das Thema eingeräumter und geduldeter Überziehungen insgesamt derzeit jedoch noch eine Fülle offener Fragen auf. In der Regel findet heute bei der Kontoeröffnung zum Zwecke der Bonitätsprüfung des Kunden eine Übermittlung von Kundendaten an eine Kreditauskunftei (z. B. SCHUFA) statt. Erfolgt die Übermittlung an die Auskunftei nicht auf Basis von 28a Abs. 1 Bundesdaten schutzgesetz (BDSG), sondern wie beim SCHUFA-Verfahren auf Grundlage einer Einwilli gung des Kunden nach 4 Abs. 1, 4a BDSG, bedarf die Einwilligung gemäß 4 a Abs. 1 S. 3 BDSG grundsätzlich der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form ange messen ist. 130
Der neue Personalausweis im Banking Zur Vermeidung eines Medienbruchs könnte wie folgt vorgegangen werden: Der potenzielle Kunde willigt demnach per Doppelclick ein, dass seine bereits in der Geschäftsanbahnungsphase an das Institut übermit tel ten Daten an die Kredit auskunftei weitergeleitet werden. Um sicherzustellen, dass der Doppel klick wirklich von der Person stammt, deren Daten übermittelt werden sollen, sollte das Institut den poten ziellen Kunden im Rahmen dieses Teilprozesses beispielsweise mit dem neuen Personal ausweis identifizieren. Diese Identifizierung könnte auch mit anderen Verfahren erfolgen, z. B. bei Bestandskunden mit der Online-Banking-PIN. Wichtig ist, dass die Einwilligung selbst per Doppelclick bestätigt wird und nicht mit dem elektronischen Identitäts nachweis des neuen Personalausweises. Bei einer solchen Vorgehensweise könnte angefügt werden, dass der Funktion der Schriftform bei der Einwilligung weitestgehend Rechnung getragen wird. Ferner kann in dem eher seltenen Fall, dass Einlagen und andere rückzahlbare Gelder nicht von der Einlagensicherung der Bank erfasst sind, noch ein Medienbruch erforderlich sein. Denn in diesem Fall muss das Kreditinstitut den Kunden gemäß 23a Abs. 1 Satz 4 KWG auf den fehlenden Schutz von solchen Produkten hinweisen und diesen Hinweis sich vom Kunden gesondert unterschreiben lassen. Daher müssen diese Bestätigungen weiter hin schriftlich dem Kreditinstitut übermittelt werden (Medienbruch) oder aber vom Kunden mit einer qualifizierten elektroni schen Signatur versehen werden (vgl. 126a BGB). Bei diesem Hinweis zum Umfang der Einlagensicherung sollten zukünftig die Vorgaben des Artikel 14 Infor ma tionen für die Einleger, Absatz 7 des EU-Richtlinien-Entwurfs über Einlagensicherungs systeme (KOM(2010)368/2) die derzeitige Regelung in 23 a Abs. 1 Satz 4 KWG ablösen. Dem nach würde es ausreichen, dass die zur Verfügung zu stellenden Informationen elektro nisch übermittelt werden, wobei sicherzustellen wäre, dass der Einleger sie zur Kenntnis nimmt. 2.2 Einschätzung der Einsatzmöglichkeiten im Online Banking Hinsichtlich des Einsatzes im Online Banking hat die Deutsche Kreditwirtschaft bereits in ihrer Stellungnahme zum neuen Personalausweisgesetz im Jahr 2008 dargelegt, dass der elektronische Identitätsnachweis des neuen Personalausweises 131
Ulrike Linde keine Banktransaktionsdaten, sondern nur im neuen Personalausweis enthaltenen und auf berechtigte Anfrage online ausgegebene Identifikationsdaten absichern kann. Auch eine vertiefende Analyse der technischen Protokolle hat ergeben, dass lediglich die Kommunikation zwischen dem eid-server und dem Chip des neuen Personalausweises kryptographisch abgesichert wird. Eine kryptographische Absicherung der visualisierten Transaktionsdaten wie dies für den Einsatz des TAN-Generators oder den Einsatz der elektronischen Signatur an einem kreditwirtschaftlichen Kartenleser, dem SECODER, vorgesehen ist dürfte demnach mit dem elektronischen Identitätsnachweis des neuen Personalausweises nicht möglich sein. Hierfür wird wohl lediglich die qualifizierte Signatur des neuen Personalausweises genutzt werden können. 2.3 Einschätzung der Einsatzmöglichkeiten bei Zahlungsverfahren Zum Einsatz des neuen Personalausweises bei Bezahlverfahren mit Zahlungsgarantie dürften nach erster Einschätzung die gleichen Anforderungen gelten wie beim Online Banking, da in den bis dato von der Kreditwirtschaft entwickelten Verfahren eine Zahlungsgarantie nur dann ausgesprochen wird, wenn der Zahlungspflichtige diese Transaktion gegenüber seinem Kreditinstitut mittels eines von diesem ausgegebenen Authentifizierungs instrumentes, das umfasst Zahlungskarte und PIN, legitimiert hat. Dies beinhaltet neben der sicheren Identifizierung immer auch die sichere Autorisierung des angefragten Zahlbetrages in den Hintergrundsystemen des Kreditinstitutes des Zahlers. Aus den obigen Ausführungen folgt nach erster Einschätzung, dass Online Banking sowie karten gestützte Zahlverfahren mit Garantiefunktion keine Anwen dungs fälle für den elektronischen Identitätsnachweis des neuen Personalausweises sein dürften, außer der Zahler setzt zusätzlich soweit implementiert die im Ausweis enthaltene qualifizierte elektronische Signatur ein. 2.4 Erstellen von Fotokopien des neuen Personalausweises Das in der Begründung zu 14, 20 PersAuswG eventuell intendierte Kopierverbot kann nach Auffassung der Kreditwirtschaft nicht für Aspekte der Geldwäschebekämpfung gelten. Denn in 8 Abs.1 S.3 GwG wird das Kopieren als 132
Der neue Personalausweis im Banking Alternative zur sonstigen Aufzeichnung ausdrücklich genannt. Damit wird klargestellt, dass dies zur Erfüllung der GwG-Pflichten möglich ist, weshalb der einschlägige Fachkommentar zum GwG von Herzog in 8 Rn.8 sogar auf eine ausdrück liche Einwilligung des Bankkunden verzichtet. 3 Zwischenfazit Da nicht davon ausgegangen werden kann, dass alle Bürger, die seit November 2010 den neuen Personalausweis erhalten, diesen bereits mit einer für Kreditaufnahmen und das Online Banking erforderlichen qualifizierten elektroni schen Signatur ausstatten, sollte eine Pilotie rung der Kontoeröffnung im Internet mit Konten auf Guthabenbasis begonnen werden. Diese Konten können mit der elektronischen Identitätsfunktion des neuen Personalausweises im Internet eröffnet werden. Voraussetzung hierfür ist jedoch, dass die potenziellen Kunden mit einem entsprechenden Kartenleser ausgestattet sind. Die Deutsche Kreditwirtschaft hat hierfür den für die kreditwirt schaftliche Chipkarte entwickelten Kartenleser SECODER ebenfalls für die kontaktlose Unterstützung des neuen Personalausweises geöffnet. Quellen [1] Bundesgesetzblatt Jahrgang 2009 Teil I Nr. 33, ausgegeben zu Bonn am 24. Juni 2009, Gesetz über Personalausweise und den elektronischen Identitätsnachweis sowie zur Änderung weiterer Vorschriften vom 18. Juni 2009. [2] Deutscher Bundestag, 16. Wahlperiode, Drucksache 16/10489 vom 7. Oktober 2008, Entwurf eines Gesetzes über Personalausweise und den elektronischen Identitätsnachweis sowie zur Änderung weiterer Vorschriften. [3] Bundesverwaltungsamt, Leitlinien für die Vergabe von Berechtigungen nach 21 Abs. 2 Personalausweisgesetz, Version 1.0, März 2011. [4] Bundesgesetzblatt Jahrgang 2011 Teil I Nr. 70, Gesetz zur Optimierung der Geldwäscheprävention vom 22. Dezember 2011, ausgegeben zu Bonn am 28. Dezember 2011. 133
Christoph Maggioni / Mark Rüdiger Christoph Maggioni / Mark Rüdiger 4 Der neuer Personalausweis und seine Möglichkeiten Seit rund 18 Monaten im Umlauf, ist dem neuen Personalausweis schon so viel öffentliche Aufmerksamkeit zuteil geworden, dass es kaum noch nötig ist, ihn in aller Ausführlichkeit vorzustellen. Deshalb hier nur einige grundsätzliche Vorbemerkungen: Seit dem 1. November 2010 erhalten deutsche Bürger, die das 16. Lebensjahr erreicht haben und einen Personalausweis beantragen, ihr Ausweisdokument im handlichen Scheckkartenformat. Für über 24-jährige bleibt die neue Polycarbonatkarte zehn Jahre gültig, jüngere Menschen können sie für insgesamt sechs Jahre nutzen; und zwar nicht nur als klassischen Sichtausweis, sondern erstmalig auch als Standard-Identitätsnachweis in der Online-Welt. Im Inneren des neuen Personalausweises befindet sich ein Sicherheits-Chip. Die auf ihm gespeicherten Daten, wie Name, Geburtsdatum und Adresse, können durch Eingabe der persönlichen, sechsstelligen Ausweis-PIN freigegeben und über den eigenen PC und ein angeschlossenes Lesegerät weitergeleitet werden. Über die Online-Ausweisfunktion und die optional nutzbare Online-Unterschriftfunktion mittels einer qualifizierten elektronischen Signatur (QES) lassen sich Internet-Aktivitäten, für die bislang ein zusätzlicher Identitäts- oder Altersnachweis erforderlich war zum Beispiel das Einkaufen jugendschutzrelevanter Waren, bestimmte Services in der Behördenkommunikation sowie das Eröffnen eines Bankkontos und andere Finanztransaktionen auch auf elektronischem Wege sicher und medienbruchfrei erledigen. Gleichzeitig werden viele der bisher üblichen Pass wörter, Benutzernamen oder Zugangsnummern überflüssig. Dafür sorgt die nur dem Dokumenteninhaber bekannte Ausweis-PIN, über die das Login in geschützte Kundenbereiche einer Webseite ermöglicht wird. Voraussetzung für die Nutzung der dokumentenbasierten elektronischen Identität ist eine ak tivierte Online-Ausweisfunktion, für oder gegen die sich 134
Der neue Personalausweis im Banking jeder Bürger bereits bei der Entgegennahme seines neuen Personalausweises entscheidet. Eine nachträgliche Freischaltung kann jederzeit vorgenommen werden, ist jedoch mit einem erneuten Gang zum Bürgeramt und einer Gebühr von 6 Euro verbunden. Damit verfügt potenziell jeder Ausweisinhaber (inzwischen sind mehr als 11 Millionen der neuen Dokumente im Umlauf) über eine verlässliche Visitenkarte im Netz, die bei Bedarf auch für die Altersverifikation an Automaten oder mit einem entsprechenden Signaturzertifikat für die Online-Unterschrift genutzt werden kann. Der eid-service Schnittstelle für den digitalen Handschlag Um das dem Online-Ausweis zugrunde liegende Prinzip der gegenseitigen Authentisierung umzusetzen, bedarf es einer vertrauenswürdigen Schnittstelle, die die passwortgeschützte Weiterleitung sensibler Daten organisiert. Diese Aufgaben übernimmt ein zertifizierter eid-service, wie ihn die Bundesdruckerei schon Ende 2010 mit ihrem Trustcenter D-TRUST re alisiert hat. Als neutrale Instanz zwischen Web-Dienstleistern und ihren Kunden übernimmt der eid-service die Verwaltung von Berechtigungszertifikaten und Sperrlisten und garantiert allen, die sich auch im Netz eindeutig ausweisen möchten, einen hochsicheren Datenaustausch. Trends im Online Banking Wie wichtig die Gewährleisung neuer Sicherheitsstandards ist, zeigt sich besonders in der Bankenwelt. Anders als im ecommerce, das viele Online-Käufer trotz potenzieller Risiken tagtäglich nutzen, haben für Bankkunden die Themen Sicherheit und Datenschutz noch immer erste Priorität. Aus Angst vor Betrug verzichtete 2011 immerhin noch etwa jeder vierte Kunde auf Transaktionen via Online Banking 1, obwohl über die Online-Funktionen des neuen Personalausweises viele der möglichen Missbrauchsdelikte (z. B. Phishingoder Pharming-Attacken) leicht verhindert werden könnten. 1 Vgl. TNS Infratest Juli 2011, Sonderstudie im Rahmen des (N)Onliner Atlas2011 Online Banking Mit Sicherheit!. 135
Christoph Maggioni / Mark Rüdiger Online-Kontoeröffnung, Online Banking und Geldabheben mit dem neuem Personalausweis Als Schlüssel für solche internetbasierten Bank-Anwendungen fungiert allein der neue Personalausweis. Dabei eröffnet der Kunde zunächst von zu Hause aus ein Online-Konto. Hierfür benötigt er seinen neuen Personalausweis mit aktivierter Online-Ausweisfunktion, ein Lesegerät und einen Computer mit Internetanschluss. Alle gemäß des aktuellen Geldwäschegesetzes für eine Kontoeröffnung benötigten Daten können auf diese Weise digital bereit gestellt werden. Im Verlauf des Online-Prozesses sieht der Kunde, welche Daten erforderlich sind und gibt deren Übermittlung durch die Eingabe seiner persönlichen sechsstell igen Ausweis-PIN frei. Das eröffnete Konto kann mit dem Ausweis und der dazugehörigen Ausweis-PIN verknüpft werden, so dass ein sofortiger Zugriff und ein erneutes Login jederzeit möglich sind. Dass solche Verfahren deutliche Vorteile gegenüber den bisher üblichen haben, liegt im Grunde auf der Hand: Da die Nutzerlegitimation allein über den Ausweis und die Ausweis-PIN erfolgt und das vergleichsweise aufwändige Verfahren mittels Postident entfällt, über zeugen auf Kundenseite vor allem ein medienbruchfreier Ablauf, der schnelle Kontozugriff und das sichere dokumentenbasierte Login. Auf Seiten der Finanzdienstleister ergeben sich zusätzlich deutliche Effizienz- und Kostenvorteile. Laut Aussage der biw Bank entstehen beim bisherigen Prozedere der Online-Kontoeröffnung für den Finanzdienstleister schnell Fremd- und Eigenkosten in Höhe von 20 Euro und mehr. Gleichzeitig verursacht der Medien bruch durch das kostenpflichtige Postident-Verfahren hohe Abbrecherquoten, die durch die Nutzung der Online- Ausweisfunktion nachhaltig minimiert werden könnten. Auch die Qualität der Daten steigt, da durch die elektronische Übermittlung Fehler bei der manuellen Ersterfassung vermieden werden. 136
Der neue Personalausweis im Banking Abbildung 3: Showcase der biw Bank AG und der XCOM AG auf dem Messestand der Bundesdruckerei CeBIT 2012 Quelle: Bundesdruckerei. Auf Basis dieser Verfahren könnte der Personalausweis auch für Transaktionen am Geldauto maten genutzt werden. Bei der im Rahmen der diesjährigen Ce- BIT vorgestellten Musteran wendung der XCOM AG legt der Kunde, statt seiner klassischen EC-Karte, einfach seinen Ausweis auf ein integriertes, kontaktloses Lesegerät. Nach der im Hintergrund laufenden Prüfung, bei der die gelieferten Ausweisdaten sekundenschnell mit den im Banksystem hinterlegten Kontodaten abgeglichen werden, wird die gewünschte Auszahlung direkt mit der sechsstelligen Ausweis-PIN bestätigt. Entsprechend könnte z. B. auch bei Adressänderungen verfahren werden. 137
Christoph Maggioni / Mark Rüdiger Aus Sicht von XCOM ergibt sich auch hier ein klarer Kundenvorteil. Denn bei den neuen Bankanwendungen kann der Personalausweis als rundum verlässliches Legitimationsmittel mit einem klaren Vorsprung an Flexibilität und Komfort gegenüber EC-Karten mit Bankzuordnung und variierenden Passwörtern genutzt werden. Auch in Sachen Sicherheit bietet der Ausweis Vorteile: Da kein Magnetstreifen vorhanden ist, gehört das betrügerische Auslesen von Kartendaten am Bankautomaten (Skimming) der Vergangenheit an. Nach der Prüfung durch die zuständigen Gremien könnten die neuen Bankautomaten binnen weniger Monate umgerüstet werden. Online unterschreiben neue Zugänge für rechtsverbindliche Bankgeschäfte Eine weitere Option, die für Bankkunden und Finanzdienstleister zunehmend interessant wird, ist die Nutzung der Online-Unterschriftfunktion, die über so genannte qualifizierte elektronische Signaturen ermöglicht wird. Mit ihr sollen Besitzer des neuen Personalausweises zukünftig rechtsverbindliche Vereinbarungen, wie den Abschluss von Bausparverträgen und Verbraucherkrediten oder die Abwicklung komplexer Anlage- und Wertpapiergeschäfte, auch auf elektronischem Wege, sprich ohne persönliche Unterschrift in der Bankfiliale, bestätigen können. Entscheidend auch hier: Die Nutzung der dokumentenbasierten Daten ist nur dann möglich, wenn das Kreditinstitut seine Berechtigung zum Datentransfer eindeutig nachweist (Prinzip der gegenseitigen Authentisierung), der Kunde die gewünschte Transaktion durch die Eingabe seiner Ausweis-PIN freigibt, und im Falle von Vertragsabschlüssen eine qualifizierte elektronische Signatur als digitales Äquivalent der eigenhändigen Unterschrift nutzt. Kommen diese drei Faktoren zusammen, kann überall, wo in der realen Welt eine eigenhändige Unterschrift erforderlich ist, die elektronische Signatur zur Bestätigung einer rechtsverbindlichen Willensäußerung eingesetzt werden. Damit wären alle im Gesetz über Personalausweise und den elektronischen 138
Der neue Personalausweis im Banking Identitätsnachweis 2 vorgegebenen Bedingungen für medienbruchfreie Bankgeschäftsprozesse erfüllt. Ad Hoc-Online-Unterschrift der schnelle Weg zu Rechtsverbindlichkeit im Netz Als Bremsklotz bei der Durchsetzung signierter Verfahren, die im Bankengeschäft zunehmend an Bedeutung gewinnen, hat sich in der Vergangenheit vor allem das Prozedere zum Erwerb gültiger Signaturzertifikate erwiesen. Alternativen zu diesem aufwändigen und insgesamt komplizierten Verfahren wurden bereits im vergangenen Jahr vom Softwarehersteller SAP, dem Land Hessen und der Bundesdruckerei vor gestellt. Über die so genannte Ad Hoc- Signatur sollten Anwender minutenschnell über ein voll wertiges Signaturzertifikat verfügen können. Jetzt ging die Bundesdruckerei mit einer Anwendung für die Berufsgenossenschaft Nahrungsmittel und Gastgewerbe (BGN) noch einen Schritt weiter. Mit dem Anwendungsbeispiel der Onlineänderung des Lastschrifteinzugsverfahrens des BGN zeigten die Unternehmen ganz konkret, wie Bürger mit der Ad Hoc-Signatur hunderte ähnlich gelagerter Online- Ver fahren schnell und sicher erledigen können. Dabei werden die benötigten Zertifikate den Kunden oder wie im beschriebenen Fall den Mitgliedern der Berufsgenossenschaft direkt über das Portal ihrer jeweiligen Geschäftspartner angeboten. Mit dieser Lösung ermöglicht die Bundesdruckerei ein minutenschnelles Unterschreiben digitaler Formulare oder Verträge, das für den Endnutzer in der Regel kostenfrei bleibt. Dabei entfällt so wohl das Herunterladen der offiziellen AusweisApp als auch die Beantragung eines eigenen Signa turzertifikats. Alle notwendigen Prozessschritte die sichere Identifizierung über die Online- Aus weisfunktion, die Erstellung des Signaturzertifikats und dessen Übermittlung an den neuen Personalausweis sowie die Weiterleitung der rechtsverbindlichen elektronischen Unterschrift an das betreffende Portal werden komplett über die vertrauensvolle Schnittstelle eines Trustcenter organisiert. 2 Vgl. http://www.bmi.bund.de/cae/servlet/contentblob/607490/publicationfile/35245/ eperso.pdf 139
Christoph Maggioni / Mark Rüdiger Und wenn s mal nicht online läuft? Lösungen für das klassische Filialgeschäft Trotz der vielfältigen neuen Möglichkeiten der neuen Internet-Welt bleibt die Filiale der wichtigste Kontakt- und Vertriebskanal von Finanzdienstleistern wobei die Möglichkeiten des Online Banking die Erwartungshaltung der Kunden deutlich verändert. Schon jetzt ist abzusehen, dass persönliche Beratungsund Serviceleistungen an Bedeutung gewinnen, während sich Basisleistungen zunehmend ins Internet verlagern. 3 Um diesem Trend Rechnung zu tragen und um gleichzeitig die hohen Kostenstrukturen im Griff zu behalten, muss im Retail Banking über neue Wege der Effizienzsteigerung nachgedacht werden. Die Bundesdruckerei will jetzt auch den Bedarf der Bankenwelt aufgreifen. Dabei geht es vor allem um Lösungen, die die gesetzlich vorgeschriebene Identitätsprüfung von Bankkunden erleichtern. Maximaler Schutz vor Identitätsmissbrauch Das Szenario ist schnell erklärt: Vor Abschluss einer rechtsverbindlichen Geschäftsbeziehung (z. B. Kontoeröffnung oder Ausführung von Finanztransaktionen) muss die Identität potenzieller Kunden anhand eines gültigen Personaldokuments festgestellt werden. Doch gerade für ungeübte Augen ist es nicht immer leicht, echte Dokumente von gut gemachten Fälschungen zu unterscheiden allemal, wenn Pässe und Ausweise aus anderen Ländern vorgelegt und geprüft werden müssen. Um diese Sicherheitslücke zu schließen, bietet die Bundesdruckerei für den privat wirt schaftlichen Markt effiziente Dokumentenprüfsysteme an. Über eine Komplettlösung können nationale und internationale Ausweispapiere anhand der Analyse ihrer Sicherheitsmerkmale sekundenschnell auf ihre Echtheit geprüft und revisionssichere Vorgangsprotokolle erstellt werden. Aktuell 3 Im aktuellen World Retail Banking Report von Capgemini, UniCredit und der Efma wird festgestellt: Der Anteil derjenigen, die die Filiale für Beratung, komplexe Transaktionen und die Kontaktpflege nutzen möchten, steigt von 28 Prozent im Jahr 2010 auf 31 Prozent im Jahr 2015. Im Gegenzug werden Basisleistungen seltener in der Filiale abgewickelt (37 Prozent im Jahr 2010, 34 Prozent im Jahr 2015). Vgl. www.de.capgemini.com/insights/publikationen/world-retail-banking-report-2011, 17. Mai 2011. 140
Der neue Personalausweis im Banking erkennt die Lösung, die mit bis zu 10 Updates pro Jahr permanent erweitert und gepflegt wird, mehr als 1.000 Identitätsdokumente aus über 160 Ländern. Damit steht auch Bankfilialen eine wirkungsvolle und leicht zu bedienende Lösung zur Verfügung, die neben einer verlässlichen Echtheitsprüfung von Personaldokumenten auch die im Geldwäschegesetz vorgeschriebene Vorgangsdokumentation 4 sicherstellt. Gezielte Fraud Prevention in der Filiale Wie sinnvoll der Einsatz solcher Systeme sein kann, haben die Projektauswertungen von mobilcom-debitel deutlich gezeigt: Bei rund 20.000 durchgeführten Prüfungen konnte durch die VISCORE Verify Lösung eine signifikante Anzahl auffälliger Ausweisdokumente identifiziert werden; darunter zum Beispiel auch ausgetauschte Lichtbilder oder Totalfälschungen, die vielleicht von einem Dokumentenexperten vor Ort, nicht aber von den ungeübten Augen eines Filialangestellten erkannt worden wären. Bereits im Sommer 2011 wurde deshalb eine Ausweiterung des Projekts beschlossen. 2012 sollen den bereits beteiligten 100 Filialen weitere folgen. Von diesem Beispiel lassen sich auch für deutsche Finanzdienstleister interessante Optionen ableiten. So könnte, statt der bisher üblichen Ausweiskopie 5, über die die Basisdaten eines Kunden (Name, Geburtsort, Geburtsdatum, Staatsangehörigkeit und Anschrift) bis zu fünf Jahre verfügbar gehalten werden, auch das Ergebnis einer automatisierten Dokumentenprüfung direkt und medienbruchfrei archiviert und verwahrt werden. 4 Vgl. Geldwäschegesetz, Fassung vom 21.8.2008, 8: Soweit nach diesem Gesetz Sorgfaltspflichten bestehen, sind die erhobenen Angaben und eingeholten Informationen über Vertragspartner < > aufzuzeichnen. Sofern < > die Identifizierung einer natürlichen Person anhand eines elektronischen Identitätsnachweises nach 18 des Personalausweisgesetzes erfolgt, ist anstelle der Art, der Nummer und der ausstellenden Behörde des zur Überprüfung der Identität vorgelegten Dokuments das dienste- und kartenspezifische Kennzeichen und die Tatsache, dass die Prüfung anhand eines elektronischen Identitätsnachweises erfolgt ist, aufzuzeichnen. 5 Vgl. Geldwäschegesetz in der am 21.8.2008 in Kraft getretenen Fassung, 8: Die Anfertigung einer Kopie des zur Überprüfung der Identität vorgelegten Dokuments <gilt> als Aufzeichnung der darin enthaltenen Angaben; die Aufzeichnungen und sonstige Belege über Geschäftsbeziehungen und Transaktionen sind mindestens fünf Jahre aufzubewahren. 141
Christoph Maggioni / Mark Rüdiger Ganz ohne Papier Mehr Effizienz und Kundenzufriedenheit im Tagesgeschäft Elektronisch gestützte Verfahren zur Dokumentenprüfung, das Online- und Automaten-Bank ing mit dem neuen Personalausweis, schnelle und rechtssichere Vertragsabschlüsse via Ad Hoc-Online-Unterschrift das sind nur einige der neuen Lösungen, mit denen sich die Hochsicherheitsindustrie als Partner der deutschen Finanzbranche empfiehlt. Und die scheinen mehr denn je beachtet zu werden. Denn über die Bereitstellung kostengünstiger Lösungen und Infrastrukturen könnten sich gerade im Bereich der Kreditvergabe viele der bisher gängigen Bankprozesse und Geschäftsmodelle signifikant verändern. Dafür sprechen auch die Erfahrungen der größten deutschen Auskunftsdatei. Als zentrale Anlaufstelle deutscher Banken, wenn es um die Kreditwürdigkeit ihrer Kunden geht, nutzt die Schufa bereits seit 2010 die Vorteile der Online- Ausweisfunktion. Unter der entsprechenden Internetseite können Ausweisinhaber, die die Vorteile der elektronischen Authentisierung nutzen, ihre Schufa- Daten jederzeit online einsehen. Sichere Identitäten Der Schlüssel zu neuen digitalen Diensten Für die Berliner Bundesdruckerei sind solche Initiativen und viele andere Anwendungen für den neuen Personalausweis ein klares Signal. Umgeben von Begriffen wie Cloud Computing, Smart Living, Smart Grids, M2M-Kommunikation, NFC und digitalen Identitäten ist eine steigende Sensibilisierung von Bürgern und Unternehmen bei Fragen des Datenschutzes und der Kommunikations- und Identitätssicherheit zu verzeichnen. Die im Zuge der wachsenden Vernetzung kritischer Infrastrukturen entstehenden neuen Sicherheitsanforderungen sollten Wirtschaft und Politik konsequent aufgreifen und ein Umfeld schaffen, in dem die technologisch verfügbaren Möglichkeiten auch tatsächlich genutzt werden können. 142
Der neue Personalausweis im Banking Online ausweisen so einfach und verlässlich wie der gute alte Handschlag Vor diesem Hintergrund liegt es im ureigensten Interesse der Bundesdruckerei, dass Produkte wie der neue Personalausweis rege nachgefragt und eingesetzt werden. Spätestens in rund acht Jahren wird jeder Bürger seinen neuen Online-Ausweis oder elektronischen Aufenthaltstitel in der Tasche haben. Die Potenziale auf Kundenseite sind folglich groß und die Kosten- und Effizienzvorteile für Banken deutlich. Aus diesem Grund wird derzeit die Entwicklung maßgeschneiderter Lösungen zur Geschäftsprozessintegration der Online-Ausweisfunktionalitäten nachdrücklich vorangetrieben. Zukünftig sollten sich Unternehmen nicht mehr um technische Schnittstellen, Systemfragen, Richtlinien oder eine installierte AusweisApp beim Endkunden kümmern müssen. Das gilt auch und in einem besonderen Maße für moderne Bankanwendungen. Anwenderfreundliche Identifizierungs- und Authentifizierungsprozesse von Geräten zur Dokumenten püfung in der Filiale, über Angebote zur sicheren Nutzung des neuen Personalausweises bis hin zu innovativen Login- -Verfahren beim Online Banking oder am Geldautomaten sind die Grundvoraussetzung für den Einsatz und die Verbreitung sicherer Identitäten. Damit Unternehmen und Kunden auch im Internet von einer neuen Service- und Sicherheitsqualität profitieren können, müssen alle an einem Strang ziehen und den Einsatz neuer Technologie und Verfahren nachhaltig beschleunigen. 143