Ja zur Videoidentifikation und neue Standards für noch mehr Sicherheit: Das sind die Hauptaussagen des lang erwarteten BaFin-Rundschreibens 3/2017 (GW), das die Bundesanstalt für Finanzdienstleistungsaufsicht am 10. April veröffentlichte. Es setzt neue Maßstäbe für die Videoidentifikation in Deutschland. Für die Ident-Anbieter, die Unternehmen, die das Verfahren einsetzen und die Nutzer selbst, sind das gute Nachrichten. Denn die neuen Regelungen passen die Videoidentifikation an aktuelle Erfordernisse an und erhöhen das bisher vorgegebene Sicherheitsniveau, ohne dass die Nutzerfreundlichkeit darunter zu leiden hat.
Referenzüberweisungen sind vom Tisch
Gleichzeitig schafft das Rundschreiben Klarheit in einigen kritischen Punkten, die nach dem ausgesetzten Rundschreiben 4/2016 für Aufruhr in der Finanzwelt gesorgt hatten.
- Damit gehören Forderungen nach einer Referenzüberweisung und einer Abfrage von Social-Media-Kanälen der Vergangenheit an.
- Auch die damals angekündigte Einschränkung des Adressatenkreises wird nicht umgesetzt, sodass erfreulicherweise weiterhin alle dem Geldwäschegesetz verpflichteten Unternehmen ihre Kunden per Video-Chat identifizieren können.
Videoidentifizierung wird noch sicherer
Das neue Rundschreiben 3/2017 (GW) ersetzt das bisher gültige Rundschreiben 1/2014 (GW) und tritt am 15. Juni 2017 in Kraft. Die darin enthaltenen Vorgaben sind das Ergebnis einer konstruktiven Zusammenarbeit von BaFin, BSI, weiterer Ministerien, Behörden, Finanzinstitute und Ident-Anbietern. IDnow war im Rahmen einer Arbeitsgruppe maßgeblich an der konkreten Ausarbeitung beteiligt und hat seine Video-Ident-Lösung bereits an die neuen Anforderungen angepasst.
Die Neuerungen beziehen sich im Wesentlichen darauf, das Videoidentifizierungsverfahren noch sicherer zu machen. Zu den wichtigsten technischen und organisatorischen Anforderungen gehören:
Ende-zu-Ende-Verschlüsselung: Der Identifikationsvorgang muss in Echtzeit stattfinden und künftig über eine Ende-zu-Ende-Verschlüsselung laufen. Damit ist die Nutzung von Diensten wie Skype oder i-Chat nicht mehr erlaubt, die bereits länger als fragwürdig kritisiert wurde.
Sichtprüfung von Sicherheitsmerkmalen: Bei der Identifikation muss der Ident-Spezialist mindestens drei optische Sicherheitsmerkmale des Ausweisdokuments überprüfen, beispielsweise die Hologramme, die Laserkippbilder und den Sicherheitsdruck. Ausweise mit weniger Sicherheitsmerkmalen sind daher vom Verfahren ausgeschlossen. Der Großteil der Identitätsdokumente erfüllt jedoch diese Anforderungen bereits.
Automatisierte Gültigkeits- und Plausibilitätsprüfungen: Während der Identifikation ist eine automatische Berechnung der Prüfziffern in der maschinenlesbaren Zone des Ausweises erforderlich. Mithilfe eines Kreuzvergleichs werden diese Daten mit den Angaben im Sichtfeld des Dokuments abgeglichen. Außerdem muss geprüft werden, dass die Ziffernorthografie, die Behördenkennziffer und die verwendeten Schriftarten korrekt sind.
Anlass der Identifikation: Um Fälle von Social Engineering aufzudecken, müssen die Ident-Spezialisten sich den Anlass der Identifikation bestätigen lassen. Sie sollen spezielle Fragestellungen und Beobachtungen nutzen, um sich davon zu überzeugen, dass die Angaben im Ausweis und der Grund der Identifikation plausibel sind, und die Person auch weiß, wofür sie sich identifiziert.
Ausweisbewegung: Der Nutzer muss künftig vor der Kamera seinen Ausweis auf und ab bewegen und teilweise überdecken. So sollen computergestützte Manipulationen während des Ident-Vorgangs rechtzeitig erkannt werden.
Finanzstandort Deutschland wird gestärkt
Darüber hinaus geht die BaFin nochmals explizit auf die Anforderungen an die Räumlichkeiten, in denen die Identifikation stattfindet, und die Ausbildung der Mitarbeiter ein. So müssen die Ident-Center abgetrennt und nicht für jeden zugänglich sein, beispielsweise durch eine Zwei-Faktor-Zugangskontrolle. Die Ident-Spezialisten sind regelmäßig und umfassend zu schulen. Sie müssen vertraut sein mit dem Prüfverfahren für zugelassene Ausweisdokumente, relevanten Vorschriften zu Geldwäschegesetz und Datenschutz sowie aktuellen Fälschungsmöglichkeiten.
Bereits mit der Zulassung der Videoidentifikation hat Deutschland 2014 eine Vorreiterrolle übernommen. Mit dem Rundschreiben 3/2017 (GW) hat die BaFin jetzt den regulatorischen Rahmen neu definiert und um konstruktive Regelungen erweitert. Diese Vorgaben tragen dazu bei, eine zukunftsweisende Online-Identifizierungsmethode weiter zu verbessern. Diese wird den Finanzstandort Deutschland stärken und ein Vorbild für ganz Europa sein.